Datenschutz


Nachfolgend der Auftragsverarbeitungsvertrag den Sie mit der projo GmbH eingehen, sobald Sie ein Konto erstellen.

1. Anwendungsbereich

Bei der Erbringung der Leistungen gemäß dem Hauptvertrag verarbeitet der Auftragnehmer personenbezogene Daten, die der Auftraggeber zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-​Daten“). Diese Anlage spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der Auftraggeber-​Daten zur Erbringung der Leistungen nach dem Hauptvertrag.

2. Gegenstand der Verarbeitung

a) Gegenstand der Verarbeitung ist die Bereitstellung der im Hauptvertrag Name vom Datum (nachfolgend „Hauptvertrag“) bezeichneten Cloud Services einschließlich der zugehörigen Wartungs-, Pflege- und Supportleistungen durch den Auftragnehmer für den Auftraggeber. Soweit im Hauptvertrag vereinbart gehört hierzu auch die vorherige Migration von Daten aus einem beim Auftraggeber vorhandenen System in die vom Auftragnehmer bereitgestellten Cloud Services.


b) Der Auftrag umfasst alle für die Organisation eines Architekturbüros notwendigen Verarbeitungstätigkeiten von Personal- und Arbeitsdaten.
Dies sind konkret:

  • Verwaltung von Personaldaten
  • Erfassung von Arbeitszeiten und Abwesenheiten
  • Verwaltung von Projekten (Budgets, Fortschritt, Controlling)
  • Erstellen von Angeboten, Rechnungen, Mahnungen
  • Einsatz- und Liquiditätsplanung

3) Dauer des Auftrags

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

4) Art der Daten

Die von der Verarbeitung betroffenen Kategorien personenbezogener Daten hängen von der Nutzung der Cloud Services durch den Auftraggeber ab. Der Auftraggeber kann grundsätzlich folgende Datenkategorien mit dem im Hauptvertrag bezeichneten Cloud-Service verarbeiten:

  • Personenstammdaten (Name, Geburtsdatum, Adresse, Kontonummer, Gehalt, Urlaubstage,…)
  • Personen-Arbeitsdaten (Arbeitszeiten, Abwesenheiten wie Urlaub oder Krankheit)
  • Vertragsstammdaten (Auftragsvolumen, Terminvereinbarungen, Zahlpläne,..)
  • Kundenhistorie, Vertragsabrechnungs- und Zahlungsdaten

Die personenbezogenen Daten folgender Betroffenen können grundsätzlich vom Auftraggeber mit dem im Hauptvertrag bezeichneten Cloud-Service verarbeiten werden:

  • Beschäftigte (einschl. Praktikanten und Freelancer)
  • Kunden
  • Interessenten (potentielle Kunden)
  • Subunternehmer

5. Verantwortlichkeit und Verarbeitung auf Weisung

a) Der Auftraggeber ist im Rahmen dieses AVV für die Einhaltung der anwendbaren gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Offenlegung gegenüber dem Auftragnehmer sowie für die Rechtmäßigkeit der Verarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).

b) Der Auftragnehmer wird die Auftraggeber-​Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern der Auftragnehmer nicht gesetzlich dazu verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

c) Der Auftraggeber behält sich das Recht zur Erteilung von Weisungen über Art, Umfang, Zwecke und Mittel der Verarbeitung von Auftraggeber-Daten vor. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Die schriftliche Bestätigung der mündlichen Weisungen sollte von Auftraggeber und Auftragnehmer zusammen mit der Vereinbarung so aufbewahrt werden, dass alle maßgeblichen Regelungen jederzeit verfügbar sind.

d) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten oder schränkt deren Verarbeitung ein (kurz: „Sperrung“), wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist.
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Vorschriften über den Datenschutz verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis diese vom Auftraggeber in Textform bestätigt oder abgeändert wurde. Die Ausführung offensichtlich datenschutzrechtswidriger Weisungen darf der Auftragnehmer jederzeit ablehnen.

e) Die Parteien benennen in Textform gegenseitig einen oder mehrere Ansprechpartner in datenschutzrechtlichen Angelegenheiten, einschließlich der bestellten Datenschutzbeauftragten. Ergeben sich bei den Ansprechpartnern Änderungen, haben sich die Parteien hierüber in Textform zu informieren.

6) Vertaulichkeit

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.

7) Anforderungen an das Personal

a) Der Auftragnehmer gewährleistet, dass die zur Verarbeitung der Daten befugten Personen die Weisungen des Auftraggebers kennen und diese beachten. Der Auftragnehmer stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Auftraggeber-Daten haben, diese nur auf seine Anweisung verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

b) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung der Verarbeitung fort.

8) Sicherheit der Verarbeitung

a) Der Auftragnehmer ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.

b) Der Auftragnehmer hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die in Anhang 1 zu dieser Anlage spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während des Hauptvertrags aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird. Änderungen der vereinbarten TOM bleiben dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber in Textform mitzuteilen.

