btnord-servicevertrag_geschwaerzt
Dieses Dokument ist Teil der Anfrage „Vergabe von Dienstleistungsaufträgen“
bENORD
ANGEBOT 218856
Kunden-Nr.: 13884
Datum: 14 Februar 2022
Pos. Bezeichnung Menge Einzelpreis Gesamtpreis
Netto EUR 204,00
Angebot gültig bis: 16.03.2022 USt. 19,0% EUR 38,76
Endbetrag EUR 242,76
Zahlungsbedingungen: 10 Tage netto
Sofern nicht anders vereinbart, gelten folgende Dienstleistungspreise
zzgl. Zuschlägen und Anfahrtspauschalen:
Zuschläge Dienstleistungspreise (Preis pro Stunde)
Montag bis Freitag System Engineering 90,00 €
06:00 bis 08:00 Uhr = 50 % Consultant 125,00 €
18:00 bis 22:00 Uhr = 50 % Senior Consultant 140,00 €
22:00 bis 06:00 Uhr = 100%
Wochenende und Feiertage = 100% An- und Abfahrten:
Die Abrechnung erfolgt je angefangener Viertelstunde 1,00 € je gefahrenen Kilometer
#BTN-AU# 157729-1 Seite 3
Bis zur vollständigen Zahlung der gesamten Forderung behalten wir uns das Eigentumsrecht an der gesamten Lieferung vor.
Lieferungen und Leistungen erfolgen ausschließlich zu unseren AGBs. Gerichtsstand ist Husum.
BT Nord Systemhaus GmbH BT Nord Digital GmbH
Stammsitz Geschäftsführer:
Siemensstr. 28 NOSPA Brandstwiete 46 NOSPA Thomas Holst CEO
25813 Husum IBAN DE70 2175 0000 0186 0948 19 20657 Hamburg IBAN DEO2 2175 0000 0165 8320 64 Thies Kracht, Dipl.-Inf. (FH), CTO
T 04841 89680 BIC NOLADE21NOS T 040 180245341 BIC NOLADE21NOS Prokurist: Frank Thomsen
VR Bank Westküste eG VR Bank Westküste eG
Niederlassung IBAN DE70 2176 2550 0004 0133 36 IBAN DE48 2176 2550 0003 6705 46 www.btnord.de
Lise-Meitner-Str. 20 BIC GENODEFIHUM BIC GENODEFIHUM info@btnord.de
24941 Flensburg
RT ey rlelepde] Amtsgericht Flensburg I HRB 354 Husum Amtsgericht HamburgI HRB 165328 Hamburg Umsatzsteuer-ID: DE134657285
bE NORD
Vertrag über Auftragsverarbeitung
nach Artikel 28 DSGVO
Vereinbarung
Zwischen Auftraggeber:
Tierärztekammer Schleswig-Holstein
Hamburger Straße 99a
25746 Heide
Und Auftragnehmer:
BT Nord Systemhaus GmbH
Siemensstraße 28
25813 Husum
- 1 Gegenstand und Dauer des Auftrags
1.1 Gegenstand des Auftrags
1) Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den
Auftragnehmer:
- Der Auftragnehmer führt im Auftrag des Auftraggebers Wartungs- und/oder Pflegearbeiten
an IT-Systemen des Auftraggebers durch. In diesem Zusammenhang ist nicht ausgeschlos-
sen, dass der Auftragnehmer personenbezogene Daten verarbeitet, um die Wartung und
Pflege von IT-Systemen durchzuführen oder durchführen zu können.
- Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im
Sinne von Art. 4 Nr. 2 und Art. 28 Datenschutz Grundverordnungl (DSGVO) auf Grundlage
dieses Vertrages.
