zwischen dem GRAVA connect-Benutzer als Auftraggeber,
Auftraggeber im Sinne dieses Vertrages ist die juristische oder natürliche Person, die ein Benutzerkonto auf der Plattform grava.softtech.de erstellt hat und dabei als verantwortliche Stelle gemäß Art. 4 Nr. 7 DGVO auftritt. Die im Benutzerkonto hinterlegten Unternehmens- und Kontaktdaten gelten als verbindlich und werden Bestandteil dieses Vertrages,
und
als Auftragnehmer
SOFTTECH GmbH
Maximilianstraße 39
67433 Neustadt/Weinstraße
Versionierung Version 1.1 vom 06.06.2025
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
(2) Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 zu diesem Vertrag festgelegt.
(1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer. Dem Auftragnehmer steht nach dem Abschnitt Allgemeine Pflichten des Auftragnehmers (5) das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.
(2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte im Zusammenhang mit dieser Verarbeitung von Daten im Auftrag gegenüber dem Auftragnehmer geltend machen.
(3) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen müssen in Textform (z.B. E-Mail) erfolgen.
(4) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.
(5) Der Auftraggeber kann weisungsberechtigte Personen benennen. Sofern weisungsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftraggeber ändern, wird der Auftraggeber dies dem Auftragnehmer in Textform mitteilen.
(6) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt.
(7) Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden gesetzlichen Meldepflicht besteht, ist der Auftraggeber für deren Einhaltung verantwortlich.
(8) Der Auftraggeber ist berechtigt, die Arbeiten des Auftragnehmers durch eigenes Personal oder beauftragte Dritte zu überwachen.
(9) Der Auftraggeber ist berechtigt, sich vor Beginn und regelmäßig während der Laufzeit des Vertrags in angemessenem Umfang von der Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen sowie der Datenschutzpflichten zu überzeugen. Dies kann erfolgen durch:
(10) Der Auftraggeber ist berechtigt, bei Subunternehmern des Auftragnehmers im erforderlichen Umfang eigene Kontrollen durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragnehmer erklärt sich bereit, diese Kontrollen in zumutbarem Umfang zu unterstützen.
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und auf dokumentierte Weisung des Auftraggebers, sofern keine gesetzliche Verpflichtung zur anderweitigen Verarbeitung besteht. In einem solchen Fall wird der Auftraggeber – sofern rechtlich zulässig – vorab informiert.
(2) Der Auftragnehmer kann dem Auftraggeber die Person(en) benennen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind. Sofern weisungsempfangsberechtigte Personen benannt werden sollen, werden diese in der Anlage 1 benannt. Für den Fall, dass sich die weisungsempfangsberechtigten Personen beim Auftragnehmer ändern, wird der Auftragnehmer dies dem Auftraggeber in Textform mitteilen.
(3) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten ausschließlich weisungsgemäß, nicht für eigene Zwecke und erstellt keine Kopien ohne Wissen des Auftraggebers.
(4) Der Auftragnehmer hat personenbezogene Daten auf Weisung des Auftraggebers zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, sofern keine berechtigten Interessen des Auftragnehmers entgegenstehen.
(5) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltende Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.
(6) Der Auftragnehmer darf betroffenen Personen oder Dritten Auskünfte über personenbezogene Daten nur auf Weisung des Auftraggebers erteilen.
(7) Der Auftragnehmer hat personenbezogene Daten nur dann zu berichtigen, sperren oder löschen, wenn dies zur Sicherstellung eines fehlerfreien IT-Betriebs erforderlich ist (z. B. im Rahmen von Support oder Wartung) und eine entsprechende Weisung des Auftraggebers vorliegt. Zugriff auf Speicherbereiche mit personenbezogenen Daten erfolgt nur auf Grundlage entsprechender Vereinbarungen (z. B. Fernwartung oder Vor-Ort-Termin).
(8) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb angemessener Frist die zur Durchführung einer Kontrolle erforderlichen Auskünfte zu erteilen. Der Umfang der Auskunftspflicht beschränkt sich auf Informationen, die im Zusammenhang mit der Auftragsverarbeitung stehen und beim Auftragnehmer verfügbar sind.
