Vertrag Mobil Vertragsgegenstand Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU Datenschutz-Grundverordnung (AV-Vertrag) Papershred Aktenvernichtung Andreas Schulze Am Tower 22 55126 Mainz Telefon: +49 (0)6131 / 480 53 00 E-Mail: info@papershred.de Web: https://www.papershred.de Vertrag über die Auftragsverarbeitung personenbezogener Daten im Folgenden: Auftraggeber Firma mit Rechtsform / Vollständiger Name bei Einzelunternehmen Straße und Hausnummer * PLZ und Ort * vertreten durch * E-Mail * im Folgenden: Auftragnehmer Andreas Schulze Papershred Aktenvernichtung Am Tower 22 55126 Mainz vertreten durch Andreas Schulze 1. Einleitung, Geltungsbereich, Definitionen (1) Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag. (2) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten. (3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU DatenschutzGrundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärung 2. Gegenstand und Dauer der Verarbeitung 2.1 Gegenstand Der Auftragnehmer übernimmt folgende Verarbeitungen: - Stellung von Datenschutzbehälter für die Sammlung von Daten - Abholung der Behälter - Vernichtung der Daten nach DIN 66399-2 - Schutzklasse 3 Sicherheitsstufe P4 2.2 Dauer Einmalige Beauftragung Unbefristete Laufzeit, Kündigungsfrist von 4 Wochen jeweils zum Monatsende Leistungsbeginn ab dem 3. Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung: 3.1 Art und Zweck der Verarbeitung - Die Verarbeitung ist folgender Art: Vernichtung von Daten - Die Verarbeitung dient folgendem Zweck: ordnungsgemäße Datenvernichtung 3.2 Art der Daten Es werden folgende Daten verarbeitet: Gegenstand Vernichtung personenbezogener Daten sind folgende Datenarten / -kategorien (Aufzählung / Beschreibung der Datenkategorien) Personenstammdaten Kommunikationsdaten (z.B. Telefon, E-Mail) Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse) Kundenhistorie Vertragsabrechnungs- und Zahlungsdaten Planungs- und Steuerungsdaten Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen) Personaldaten weitere 3.2.1 Kategorien der betroffenen Personen Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst (Aufzählung / Beschreibung der betroffenen Personenkategorien): Kunden Interessenten Abonnenten Beschäftigte Lieferanten Handelsvertreter Ansprechpartner weitere 4. Systembeschreibung (1) Für die Sammlung der Datenträger werden Datenschutzbehälter eingesetzt. Behälter werden verschlossen von Papershred Aktenvernichtung aufgestellt. Wird vom Auftraggeber ein Schlüssel gewünscht, ist dies formlos mitzuteilen. Die Anzahl der ausgegebenen Schlüssel ist möglichst gering zu halten. Die Ausgabe wird auf dem Lieferschein protokolliert. (2) Der Tauschturnus kann fix vereinbart werden oder auf Abruf erfolgen. Abholung, Lieferung und Austausch werden auf dem Lieferschein protokolliert. (3) Die Datenträger werden vor Ort vernichtet. (4) Das Vernichtungsverfahren sieht eine Zerkleinerung sowie Vermischung des Materials vor. Recyclingfähiges Papier wird der stofflichen Verwertung zugeführt. Papershred verpflichtet sich die entsprechenden technischen und organisatorischen Maßnahmen gemäß Anlage zu treffen. (5) Der Auftraggeber erhält einen Vernichtungsnachweis über die Vernichtung der Datenträger. 5. Qualität der Datenträger (1) Datenträger sind sortenrein nach ihrer Datenträgerkategorie in die bereit gestellten Schutzbehälter zu sammeln. (2) Soweit die Datenschutzbehälter mit Papier befüllt werden, sind einzelne Kunststoffteile wie z. B. Folien, Hefter zulässig. Die Menge der Störstoffe darf 10% nicht überschreiten, da eine stoffliche Verwertung nicht mehr möglich wäre. (3) Bei Festplatten der Datenkategorie H, stellt der Auftraggeber sicher, dass kein gefährlicher Abfall in die Behälter gelangt. Festplatten ab dem Herstellungsjahr 2003, können grundsätzlich als gefahrenfrei deklariert werden. (4) Im Zweifelsfall ist der Ansprechpartner von Papershred zu kontaktieren. 