Auftragsverarbeitungsvereinbarung (AVV) BOS-ID

 

gem. Art. 28 Datenschutzgrundverordnung (DSGVO) zwischen ihnen

[im Folgenden „Verantwortlicher“ genannt]

und

MP-BOS GmbH – Technologie-Ring 1 – 76709 Kronau (Deutschland)

[im Folgenden „Auftragsverarbeiter“ genannt]


Kunden nehmen zur Kenntnis und akzeptieren, dass sie durch Nutzung des BOS-ID-Systems die MP-BOS GmbH beauftragen, personenbezogene Daten als “Auftragsverarbeiter” gem. Europäischen Datenschutzbestimmungen zu verarbeiten. Die Bedingungen des Auftrags sind in dieser Auftragsverarbeitungsvereinbarung geregelt.

 

1. Gegenstand und Vertragsdauer

Der Auftragsverarbeiter stellt dem Verantwortlichen das Webportal BOS-ID und die BOS-ID App (BOS-ID-System genannt) zur Verfügung. Im Rahmen der Nutzung verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO. Gegenstand der Verarbeitung ist die Bereitstellung technischer und organisatorischer Mittel zur Verarbeitung personenbezogener Daten im Rahmen der Portal- und App-Nutzung. Die Vertragsdauer dieser AVV entspricht der Nutzungsdauer des BOS-ID-Systems.

 

2. Art und Zweck der Verarbeitung

a) Art der Verarbeitung

Die personenbezogenen Daten werden durch den Auftragsverarbeiter im Rahmen folgender Verarbeitungsvorgänge verarbeitet:

 

  • Erhebung personenbezogener Daten durch Nutzerregistrierung oder Datenimporte
  • Speicherung und Verwaltung in einer mandantenfähigen Datenbankstruktur
  • Organisation und Strukturierung der Daten in Benutzerkonten, Rollen und Berechtigungsgruppen
  • Abruf und Anzeigen der Daten im Rahmen von Portalzugriffen und Schnittstellenabfragen
  • Übermittlung von Daten an berechtigte Dritte (z. B. per E-Mail oder über definierte API-Schnittstellen)
  • Löschung oder Anonymisierung auf Weisung oder im Rahmen automatisierter Löschkonzepte
  • Protokollierung aller relevanten Verarbeitungsvorgänge gemäß Anforderungen an Nachvollziehbarkeit und Revisionssicherheit

 

b) Zwecke der Verarbeitung

Die Datenverarbeitung dient folgenden konkreten Zwecken:

 

  • Betrieb des BOS-ID-Systems zur digitalen Kommunikation, Verwaltung und Zusammenarbeit für registrierte Nutzer
  • Authentifizierung und Autorisierung von Nutzern durch Anmeldeprozesse, Rollen- und Rechtemanagement
  • Bereitstellung personalisierter Funktionen (z. B. Nutzer-Dashboards, Benachrichtigungen, Dokumentenaustausch)
  • Protokollierung und Nachvollziehbarkeit von Änderungen, Zugriffen und Aktivitäten zur Erfüllung datenschutzrechtlicher Rechenschaftspflichten
  • Sicherstellung der technischen Verfügbarkeit und Systemsicherheit, einschließlich Backup, Monitoring und Fehlerbehandlung
  • Unterstützung behördlicher, organisatorischer oder gesetzlich geregelter Aufgaben, sofern Teil des vom Auftraggeber definierten Einsatzzwecks

 

3. Kategorie betroffener Personen

  •         Registrierte Nutzer des Portals: Personen, die sich im Portal BOS-ID registrieren und anmelden (z. B. Mitarbeitende von Behörden, Organisationen und Firmen)
  •       Vertreter von Organisationen/Kunden/Firmen: Ansprechpartner oder Administratoren im Namen von Unternehmen, Behörden oder Organisationen.
  •       Mitarbeitende des Verantwortlichen: Mitarbeitende, die das Portal BOS-ID administrieren.
  •       Endnutzer oder Dritte: Personen, deren personenbezogene Daten über das BOS-ID-System verwaltet werden.