(9) Der Auftragnehmer unterstützt den Auftraggeber angemessen bei:
(10) Der Auftragnehmer stellt sicher, dass alle Personen, die von ihm mit der Verarbeitung personenbezogener Daten betraut sind, vor Aufnahme ihrer Tätigkeit zur Vertraulichkeit verpflichtet wurden und über die datenschutzrechtlichen Anforderungen, insbesondere nach Art. 29 DS-GVO, informiert sind. Diese Verpflichtung besteht auch nach Beendigung der Tätigkeit fort. Die Einhaltung wird regelmäßig kontrolliert.
(11) Der Auftragnehmer verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen. Eine Verarbeitung der personenbezogenen Daten in einem Drittland bedarf der vorherigen Zustimmung des Auftraggebers, die zumindest in Textform (z.B. E-Mail) erfolgen muss. Eine Zustimmung des Auftraggebers kommt nur dann in Betracht, wenn gewährleistet ist, dass die jeweils nach den Art. 44 – 49 DSGVO einzuhaltenden Rechtsvorschriften eingehalten werden, um ein angemessenes Schutzniveau für den Schutz der personenbezogenen Daten zu gewährleisten.
(12) Der Auftragnehmer wird die Daten, die er im Auftrag für den Auftraggeber verarbeitet, getrennt von anderen Daten verarbeiten. Eine physische Trennung ist nicht zwingend erforderlich.
(1) Der Auftragnehmer bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat. Der Auftragnehmer trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Auftragnehmer wird dem Auftraggeber den Namen und die Kontaktdaten seines Datenschutzbeauftragten gesondert in Textform mitteilen.
(2) Die Pflicht zur Benennung eines Datenschutzbeauftragten nach Absatz 1 kann im Ermessen des Auftraggebers entfallen, wenn der Auftragnehmer nachweisen kann, dass er gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu benennen und der Auftragnehmer nachweisen kann, dass betriebliche Regelungen bestehen, die eine Verarbeitung personenbezogener Daten unter Einhaltung der gesetzlichen Vorschriften, der Regelungen dieses Vertrages sowie etwaiger weiterer Weisungen des Auftraggebers gewährleisten.
(1) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Dies gilt insbesondere im Hinblick auf etwaige Melde- und Benachrichtigungspflichten des Auftraggebers gemäß Art. 33 und 34 DS-GVO.
(2) Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten nach Art. 33 und 34 DS-GVO im erforderlichen Umfang. Meldungen im Namen des Auftraggebers dürfen durch den Auftragnehmer nur auf ausdrückliche Weisung erfolgen.
(3) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.
(1) Der Auftragnehmer darf seinen Beschäftigten, die mit der Verarbeitung von personenbezogenen Daten für den Auftraggeber beauftragt sind, die Verarbeitung von personenbezogenen Daten an mobilen Arbeitsplätzen außerhalb der Geschäftsräume des Auftragnehmers erlauben.
(2) Der Auftragnehmer hat sicherzustellen, dass die Einhaltung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen auch bei der Nutzung von mobilen Arbeitsplätzen der Beschäftigten des Auftragnehmers gewährleistet ist. Abweichungen von einzelnen vertraglich vereinbarten technischen und organisatorischen Maßnahmen sind vorab mit dem Auftraggeber abzustimmen und von diesem in Textform zu genehmigen.
(3) Der Auftragnehmer trägt insbesondere Sorge dafür, dass bei einer Verarbeitung von personenbezogenen Daten an mobilen Arbeitsplätzen die Speicherorte so konfiguriert werden, dass eine lokale Speicherung von Daten auf IT-Systemen ausgeschlossen ist. Sollte dies nicht möglich sein, hat der Auftragnehmer Sorge dafür zu tragen, dass die lokale Speicherung ausschließlich verschlüsselt erfolgt und andere am Ort des jeweiligen mobilen Arbeitsplatzes befindliche Personen keinen Zugriff auf diese Daten erhalten.