6. Mitwirken des Auftragsgebers (1) Behälter werden vor der Anlieferung durch Papershred auf Funktionsfähigkeit und Inhalt geprüft. Nachweis hierfür ist der Behälterkontrollzettel. Der Auftraggeber prüft bei Lieferung ebenfalls den Zustand des Behälters und quittiert die Funktionsfähigkeit mit der Unterschrift auf dem Lieferschein. (2) Aus Gründen des Datenschutzes wird dem Auftraggeber empfohlen den Datenschutzbehälter an einem sicheren Ort auf zu stellen. (3) Soweit ein Schlüssel ausgegeben ist, sollte dieser ebenfalls sicher gelagert werden. Wenn mehrere Personen Zugriff auf den Schlüssel haben, empfiehlt sich ein Schlüsselprotokoll. (4) Die Behälter sind schonend zu behandeln. Der Auftraggeber stellt sicher, dass die Datenträger nicht verpresst gefüllt werden, um die Funktionsfähigkeit der Behälter nicht zu beeinträchtigen. 7. Pflichten des Auftragnehmers (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. (4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. (5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden. (6) Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. (7) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. (8) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten. (9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. (10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. (11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 DatenschutzGrundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen. 8. Technische und organisatorische Maßnahmen (1) Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig. (2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren. (3) Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich. (4) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. (5) Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis erfolgt durch Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren. 9. Regelungen zur Berichtigung, Löschung und Sperrung von Daten (1) Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren. (2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten. 10. Unterauftragsverhältnisse (1) Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers im Einzelfall zugelassen. (2) Die Zustimmung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und Subunternehmer. (3) Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen. (4) Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen. (5) Eine weitere Subbeauftragung durch den Subunternehmer ist nicht zulässig. (6) Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus. (7) Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat. Der Auftragnehmer hat dem Auftraggeber die Dokumentation unaufgefordert vorzulegen. (8) Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 4 (10) und (11) dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist. (9) Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätestens alle 12 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber unaufgefordert vorzulegen. (10) Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber. (11) Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt. (12) Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt. 11. Rechte und Pflichten des Auftraggebers (1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich. (2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen. (3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. (4) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. (5) Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie in diesen Vertrag vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken. 12. Mitteilungspflichten (1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten: a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; d. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen (2) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen. (3) Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen. (4) Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen. 13. Weisungen (1) Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor. (2) Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen in Anlage 3. (3) Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen. (4) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den verantwortlichen beim Auftraggeber bestätigt oder geändert wird. (5) Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren. 14. Beendigung des Auftrags (1) Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399. Hierbei gilt mindestens Schutzklasse 3 + P4. (2) Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen. (3) Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber unverzüglich vorzulegen. (4) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben. 15. Vergütung Die Vergütung des Auftragnehmers ist abschließend im Angebot / Auftrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht. 16. Haftung (1) Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner. (2) Der Auftragnehmer trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftragnehmer den Auftraggeber auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftraggeber erhoben werden. Unter diesen Voraussetzungen ersetzt der Auftragnehmer dem Auftraggeber ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung. (3) Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen. (4) Nummern (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist. 17. Sonderkündigungsrecht (1) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. (2) Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat. (3) Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt. (4) Der Auftragnehmer hat dem Auftraggeber alle Kosten zu erstatten, die diesem durch die verfrühte Beendigung des Vertrages oder dieses Vertrages in Folge einer außerordentlichen Kündigung durch den Aufraggeber entstehen. 18. Sonstiges (1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln. (2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. (3) Für Nebenabreden ist die Schriftform erforderlich. (4) Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. (5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Unterschriften Auftraggeber Ort, Datum * Unterschrift Auftraggeber * signature keyboard Clear Unsere Zertifikate und Urkunden stehen Ihnen als Download zur Verfügung.Lesen Sie bitte auch die Anlagen. Hier zum Absenden des Vertrags gelangen. Auftragnehmer Ort, Datum * Unterschrift Auftragnehmer Anlage 1 - technische und organisatorische Maßnahmen Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen. 1. Zutrittskontrolle Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere zur Legitimation der Berechtigten: Beispiele -> Das Gelände auf der die Aktenvernichtungsanlage betrieben wird, ist umzäunt bzw. baulich vom Nachbargrundstück abgetrennt. -> Die Schredderhalle kann von betriebsfremden Personen, nur mit einer vom Auftragnehmer berechtigten Person betreten. -> Außerhalb der Betriebszeiten wird das Gelände und insbesondere die Halle, durch eine Alarmanlage sowie eine Videoanlage überwacht. -> Die Schredderanlage wird in einer geschlossenen Halle betrieben. -> Der Zutritt erfolgt durch ein elektronisches Schließsystem, Mitarbeiter haben persönliche Zutrittscodes. -> Der Hallenzutritt von betriebsfremden Personen wird protokolliert. -> Die Türen der Halle sind aus Stahl. 2. Datenträgerkontrolle Ausschließlicher Zweck der Auftragsverarbeitung ist die Vernichtung der übernommen Datenträger. Das unbefugte Lesen, Kopieren, Verändern oder Löschen wird wie folgt verhindert: -> Es werden ausschließlich geschlossenen Sammelbehälter vom Auftraggeber übernommen. -> Die Behälter werden verschlossen im GPS überwachten Fahrzeug transportiert. -> Die Behälter werden unmittelbar vor dem Vernichtungsprozess entleert oder in einem Schutzbereich in der Halle gelagert. -> Angelieferten Datenträger werden am Tag der Anlieferung vernichtet. -> Geleerte Behälter werden einer Kontrolle unterzogen und mit einem Kontrollzettel versehen, bevor diese die Halle verlassen. -> In der Schredderanlage herrscht fotografier Verbot. -> Die mit der Auftragsverarbeitung beauftragten Beschäftigten sind auf die Einhaltung des Datenschutzes verpflichtet. 3. Speicherkontrolle Ausschließlicher Zweck der Auftragsverarbeitung ist die Vernichtung der übernommen Datenträger. Übernommene Datenträger werden nicht gespeichert. Maßnahmen zur Verhinderung der unbefugten Eingabe personenbezogener Daten sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung der Daten, sind daher nicht erforderlich. 