vereinbarungberdieauftragsverarbeitung-geschwrzt
Dieses Dokument ist Teil der Anfrage „Auftragsverarbeitungsvereinbarung mit Condat AG“
Anlage 11.2 Vereinbarung über die Auftragsverarbeitung i. S. d. Art. 28 Abs. 3 DSGVO zwischen der Landesanstalt für Medien NRW, Anstalt öffentlichen Rechts, Zollhof 2, 40221 Düsseldorf als Verantwortlicher (nachfolgend „Auftraggeber“ genannt‘) und Condat AG, Alt-Moabit 91d, 10559 Berlin als Auftragsverarbeiter (nachfolgend „Auftragnehmer“ genannt‘) (nachfolgend gemeinsam auch „die Parteien“ genannt‘) Präambel Der Auftragnehmer entwickelt und erstellt für den Auftraggeber nach Maßgabe des ge- schlossenen Vertrages über die Erstellung und Entwicklung eines IT-Tools zur Recherche und Identifikation potenziell rechtswidriger Inhalte im Internet (nachfolgend „Hauptver- trag“ genannt) eine Kl-gestützte Software, welche (teil-) automatisiert nach rechtswidrigen Inhalten im Internet suchen kann („IT-Tool“). Für die Erstellung und Entwicklung dieses IT-Tools erhält der Auftragnehmer vom Auftraggeber Materialien und Daten, so dass hier- bei vom Auftragnehmer direkt oder indirekt auch personenbezogene Daten verarbeitet werden. Der Auftragnehmer erbringt gegenüber dem Auftraggeber zudem bestimmte Softwaresup- port- und Pflegeleistungen in Bezug auf das IT-Tool gemäß dem Vertrag über den Betrieb sowie Support und Pflege des IT-Tools zur Recherche und Identifikation potenziell rechts- widriger Inhalte im Internet (nachfolgend „Support- und Pflegevertrag“ genannt). Hierbei werden vom Auftragnehmer ebenfalls direkt oder indirekt personenbezogene Daten verar- beitet.
-2- Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien im Zusammenhang mit dem Hauptvertrag und dem Support- und Pflegevertrag. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag und dem Support- und Pflege- vertrag (inklusive des Hostings des IT-Tools) in Verbindung stehen und bei denen Mitarbei- ter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbe- zogenen Daten des Auftraggebers in Berührung kommen können. Die Parteien schließen diese Vereinbarung auf Basis der Europäischen Datenschutz-Grundverordnung (DSGVO). Dies vorausgeschickt, vereinbaren die Parteien Folgendes: 1. Gegenstand und Dauer der Auftragsverarbeitung Gegenstand und Dauer dieser Vereinbarung ergeben sich aus dem Support- und Pfle- gevertrag sowie aus dem Hauptvertrag, auf die hier verwiesen wird (nachfolgend „Leis- tungsvereinbarung“ genannt). 2. Konkretisierung der Auftragsverarbeitung 2.1. Art und Zweck der vorgesehenen Verarbeitung von Daten Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Art und Zweck der Aufgaben des Auftragnehmers: Erheben, Erfassen, Organisieren, Ordnen, Speicherung, Auslesen, Abfragen, Verwendung, Abgleich oder Verknüpfung, Einschränkung oder Löschung von Daten zur Erfüllung der Leistungen. Im Übrigen ergeben sich Art und Zweck der Datenverarbeitung aus dem Hauptvertrag sowie aus dem Support- und Pflege- vertrag. 2.2. Verlagerung in Drittländer Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätz- lich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Ver- tragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt mit Ausnahme der in dieser Vereinbarung geregelten Verlagerungen in ein Drittland. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Vo- raussetzungen der Art. 44 ff. DSGVO erfüllt sind. 2.3. Art der Daten Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenar- ten/-kategorien (Aufzählung/Beschreibung der Datenkategorien) X Personenstammdaten &X Kommunikationsdaten (z.B. Telefon, E-Mail)
2.4. -3- U Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinte- resse) Kundenhistorie Vertragsabrechnungs- und Zahlungsdaten Planungs- und Steuerungsdaten Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen) Bankverbindungsdaten Besondere Kategorien personenbezogener Daten, z.B. solche im Sinne von Art. 9 DSGVO Fotos / Videos URXDOD02 X Kategorien betroffener Personen Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen: Kunden/Nutzer Mitarbeiter Interessenten Beschäftigte Lieferanten Ansprechpartner Urheber potenziell rechtswidriger Internet-Inhalte Einreicher von Beschwerden Personen, die in Fotos/Videos potenzieller Rechtsverstöße abgebildet sind oder deren personenbezogenen Daten in potenziellen Rechtsverstö- ßen enthalten sind KRRXNITORO RX I 3. Technisch-organisatorische Maßnahmen 3.1. 3.2. Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dar- gelegten technischen und organisatorischen Maßnahmen vor Beginn der Ver- arbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu do- kumentieren und dem Auftraggeber auf dessen Anforderung zur Prüfung zu übergeben. Die dokumentierten Maßnahmen werden Grundlage des Auftrags. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO ins- besondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insge- samt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die
3.3. -4- Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbei- tung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Ri- sikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen (Einzelheiten in Annex 1). Die technischen und organisatorischen Maßnahmen unterliegen dem techni- schen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Si- cherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. We- sentliche Änderungen sind zu dokumentieren. 4. Weisungsbefugnis; Berichtigung, Einschränkung und Löschung von Daten 4.1. 4.2. 4.3. Für die Beurteilung der Zulässigkeit der Erhebung, Verarbeitung oder Nutzung sowie für die Wahrung der Rechte der Betroffenen ist der Auftraggeber verant- wortlich. Der Auftraggeber ist berechtigt, Weisungen über Art, Umfang und Ver- fahren der Datenverarbeitung zu erteilen. Die Weisungen bedürfen der Schrift- oder Textform. Mündliche Weisungen bestätigt der Auftragnehmer unverzüglich (mind. Textform). Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht ei- genmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers be- richtigen, löschen oder deren Verarbeitung einschränken. Soweit ein Betroffe- ner sich unmittelbar an den Auftragnehmer zwecks Berichtigung oder Löschung seiner Daten wenden solite, wird der Auftragnehmer dieses Ersuchen unver- züglich an den Auftraggeber weiterleiten. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird. 5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieser Vereinba- rung gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO zu befolgen; insofern gewähr- leistet er insbesondere die Einhaltung der folgenden Vorgaben: 5.1. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei Durchführung der Arbeiten nur Beschäf- tigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie rele- vanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftrag-