(4) Der Auftragnehmer ist verpflichtet, Sorge dafür zu tragen, dass eine wirksame Kontrolle der Verarbeitung personenbezogener Daten im Auftrag an mobilen Arbeitsplätzen durch den Auftraggeber möglich ist.
(5) Sofern auch bei Unterauftragnehmern Beschäftigte an mobilen Arbeitsplätzen eingesetzt werden sollen, gelten die Regelungen der Absätze 1 bis 4 entsprechend.
(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
(2) Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
(3) Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den Auftraggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
(4) Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören.
(5) Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Auftraggeber ist über entsprechende geplante Maßnahmen vom Auftragnehmer zu informieren.
(6) Die Parteien sind sich darüber einig, dass die Kontrollmaßnahmen bei einer Verarbeitung von personenbezogenen Daten an mobilen Arbeitsplätzen zur Wahrung der Persönlichkeitsrechte von weiteren Personen an diesen mobilen Arbeitsplätzen primär durch eine Kontrolle der Sicherstellung der vom Auftragnehmer nach Abs. 2 und Abs. 3 zu treffenden Maßnahmen erfolgt. Anlassbezogen ist dem Auftraggeber auch eine Kontrolle des mobilen Arbeitsplatzes von Beschäftigten durch den Auftragnehmer zu ermöglichen.
(1) Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist nur mit Zustimmung des Auftraggebers in Textform zulässig. Der Auftragnehmer wird alle bereits zum Vertragsschluss bestehenden Unterauftragsverhältnisse in der Anlage 2 zu diesem Vertrag angeben.
(2) Vor der Hinzuziehung oder dem Austausch von Subunternehmern informiert der Auftragnehmer den Auftraggeber rechtzeitig. Der Auftraggeber kann der Änderung aus wichtigem Grund innerhalb von 14 Kalendertagen nach Zugang der Information widersprechen.
(3) Erfolgt innerhalb der Frist kein Widerspruch, gilt die Zustimmung als erteilt. Liegt ein wichtiger datenschutzrechtlicher Grund für den Widerspruch vor und kann keine einvernehmliche Lösung gefunden werden, steht dem Auftraggeber ein Sonderkündigungsrecht zu.
(4) Der Auftragnehmer hat sicherzustellen, dass der Subunternehmer unter besonderer Berücksichtigung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DS-GVO sorgfältig ausgewählt wird. Die relevanten Nachweise über diese Prüfung sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
(5) Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten.
(6) Der Auftragnehmer hat mit dem Unterauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Darüber hinaus hat der Auftragnehmer dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und Auftragnehmer festgelegt sind. Dem Auftraggeber ist der Auftragsverarbeitungsvertrag auf Anfrage in Kopie zu übermitteln.
(7) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragnehmer ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betreffen, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.
(8) Kommt ein Unterauftragnehmer seinen datenschutzrechtlichen Pflichten im Zusammenhang mit der Verarbeitung von personenbezogenen Daten des Auftraggebers nicht nach, so haftet der Auftragnehmer nach Art. 28 Abs. 4 Satz 2 DSGVO gegenüber dem Auftraggeber für die Einhaltung der Pflichten des betroffenen Unterauftragnehmers.
(9) Bevor ein Subunternehmer Zugriff auf personenbezogene Daten erhält, muss dieser seine Mitarbeitenden zur Vertraulichkeit verpflichten und sicherstellen, dass diese ausschließlich auf Weisung handeln
(10) Die Beauftragung von Subunternehmern mit Sitz in einem Drittstaat darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der EU-Kommission, Standardvertragsklauseln, genehmigte Verhaltensregeln).
(1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln mitzuteilen.
(2) Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer sichert ferner zu, dass er seine Beschäftigten mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht und zur Vertraulichkeit verpflichtet hat. Der Auftragnehmer sichert ferner zu, dass er insbesondere die bei der Durchführung der Arbeiten tätigen Beschäftigten zur Vertraulichkeit verpflichtet hat und diese über die Weisungen des Auftraggebers informiert hat.
(3) Die Verpflichtung der Beschäftigten nach Absatz 2 sind dem Auftraggeber auf Anfrage nachzuweisen.