 

4. Kategorie personenbezogener Daten

  •        Stammdaten (Ausweis-Nr., Anrede, Vorname, Geburtsdatum, Funktion, usw.), Kontakt- und Kommunikationsdaten
  •      Zahlungsdaten für die Rechnungsstellung
  •      Daten, die der Nutzer bei Nutzung des Portals angibt, einschließlich Unternehmensinformationen bzw. Organisationsinformationen und deren Benutzer
  •      Daten, die für die Zwecke des unternehmensinternen Datenschutzmanagements (Internal Privacy Management) benötigt werden
  •      Angaben über die Nutzung der Webseite von BOS-ID, wie z.B. Angaben zur Nutzung des Supports oder Analysedaten usw.
  •      Daten zu den Nutzern des Kunden, einschließlich Angaben über deren Interaktionen mit dem BOS-ID-System
  •      Nutzungsdaten des BOS-Systems (z.B. Logdaten, Login-Daten, Zeitstempel, IP-Adressen, usw.)

 

5. Weisungsgebundenheit

Verarbeitungstätigkeiten werden nur nach Weisung des Verantwortlichen durchgeführt. Derartige Weisungen sind in dieser AVV niedergelegt. Verarbeitungstätigkeiten nach dieser AVV finden innerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraumes (EWR) statt. Etwaige Datenübermittlungen außerhalb der EU oder des EWR finden ausschließlich unter Einhaltung der Bedingungen aus Art. 44 ff. DSGVO statt.

 

6. Technische und Organisatorische Maßnahmen

Der Auftragsverarbeiter hat technische und organisatorische Maßnahmen (Anlage 1) ergriffen, um sicherzustellen, dass die Verarbeitungstätigkeiten im Rahmen dieser AVV in Übereinstimmung mit den geltenden Datenschutzbestimmungen durchgeführt werden. Der Auftragsverarbeiter hat insbesondere Sicherheitsmaßnahmen ergriffen, um Schutzstandards zu gewährleisten, die den Risiken für die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme angemessen sind, wobei die Wahrscheinlichkeit von Datenverletzungen und die Schwere der daraus möglicherweise resultierenden Risiken für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden. Technische und organisatorische Maßnahmen sind stets zu überwachen und entsprechend dem technischen Fortschritt und der technischen Entwicklung zu aktualisieren, um die Datenschutzstandards aufrechtzuerhalten oder zu erhöhen.

 

7. Berichtigung, Einschränkung und Datenlöschung

Der Auftragsverarbeiter darf Daten, die in den Anwendungsbereich dieser Vereinbarung fallen, nicht berichtigen oder löschen oder deren Verarbeitung einschränken, es sei denn, er erhält vom Verantwortlichen eine entsprechende Anweisung. Wenden sich Betroffene an den Auftragsverarbeiter bezüglich Datenverarbeitungstätigkeiten nach dieser AVV, leitet der Auftragsverarbeiter diese Anfrage direkt an den für die Verarbeitung Verantwortlichen weiter.

 

8. Gewährleistung für Qualität und weitere Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter hat die Bestimmungen dieser AVV, einschlägige gesetzliche Vorschriften, insbesondere die sich aus Art. 28-33 DSGVO ergebenden, einzuhalten. Insbesondere stellt der Auftragsverarbeiter sicher, dass

