Logo

Anlage 3: Auftragsverarbeitungsvertrag nach Art. 28 DSGVO

  1. Geltungsbereich

  1. Dieser Auftragsverarbeitungsvertrag (im Folgenden „Vertrag“) regelt die Rechte und Pflichten der BANQR Digital Solutions GmbH, Thyssenstrasse 6-8, 32312 Lübbecke, vertreten durch den Geschäftsführer: Wolfgang Gehrlicher, eingetragen im Handelsregister B des Amtsgerichts Bad Oeynhausen unter HRB 19403, (im Folgenden: „Auftragnehmer“) und ihres Kunden (im Folgenden: „Auftraggeber“) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag. Im Sinne des Datenschutzes ist der Auftraggeber der "Verantwortliche", der Auftragnehmer der "Auftragsverarbeiter" (im Folgenden auch gemeinschaftlich „Parteien“ genannt).

  2. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer oder Mitarbeiter des Auftragnehmers personenbezogene Daten des Auftraggebers in dessen Auftrag verarbeiten.

  3. In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der Datenschutz-Grundverordnung (im Folgenden „DSGVO“) in ihrer jeweils aktuellen Fassung zu verstehen.

  4. Soweit Erklärungen im Folgenden in „Textform“ zu erfolgen haben, gilt § 126b BGB gemeint.

  1. Gegenstand und Dauer des Auftrags

  1. Der Gegenstand des Auftrags zur Verarbeitung personenbezogener Daten wird im Hauptvertrag definiert. Der Auftragnehmer übernimmt entsprechend der Beauftragung im Hauptvertrag folgende Datenverarbeitungen:
  1. Verifizierungsprozess zur Betrugsprävention
  2. Erbringung von Supportdienstleistungen auf den IT-Systemen des Auftraggebers, falls gesondert beauftragt.

  1. Der Auftraggeber gewährleistet, dass die an den Auftragnehmer weitergegebenen und im Auftrag verarbeiteten Daten rechtmäßig erlangt wurden.

  2. Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von drei Monaten zum Monatsende gekündigt werden bzw. endet automatisch mit Beendigung des Hauptvertrages. Die Möglichkeit zur fristlosen Kündigung bleibt für beide Parteien hiervon unberührt.

  3. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein grob fahrlässiger oder vorsätzlicher schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Verantwortlichen vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar. Im Fall eines fahrlässigen Verstoßes durch den Auftragnehmer ist der Auftraggeber nur zur fristlosen und außerordentlichen Kündigung berechtigt, wenn er den Auftragnehmer vor der Kündigung dazu aufgefordert hat, den Verstoß innerhalb einer angemessenen Frist abzustellen und der Auftragnehmer dieser Aufforderung nicht fristgemäß nachgekommen ist.

  1. Konkretisierung des Auftragsinhalts

  1. Die Art und der Zweck der verarbeiteten personenbezogenen Daten sowie die Kategorien der Betroffenen werden in Anlage 1 zu diesem Vertrag konkretisiert.

  2. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

  1. Pflichten des Auftragnehmers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich entsprechend der Weisungen des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderen Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer des Auftraggebers diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

  2. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen als die in Anlage 1 genannten Zwecke, insbesondere nicht für eigene Zwecke. Der Auftragnehmer erhält weiterhin an den im Rahmen der Verarbeitung verarbeiteten Daten oder auch an den Ergebnissen der Datenverarbeitung keine wie auch immer gearteten Eigentums- oder auch nur Nutzungsrechte. Auch eine Anonymisierung der Daten in Verbindung mit einer darauffolgenden eigenen Verarbeitung seitens des Auftragnehmers findet nicht statt.

  3. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

  4. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind und er die Grundsätze ordnungsgemäßer Datenverarbeitung beachtet. Der Auftragnehmer sichert zu, dass er keinen Grund zur Annahme hat, dass eine für ihn geltende Rechtsvorschrift ihn daran hindert, die vom Auftraggeber erhaltenen Weisungen oder Verpflichtungen aus diesem Vertrag zu erfüllen.

  5. Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber - soweit erforderlich - bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutz-Folgenabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

  6. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

  7. Der Auftragnehmer leitet dem Auftraggeber Anfragen und geltend gemachte Rechte von Betroffenen unverzüglich weiter, ohne mit dem Betroffenen in Kontakt zu treten, außer der Auftragnehmer wurde ausdrücklich vom Auftraggeber zur Kontaktaufnahme angewiesen. Der Auftragnehmer stellt sicher, dass diese Pflicht dem Unterauftragnehmer in entsprechender Weise auferlegt wird.