(1) Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Der Auftragnehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.
(2) Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten - insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung - durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.
(3) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber beim Auftragnehmer entstehen, bleiben unberührt.
(4) Für den Fall, dass ein Betroffener seine Rechte nach den Art. 12-23 DSGVO beim Auftragnehmer geltend macht, obwohl dies offensichtlich eine Verarbeitung personenbezogener Daten betrifft, für die der Auftraggeber verantwortlich ist, ist der Auftragnehmer berechtigt, dem Betroffenen mitzuteilen, dass der Auftraggeber der Verantwortliche für die Datenverarbeitung ist. Der Auftragnehmer darf dem Betroffenen in diesem Zusammenhang die Kontaktdaten des Verantwortlichen mitteilen.
(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
Etwaige Regelungen zu einer Vergütung von Leistungen sind zwischen den Parteien gesondert zu vereinbaren.
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 3 zu diesem Vertrag beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.
(3) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird der Auftragnehmer den Auftraggeber informieren.
(1) Der Vertrag beginnt mit Unterzeichnung und wird auf unbestimmte Zeit geschlossen.
(2) Er ist mit einer Frist von drei Monaten zum Quartalsende kündbar.
(3) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.
(1) Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Weise zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt. Für Datenträger gilt, dass diese im Falle einer vom Auftraggeber gewünschten Löschung zu vernichten sind, wobei mindestens die Sicherheitsstufe 3 der DIN 66399 einzuhalten ist; die Vernichtung ist dem Auftraggeber unter Hinweis auf die Sicherheitsstufe gemäß DIN 66399 nachzuweisen.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragnehmers erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch den Auftraggeber angekündigt werden.
(3) Der Auftragnehmer darf personenbezogene Daten, die im Zusammenhang mit dem Auftrag verarbeitet worden sind, über die Beendigung des Vertrages hinaus speichern, wenn und soweit den Auftragnehmer eine gesetzliche Pflicht zur Aufbewahrung trifft. In diesen Fällen dürfen die Daten nur für Zwecke der Umsetzung der jeweiligen gesetzlichen Aufbewahrungspflichten verarbeitet werden. Nach Ablauf der Aufbewahrungspflicht sind die Daten unverzüglich zu löschen.
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.
Mit Inkrafttreten dieses Vertrages tritt etwaig zuvor zwischen den Parteien geschlossener Auftragsverarbeitungsvertrag außer Kraft. Der vorliegende Vertrag ersetzt sämtliche früheren Vereinbarungen zur Auftragsverarbeitung zwischen den Parteien in vollem Umfang.
(1) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
(2) Für Nebenabreden ist die Schriftform erforderlich.
(3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.
Dieser Vertrag wird elektronisch geschlossen und bedarf keiner handschriftlichen Unterschrift.
Der Auftrag des Auftraggebers an den Auftragnehmer umfasst folgende Arbeiten und/oder Leistungen:
Der Anbieter stellt dem Kunden eine über das Internet erreichbare Online-Software zur digitalen Aufmaß- und Mengenermittlung zur Verfügung.
Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:
Identitäts- und Kontaktdaten
Name, Nachname
E-Mail-Adresse
Benutzername
Rolle im Account
Zugangsdaten
Passwort (verschlüsselt)
Accountname / Firmenkennung (z. B. URL)
Account- und Nutzungsinformationen
Registrierte Benutzer im Firmenaccount
Status (aktiv/inaktiv), letzte Aktivität
Erstellungsdatum, Ablaufdatum
Gebuchte Edition, Benutzerkontingent
Speicherverbrauch, Systemstatus
Zahlungs- und Rechnungsdaten
Zahlungsmethode und -informationen
Kontoinhaber, IBAN, BIC
Rechnungsadresse, Rechnungsempfänger
Zahlungsstatus (z. B. Zahlungsverzug)
Sonstiges
Außerdem können in den Projektzeichnungen personenbezogene Daten enthalten sein, wie z.B. Bauherrr inkl. Adresse, Telefonnummer., die vom Mandanten bzw. seinen Mitarbeitenden eingegeben wurden.