BT Nord Systemhaus GmbH BT Nord Digital GmbH
Stammsitz Niederlassung [IKT EleET
Siemensstr. 28 Lise-Meitner-Str. 20 Brandstwiete 46 Thomas Holst CEO
25813 Husum 24941 Flensburg PVSYAsEleltieı Thies Kracht, Dipl.-Ing. (FH), CTO
Fon +49 4841 89680 Fon +49 461 16770020 mL RI ElPZ EEE Prokurist: Frank Thomsen
Amtsgericht Flensburg | HRB 354 Husum Amtsgericht Hamburg | HRB 165323 Hamburg Umsatzsteuer-ID: DE134657285
Nord-Ostsee Sparkasse IBAN DE70 2175 0000 0186 0948 19 I BIC NOLADE21NOS www.btnord.de
VR Bank Westküste eG IBAN DE70 2176 2550 0004 0133 36 | BIC GENODEFIHUM info@btnord.de
bE NORD
1.2 Dauer
1) Grundlage für das Vertragsverhältnis ist der zwischen beiden Parteien geschlossenen Service-
vertrag zur Wartung und Pflege von IT-Systemen (Hauptvertrag). Dieser Vertrag zur Auf-
tragsverarbeitung beginnt ab Unterzeichnung des Hauptvertrages durch beide Parteien und gilt
für die Dauer des jeweiligen Hauptvertrages.
2) Die Kündigungsfrist ergibt sich aus dem Hauptvertrag.
3) Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt.
4) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein
schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestim-
mungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht
ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertrags-
widrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus
Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.
2 Konkretisierung des Auftragsinhalts
2.1 Art und Zweck der vorgesehenen Verarbeitung von Daten
Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Art und Zweck der Aufgaben des
Auftragnehmers.
1) Der Auftrag des Auftraggebers an den Auftragnehmer umfasst im Zuge der Zusammenarbeit ggf.
auch folgende Arbeiten und/oder Leistungen:
e Anlegen von Benutzern auf Server- oder Applikationsebene
e _Einrichtung/Einräumung, Änderung und/oder Löschung von Benutzerberechtigungen
e Eingabe, Änderung oder Löschung von Datenbankfeldern
e Fernwartung von IT-Systemen
2) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem
Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens
über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vor-
herigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Vorausset-
zungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Stan-
darddatenschutzklauseln, genehmigte Verhaltensregeln).
2.2 Art der Daten
1) Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien
(Aufzählung/Beschreibung der Datenkategorien)
e Name und Kontaktdaten von Nutzern der IT-Systeme
e Ggf. weitere Daten von Betroffenen, die im jeweiligen IT-System des Auftraggebers gespei-
chert sind
2.3 Kategorien betroffener Personen
1) Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
e Beschäftigte des Auftraggebers
e Kunden des Auftraggebers
bE NORD
3 Technisch-organisatorische Maßnahmen
1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und er-
forderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, ins-
besondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auf-
traggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die doku-
mentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftragge-
bers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
2) Der Auftragnehmer hat die Sicherheit gem. Art. 32 DSGVO insbesondere in Verbindung mit Art.
5 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maß-
nahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzni-
veaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit
der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der
Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit
und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32
Abs. 1 DSGVO zu berücksichtigen [Einzelheiten in Anlage 1].
3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fort-
schritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative
adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maß-
nahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
Berichtigung, Einschränkung und Löschung von Daten
1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, son-
dern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Ver-
arbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an: den
Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftrag-
geber weiterleiten.
2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichti-
gung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmit-
telbar durch den Auftragnehmersicherzustellen.
Qualitätssicherung und sonstige Pflichten des Auftragnehmers
1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der ge-
troffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers, sofern er
nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem
der Auftragnehmer unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs-
oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsnehmer dem Auftraggeber
diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine
solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3
Satz 2 lit. a DSGVO).
2) Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche
Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung
folgender Vorgaben:
a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38
und 39 DSGVO ausübt und sofern dieser gesetzlich vorgeschrieben ist. Ggf. ist der Wechsel
des Datenschutzbeauftragten dem Auftraggeber unverzüglich mitzuteilen.
b) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der
Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die
Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum
bE NORD
Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer
unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten aus-
schließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in
diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung
verpflichtet sind.
c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und or-
ganisatorischen Maßnahmen gemäß Art. 32 DSGVO.
d) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde
bei der Erfüllung ihrer Aufgaben zusammen.
e) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnah-
men der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit
eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Be-
zug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auf-
tragnehmer ermittelt.
f} Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungs-
widrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder ei-
nes Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung
beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu un-
terstützen.
g) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und
organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Ver-
antwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts
erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegen-
über dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.
i) Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger Zustimmung des Auf-
traggebers im Einzelfall gestattet. Soweit die Daten in einer Privatwohnung verarbeitet wer-
den, ist der Zugang zur Wohnung durch den Auftraggeber (Ziffer 7) vorher mit dem Auftrag-
nehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die anderen Bewohner
dieser Privatwohnung mit dieser Regelung einverstanden sind. Die Maßnahmen nach Art.
32 DSGVO sind auch in diesem Fall sicherzustellen.
j) Der Auftragnehmer verpflichtet sich, dem Landesdatenschutzbeauftragten und den von
ihm eingesetzten Bediensteten Zugang zu den Arbeitsräumen zu gewähren.
k) Soweit Daten in einer Privatwohnung verarbeitet werden, ist der Zugang des Landesda-
tenschutzbeauftragten und der von ihm eingesetzten Bediensteten vorher mit dem Auf-
tragnehmer abzustimmen.Der Auftragnehmer stellt sicher, dass die anderen Bewohner
dieser Privatwohnung mit dieser Regelung einverstanden sind.
) [Sofern einschlägig:] Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Aus-
schluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DSGVO und den Widerruf ei-
ner Zertifizierung nach Art. 42 Abs. 7 DSGVO unverzüglich zu informieren.
Unterauftragsverhältnisse
1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verste-
hen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören
Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Trans-
portdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern so-
wie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und
Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der
bENORD
Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensi-
cherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene
und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger
ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.
X] Die Auslagerung auf Unterauftragnehmer oder
&Xl der Wechsel des bestehenden Unterauftragnehmers ist zulässig, soweit:
e eine solche Auslagerung auf Unterauftragnehmer vom Auftraggeber vorab schriftlich oder
in Textform genehmigt wurde und
®e eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt
wird.
3) Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Unterauftragnehmer unter
besonderer Berücksichtigung der Eignung der vom Unterauftragnehmer getroffenen techni-
schen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Die
relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
4) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer
und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Un-
terbeauftragung gestattet.
5) Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftragge-
ber und Auftragnehmer auch gegenüber Unterauftragnehmern gelten. In dem Vertrag mit dem Unterauf-
tragnehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftrag-
nehmers und des Unterauftragnehmers deutlich voneinander abgegrenzt werden. Werden meh-
rere Unterauftragnehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischendie-
sen Unterauftragnehmern. Insbesondere muss der Auftraggeber berechtigtsein,im Bedarfsfall an-
gemessene Überprüfungen und Inspektionen, auch vor Ort, bei Unterauftragnehmern durchzuführen
oder durch von ihm beauftragte Dritte durchführen zu lassen.
6) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der
Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.
Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
) Eine weitere Auslagerung durch den Unterauftragnehmer
X bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform);
8) Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer auf-
zuerlegen.
9) Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Unterauftragnehmer den Daten-
schutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegen-
den Vertragsabschnitt vertraglich auferlegt wurden.
Kontrollrechte des Auftraggebers
1) Der Auftraggeber hat das Recht, vor Beginn der Verarbeitung und sodann regelmäßig in ange-
messener Weise im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder
durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch
Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser
Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des
Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem
bE NORD
Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die
Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen
durch
e die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
e die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
e aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschafts-
prüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren,
Qualitätsauditoren);
e eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-
Grundschutz).