  8. Sofern gesetzlich verpflichtet, benennt der Auftragnehmer einen fachkundigen und zuverlässigen Datenschutzbeauftragten. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Sofern kein Datenschutzbeauftragter ernannt wurde, hat der Auftragnehmer einen Ansprechpartner in Sachen Datenschutz zu benennen. Die Kontaktdaten des derzeitigen Datenschutzbeauftragten oder des für den Datenschutz zuständigen Ansprechpartners sind in Anlage 2 zu diesem Vertrag benannt.
    Änderungen hinsichtlich der Bestellung oder der Kontaktmöglichkeiten des Datenschutzbeauftragten bzw. des für den Datenschutz zuständigen Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

  1. Technische und organisatorische Maßnahmen

  1. Der Auftragnehmer verpflichtet sich, sämtliche entsprechend Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zu entsprechen. Der Mindeststandard der in den TOM zu beschreibenden Maßnahmen ist in Anlage 3 beigefügt. Der Auftraggeber bestätigt, dass diese zum Zeitpunkt des Vertragsschlusses im Sinne der DSGVO angemessen sind. Der Auftragnehmer sichert zu, die in Anlage 3 beschriebenen TOM implementiert zu haben. Für die Erstellung und Implementierung der TOM ist alleine der Auftragnehmer zuständig.

  2. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau oder auch der anerkannte Stand der Technik nicht unterschritten wird. Erforderliche Änderungen, die der Aufrechterhaltung der Datensicherheit dienen, hat der Auftragnehmer unverzüglich umzusetzen.

  3. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

  4. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen (z.B. Backups), soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

  5. Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Hierzu wird der Auftragnehmer dem Auftraggeber hinreichende Garantien vorlegen, wie aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutz-beauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. nach BSI-Grundschutz). Zum Nachweis der hinreichenden Garantien können auch die Einhaltung genehmigter Verhaltensregeln oder genehmigter Zertifizierungsverfahren herangezogen werden. Der Nachweis ist dem Auftraggeber grundsätzlich alle 12 Monate aber spätestens alle 24 Monate auf Anforderung zu überlassen. Nachweise sind mindestens bis zum Ablauf von drei Kalenderjahren nach Beendigung der Auftragsverarbeitung aufzubewahren und dem Auftraggeber jederzeit auf Verlangen vorzulegen.

  6. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit und dem Datenschutz zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. Der Auftragnehmer wird seine Mitarbeiter auf weitergehende Geheimnisschutzregeln verpflichten, sofern der Auftraggeber derartigen weitergehenden Pflichten z.B. dem Sozialgeheimnis etc. unterliegt. Der Auftraggeber muss den Auftragnehmer zumindest in Textform entsprechend hierzu anweisen. Die Pflicht zur Vertraulichkeit besteht auch nach der Beendigung des Vertrages fort.

  7. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen werden angemessen regelmäßig wiederholt. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen sensibilisiert, angeleitet und überwacht werden.

  1. Berichtigung, Löschung und Sperrung von Daten

  1. Die im Auftrag verarbeiteten Daten wird der Auftragnehmer nur nach Weisung des Auftraggebers berichtigen, löschen oder sperren.

  2. Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

  3. Der Auftraggeber stellt den Auftragnehmer von jeglicher Haftung – auch seitens Dritter – frei, sofern die Daten entsprechend der Aufforderung berichtigt, gelöscht oder gesperrt wurden. Die Regelungen zur Beendigung in § 11 dieses Vertrages bleiben unberührt.

  1. Weisungen

  1. Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

  2. Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen zumindest in Textform dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich zumindest in Textform dokumentiert bestätigen.

  3. Der Auftragnehmer teilt in Anlage 2 mindestens eine Persone mit, die zur Annahme von Weisungen ausschließlich befugt ist.

  4. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich zumindest in Textform dokumentiert mitzuteilen.

  5. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den zuständigen Beschäftigten beim Auftraggeber bestätigt oder geändert wird.

  6. Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

  1. Rechte und Pflichten des Auftraggebers

  1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

  2. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

  3. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu kontrollieren. Die mit der Kontrolle betrauten Personen sind vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der Auftragnehmer ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.

  4. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu den normalen Bürozeiten zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 24 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter § 5 Abs. 5 dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

  5. Der Auftraggeber ist berechtigt, Kopien dieses Vertrags an bestimmte Vertragspartner und Behörden weiterzugeben, um den Nachweis der Einhaltung gesetzlicher und/oder vertraglicher Pflichten zu erbringen, insbesondere Art. 28 Abs. 3 DSGVO. Vor Weitergabe entfernt der Auftraggeber durch Schwärzung etwaige vertrauliche Geschäftsinformationen aus der Kopie.

