1. Gegenstand und Dauer
(1) Diese Ergänzenden Allgemeinen Geschäftsbedingungen („AGB“) regeln die Datenverarbeitung durch den Auftragsverarbeiter, die easybell GmbH, Brückenstraße 5a, 10179 Berlin (nachstehend als „Auftragnehmer“ bezeichnet) gem. Art. 28 Abs. 3 DSGVO im Auftrag des Kunden (nachstehend als „Auftraggeber“ gemeinsam als „Parteien“ bezeichnet), die im Zusammenhang mit dem von den Parteien geschlossenen Vertrag zur Inanspruchnahme von Leistungen und Diensten betreffend der Cloud Telefonate stehen.
(2) Der Gegenstand der Datenverarbeitung ergibt sich aus dem Vertrag zur Inanspruchnahme der Leistungen und Dienste im Zusammenhang mit der Cloud Telefonanlage im Zusammenhang mit den Allgemeinen Geschäftsbedingungen des Auftragsnehmers.
(3) Die nachstehenden AGB gelten ausdrücklich nur für solche Verarbeitungen personenbezogener Daten, für die eine Regelung des Gegenstands und der Dauer der Verarbeitung, der Art und des Zwecks der Verarbeitung, zur Art der personenbezogenen Daten, über die Kategorien betroffener Personen und über die Pflichten und Rechte des Verantwortlichen nach Art 28 Abs. 3 DSGVO konkret vorgeschrieben ist. Diese AGB gelten damit ausdrücklich nicht für die Fälle, bei denen die vom Auftragsnehmer angebotenen Telekommunikationsleistungen gegenüber dem Auftraggeber und damit das Rechtsverhältnis der Parteien keine Auftragsverarbeitung im Sinne von Art. 28 DSGVO ist. Hier ist der Auftragsnehmer als Telekommunikationsanbieter für die Daten welche die Umstände der Telekommunikation betreffen (wie Abrechnungsdaten) selbst verantwortlich (vgl. Art 29 Gruppe, WP 169, Seite 13) und nimmt vom Inhalt der Kommunikation zur Wahrung des Fernmeldegeheimnisses nach § 88 des Telekommunikationsgesetzes (TKG) keine Kenntnis.
(4) Diese AGB gelten für die gesamte Laufzeit der Leistungsbereitstellung seitens des Auftragnehmers als vereinbart.
2. Konkretisierung der Datenverarbeitung
(1) Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber ergeben sich aus dem Vertragsdokument zur Bereitstellung der Leistungen und Dienste betreffend der Cloud Telefonanlage.
(2) Gegenstand der Verarbeitung personenbezogener Daten sind in der Regel Personenstammdaten und Kommunikationsdaten, die insbesondere in der Telefonbuchfunktion eingepflegt werden können.
(3) Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen insbesondere Kundendaten des Auftraggebers.
3. Technisch-organisatorische Maßnahmen
(1) Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technisch-organisatorische Maßnahmen gem. Art. 32 DS-GVO zum Schutz der personenbezogenen Daten und übergibt dem Auftraggeber die Dokumentation zur Prüfung. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage dieser AGB. Diese sind in Ziff. 11 dieser AGB beschreiben.
(2) Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(3) Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragnehmer zu dokumentieren sind, ist der Auftraggeber unverzüglich in Kenntnis zu setzten.
4. Rechte von betroffenen Personen
(1) Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technisch-organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte. Er darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
(2) Soweit vom Leistungsumfang umfasst, sind die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
(1) Der Auftragnehmer hat, zusätzlich zu der Einhaltung der Regelungen dieser AGB, eigene gesetzliche Pflichten gemäß der DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
- Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die berechtigterweise Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in diesen AGB eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
- Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
- Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten, einem anderen Anspruch oder einem Informationsersuchen im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
- Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
- Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 8 dieser AGB.
- Der Auftragnehmer meldet Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber in der Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere nach Artt. 33, 34 DS-GVO nachkommen kann. Er fertigt über den gesamten Vorgang eine Dokumentation an, die er dem Auftraggeber für weitere Maßnahmen zur Verfügung stellt.
- Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen und stellt ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung.
- Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung verpflichtet ist, unterstützt ihn der Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Gleiches gilt für eine etwaig bestehende Pflicht zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.
(2) Diese AGB entbinden den Auftragnehmer nicht von der Einhaltung anderer Vorgaben der DS-GVO.
6. Unterauftragsverhältnisse
(1) Als Unterauftragsverhältnisse im Sinne dieser AGB sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen bzw. Verpflichtungen abzugeben sowie Kontrollmaßnahmen zu ergreifen.
(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Der Auftraggeber stimmt der Beauftragung folgender Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO bzw. eines anderen Rechtsinstruments nach dem Unionsrecht mit dem Unterauftragnehmer mit Einbeziehung dieser AGB zu:
- Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen
- ecotel communication ag, Prinzenallee 11, 40549 Düsseldorf
(3) Der Wechsel der Unterauftragnehmers ist zulässig, soweit der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber in einer angemessenen Zeit, die 14 Tage nicht unterschreiten darf, vorab schriftlich oder in Textform anzeigt und der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und eine vertragliche Vereinbarung oder eines anderen Rechtsinstruments nach dem Unionsrecht nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.
(4) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Die Einhaltung und Umsetzung der technisch-organisatorischen Maßnahmen beim Unterauftragnehmer wird unter Berücksichtigung des Risikos beim Unterauftragnehmer vorab der Verarbeitung personenbezogener Daten und sodann regelmäßig durch den Auftragnehmer kontrolliert. Der Auftragnehmer stellt dem Auftraggeber die Kontrollergebnisse auf Anfrage zur Verfügung. Der Auftragnehmer stellt ferner sicher, dass der Auftraggeber seine Rechte nach diesen AGB (insbesondere seine Kontrollrechte) auch direkt gegenüber den Unterauftragnehmern wahrnehmen kann.
(5) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
7. Internationale Datentransfers
(1) Jede Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation bedarf der Einhaltung der Vorgaben zur Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DS-GVO. Der Auftraggeber gestattet eine Datenübermittlung in ein Drittland.
(2) Soweit der Auftraggeber eine Datenübermittlung an Dritte in ein Drittland anweist, ist er für die Einhaltung von Kapitel V der DS-GVO verantwortlich.
8. Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser AGB durch den Auftragnehmer in dessen Geschäftsbetrieb während der üblichen Geschäftszeiten zu überzeugen.
(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(3) Der Nachweis der technisch-organisatorischen Maßnahmen zur Einhaltung der besonderen Anforderungen des Datenschutzes allgemein sowie solche, die den Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO; die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO; aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
9. Löschung und Rückgabe von personenbezogenen Daten
(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(2) Nach Abschluss der vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
10. Technische und Organisatorische Maßnahmen des Auftragnehmers
10.1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zutrittskontrolle: Unbefugten wird von dem Auftragsverarbeiter der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt. Folgende Maßnahmen verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungsanlagen haben:
- Festlegung von Sicherheitsbereichen
- Realisierung eines wirksamen Zutrittsschutzes, Festlegung zutrittsberechtigter Personen
- Verwaltung und Dokumentation von personengebundenen Zutrittsberechtigungen über den gesamten Lebenszyklus
- Begleitung von Besuchern und Fremdpersonal
- Überwachung der Räume außerhalb der Schließzeiten, Protokollierung des Zutritts
Zugangskontrolle: Unbefugten wird von dem Auftragsverarbeiter die unbefugte Nutzung von Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt. Folgende Maßnahmen verhindern, dass unbefugte Dritte Zugang zu Datenverarbeitungsanlagen haben:
- Zugangsschutz (Authentisierung)
- Einfache Authentisierung der Mitarbeiter (per Benutzername/Passwort) bei hohem Schutzniveau
- Gesicherte Übertragung von Authentisierungsgeheimnissen (Credentials) im Netzwerk, Sperrung bei Fehlversuchen/Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen
- Verbot Speicherfunktion für Passwörter und/oder Formulareingaben
- Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen
- Protokollierung des Zugangs, Automatische Zugangssperre, Manuelle Zugangssperre
Zugriffskontrolle: Der Auftragsverarbeiter gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Folgende Maßnahmen stellen sicher, dass unbefugte Dritte keinen Zugriff auf Daten haben:
- Erstellen eines Berechtigungskonzepts
- Umsetzen von Zugriffsbeschränkungen
- Vergabe minimaler Berechtigungen
- Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen
- Vermeidung der Konzentration von Funktionen
- Protokollierung des Datenzugriffs
Trennungskontrolle: Der Auftragsverarbeiter gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten in seinen Systemen getrennt verarbeitet werden können. Folgende Maßnahmen stellen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
- Speicherung der Datensätze in physikalisch getrennten Datenbanken
- Verarbeitung auf mindestens logisch getrennten Systemen
- Zugriffsberechtigungen nach funktioneller Zuständigkeit
- Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen
Pseudonymisierung (Art 32 Abs. 1 lit a DSGVO): Die Verarbeitung personenbezogener Daten finden in einer Weise statt, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.