8 Mlitteilung bei Störungen der Verarbeitung und bei Verstößen des Auftrag-
nehmers
1) Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragneh-
mers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder
die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder
Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch
im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art.
33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei
seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2
lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragneh-
mer nur nach vorheriger dokumentierter Weisung dieses Vertrages durchführen.
2) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32
bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten
bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehö-
ren u.a.
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatori-
sche Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte
Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken
berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen er-
möglichen
b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftragge-
ber zu melden
c) die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem
Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Infor-
mationen unverzüglich zur Verfügung zu stellen
d) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Auf-
sichtsbehörde
3) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung oder diesem Vertrag ent-
halten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auf-
tragnehmer eine Vergütung beanspruchen.
bE NORD
9 Rechte und Pflichten sowie Weisungsbefugnis des Auftraggebers
1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die
Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der
Auftraggeber verantwortlich. Der Auftragnehmer ist verpflichtet, alle solche Anfragen, unver-
züglich an den Auftraggeber weiterzuleiten.
2) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwi-
schen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumen-
tierten elektronischen Format (E-Mail) festzulegen.
3) Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder
in einem dokumentierten elektronischen Format (E-Mail). Mündliche Weisungen sind unverzüg-
lich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
Weisungsberechtigte Personen des Auftraggebers sind:
Dr. Ann Johanna Marquart
Weisungsempfänger/-innen beim Auftragnehmer sind:
Thies Kracht
Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartnerin oder des An-
sprechpartners ist dem Vertragspartner unverzüglich schriftlich die Nachfolgerin oder der Nach-
folger bzw. die Vertreterin oder der Vertreter mitzuteilen.
4) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist,
eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die
Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftragge-
ber bestätigt oder geändert wird.
5) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmä-
Rigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
6) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse
von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich
zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
10 Löschung und Rückgabe von personenbezogenen Daten
1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon
ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen
Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher
Aufbewahrungspflichten erforderlich sind.
2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den
Auftraggeber - spätestens mit Beendigung der Leistungsvereinbarung - hat der Auftragnehmer
sämtlichein seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse
sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber aus-
zuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test-
und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
bE NORD
3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung
dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über
das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem
Auftraggeber übergeben.
11 Fernwartung
1) Sofern der Auftragnehmer die Wartung und/oder Pflege der IT-Systeme auch im Wege der Fern-
wartung durchführt, ist der Auftragnehmer verpflichtet, dem Auftraggeber eine wirksame Kon-
trolle der Fernwartungsarbeiten zu ermöglichen. Dies kann z. B. durch Einsatz einer Technologie
erfolgen, die dem Auftraggeber ermöglicht, die vom Auftragnehmer durchgeführten Arbeiten
auf einem Monitor o.ä. Gerät zu verfolgen.
2) Fürden Fall, dass der Auftraggeber einer Berufsgeheimnispflicht i.S.d. $ 203 StGB unterliegt, hat
dieser Sorge dafür zu tragen, dass eine unbefugte Offenbarung i.S.d. $ 203 StGB durch die Fern-
wartung nicht erfolgt. Der Auftragnehmer ist diesbezüglich verpflichtet, Technologien einzuset-
zen, die nicht nur ein Verfolgen der Tätigkeit auf dem Bildschirm ermöglicht, sondern dem Auf-
traggeber auch eine Möglichkeit gibt, die Fernwartungsarbeiten jederzeit zu unterbinden.
3) Wenn der Auftraggeber bei Fernwartungsarbeiten nicht wünscht, die Tätigkeiten an einem Mo-
nitor o.ä. Gerät zu beobachten, wird der Auftragnehmer die von ihm durchgeführten Arbeiten in
geeigneter Weise dokumentieren.
12 Haftung
1) Die Haftung richtet sich nach Art. 82 DSGVO.
13 Sonstiges
1) Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und
Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Gel-
tungsdauer und anschließend noch für fünf volle Kalenderjahre aufzubewahren.
2) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa
durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch
sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich
zu verständigen.
3) Für Nebenabreden ist die Schriftform erforderlich.
4) DieEinrede des Zurückbehaltungsrechts i.S.v. 8273 BGB wird hinsichtlich der verarbeiteten Daten
und der zugehörigen Datenträgerausgeschlossen.
5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der
Vereinbarung im Übrigen nicht.
Heide ‚den IN. (1.0 Husum ‚den 23.02.2022
Ort Ort Datum
Geschäftsführender Gesellschafter
am 0481 5746 _Heide
EEE Fax 0481 188 33 5 BT Nord Systemhaus GmbH
(Au en (Auftragnehmer)
bENORD
14 Anlage 1:
Technische und organisatorische Maßnahmen des Auftragnehmers zum Daten-
schutz gemäß Art. 32 DSGVO
Der Auftragnehmer ist verpflichtet, nachfolgende technische und organisatorische Maßnahmen zur Da-
tensicherheit i.$.d. Art. 32 DSGVO einzuhalten:
14.1 Vertraulichkeit
14.1.1 Zutrittskontrolle
Der Auftragnehmer hält seine Büro- und Geschäftsräume grundsätzlich außerhalb der Büro- und Ge-
schäftszeiten geschlossen.
Während der Büro- und Geschäftszeiten ist sichergestellt, dass Besucher oder sonstige Dritte sich nicht
alleine in Räumen bewegen können, in denen sie Zugang zu personenbezogenen Daten erhalten könnten.
Die Schlüsselvergabe und das Schlüsselmanagement, ebenso wie die Nutzung von Zugangscodes für die
Codeschlösser erfolgt nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses
als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen
für Räume regelt.
14.1.2 Zugangskontrolle
Um Zugang zu IT-Systemen zu erhalten, verfügen der Auftragnehmer und seine Beschäftigten über eine
entsprechende Zugangsberechtigung. Hierzu werden entsprechende Benutzerberechtigungen von einem
oder mehreren Administratoren vergeben.
Die Passwortvorgaben beinhalten eine Mindestpasswortlänge von 10 Zeichen, wobei das Passwort aus
Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen bestehen muss. Ein Passwortwechsel ist laut neuesten
Erkenntnissen nicht ratsam und wird somit auch nicht erzwungen.
Eine Passworthistorie ist hinterlegt. So wird sichergestellt, dass die vergangenen 5 Passwörter nicht noch
einmal verwendet werden können.
Fehlerhafte Anmeldeversuche werden protokolliert. Bei 3-maliger Fehleingabe erfolgt eine Sperrung des
jeweiligen Benutzeraccounts.
Remote-Zugriffe auf IT-Systeme des Auftragnehmers erfolgen stets über verschlüsselte Verbindungen.
Alle Server und Client-Systeme, die bei der Erbringung von Leistungen für den Auftraggeber im Einsatz
sind, sind durch Firewalls geschützt, die gewartet und mit aktuellen Updates und Patches versorgt wer-
den.
Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.
Passwörter, die der Auftragnehmer vom Auftraggeber erhält oder für dessen IT-Systeme verwendet, wer-
den grundsätzlich verschlüsselt gespeichert und werden nur den Beschäftigten zugänglich gemacht, die
konkret mit der Erbringung von Leistungen für den Auftraggeber betraut sind.
14.1.3 Zugriffskontrolle
Berechtigungen für IT-Systeme und Applikationen des Auftragnehmers werden nach dem Need-to-Know-
Prinzip vergeben. Es erhalten demnach nur die Personen Zugriffsrechte auf Daten, Datenbanken oder Ap-
plikationen, die diese Daten, Anwendungen oder Datenbanken warten und pflegen bzw. in der Entwick-
lung tätig sind.
Die Vernichtung von Datenträgern und Papier erfolgt durch einen Dienstleister, der eine Vernichtung nach
DIN 66399 gewährleistet.