  1. Unterauftragsverhältnisse

  1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen.

  2. Eine Beauftragung von Unterauftragnehmern durch den Auftragnehmer darf auf Grundlage einer allgemeinen schriftlichen Genehmigung des Auftraggebers vorgenommen werden, die er hiermit erteilt. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder Ersetzung bestehende Unterauftragnehmer durch andere 30 Tage bevor diese Änderung stattfindet. Der Auftraggeber kann ohne Angabe von Gründen Einspruch gegen die Änderung erheben mit der Konsequenz, dass die Änderung nicht stattfindet.

  3. Sofern die Beauftragung von Unterauftragnehmern nach Maßgabe von Abs. 2 erlaubt ist, hat der Auftragnehmer sicherzustellen, dass die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden erst stattfindet, nachdem der Auftragnehmer mit dem Unterauftragnehmer einen schriftlichen Vertrag über die Unterbeauftragung abgeschlossen hat. Die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer müssen auch gegenüber dem Unterauftragnehmer gelten. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Unterauftragnehmern durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragnehmer ist verpflichtet, dieses Recht des Auftraggebers vertraglich gegenüber dem Unterauftragnehmer zu regeln.

  4. Die Zuständigkeiten und Pflichten des Auftragnehmers und des Unterauftragnehmers sind eindeutig voneinander abzugrenzen.

  5. Der Auftragnehmer wählt den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der vom Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

  6. Die Weiterleitung von im Auftrag verarbeiteten Daten an den Unterauftragnehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Unterauftragnehmer seine Verpflichtungen vollständig erfüllt hat, siehe Abs. 3 S. 2. Der Auftragnehmer hat dem Auftraggeber die Dokumentation nach Aufforderung vorzulegen.

  7. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

  8. Der Auftragnehmer hat die Einhaltung der Pflichten des Unterauftragnehmers regelmäßig alle 12 Monate, aber spätestens alle 24 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber nach Aufforderung nach Aufforderung vorzulegen. Der Auftragnehmer bewahrt die Dokumentation über durchgeführte Prüfungen mindestens bis zum Ablauf des dritten Kalenderjahres nach Beendigung der Auftragsverarbeitung auf und legt diese dem Auftraggeber auf Verlangen jederzeit vor. Eigene Kontrollrechte des Auftraggebers bleiben hiervon unberührt.

  9. Kommt der Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.

  10. Der Einsatz von weiteren Unterauftragnehmern durch den Unterauftragnehmer ist im Rahmen dieser Verarbeitung im Auftrag nicht zulässig.

  11. Beide Parteien sind sich einig, dass Nebenleistungen, wie beispielsweise Transport und Reinigung der Geschäftsräume sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservicekeine keine Auftragsverarbeitung im Sinne dieses Vertrages ist, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständigen Verantwortlichen sind. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

  12. Zurzeit sind die in Anlage 3 mit Namen, Anschrift und Auftragsinhalt bezeichneten Unterauftragnehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber hiermit genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Unterauftragnehmer bleiben unberührt.

  1. Mitteilungspflichten

  1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes im Auftrag verarbeiteter personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung hat unverzüglich ab Kenntnis des Auftragnehmers vom relevanten Ereignis an den in Anlage 2 genannten Ansprechpartner im Datenschutz zu erfolgen.

Sie muss mindestens folgende Angaben enthalten:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

  4. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

  1. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung. Zudem bedarf es der Mitteilung von Verstößen des Unterauftragnehmers oder der bei ihm beschäftigen Personen gegen datenschutzrechtliche Bestimmungen gemäß Abs. 1.

  2. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

  3. Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 DSGVO im erforderlichen Umfang zu unterstützen.

  1. Beendigung des Auftrags

  1. Befinden sich bei Beendigung des Auftragsverhältnisses noch personenbezogene Daten oder Kopien derselben noch in der Verfügungsgewalt des Auftragnehmers, hat dieser nach Wahl des Auftraggebers die Daten entweder zu löschen bzw. vernichten oder an den Auftraggeber zu übergeben. Der Auftragnehmer kann von einer Löschung bzw. Vernichtung absehen, sofern gesetzliche Aufbewahrungspflichten bestehen, die ihn zur Speicherung der Daten verpflichten. In diesem Fall hat der Auftragnehmer den Auftraggeber unter Verweis auf die gesetzliche Aufbewahrungspflicht über die weitergehende Speicherung unverzüglich zu unterrichten und sicherzustellen, dass die Weiterverarbeitung der betreffenden Daten auf den Zweck der Wahrung der gesetzlichen Aufbewahrungspflicht beschränkt ist.