4. Benutzerkontrolle Ausschließlicher Zweck der Auftragsverarbeitung ist die Vernichtung der übernommen Datenträger. Im Rahmen der Benutzerkontrolle gewährleistet der Auftragnehmer, dass eine unbefugte Nutzung von Daten mit Hilfe von Einrichtung zur Datenübertragung durch unbefugte wie folgt verhindert wird: -> Zugang zur Halle, in der die Datenvernichtung stattfindet, nur autorisierte Personen. -> Führen eines Besucherprotokolls bei Zutritt betriebsfremder Personen. 5. Zugriffskontrolle Es ist zu gewährleisten, dass der Auftragsnehmer ausschließlich auf die seiner Zugriffsberechtigung unterliegenden Daten zugreift. Zum Schutz, dass die vom Auftragnehmer zur Vernichtung übernommen Daten unbefugt gelesen, kopiert oder genutzt werden können, sind folgende Maßnahmen getroffen: Der Auftragnehmer übernimmt ausschließlich die vom Auftraggeber angemeldeten und zur Vernichtung vorgesehen Datenträger, dies wird auf dem Übernahmeprotokoll vermerkt. 6. Übertragungskontrolle Es muss gewährleistet werden, dass überprüft und gewährleistet werden kann, an welchen Stellen personenbezogenen Daten übermittelt oder zur Verfügung gestellt wurden oder werden können. -> Die Übernahme der Datenträger in die Aktenvernichtung wird mit Namen des übernehmenden Mitarbeiters, den KFZ Kennzeichen des Schredderfahrzeuges, Anzahl der Behälter, Behältertyp, Datum und Uhrzeit dokumentiert. 7. Eingabekontrolle Es ist zu gewährleisten (durch Protokoll), dass nachträglich geprüft werden kann, ob, von wem und zu welcher Zeit personenbezogene Daten vernichtet wurden. Der Auftragnehmer protokolliert die Vernichtung in einem Übernahmeprotokoll und einem Vernichtungsprotokoll. 8. Transportkontrolle Die übernommenen Datenträger werden vor Ort geschreddert transportiert. Der Transport des Schreddergutes erfolgt über eine Straße. Folgende Maßnahmen werden getroffen, um die Vertraulichkeit der Daten während des Transportes zu sichern: -> Transportfahrzeuge mit festen, geschlossenen Aufbau -> Datenträger werden vor Ort geschreddert 9. Wiederherstellbarkeit Für die Schredderanlage, die vom Auftragnehmer zur Datenvernichtung betriebene wird, sind für den Störfall folgende Maßnahmen getroffen: -> Implementierung eines Notfallplans mit Festlegung von redundanten stationären Aktenvernichtungsanlagen 10. Zuverlässigkeit Der Auftragnehmer gewährleistet, dass die Aktenvernichtungsanlage betriebsbereit ist durch folgende Maßnahmen: -> Kontrolle und Wartung gem. Wartungsplan -> Präventiver Austausch der Zerkleinerungskomponenten 11. Datenintegrität Ausschließlicher Zweck der Auftragsverarbeitung ist die Vernichtung der übernommen Daten. Es erfolgt keine Speicherung. Daher gibt es keine Maßnahmen, die Beschädigung gespeicherter Daten, zu verhindern. 12. Auftragskontrolle Es ist zu gewährleisten, dass die übernommen Datenträger gem. Weisung des Auftraggebers vernichtet werden. -> Auftragsverarbeitung ist vertraglich geregelt -> Ansprechpartner ist bekannt -> Regelmäßige Schulung des mit der Datenvernichtung betrauten Personals 13. Verfügbarkeitskontrolle Es ist zu gewährleisten, dass personenbezogene Daten von Verlust geschützt sind. Hierfür wurden folgende Maßnahmen ergriffen: Notfallkonzept 14. Trennbarkeit Ausschließlicher Zweck der Auftragsverarbeitung ist die Vernichtung der übernommen Daten. Die Vermischung mit anderen Datenträgern, ist im Vernichtungsprozess vorgesehen. Hierdurch wird ein höherer Datenschutz erzielt, da die Reproduktion erschwert wird. 15. Verfahren zur Wirksamkeit der technischen und organisatorischen Maßnahmen Regelmäßige Überprüfungen der technischen und organisatorischen Maßnahmen, gewährleisten die Wirksamkeit dieser. Folgende Maßnahmen zur Prüfung sind getroffen: -> Jährliche Zertifizierung der Datenträgervernichtung durch einen externen Sachverständiger. -> Mindestens halbjährliche Prüfung der Aktualität des Verfahrens im internen Audit bzw. QM Sitzung. -> Regelmäßige Schulung des Personals welches mit der Datenvernichtung betraut ist. Anlage 2 - Zugelassene Subdienstleister Bei Ausfall der Shredderanlagen Meinhardt Städtereinigung GmbH & Co. KG Haagweg 3–7 • 65462 Ginsheim-Gustavsburg Anlage 3 - Weisungsberechtige Personen Folgende Personen sind zur Erteilung und Entgegennahme von Weisungen befugt: Bei Auftragnehmer: Andreas Schulze Franziska Schulze Johannes Schreiber Bei Auftraggeber: Vertrag senden Falls Du menschlich bist, lasse dieses Feld leer.