9) Unterauftragsvereinbarung

a) Der Auftraggeber genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Auftragsverarbeiter durch den Auftragnehmer. Die gegenwärtig vom Auftragnehmer eingesetzten weiteren Auftragsverarbeiter sind in Anhang 2 genannt.

b) Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter informieren. Der Auftraggeber ist berechtigt, gegen jede beabsichtigte Änderung Einspruch zu erheben. Erhebt der Auftraggeber Einspruch, ist dem Auftragnehmer die beabsichtigte Änderung untersagt. Im Falle zugelassener Änderungen wird der Auftragnehmer die Liste der Unterauftragnehmer in Anhang 2 entsprechend aktualisieren und dem Auftraggeber unverlangt zur Verfügung stellen.

c) Der Auftragnehmer wird jedem weiteren Auftragsverarbeiter vertraglich dieselben Datenschutzpflichten auferlegen, die in dieser Anlage in Bezug auf den Auftragnehmer festgelegt sind.

d) Der Auftragnehmer wird vor jeder Beauftragung sowie regelmäßig während der Beauftragung überprüfen, dass die weiteren Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergriffen haben und diese so durchgeführt werden, dass die Verarbeitung der Auftraggeber-​Daten gemäß dieser Anlage erfolgt.

10) Rechte der betroffenen Person

a) Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren mit technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.

b) Der Auftragnehmer wird insbesondere:

  • den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-​Daten unmittelbar an den Auftragnehmer wenden sollte;
  • dem Auftraggeber auf Anfrage alle bei ihm vorhandenen Informationen über die Verarbeitung von Auftraggeber-​Daten geben, die der Auftraggeber zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Auftraggeber nicht selbst verfügt.

11) Unterrichtung bei Datenschutzverletzungen und Fehlern der Verarbeitung

Der Auftragnehmer meldet dem Auftraggeber, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-​Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-​Daten führen. Die Meldung enthält nach Möglichkeit eine Beschreibung:

  • der Art der Verletzung des Schutzes der Auftraggeber-​Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • der wahrscheinlichen Folgen der Verletzung des Schutzes der Auftraggeber-​Daten;
  • der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Auftraggeber-​Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

12) Sonstige Unterstützungsleistungen

a) Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder Betroffenen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer den Auftraggeber auf dessen Anfrage unterstützen, diese Pflichten einzuhalten.

b) Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-​Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

13) Datenlöschung und -rückgabe

a) Der Auftragnehmer wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrages alle Auftraggeber-​Daten entweder vollständig und unwiderruflich löschen oder an den Auftraggeber zurückgeben, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-​Daten besteht.

b) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Auftraggeber-Daten dienen, dürfen durch den Auftragnehmer auch nach Vertragsende aufbewahrt werden.

14) Nachweise und Überprüfungen

a) Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-​Daten mit dieser Anlage, einschließlich des in Anhang 1 festgelegten Umfangs der Verarbeitung der Auftraggeber-​Daten, sowie den Weisungen des Auftraggebers in Einklang steht.

b) Der Auftragnehmer wird die Umsetzung der Pflichten nach dieser Anlage in geeigneter Weise dokumentieren und dem Auftraggeber entsprechende Nachweise auf dessen Anfrage vorlegen. Der Auftragnehmer wird insbesondere dokumentieren:

  • alle Vertraulichkeitsverpflichtungen von Personen, die Auftraggeber-​Daten verarbeiten;
  • alle sich in seinem Einwirkungsbereich ereignenden Verletzungen des Schutzes von Auftraggeber-​Daten einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und von ihm ergriffene Abhilfemaßnahmen;
  • alle Verträge über die Inanspruchnahme weiterer Auftragsverarbeiter und alle Prüfungen weiterer Auftragsverarbeiter im Sinne von Ziffer VIII..;
  • alle auf Weisung des Auftraggebers erfolgten Löschungen von Auftraggeber-​Daten.

c) Der Auftraggeber ist berechtigt, den Auftragnehmer vor dem Beginn der Verarbeitung von Auftraggeber-​Daten und regelmäßig während der Laufzeit des Hauptvertrags bezüglich der Einhaltung der Regelungen dieser Anlage, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen gemäß Anhang 1, selbst oder durch einen von ihm beauftragten Prüfer zu überprüfen; einschließlich durch Inspektionen. Der Auftragnehmer ermöglicht solche Überprüfungen und trägt durch alle zweckmäßigen und zumutbaren Maßnahmen zu solchen Überprüfungen bei, unter anderem durch:

  • die Gewährung der notwendigen Zugangs- und Zugriffsrechte und
  • der Bereitstellung aller notwendigen Informationen.

d) Zur Behebung der bei einer Inspektion getroffenen Feststellungen stimmen die Parteien umzusetzende Maßnahmen ab.

e) Macht eine Aufsichtsbehörde von Befugnissen nach Art. 58 DSGVO Gebrauch, so informieren sich die Parteien hierüber unverzüglich. Sie unterstützen sich in ihrem jeweiligen Verantwortungsbereich, bei Erfüllung der gegenüber der jeweiligen Aufsichtsbehörde bestehenden Verpflichtungen.