  2. Die Wahl nach Abs. 1 hat der Auftraggeber zu treffen und dem Auftragnehmer in Textform mitzuteilen. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung mit vertretbarem Aufwand nicht mehr möglich ist.

  3. Der Auftragnehmer ist verpflichtet, die unverzügliche Vernichtung bzw. Rückgabe auch bei Unterauftragnehmern herbeizuführen.

  4. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber nach dessen Aufforderung vorzulegen.

  5. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer mindestens bis zum Ablauf des dritten Kalenderjahres nach Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber übergeben.

  6. Der Auftraggeber stellt den Auftragnehmer von jeglicher wie auch immer gearteter Haftung – auch gegenüber Dritter – in Bezug auf die gelöschten bzw. vernichteten Daten frei, sofern die durchgeführte Löschung bzw. Vernichtung der personenbezogenen Daten der Aufforderung des Auftraggebers entsprach.

  1. Vergütung

  1. Für im Rahmen der Verarbeitung im Auftrag gesondert entstehende Aufwände kann der Auftragnehmer eine angemessene Vergütung verlangen.

  2. Eine Vergütung ist in allen Fällen ausgeschlossen, wenn der Mehraufwand dadurch entsteht, dass der Auftragnehmer gegen anwendbares Recht oder gegen Regelungen des hiesigen Vertrages verstoßen hat.

  1. Sonstiges

  1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

  2. Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

  3. Für die Wirksamkeit von Nebenabreden ist die Schriftform und die ausdrückliche Bezugnahme auf diese Vereinbarung erforderlich.

  4. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

  5. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Anlage 1 – Angaben zur Datenverarbeitung (zu § 3 Abs. 1)

  1. Art, Zweck, Ort und Betroffene der Datenverarbeitung
  1. Art und Zweck der Verarbeitung

Der Umfang der Verarbeitung wird im Hauptvertrag definiert.
Die Verarbeitung im Auftrag umfasst u.a. die folgenden Datenverarbeitungen:

  • Durchführung des Verifizierungsprozesses

    • Erfassung der durch den Auftraggeber zu überprüfenden Daten (Name des Kontoinhabers, Bankleitzahl und Kontonummer bzw. IBAN).

    • Temporäre Speicherung der eingegeben Daten zu Weiterleitung der Daten an die API-Schnittstelle der Deutschen Bank.

    • Auswertung der durch die Bank infolge der Anfrage bereitgestellten Daten zur Gültigkeit des Kontos sowie der kontobezogene Daten bzw. letzte Transaktionsdaten und/oder Informationen zum Zahlungsstatus, falls keine Verbindung zu einer Drittbanken außerhalb der Deutschenbank-Gruppe hergestellt werden konnte.

    • Bereitstellung des Verifizierungsergebnisses in Echtzeit (Realtime) bzw. nahezu in Echtzeit (Neartime) an den Auftraggeber im Portal.

  • Bearbeitung von Support-Anfragen
    Zugriff auf die IT-Systeme des Auftraggebers, in denen auch personenbezogene Daten gespeichert sind, sodass diese im Rahmen der Fernzugriffs bei Erbringung der Supportdienstleistungen eingesehen werden können.

Die Verarbeitung dient somit den folgenden Zwecken:

  • Durchführung des Verifizierungsprozesses zur

    • Sicherstellung der Gültigkeit von Bankkontodaten vor der Durchführung von Zahlungen oder Transaktionen.

    • Reduzierung von Fehlüberweisungen und Betrugsrisiken durch Echtzeit-Verifizierung von Kontoinformationen.

  • Bearbeitung von Support-Anfragen des Auftraggebers

  1. Art der Daten

Es werden die folgenden Arten von personenbezogenen Daten verarbeitet:

  • Namen

  • Kontaktdaten

  • Kontodaten

  • Transaktionsdaten

  • Information zum Zahlungsstatus

  1. Ort der Verarbeitung
    Der Auftragnehmer erbringt die vereinbarte Leistung an einem Leistungsort innerhalb der EU bzw. des EWR.
  1. Kategorien der betroffenen Personen

  • Mitarbeiter des Auftraggebers

  • Kunden des Auftraggebers

  • Dienstleister des Auftraggebers

    Anlage 2 – Kontaktdaten (zu § 4 Abs. 8 und § 7 Abs. 3)

  1. Die für den Datenschutz zuständigen Ansprechpartner (zu § 4 Abs. 8)

    Die Kontaktdaten des Ansprechpartners für den Datenschutz beim Auftragnehmer, sofern kein Datenschutzbeauftragter besteht:

Änderungen hinsichtlich der Benennung oder der Kontaktmöglichkeiten sind dem Auftraggeber unverzüglich mitzuteilen.