Kreis der von der Datenverarbeitung betroffenen Personen:
Auftraggeber, Mitarbeiter des Auftraggebers, Kunden des Auftraggebers
Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“).
Dabei handelt es sich um nachfolgende(s) Unternehmen:
TWL-KOM GmbH
Donnersbergweg 4
67059 Ludwigshafen
Bereitstellung eines Managed Cloud Services, der die Online-Software GRAVAconnect der SOFTTECH GmbH über das Internet zugänglich macht. Bereitstellung eines Admin-Zugangs. Bereitstellung von Sicherungen.
Nachstehend erfolgt eine Aufstellung und Beschreibung der beim Auftragnehmer realisierten Maßnahmen zur Einhaltung der Datensicherheitsvorschriften.
Im Unternehmen bestehen interne Richtlinien zur Informationssicherheit, die regelmäßig überprüft und bei Bedarf angepasst werden. Zuständigkeiten für Datenschutz und IT-Sicherheit sind klar definiert und dokumentiert. Kritische Aufgaben sind funktional oder technisch voneinander getrennt. Die Unternehmensleitung trägt die Gesamtverantwortung für Informationssicherheit und Datenschutz.
Ein strukturierter Prozess für die Kommunikation mit Aufsichtsbehörden ist vorhanden. Bei sicherheitsrelevanten Themen erfolgt eine Einbindung relevanter Partner. Öffentliche Sicherheitswarnungen (z. B. vom BSI) werden beobachtet und bei Relevanz umgesetzt. Informationssicherheit ist Bestandteil der Projektplanung und - durchführung.
Es wird ein Verzeichnis über verarbeitete personenbezogene Daten und eingesetzte Systeme geführt. Der Zugriff auf Informationen ist ausschließlich im Rahmen dienstlicher Aufgaben zulässig. Beim Austritt von Mitarbeitenden oder externen Partnern erfolgt die Rückgabe aller überlassenen Arbeitsmittel, Datenträger und Zugangsdaten. Personenbezogene Daten werden als besonders schützenswert behandelt, entsprechend gekennzeichnet und gemäß Schutzbedarf verarbeitet.
Vertrauliche Informationen sind gekennzeichnet, insbesondere bei manueller Verarbeitung oder innerhalb von Systemen. Die Übertragung personenbezogener Daten erfolgt ausschließlich verschlüsselt oder über gesicherte Kanäle. Der Zugriff auf Daten richtet sich nach dem „Need-to-know“-Prinzip und wird regelmäßig überprüft. Benutzerkonten sind individuell zugeordnet; administrative Zugänge besonders abgesichert. Passwörter und Zugangsdaten unterliegen definierten Anforderungen und sind vertraulich zu behandeln. Zugriffsrechte werden rollenbasiert vergeben und bei Austritt oder Rollenwechsel unverzüglich angepasst oder entzogen.
Mit externen Dienstleistern bestehen vertragliche Vereinbarungen, die Mindestanforderungen an Datenschutz und Informationssicherheit sicherstellen. Subunternehmerverträge enthalten klare Regelungen zur Vertraulichkeit, Datenverarbeitung und Zutrittskontrolle. Die eingesetzten IT- und Cloud-Dienstleister werden hinsichtlich ihrer Sicherheitsmaßnahmen überprüft. Änderungen an externen Dienstleistungen werden dokumentiert und unter datenschutzrechtlichen Gesichtspunkten bewertet. Bei der Nutzung von Cloud-Diensten wird auf Anbieter mit Sitz oder Serverstandort in der EU zurückgegriffen.
Es bestehen Prozesse zur Erkennung, Bewertung und Reaktion auf sicherheitsrelevante Vorfälle. Diese werden durch benannte Ansprechpersonen bearbeitet, dokumentiert und bewertet. Erkenntnisse aus Vorfällen fließen in die Verbesserung der Sicherheitsmaßnahmen ein. Bei schwerwiegenden Vorfällen werden relevante Daten zur internen Nachverfolgung oder rechtlichen Klärung dokumentiert.