10.2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
Weitergabekontrolle: Ziel der Weitergabekontrolle ist es, zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Es existieren folgende Maßnahmen zur Weitergabekontrolle:
- Protokollierungen jeder Übermittlung oder einer repräsentativen Auswahl
- Rechtmäßigkeit der Weitergabe ins Ausland
- Sichere Datenübertragung zwischen Server und Client, Sicherung der Übertragung im Backend, Sicherung der Übertragung zu externen Systemen, Risikominimierung durch Netzseparierung
- Implementation von Sicherheitsgateways an den Netzübergabepunkten
- Beschreibung aller Schnittstellen und der übermittelten personenbezogenen Datenfelder, Sichere, verschlüsselte Ablage von Daten
- Verhinderung von Zugriffen auf lokale Zwischenspeicher
- Sichere Datenträgeraufbewahrung, Prozess zur Sammlung und Entsorgung
- Datenschutzgerechtes Lösch-/ Zerstörungsverfahren
Eingabekontrolle: Ziel der Eingabekontrolle ist es, mit Hilfe geeigneter Maßnahmen sicherzustellen, dass nachträglich die näheren Umstände der Dateneingabe überprüft und festgestellt werden können. Es existieren folgende Maßnahmen zur Eingabekontrolle:
- Dokumentation der Eingabeberechtigungen
10.3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Verfügbarkeitskontrolle und Belastbarkeitskontrolle: Der Auftragsverarbeiter gewährleistet, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Folgende Maßnahmen stellen sicher, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
- Backup-Konzept, Aufbewahrung der Backups
- Notfallplan, Prüfung der Notfalleinrichtungen
Rasche Wiederherstellbarkeit: Der Auftragsverarbeiter gewährleistet, dass die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall durch regelmäßige Datensicherungen (Backups) rasch wiederherzustellen. Um diese Anforderung der Datensicherheit zu erfüllen, hat der Auftragsverarbeiter ein Notfallmanagement erstellt und testet die Wiederherstellbarkeit der Daten regelmäßig. Dazu gehört insbesondere die regelmäßige Prüfung, dass die erstellten Datensicherungen zur Wiederherstellung verlorener Daten genutzt werden können (Notfallplan).
10.4. Weisungskontrolle und Auftragskontrolle
Der Auftragsverarbeiter gewährleistet durch folgende eingerichtete Maßnahmen die regelmäßige Kontrolle und den Stand seiner technischen und organisatorischen Maßnahmen entsprechend der Vorgaben der DSGVO:
- Protokollierung der Auftragsausführung durch den Auftragnehmer
- Beschränkung der Auftragsausführung
10.5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
- Der Auftragsverarbeiter überprüft regelmäßig, ob die hier dargelegtem Maßnahmen ihre Zwecke noch erfüllen, oder ob der technische Fortschritt oder neu entstandene Risiken neue oder abgeänderte Maßnahmen erfordern.
- Der Auftragsverarbeiter stellt sicher, dass nur Daten, die für den jeweiligen bestimmten Verarbeitungszweck unbedingt erforderlich sind, verarbeitet werden.
- Der Auftragsverarbeiter gewährleistet, dass personenbezogene Daten, nur entsprechend den Weisungen des Auftraggebers und nach Maßgabe der geltenden datenschutzrechtlichen Bestimmungen verarbeitet werden.