  1. Entgegennahme von Weisungen (zu § 7 Abs. 3)

Annahmebefugte Personen beim Auftragnehmer:
Nadine Ebmeyer (siehe Ziffer 1).

Anlage 3 – Übersicht der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (zu § 5 Abs. 1)

Verantwortliche für die Datenverarbeitung sind gem. Art. 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zu treffen, durch die die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet wird. Maßnahmen müssen dabei so gewählt sein, dass durch sie in der Summe ein angemessenes Schutzniveau sichergestellt wird. Diese Übersicht erläutert vor diesem Hintergrund, welche konkreten Maßnahmen durch den Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten im konkreten Fall getroffen wurden. Durch diese Übersicht soll der Nachweis der Beachtung der datenschutzrechtlichen Vorschriften durch Auftragnehmer geführt werden.

  1. Pseudonymisierung von Daten (Art. 32 Abs. 1 lit. a) DSGVO

    Auftragnehmer stellt sicher, dass - soweit die technischen Abläufe dies zulassen - bei personenbezogenen Daten wesentliche Identifizierungsmerkmale durch einen Schlüssel ersetzt werden, mit dem bei Bedarf wieder einen Personenbezug hergestellt werden kann (Pseudonymisierung).

    Verwendung von Tokenisierungstechnologien, um sensible Daten durch nicht rückführbare Platzhalter zu ersetzen.

  2. Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a) DSGVO)

    Auftragnehmer gewährleistet, dass personenbezogene Daten nur gesichert gespeichert werden, indem eine angemessene Verschlüsselung erfolgt.

  • AES-256-Verschlüsselung für die temporäre Speicherung der Daten während des Verifizierungsprozesses.

  • Strenge Zugriffsbeschränkungen auf Verschlüsselungsschlüssel.

  1. Vertraulichkeit der Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)

  1. Zutrittskontrolle

    Auftragnehmer trifft Maßnahmen, um zu verhindern, dass unbefugte Personen Zutritt (räumlich zu verstehen) zu Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden.

  • Die Server-Infrastruktur liegt in Microsoft Rechenzentren mit ISO 27001-zertifizierter Sicherheitsarchitektur.

  • Physischer Zugang ist nur autorisierten Personen in Microsofts Rechenzentren gestattet.

  1. Zugangskontrolle

    Auftragnehmer trifft Maßnahmen, um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können.

  • Strenge Authentifizierungsverfahren:

  • Zwei-Faktor-Authentifizierung (2FA) für alle administrativen Zugänge.

  • Nutzung von OAuth2 und mTLS zur Authentifizierung und Zugriffsbeschränkung.

  • Passwort- und Zugriffssicherheitsrichtlinien:

  • Komplexe Passwortanforderungen und regelmäßige Passwortwechsel.

  • Sperrung von Konten nach mehrfachen Fehlversuchen.

  1. Zugriffskontrolle

    Auftragnehmer gewährleistet, dass die zur Benutzung von IT-Infrastruktur berechtigten Nutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind, und dass personenbezogene Daten bei der Verarbeitung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können.

  • Rollen- und berechtigungsbasierte Zugriffskontrollen (RBAC):

  • Zugriff auf personenbezogene Daten wird nach dem Need-to-Know-Prinzip geregelt.

  • Mitarbeiter erhalten nur die minimal notwendigen Berechtigungen für ihre Aufgaben.

  • Regelmäßige Überprüfung und Anpassung von Berechtigungen.

  • Schreib- und Löschschutz:

  • Kritische Daten sind gegen unbefugte Änderungen oder Löschungen geschützt.

  • Versionierung und Backup-Systeme ermöglichen eine Wiederherstellung im Falle unautorisierter Änderungen.

  • Trennung von Identifikations- und Verifikationsdaten, um unbefugten Zugriff oder Missbrauch zu verhindern.

  • Echtzeit-Überwachung von Systemaktivitäten durch SIEM (Security Information and Event Management).

  1. Weitergabekontrolle

    Auftragnehmer verhindert, dass personenbezogene Daten bei der elektronischen Übertragung oder beim Transport oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können, und dass festgestellt werden kann, an welchen Stellen eine Übermittlung solcher Daten im lT-System vorgesehen ist.