Für den Fall von Systemausfällen bestehen Verfahren zur schnellen Wiederherstellung betroffener Prozesse. IT-Systeme sind so konzipiert, dass der Geschäftsbetrieb bei Ausfällen kurzfristig wiederaufgenommen werden kann. Die Einhaltung gesetzlicher, vertraglicher und regulatorischer Anforderungen wird regelmäßig geprüft. Geistiges Eigentum, wie z. B. Quellcode, Konfigurationen oder Dokumentationen, wird durch Zugriffsbeschränkungen und Sicherungskopien geschützt. Verarbeitungsprotokolle und Ergebnisse werden vor unbefugter Änderung oder Löschung gesichert.
Die Verarbeitung personenbezogener Daten erfolgt unter Beachtung der Grundsätze aus Art. 5 und 32 DSGVO. Die Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen wird regelmäßig intern überprüft. Mitarbeitende sind zur Einhaltung der internen Sicherheits- und Datenschutzrichtlinien verpflichtet; Verstöße werden entsprechend nachverfolgt. Betriebsabläufe im Bereich der Datenverarbeitung und Systemadministration sind dokumentiert und nachvollziehbar.
Bei der Auswahl von Mitarbeitenden wird auf deren Zuverlässigkeit geachtet, insbesondere wenn diese Zugang zu personenbezogenen Daten oder IT-Systemen erhalten. Arbeitsverträge enthalten Vertraulichkeitsklauseln sowie Regelungen zum Datenschutz. Alle mit der Verarbeitung betrauten Personen werden vor Tätigkeitsaufnahme auf die Vertraulichkeit verpflichtet.
Mitarbeitende werden regelmäßig zu Informationssicherheit und Datenschutz geschult. Neue Mitarbeitende erhalten eine entsprechende Einweisung vor Beginn ihrer Tätigkeit. Das Sicherheitsbewusstsein wird durch wiederkehrende Sensibilisierungsmaßnahmen gestärkt. Bei Verstößen gegen geltende Sicherheits- oder Datenschutzvorgaben sind disziplinarische Maßnahmen vorgesehen.
Bei Beendigung oder Änderung des Beschäftigungsverhältnisses werden alle Zugänge, Berechtigungen und Arbeitsmittel geprüft und angepasst oder entzogen. Vertraulichkeitsverpflichtungen gelten auch über das Ende der Beschäftigung hinaus. Für Tätigkeiten im Homeoffice oder bei mobiler Arbeit bestehen verbindliche Regelungen zur Nutzung und Sicherung der eingesetzten IT-Systeme.
Mitarbeitende sind verpflichtet, sicherheitsrelevante Ereignisse oder Anhaltspunkte für Datenschutzverstöße unverzüglich an die zuständigen internen Stellen zu melden. Hierzu stehen definierte Meldewege zur Verfügung.
Der physische Zugang zu den Geschäftsräumen ist durch bauliche Maßnahmen und Zutrittskontrollen geschützt. Büros, Räume und Einrichtungen sind bei Abwesenheit verschlossen, unbefugter Zutritt wird unterbunden. Zutrittsrechte sind auf befugte Personen beschränkt. Serverräume und besonders sensible Bereiche sind zusätzlich gesichert.
Eine physische Sicherheitsüberwachung erfolgt durch organisatorische Maßnahmen wie Schlüsselmanagement, Abschließpflichten und Besucherdokumentation. Es bestehen Vorkehrungen zum Schutz vor Umwelteinflüssen wie Brand, Wasser oder Stromausfall. Arbeitsplätze sind so gestaltet, dass ein Mitlesen oder unbefugter Zugriff auf Informationen vermieden wird. Mitarbeitende sind angehalten, Arbeitsplätze aufgeräumt zu halten und Bildschirmsperren bei Abwesenheit zu aktivieren.
IT-Geräte und Betriebsmittel sind gegen Diebstahl und unbefugte Nutzung geschützt. Mobile Geräte und Datenträger werden auch außerhalb der Geschäftsräume gesichert aufbewahrt. Wechselmedien wie USB-Sticks oder externe Festplatten werden nur mit Freigabe eingesetzt und verschlüsselt, sofern personenbezogene Daten verarbeitet werden.