  • Personen, die personenbezogene Daten verarbeiten, einer vertraglichen oder gesetzlichen Vertraulichkeitsverpflichtung unterliegen;
  • Sicherheitsmaßnahmen gemäß Art. 32 DSGVO ergriffen worden sind;
  • er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat. Der Auftragsverarbeiter trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Verantwortliche kann bei Fragen über die Mail-Adresse datenschutz@mpbos.de direkt Kontakt zum Datenschutzbeauftragten aufnehmen.
  • unter Berücksichtigung der Art der Verarbeitung, er den Verantwortlichen soweit wie möglich bei der Erfüllung seiner Verpflichtungen, Anträge von Betroffenen auf Wahrnehmung ihrer Rechte zu beantworten, durch geeignete technische und organisatorische Maßnahmen unterstützt;
  • er den Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß Artikel 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen unterstützt;
  • dem Verantwortlichen alle Informationen zur Verfügung gestellt werden, die erforderlich sind, um die Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen und Prüfungen, einschließlich Inspektionen, wie in Artikel 7 dieser Vereinbarung festgelegt, ermöglicht werden.
  • die Auftragsverarbeitung grundsätzlich innerhalb der EU oder des EWR erfolgt. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Verantwortlichen und unter den in Kapitel V der DSGVO enthaltenen Bedingungen, sowie bei Einhaltung der Bestimmungen dieser Vereinbarung erfolgen.

 

9. Unterbeauftragung

Der Auftragsverarbeiter hat Dritte mit der Durchführung bestimmter Aspekte oder Teile der eigenen Leistungen beauftragt. Solche Dritte unterliegen – soweit gesetzlich vorgeschrieben – den gleichen Verpflichtungen und Garantien, wie sie in dieser AVV und den einschlägigen gesetzlichen Vorschriften vorgesehen sind. Der Verantwortliche kann die Liste der derzeit vom Auftragsverarbeiter eingesetzten Unterauftragsverarbeiter anfordern. Jede Änderung dieser Liste ist dem Verantwortlichen unverzüglich mitzuteilen, wobei der Verantwortliche die Möglichkeit hat, Widerspruch einzulegen. Im Falle eines Widerspruchs behält sich der Auftragsverarbeiter das Recht vor, den Vertrag mit dem Verantwortlichen fristlos zu kündigen.

 

10. Kontrollrechte

Bei Vorliegen eines triftigen Grundes, kann der Verantwortliche verlangen, dass die vom Auftragsverarbeiter nach dieser AVV durchgeführten Verarbeitungstätigkeiten von einer unabhängigen und anerkannten Stelle geprüft und begutachtet werden. Inspektionen und Audits sind im Voraus mit dem Auftragsverarbeiter zu planen und finden in der Regel ohne Beeinträchtigung des regulären Geschäftsbetriebs des Auftragsverarbeiters statt. Der Auftragsverarbeiter kann die Kosten für solche Audits oder Inspektionen dem Verantwortlichen in Rechnung stellen. Die Einhaltung der Verpflichtungen gemäß Art. 32-36 DSGVO kann auch nachgewiesen werden durch

 

  • Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
  • eine Zertifizierung nach einem anerkannten Zertifizierungsverfahren gemäß Art. 42 DSGVO
  • Bescheinigungen des aktuellen Datenschutzprüfers des Auftragsverarbeiters, Berichte oder Auszüge aus Berichten, die von unabhängigen Stellen zur Verfügung gestellt werden;
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutz-Auditierung.

 

11. Datenschutzverstöße

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Verpflichtungen in Bezug auf die Sicherheit personenbezogener Daten, die Meldung von Datenschutzverstößen, bei der Durchführung von Datenschutzfolgenabschätzungen und im Rahmen vorheriger Konsultationen gemäß den Artikeln 32 bis 36 des DSGVO, indem er insbesondere

 

  • angemessene Schutzstandards durch technische und organisatorische Maßnahmen unter Berücksichtigung der Art, der Umstände und der Zwecke der Verarbeitung, der Wahrscheinlichkeit von Datenverletzungen und der Schwere des möglicherweise daraus resultierenden Risikos für natürliche Personen gewährleistet;
  • die umgehende Erkennung von Verstößen sicherstellt;
  • Datenverletzungen ohne grundlose Verzögerung dem Verantwortlichen meldet
  • den Verantwortlichen bei der Beantwortung von Anträgen der Betroffener oder bei der Wahrnehmung ihrer Rechte unterstützt.

