AVV / Auftragsverarbeitung

Hinweis:
Diese Vereinbarung gilt, soweit Wartungshelden im Rahmen der beauftragten Leistungen personenbezogene Daten im Auftrag des Kunden verarbeitet.

Vereinbarung zur Auftragsverarbeitung (AVV)

zwischen

dem Kunden / Auftraggeber
– nachfolgend „Verantwortlicher“ –

und

Wartungshelden
Reiner Schmeinck
Waltraudstraße 19
45888 Gelsenkirchen
Deutschland
E-Mail: info@wartungshelden.de
Telefon: 0209 98898746
– nachfolgend „Auftragsverarbeiter“ –

gemeinsam auch „Parteien“ genannt.

1. Gegenstand und Dauer der Verarbeitung

Diese Vereinbarung regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.

Gegenstand der Verarbeitung ist die Erbringung von Wartungs-, Pflege-, Sicherheits-, Backup-, Monitoring-, Support- und sonstigen technischen Dienstleistungen für WordPress-Websites des Verantwortlichen.

Die Dauer dieser Vereinbarung richtet sich nach der Dauer des zwischen den Parteien bestehenden Hauptvertrages über Wartungsleistungen. Mit Beendigung des Hauptvertrages endet auch diese AVV, vorbehaltlich gesetzlicher Aufbewahrungspflichten.

2. Art und Zweck der Verarbeitung

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zum Zweck der Durchführung der beauftragten Wartungsleistungen.

Die Verarbeitung kann insbesondere folgende Tätigkeiten umfassen:

• Zugriff auf das WordPress-System des Verantwortlichen
• technische Pflege und Wartung
• Update-Management
• Sicherheitsprüfungen
• Malware-Scans
• Backup-Erstellung
• Wiederherstellung von Datenbeständen
• Fehleranalyse und Fehlerbehebung
• Monitoring und technische Protokollierung
• Support- und Administrationsleistungen

Die konkrete Verarbeitung erfolgt nur insoweit, wie dies zur Erfüllung der vertraglich vereinbarten Leistungen erforderlich ist.

3. Art der personenbezogenen Daten und Kategorien betroffener Personen

Im Rahmen der Auftragsverarbeitung können insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:

• Stammdaten
• Kontaktdaten
• Kommunikationsdaten
• Nutzungsdaten
• IP-Adressen
• Inhaltsdaten
• Kundendaten
• Vertragsdaten
• technische Protokolldaten
• Daten aus Datenbanken, Formularen oder Website-Funktionen

Von der Verarbeitung betroffen sein können insbesondere:

• Kunden des Verantwortlichen
• Interessenten des Verantwortlichen
• Website-Besucher
• Mitarbeiter des Verantwortlichen
• Ansprechpartner
• sonstige Nutzer der vom Verantwortlichen betriebenen Website

4. Weisungsgebundenheit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch gesetzliche Vorgaben zur Verarbeitung verpflichtet ist.

Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen Datenschutzrecht verstößt, wird er den Verantwortlichen hierauf unverzüglich hinweisen.

5. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass alle mit der Verarbeitung personenbezogener Daten befassten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung dieser Vereinbarung fort.

6. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen können insbesondere gehören:

• Zugriffsschutz auf Systeme und Benutzerkonten
• Berechtigungskonzepte
• Zwei-Faktor-Authentifizierung, soweit verfügbar
• Verschlüsselung, soweit technisch sinnvoll
• Absicherung von Administrationszugängen
• Protokollierung technischer Zugriffe
• Datensicherungen
• Schutz vor unbefugtem Zugriff
• Maßnahmen zur Wiederherstellbarkeit und Verfügbarkeit
• regelmäßige Prüfung und Aktualisierung der Sicherheitsmaßnahmen

Der Auftragsverarbeiter ist berechtigt, die technischen und organisatorischen Maßnahmen an den technischen Fortschritt anzupassen, sofern das Schutzniveau nicht unterschritten wird.

7. Unterstützungspflichten

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung seiner gesetzlichen Pflichten.

Dies betrifft insbesondere:

• Unterstützung bei Anfragen betroffener Personen
• Unterstützung bei der Sicherheit der Verarbeitung
• Unterstützung bei Meldungen von Datenschutzverletzungen
• Unterstützung bei Datenschutz-Folgenabschätzungen, soweit erforderlich

8. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Auftragsverarbeitung bekannt wird.

Die Meldung soll, soweit möglich, alle Informationen enthalten, die der Verantwortliche zur Erfüllung seiner gesetzlichen Melde- und Benachrichtigungspflichten benötigt.

9. Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter einzusetzen, soweit dies zur Vertragserfüllung erforderlich ist.

Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter, damit der Verantwortliche die Möglichkeit hat, dagegen Einspruch zu erheben.

Der Auftragsverarbeiter stellt sicher, dass Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten verpflichtet werden, die den in dieser Vereinbarung geregelten Pflichten im Wesentlichen entsprechen.

Zu den typischerweise eingesetzten Unterauftragsverarbeitern können insbesondere gehören:

• Hosting-Dienstleister
• Backup-Dienstleister
• Sicherheits- und Monitoring-Dienstleister
• Cloud-Dienstleister
• E-Mail- und Kommunikationsdienste
• Support- und Fernwartungstools

10. Drittlandübermittlungen

Eine Verarbeitung personenbezogener Daten in einem Drittland oder durch einen Dienstleister in einem Drittland erfolgt nur, soweit die gesetzlichen Voraussetzungen dafür erfüllt sind.

Soweit Unterauftragsverarbeiter oder sonstige technische Dienstleister außerhalb der EU bzw. des EWR eingesetzt werden, stellt der Auftragsverarbeiter sicher, dass geeignete Garantien bestehen.

11. Kontrollrechte und Nachweise

Der Verantwortliche ist berechtigt, die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten in angemessenem Umfang zu kontrollieren oder durch Dritte kontrollieren zu lassen.

Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage die erforderlichen Informationen zum Nachweis der Einhaltung der datenschutzrechtlichen Verpflichtungen zur Verfügung.

Kontrollen haben grundsätzlich nach angemessener Vorankündigung, während üblicher Geschäftszeiten und ohne unangemessene Störung des Betriebsablaufs zu erfolgen.

Soweit Nachweise durch geeignete Dokumentationen, Prüfberichte, Zertifikate oder sonstige Unterlagen erbracht werden können, sind diese vorrangig.

12. Rückgabe und Löschung

Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten entweder zu löschen oder zurückzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung besteht.

Gesetzliche Aufbewahrungspflichten bleiben unberührt.

Sicherungskopien im Rahmen üblicher Backup- und Archivierungsprozesse dürfen für die Dauer technisch notwendiger Aufbewahrungszyklen bestehen bleiben und sind anschließend datenschutzkonform zu löschen oder zu überschreiben.

13. Pflichten des Verantwortlichen

Der Verantwortliche bleibt für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Rechte betroffener Personen verantwortlich.

Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Anforderungen feststellt.

Der Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten auf seiner Website rechtmäßig erfolgt und dass die datenschutzrechtlichen Informationen gegenüber Betroffenen vollständig und korrekt bereitgestellt werden.

14. Haftung

Die Haftung der Parteien richtet sich nach den gesetzlichen Vorschriften sowie ergänzend nach den Regelungen des zwischen den Parteien geschlossenen Hauptvertrages, soweit diese wirksam vereinbart sind.

Zwingende datenschutzrechtliche Haftungsregelungen bleiben unberührt.

15. Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen mindestens der Textform.

Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.

Soweit gesetzlich zulässig, gilt deutsches Recht.

Diese AVV gilt, soweit Wartungshelden im Rahmen der beauftragten Leistungen personenbezogene Daten im Auftrag des Kunden verarbeitet. Erfolgt kein Zugriff auf personenbezogene Daten oder liegt keine Auftragsverarbeitung vor, findet diese AVV keine Anwendung.

Anlage 1: Technische und organisatorische Maßnahmen (TOM)

Zutrittskontrolle

• Schutz von Arbeitsplätzen, Geräten und Datenträgern vor unbefugtem Zutritt

Zugangskontrolle

• Passwortschutz
• individuelle Benutzerkonten
• Zwei-Faktor-Authentifizierung, soweit verfügbar

Zugriffskontrolle

• rollenbasierte Berechtigungen
• Beschränkung von Administratorrechten auf erforderliche Personen

Weitergabekontrolle

• verschlüsselte Übertragung, soweit technisch verfügbar
• Nutzung sicherer Kommunikationswege

Eingabekontrolle

• Protokollierung technischer oder administrativer Zugriffe, soweit technisch möglich

Auftragskontrolle

• klare interne Prozesse zur Bearbeitung von Wartungsaufträgen
• Auswahl geeigneter technischer Dienstleister

Verfügbarkeitskontrolle

• Backup-Strategien
• Schutz vor Datenverlust
• Maßnahmen zur Wiederherstellung

Trennungsgebot

• getrennte Verarbeitung nach Projekten, Websites oder Kunden, soweit technisch und organisatorisch umsetzbar