5.2. 5.3. 5.4. 5.5. 5.6. 5.7. 555 nehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu per- sonenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in dieser Verein- barung eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verar- beitung verpflichtet sind. Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen techni- schen und organisatorischen Maßnahmen entsprechend Art. 28 Abs. 3 S. 2 lit. c), 32 DSGVO (Einzelheiten in Annex 1). Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Auf- sichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungs- widrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezo- gener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, ei- nem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusam- menhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anfor- derungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnah- men gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieser Vereinbarung. 6. Unterauftragsverhältnisse 6.1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleis- tungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnah- men zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belast- barkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch
T. 6.2. 6.3. 6.4. 6.5. -6- nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Daten- schutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausge- lagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen. Der Auftragnehmer darf grundsätzlich Unterauftragnehmer (weitere Auftragsver- arbeiter) beauftragen und informiert den Auftraggeber gemäß Art. 28 Abs. 2 $. 2 DSGVO immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Der Auftragnehmer hat die vertraglichen Vereinbarungen mit dem / den Unter- auftragnehmer/n so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer entsprechen. Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungs- rechte entsprechend dieser Vereinbarung zu gewähren. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung Aus- kunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutz- relevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch ent- sprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Ziffer 6.1 Satz 2 eingesetzt werden sollen. Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftrag- nehmers (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertrags- kette sind auch dem weiteren Unterauftragnehmer aufzuerlegen. Kontrollrechte des Auftraggebers 7.1. 7.2. 1.3. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprü- fungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchfüh- ren zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Re- gel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforder- lichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Zum Nachweis von hinreichenden Garantien im Sinne von Art. 28 Abs. 1 bis 4 DSGVO, kann die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40
- DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 DSGVO durch den Auftragnehmer herangezogen werden. 8. Mitteilung bei Verstößen 9. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a. 8.1. 8.2. 8.3. 8.4. 8.5. die Sicherstellung eines angemessenen Schutzniveaus durch technische und or- ganisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung so- wie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechts- verletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststel- lung von relevanten Verletzungsereignissen ermöglichen; die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden, insbesondere auch bei Verdacht auf solche Verletzun- gen, die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht ge- genüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen; die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschät- zung; die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde. Löschung und Rückgabe von personenbezogenen Daten 9.1. 9.2. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewähr- leistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Da- ten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten er- forderlich sind. Nach Abschluss der vertraglich vereinbarten Arbeiten hat der Auftragnehmer sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auf- tragsverhältnis stehen und die personenbezogene Daten enthalten, dem Auftrag- geber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu
-8- vernichten, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der per- sonenbezogenen Daten besteht. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 9.3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Da- tenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jewei- ligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. 10. Schlussbestimmungen 10.1. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. 10.2. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt. 10.3. Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand ist der Sitz des Auftragnehmers.
Annex i TOM / Sicherheitskonzept der Condat Landesanstalt für Medien NRW Düsseldorf, 17. Dezember 2020 Dr. Tobias Schmid Im Auftrag Condat AG Berlin, 14.01.2021 a Dominik Zimmermann
ANNEX 1 Sicherheitskonzept Sicherheitskonzept (technische und organisatorische Maßnahmen) der Condat AG Erstellt durch: Condat AG Alt-Moabit 91d 10559 Berlin Vorstand: Lars Fahrenholz, Dominik Zimmermann Aufsichtsratsvorsitzender: Peter Herrmann HRB Berlin Charlottenburg 83319 Datum: 05.10.2020