Die Energieversorgung sowie Netzwerk- und Datenverkabelung sind vor physischen Beschädigungen geschützt.
IT-Systeme und Geräte werden regelmäßig gewartet, um deren Sicherheit und Funktionsfähigkeit zu gewährleisten. Ausgemusterte Geräte und Datenträger werden vor Wiederverwendung oder Entsorgung datenschutzgerecht gelöscht oder vernichtet.
Benutzerendgeräte sind durch Betriebssystemeigene Schutzfunktionen, regelmäßige Updates und Virenschutz gesichert. Der Zugriff auf Systeme und Daten erfolgt über rollenbasierte Berechtigungen. Administrationsrechte sind auf das erforderliche Maß beschränkt und besonders abgesichert. Der Zugriff auf Quellcode ist ausschließlich berechtigten Personen vorbehalten und erfolgt über kontrollierte Repositories.
Zugänge zu Systemen und Anwendungen sind durch sichere Authentifizierungsverfahren (z. B. Passwort mit Mindestanforderungen, Zwei-Faktor-Authentifizierung bei Bedarf) geschützt. Die Kapazität von Systemen wird überwacht, um Engpässe oder Ausfälle zu vermeiden. Schutzmechanismen gegen Schadsoftware (z. B. Antivirus, E-Mail-Filter, restriktive Ausführungsrechte) sind aktiv.
Bekannte technische Schwachstellen werden über Sicherheitsquellen beobachtet und bei Bedarf gepatcht. Die Konfiguration von Systemen folgt dokumentierten Standards und wird regelmäßig überprüft. Nicht mehr benötigte Daten werden gemäß Löschkonzept entfernt. Soweit erforderlich, erfolgt eine Pseudonymisierung oder Maskierung personenbezogener Daten.
Maßnahmen zur Verhinderung unbeabsichtigter Datenlecks (z. B. durch Zugriffsbeschränkungen, eingeschränkten Export von Daten, eingeschränkte Nutzung externer Medien) sind eingerichtet. Relevante Daten werden regelmäßig gesichert und geprüft. Für kritische Systeme besteht eine technische Redundanz zur Wiederherstellung im Störungsfall.
Verarbeitungsvorgänge werden protokolliert, um die Nachvollziehbarkeit zu gewährleisten. Aktivitäten in IT-Systemen unterliegen einer risikobasierten Überwachung. Die Zeitsynchronisation erfolgt über zentrale Zeitserver. Der Einsatz von System- und Administrationswerkzeugen mit erweiterten Rechten ist kontrolliert.
Die Installation von Software auf produktiven Systemen ist nur durch autorisierte Personen möglich. Netzwerke sind durch Firewalls, Zugriffskontrollen und segmentierte Strukturen geschützt. Eingehende Verbindungen und Dienste unterliegen sicherheitstechnischer Bewertung. Internetzugriffe sind durch Webfilter beschränkt.
Kryptographische Verfahren werden zur Sicherung sensibler Informationen bei Übertragung und Speicherung eingesetzt. Die Entwicklung eigener Software berücksichtigt Sicherheitsaspekte über den gesamten Lebenszyklus hinweg. Dazu gehören sichere Architekturprinzipien, sichere Programmierstandards sowie Prüfung und Abnahme sicherheitsrelevanter Funktionen vor dem produktiven Einsatz.
Entwicklung, Test und Betrieb sind organisatorisch und technisch voneinander getrennt. Änderungen an produktiven Systemen erfolgen nach einem geregelten Änderungsprozess. Prüfungen und Audits erfolgen auf Basis kontrollierter Prüfprotokolle. Während solcher Maßnahmen wird der Schutz der Systeme und gespeicherter Informationen gewährleistet.
Abonnieren Sie unseren Newsletter
Maximilianstraße 39
67433 Neustadt/Weinstraße
Entdecken & Lernen
Maximilianstraße 39
67433 Neustadt/Weinstraße
Entdecken & Lernen
Login