  • Sichere Datenübertragung:

    • Ende-zu-Ende-Verschlüsselung (TLS 1.2/1.3) bei der Datenübertragung über das Portal

    • Signierte und authentifizierte Kommunikationsprotokolle, um Datenintegrität und Herkunftsnachweis zu gewährleisten.

  • Protokollierung und Nachvollziehbarkeit:

    • Jede Übermittlung und Verarbeitung personenbezogener Daten wird protokolliert (Logging & Monitoring).

    • Echtzeit-Überwachung und Intrusion Detection Systems (IDS) zur Erkennung verdächtiger Aktivitäten.

    • SIEM-Systeme (Security Information and Event Management) zur Analyse und Nachverfolgung von Datenflüssen.

  1. Integrität der Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO)

  1. Eingabekontrolle

    Auftragnehmer stellt sicher, dass nachträglich überprüft werden kann ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind.

  • Protokollierung aller Datenverarbeitungsvorgänge:

  • Jede Eingabe, Änderung und Löschung personenbezogener Daten wird protokolliert.

  • Logs enthalten Zeitstempel, Benutzerkennung und durchgeführte Aktion.

  • Audit- und Monitoring-Systeme:

  • Echtzeitüberwachung aller relevanten Aktivitäten im IT-System.

  • Zugriffsprotokolle und Änderungsverläufe für personenbezogene Daten.

  • Revisionssichere Speicherung der Protokolle:

  • Logs werden verschlüsselt und manipulationssicher gespeichert.

  • Zugriff auf Logs ist nur autorisierten Personen gestattet.

  • Regelmäßige Überprüfung und Analyse der Protokolle:

  • Automatische Alarme bei unautorisierten Änderungen.

  • Manuelle Überprüfung durch Datenschutz- oder IT-Sicherheitsbeauftragte.

  1. Auftragskontrolle

    Auftragnehmer stellt sicher, dass personenbezogene Daten die im Auftrag verarbeitet werden, gemäß den Weisungen des Auftraggebers verarbeitet werden.

  • Vertragliche Verpflichtung:

  • Verarbeitung personenbezogener Daten erfolgt ausschließlich auf Basis des Hauptvertrags und der Weisungen des Auftraggebers.

  • Der Auftragnehmer ist vertraglich zur Einhaltung dieser Weisungen verpflichtet.

  • Weisungsmanagement:

  • Der Auftraggeber kann schriftliche oder elektronische Weisungen zur Datenverarbeitung erteilen.

  • Der Auftragnehmer überprüft Weisungen auf Rechtmäßigkeit und technische Durchführbarkeit und informiert den Auftraggeber bei Unklarheiten oder Problemen.

  • Technische und organisatorische Maßnahmen (TOMs):

  • Berechtigungskonzepte und Zugriffsbeschränkungen verhindern eine unautorisierte Verarbeitung.

  • Einsatz von Kontrollmechanismen (z. B. Monitoring, Protokollierung), um sicherzustellen, dass nur autorisierte Datenverarbeitungen stattfinden.

  • Protokollierung und Nachweisbarkeit:

  • Jede relevante Verarbeitung wird protokolliert, sodass überprüft werden kann, ob sie weisungsgemäß erfolgt ist.

  • Logs enthalten Datum, Uhrzeit, durchführende Person/System und Art der Verarbeitung.

  • Regelmäßige Schulungen und Sensibilisierung der Mitarbeiter:
    Alle mit der Datenverarbeitung betrauten Mitarbeiter werden regelmäßig zu DSGVO-Anforderungen und spezifischen Weisungen des Auftraggebers geschult.

  1. Zweckbindung und Trennungsgebot

    Auftragnehmer stellt sicher, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, immer nur im Rahmen der jeweiligen Zweckbindung genutzt werden und getrennt verarbeitet werden können.

  • Strikte Zweckbindung der Datenverarbeitung:

  • Personenbezogene Daten werden jeweils nur für den festgelegten Zweck verarbeitet, z.B. Vertragserfüllung oder Marketing.

  • Keine zweckfremde Nutzung oder Weiterverarbeitung der Daten durch den Auftragnehmer.

  • Technische Trennung von Datenbeständen:

  • Logische und physische Trennung der Daten unterschiedlicher Auftraggeber.

  • Mandantenspezifische Datenbanken, um sicherzustellen, dass Kundendaten nicht vermischt werden.

