Vereinbarung zur Auftragsdatenverarbeitung (LOGO

Vereinbarung zur
Auftragsdatenverarbeitung
LOGO
Datensysteme GmbH
Soweit die von LOGO Datensysteme übernommenen Aufgaben die Erhebung, Verarbeitung und Nutzung
von personenbezogenen Daten umfasst bzw. erfordert, erfolgt die Erhebung, Verarbeitung und Nutzung
dieser Daten ausschließlich auf der Grundlage dieser Vereinbarung. Sie findet Anwendung auf alle
Tätigkeiten, bei denen Mitarbeiter LOGO Datensysteme oder durch LOGO Datensysteme beauftragte Dritte
mit personenbezogenen Daten des Kunden in Berührung kommen können.
1.
Vertragsgegenstand/Zweck
1.1
LOGO Datensysteme erhebt, verarbeitet oder nutzt personenbezogene Daten nur im Auftrag
des Kunden. Der Auftrag ist auf unbestimmte Zeit erteilt. Gegenstand und Zweck des Auftrags
ist die Fernwartung und/oder Daten-konvertierung. Der Auftrag umfasst die Verarbeitung von
Daten im Rahmen der Erbringung der technischen Leistungen durch LOGO Datensysteme.
Betroffen sind vom Kunden gespeicherten Daten.
1.2
Der Kunde ist verantwortliche Stelle gemäß § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) und für
die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die
Rechtmäßigkeit der Datenweitergabe an LOGO Datensysteme sowie für die Rechtmäßigkeit der
Datenverarbeitung allein verantwortlich.
Die Verarbeitung der Daten durch LOGO Datensysteme erfolgt ausschließlich im Rahmen der
Durchführung der Vereinbarung und gemäß den Weisungen des Kunden. Die Weisungen des
Kunden können vom Kunden im Hinblick auf die Verarbeitung personenbezogener Daten
jederzeit bei Bedarf in schriftlicher Form durch eine einzelne Weisung geändert, ergänzt oder
ersetzt werden. Bei Weisungen hat der Kunde LOGO Datensysteme die Kosten für die
Umsetzung der Weisung zu erstatten und LOGO Datensysteme eine angemessene Frist zur
Umsetzung zu gewähren.
2.
Pflichten von LOGO Datensysteme
2.1
LOGO Datensysteme darf personenbezogene Daten nur im Rahmen der Weisungen des Kunden
und für die vereinbarten Zwecke erheben, verarbeiten oder nutzen. LOGO Datensysteme hat
personenbezogene Daten zu berichtigen, löschen und zu sperren, wenn der Kunde dies verlangt.
Kopien werden ohne Wissen des Kunden nicht erstellt.
2.2
LOGO Datensysteme sichert in ihrem Verantwortungsbereich die Umsetzung und Einhaltung der
vereinbarten allgemeinen und technischen und organisatorischen Maßnahmen entsprechend
der Anlage zu § 9 BDSG zu. Insbesondere hat LOGO Datensysteme ihre innerbetriebliche
Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht
wird. LOGO Datensysteme trifft technische und organisatorische Maßnahmen zur
angemessenen Sicherung der personenbezogenen Daten des Kunden vor Missbrauch und
Verlust, die den Forderungen des BDSG entsprechen. Dies beinhaltet insbesondere
2.2.1
Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen
Daten erhoben, verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle);
2.2.2
zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können
(Zugangskontrolle);
2.2.2
dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten
zugreifen können, und dass personenbezogene Daten bei der Erhebung, Verarbeitung, Nutzung
LOGO Datensysteme GmbH
Am Knie 6 · 27570 Bremerhaven
www.datensysteme.de
Telefon 0471-900 800 0
Fax 0471-900 800 5
[email protected]
AG Bremen · HRB 5065 BHV
Geschäftsführer: Andreas Rohmann
USt.ID.: DE 248 415 680
Sparkasse Bremerhaven
IBAN: DE67 2925 0000 0001 8570 70
BIC: BRLADE21BRS
LOGO
Datensysteme GmbH
und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden
können (Zugriffskontrolle);
2.2.3
dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder
während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden können (Weitergabekontrolle);
2.2.4
dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem
personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt
worden sind (Eingabekontrolle);
2.2.4
dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des Kunden verarbeitet werden können (Auftragskontrolle);
2.2.5
dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust
geschützt sind (Verfügbarkeitskontrolle);
2.2.6
dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten
getrennt verarbeitet werden (Trennungskontrolle); insbesondere werden die Daten
verschiedener Kunden getrennt verarbeitet.
2.3
LOGO Datensysteme hat ein umfassendes und aktuelles Datenschutz- und
Informationssicherheitskonzept für die Auftragsdatenverarbeitung erstellt, in dem alle
technischen und organisatorischen Maßnahmen dargestellt sind. LOGO Datensysteme ist
verpflichtet, dieses Konzept zu pflegen und fortlaufend zu aktualisieren.
2.4
LOGO Datensysteme stellt sicher, dass die mit der Verarbeitung der personenbezogenen Daten
von Kunde befassten Mitarbeiter sorgfältig ausgewählt werden, gemäß § 5 BDSG
(Datengeheimnis) verpflichtet und in die Bestimmungen des BDSG eingewiesen worden sind.
2.5
LOGO Datensysteme teilt dem Kunde die Kontaktdaten seines betrieblichen
Datenschutzbeauftragten mit, soweit ein solcher gemäß § 4f BDSG bestellt ist. Änderungen in
der Person des Datenschutzbeauftragten sind dem Kunden im Voraus mitzuteilen.