 

12. Vorrang gesetzlicher Vorschriften

Sollte der Verantwortliche bei der Verarbeitung personenbezogener Daten Änderungen der in Art. 2 genannten dokumentierten Anweisungen verlangen, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren, wenn er der Ansicht ist, dass diese Änderungen zu Verstößen gegen Datenschutzbestimmungen führen. Der Auftragsverarbeiter ist berechtigt, von jeder Tätigkeit absehen, die zu einem solchen Verstoß führen könnte.

 

13. Kündigung, Löschung und Rückgabe personenbezogener Daten

Nach Beendigung der Leistungserbringung löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Rahmen dieser Vereinbarung erhobenen und verarbeiteten personenbezogenen Daten oder gibt sie dem Verantwortlichen zurück, es sei denn, eine anwendbare Rechtsvorschrift, der der Auftragsverarbeiter unterliegt, verpflichtet ihn zur Speicherung der personenbezogenen Daten. In jedem Fall kann der Auftragsverarbeiter alle Informationen, die zum Nachweis einer ordnungs- und rechtmäßigen Verarbeitung erforderlich sein könnten, über die Beendigung des Vertrags hinaus gemäß den gesetzlichen Aufbewahrungsfristen aufbewahren.

 

14. Schlussbestimmungen

Sollten einzelne Bestimmungen diese Vereinbarung unwirksam oder undurchführbar sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen oder undurchführbaren Bestimmungen gilt diejenige wirksame und durchführbare Bestimmung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen oder undurchführbaren Bestimmung am nächsten kommt. Entsprechendes gilt für den Fall, dass diese Vereinbarung planwidrige Regelungslücken enthält.

 

Für die vertraglichen Beziehungen der Parteien gilt das deutsche Recht. Erfüllungsort für alle Verpflichtungen aus dem Vertragsverhältnis sowie Gerichtsstand für alle aus dem Vertragsverhältnis, sowie alle daraus entstehenden und seine Wirksamkeit betreffenden Rechtsstreitigkeiten ist Karlsruhe.

 

Stand: 01.03.2024

 

 

 

 

ANLAGE 1

 

Allgemeine technische und organisatorische Maßnahmen nach DS-GVO

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

§  Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen durch RFID-Transponder, Schlüssel, elektrische Türöffner, Alarmanlage, Videoanlage.

§  Zugangskontrolle
Keine unbefugte Systembenutzung durch (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.

§  Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems durch Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen.

§  Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden durch Trennung nach Bereichen (Entwicklung, Support, Verwaltung).

§  Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

 

2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

§  Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch Verschlüsselung, Virtual Private Networks (VPN) und elektronische Signatur.

§  Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind durch Protokollierung.

 

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

§  Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch Backup-Strategie (online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz, Netzwerküberwachung und Firewall

§  Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)
Gewährleistet durch Reserve-Systeme für kritische Systeme und tägliche Spiegelung der Produktivsysteme

 

4. Verfahren zur regelmäßigen Überprüfung und Bewertung (Art. 32 Abs. 1 lit. d DS-GVO;
Art. 25 Abs. 1 DS-GVO)

§  Datenschutz-Management

Festlegung von Verantwortlichkeiten, Umsetzung und Kontrolle geeigneter Prozesse, Melde- und Freigabeprozess, Umsetzung von Schulungsmaßnahmen, Verpflichtung auf Vertraulichkeit, Regelungen zur internen Aufgabenverteilung, Beachtung von Funktionstrennung und -zuordnung, Einführung einer geeigneten Vertreterregelung

§  Datenschutz-Zertifizierung

§  Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Zugriffsrechte auf personenbezogene Datenbereich sind bei neuen Benutzern defaultmäßig deaktiviert.

§  Auftragskontrolle
Keine Auftragsverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers durch eindeutige Vertragsgestaltung und formalisiertes Auftragsmanagement.

 

 

WordPress Cookie Hinweis von Real Cookie Banner