  • Zugriffs- und Berechtigungskonzepte:

  • Rollenbasierte Zugriffskontrollen (RBAC) stellen sicher, dass Mitarbeiter nur Zugriff auf Daten erhalten, die für ihren jeweiligen Verarbeitungszweck erforderlich sind.

  • Strikte Protokollierung aller Zugriffe und Verarbeitungen, um eine zweckgebundene Verarbeitung nachweisbar zu machen.

  • Organisatorische Maßnahmen:

  • Schulung der Mitarbeiter zur Einhaltung des Trennungsgebots und der Zweckbindung.

  • Regelmäßige Überprüfung der Verarbeitungsvorgänge zur Sicherstellung der Einhaltung des Verwendungszwecks.

  1. Verfügbarkeit von personenbezogenen Daten (Art. 32 Abs. lit. b) DSGVO)

    Auftragnehmer stellt sicher, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden.

  • Automatische tägliche Backups aller relevanten Daten.

  • Versionierte Speicherung, um frühere Datenstände wiederherstellen zu können.

  • Georedundante Speicherung in mehreren ISO 27001-zertifizierten Rechenzentren innerhalb der Microsoft Azure Cloud.

  1. Belastbarkeit der Systeme und Dienste (Art. 32 Abs. lit. b) DSGVO

    Auftragnehmer gewährleistet, dass seine Systeme und Dienste so ausgelegt sind, dass sie eine angemessene Datenverarbeitung ermöglichen.

  • Skalierbare IT-Infrastruktur:

  • Nutzung von Microsoft Azure Cloud-Diensten mit automatischer Skalierung zur Anpassung an Lastspitzen.

  • Hochverfügbare Load-Balancing-Mechanismen, um Serverausfälle zu vermeiden.

  • Hohe Systemverfügbarkeit:

  • Systemarchitektur mit hoher Verfügbarkeit (99,9 % SLA).

  • Automatische Fehlererkennung und Selbstheilung von Systemen zur Minimierung von Ausfällen.

  • Leistungsüberwachung und Optimierung:

  • Echtzeit-Monitoring der Systemressourcen zur Identifikation und Behebung von Engpässen.

  • Regelmäßige Performance-Tests und Lasttests, um die Belastbarkeit der Systeme zu gewährleisten.

  1. Wiederherstellung von Daten (Art. 32 Abs. lit. c) DSGVO)

    Auftragnehmer stellt sicher, dass für den Fall eines Datenverlustes die verlorenen Daten wiederbeschafft werden können.

  • Detaillierte Wiederherstellungsprozesse (Disaster Recovery Plan)

    • Definierte Prozesse zur Datenwiederherstellung innerhalb kurzer Zeit.

    • Regelmäßige Tests der Wiederherstellungsmechanismen, um die Funktionsfähigkeit sicherzustellen.

  • Schutz vor nicht vorgesehener Datenlöschen oder -manipulation:

    • Zugriffskontrollen und Berechtigungsmanagement, um nicht vorgesehenes Löschen zu verhindern.

    • Protokollierung aller Änderungen und Löschungen, um Fehler oder Manipulationen nachvollziehen und korrigieren zu können.

  1. Überprüfung, Bewertung und Evaluation (Art. 32 Abs. lit. d) DSGVO)

  1. Überprüfung der Maßnahmen

    Die getroffenen Maßnahmen müssen regelmäßig auf einen Anpassungsbedarf geprüft werden.

  • Regelmäßige Sicherheits- und Datenschutz-Audits:

  • Interne und externe Prüfungen der implementierten Schutzmaßnahmen.

  • Überprüfung der Wirksamkeit der Datensicherheitsmaßnahmen durch IT- und Datenschutzexperten.

  • Risikobewertung und Schwachstellenanalyse:

  • Regelmäßige Risikoanalysen zur Identifizierung potenzieller Bedrohungen und Schwachstellen.

  • Anpassung an gesetzliche und technologische Entwicklungen:

  • Überwachung neuer gesetzlicher Anforderungen (z. B. Gesetzesreformen).

  • Verfolgung neuer Sicherheitsstandards und Technologien, um das Schutzniveau kontinuierlich zu verbessern.

  1. Bewertung und Evaluation der Maßnahmen

    Das Ergebnis der Überprüfung (siehe oben) muss bewertet werden; über die bestehenden Maßnahmen hinaus sind etwaige Anpassungen zu bewerten und umzusetzen.

  • Bewertung der Überprüfungsergebnisse:

  • Analyse der Ergebnisse aus Sicherheitsaudits, Risikoanalysen und Datenschutzprüfungen.