2.6
LOGO Datensysteme unterrichtet den Kunden umgehend bei schwerwiegenden Störungen des
Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten
bei der Verarbeitung der personenbezogenen Daten des Kunden.
2.7
LOGO Datensysteme hat ihre von Kunde überlassene Dateien und Datenträger sowie sämtliche
hiervon gefertigten Kopien sorgfältig zu verwahren, sodass sie Dritten nicht zugänglich sind.
Nicht mehr benötigte Unterlagen und Dateien mit personenbezogenen Daten sind an den
Kunden zurückzugeben, bzw. dürfen erst nach vorheriger Zustimmung durch den Kunden
datenschutzgerecht entsorgt werden. Die Löschung bzw. Vernichtung ist dem Kunden schriftlich
zu bestätigen.
2.8
Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik
Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen
Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung
in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Kunden. Falls ein
Subunternehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den
Bestimmungen in Ziffer 5.
2.9
LOGO Datensysteme wird den Kunden unterstützen, wenn aufgrund geltender
Datenschutzgesetze gegenüber einem Betroffenen Auskünfte zur Erhebung, Verarbeitung oder
LOGO Datensysteme GmbH
Am Knie 6 · 27570 Bremerhaven
www.datensysteme.de
Telefon 0471-900 800 0
Fax 0471-900 800 5
[email protected]
AG Bremen · HRB 5065 BHV
Geschäftsführer: Andreas Rohmann
USt.ID.: DE 248 415 680
Sparkasse Bremerhaven
IBAN: DE67 2925 0000 0001 8570 70
BIC: BRLADE21BRS
LOGO
Datensysteme GmbH
Nutzung von personenbezogenen Daten zu geben sind. Der Kunde wird LOGO Datensysteme
hierüber schriftlich auffordern.
3.
Pflichten des Kunden
3.1
Ausnahmsweise zulässige mündliche Weisungen des Kunden bei Eilbedürftigkeit sind
unverzüglich schriftlich vom Kunden zu bestätigen.
3.2
Der Kunde informiert LOGO Datensysteme unverzüglich, wenn der Kunde Fehler oder
Unregelmäßigkeiten bei der Prüfung der Auftragsdatenverarbeitung feststellt.
4.
Kontrollrechte, Duldungs- und
Mitwirkungspflichten von LOGO Datensysteme
4.1
LOGO Datensysteme gewährt dem Kunden die zur Auftragskontrolle notwendigen Zutrittssowie Einsichts- und Zugriffsrechte.
4.2
Der Kunde kann sich nach rechtzeitiger Anmeldung zu Prüfzwecken während der üblichen
Geschäftszeiten von der Angemessenheit und Umsetzung der Maßnahmen zur Einhaltung der
technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung
einschlägigen Vorschriften überzeugen.
4.3
Nach schriftlicher Anforderung erhält der Kunde von LOGO Datensysteme innerhalb einer
angemessenen Frist alle Auskünfte, die zur Durchführung einer umfassenden Auftragskontrolle
erforderlich sind.
5.
Subunternehmer
5.1
Der Einsatz von Subunternehmern durch LOGO Datensysteme ist grundsätzlich ausgeschlossen.
Hat Kunde die schriftliche Einwilligung zum Einsatz von Subunternehmern durch LOGO
Datensysteme erteilt, so erfolgt deren Beauftragung gemäß der Ziffer 5.2.
5.2
Wenn Subunternehmer durch LOGO Datensysteme eingeschaltet werden, so werden die
vertraglichen Vereinbarungen so gestaltet, dass sie den Anforderungen zu Vertraulichkeit,
Datenschutz und Informationssicherheit zwischen LOGO Datensysteme und dem Kunden
entsprechen. LOGO Datensysteme hat die Einhaltung dieser Anforderungen regelmäßig zu
überprüfen. Dem Kunden sind Kontroll- und Überprüfungsrechte entsprechend Ziffer 4 auch
gegenüber dem Subunternehmen von LOGO Datensysteme einzuräumen.
6.
Pflichten bei Beendigung der Auftragsdatenverarbeitung
6.1
Dokumentationen, die dem Nachweis der ordnungsgemäßen Erhebung, Verarbeitung oder
Nutzung personenbezogener Daten dienen, sind durch LOGO Datensysteme entsprechend den
jeweiligen Aufbewahrungsfristen über die Auftragsdatenverarbeitung hinaus aufzubewahren.
Der Kunde kann hiervon eine Kopie anfordern.
6.2
LOGO Datensysteme ist verpflichtet, auch über das Ende des Vertragsverhältnisses hinaus
Stillschweigen über die ihm im Zusammenhang mit dem Auf-trag bekannt gewordenen
personenbezogenen Daten zu wahren.
7.
Kündigung aus wichtigem Grund
7.1
Der Kunde und LOGO Datensysteme können die Auftragsdatenverarbeitung jederzeit ohne
Einhaltung einer Frist kündigen.
LOGO Datensysteme GmbH
Am Knie 6 · 27570 Bremerhaven
www.datensysteme.de
Telefon 0471-900 800 0
Fax 0471-900 800 5
[email protected]
AG Bremen · HRB 5065 BHV
Geschäftsführer: Andreas Rohmann
USt.ID.: DE 248 415 680
Sparkasse Bremerhaven
IBAN: DE67 2925 0000 0001 8570 70
BIC: BRLADE21BRS