  • Identifikation von Schwachstellen oder Verbesserungspotenzialen in bestehenden Sicherheitsmaßnahmen.

  • Priorisierung und Umsetzung von Maßnahmen:

  • Erstellung eines Maßnahmenplans mit Prioritäten basierend auf dem Risiko für personenbezogene Daten.

  • Umsetzung von notwendigen Sicherheitsverbesserungen unter Berücksichtigung des aktuellen Stands der Technik.

  • Laufende Anpassung an gesetzliche und technologische Entwicklungen:

  • Berücksichtigung neuer DSGVO-Anforderungen und regulatorischer Vorgaben.

  • Integration neuer IT-Sicherheitsstandards und Best Practices, um das Schutzniveau kontinuierlich zu verbessern.

  • Überwachung und Kontrolle der Anpassungen:

  • Nach Umsetzung der Maßnahmen erfolgt eine erneute Überprüfung, um deren Wirksamkeit sicherzustellen.

  • Dokumentation aller Anpassungen, um die Einhaltung der DSGVO und interner Sicherheitsrichtlinien nachweisen zu können.

  1. Unterweisung der unterstellten Mitarbeiter (Art. 32 Abs. 4 DSGVO)

    Durch Auftragnehmer ist sicherzustellen, dass alle Mitarbeiter, die mit der Datenverarbeitung befasst sind, über die bestehenden Verpflichtungen und die einzuhaltenden Maßnahmen informiert sind (Unterweisung).

  • Regelmäßige Schulungen und Sensibilisierung:

  • Pflichtschulungen für alle Mitarbeiter, die Zugriff auf personenbezogene Daten haben.

  • Schulung neuer Mitarbeiter vor erstmaligem Zugriff auf personenbezogene Daten.

  • Auffrischungsschulungen in regelmäßigen Abständen, um neue gesetzliche oder technische Anforderungen zu berücksichtigen.

  • Verpflichtung zur Vertraulichkeit:

  • Alle relevanten Mitarbeiter müssen eine schriftliche Verpflichtung zur Wahrung des Datengeheimnisses gemäß Art. 28 DSGVO unterzeichnen.

  • Dokumentierte Bestätigung der Kenntnisnahme und Einhaltung der internen Datenschutzrichtlinien.

    Anlage 3 - Zustimmung zur Beauftragung von Unterauftragnehmern (zu § 9 Abs. 12)

Der Auftraggeber stimmt der Beauftragung folgender Unterauftragnehmer durch den Auftragnehmer zu:

Firma, Rechtsform Anschrift Beschreibung von Art und Umfang der Verarbeitung personenbezogener Daten im Unterauftrag
Vercel Inc. Vercel Inc. 440 N Barranca Avenue #4133 Covina, CA 91723 United States Hosting - IP Adresse, Email, alles was an Daten in der App eingeben wird
Supabase, Inc. 970 Toa Payoh North, Suite 07-04, Singapore, 318992, Singapore Datenbank - IP Adresse, Email, verschlüsseltes Passwort
Redis Ltd. 303 2nd St, North Tower Ste 525, San Francisco, CA 94107, USA Datenbank - IP Adresse, Email
Cloudflare, Inc. Cloudflare, Inc. 101 Townsend St, San Francisco, CA 94107 USA Captcha - IP Addresse
Stripe Payments Europe, Limited Stripe Payments Europe, Limited (SPEL), 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland Zahlungsverarbeitung - IP Adresse, Email, Zahlungsdaten
Twilio Ireland Limited 70 Sir John Rogerson’s Quay, Dublin 2, D02 R296, Ireland Email - Email Adresse
Functional Software, Inc. d/b/a Sentry Functional Software, Inc., 45 Fremont Street, 8th Floor, San Francisco, CA 94105. Error logging - IP Adresse
Google Cloud EMEA Limited 70 Sir John Rogerson’s Quay, Dublin 2, Ireland Authentifizierung - IP Adresse, Email
Hostinger International Ltd. 61 Lordou Vironos str., 6023 Larnaca, Cyprus DNS - IP Addresse
Microsoft Deutschland GmbH Walter-Gropius-Straße 5, 80807 München Cloud-Hosting, Datenverarbeitung und ERP-Integration über Microsoft Dynamics 365 Business Central und Microsoft Azure Deutschland Bereitstellung von Microsoft Teams als Kommunikationsplattform für Support-Anfragen des Auftraggebers.
Deutsche Bank AG Taunusanlage 12, 60325 Frankfurt am Main Verarbeitung von Zahlungstransaktionen und Bereitstellung von Kontoinformationen über Bank-APIs.