15) Haftung

a) Für die Haftung des Auftragnehmers nach diesem Vertrag gelten die Haftungsausschlüsse und -begrenzungen gemäß dem Hauptvertrag. Soweit Dritte Ansprüche gegen den Auftragnehmer geltend machen, die ihre Ursache in einem schuldhaften Verstoß des Auftraggebers gegen diesen Vertrag oder gegen eine seiner Pflichten als datenschutzrechtlich Verantwortlicher haben, stellt der Auftraggeber den Auftragnehmer von diesen Ansprüchen auf erstes Anfordern frei.

b) Der Auftraggeber verpflichtet sich, den Auftragnehmer auch von allen etwaigen Geldbußen, die gegen den Auftragnehmer verhängt werden, in dem Umfang auf erstes Anfordern freizustellen, in dem der Auftraggeber Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

16) Schlussbestimmungen

a) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.

b) Für Nebenabreden ist die Schriftform erforderlich.

c) Es gilt deutsches Recht.

 

Anhang 1 Datensicherheitskonzept der Projo GmbH

Präambel
Die im Folgenden beschriebenen technischen und organisatorischen Maßnahmen sind die Datensicherheitsmaßnahmen, die von der Projo GmbH und gegebenenfalls den Vertragspartnern der Projo GmbH getroffen wurden, um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen des BDSG erfüllt sind.

  1. Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden.

Die Datenverarbeitungsanlagen befinden sich nicht im Besitz des Auftragnehmers, sondern bei einer Hosting Firma.
Der Zugriff auf die Dienste der Hosting Firma Heroku Inc. ist nach den gängigen, hohen Anforderungen gesichert, wie verschlüsselte Datenübertragung per SSL, Sichere Passwörter, Two-Factor-Authentication

2) Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und
-verfahren benutzen:

Der Zugriff von Kunden auf die Software der Projo GmbH ist nach den gängigen, hohen Anforderungen gesichert, wie verschlüsselte Datenübertragung per SSL und Sichere Passwörter.

Der (Projo-interne) Zugriff auf die Dienste der Hosting Firma Heroku Inc. ist nach den gängigen, hohen Anforderungen gesichert, wie verschlüsselte Datenübertragung per SSL, Sichere Passwörter, Two-Factor-Authentication.

Die Software der Projo GmbH ist in der Programmiersprache Ruby on Rails entwickelt, die wiederum für den hohen Anspruch an Sicherheit bekannt ist. Die unter
http://guides.rubyonrails.org/security.html
empfohlene Sicherheitshinweise sind umgesetzt:

  • sobald ein Benutzer sich erfolgreich authentifiziert, wird diese Anmeldung verschlüsselt in einem Cookie (Session) hinterlegt
  • Cross-Site Request Forgery (CSRF) wird u.a. durch einen Rails-internen Security Token bei Post Requests verhindert
  • XSS wird durch “Sanitizing” von Benutzer-Eingaben verhindert

3) Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

  • Alle Mitarbeiter sind auf das Datengeheimnis nach § 5 BDSG verpflichtet
  • Regelmäßige Sicherheitsupdates nach dem Stand der Technik
  • Prinzip der minimalen Rechte
  • Kunden-Passwörter werden nur verschlüsselt gespeichert und nicht in Logs aufgeführt
  • wenn Kunde seine Email ändern will, muss er zunächst Passwort eingeben
  • wenn Kunde sein Passwort ändern will, muss er zunächst das alte Passwort eingeben

4) Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

die Daten werden auf den Datenverarbeitungsanlagen der Heroku Inc. verarbeitet und zu keiner Zeit an Dritte weitergereicht.

5) Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

  • Sämtliche Systemaktivitäten werden protokolliert
  • die Protokolle werden mindestens 3 Jahre lang durch den Auftragnehmer aufbewahrt

6) Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • neben den Sicherheitsmaßnamen des Hosting-Anbieters Heroku Inc. legt die Projo GmbH täglich um 2:00 Uhr nachts Sicherungskopien des Datenbestandes an und bewahrt diese 7 Tage auf

7) Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • ein erheblicher Mehrwert der Software der Projo GmbH ist die Integration der Daten, sodass Trennungskontrollen aktuell nicht relevant sind.

Anhang 2 Benennung der Subunternehmer

Heroku Inc
The Landmark @ 1 Market St.
Suite 300
San Francisco, CA 94105
USA

Auftragsinhalt: Die Projo GmbH nutzt die Datenverarbeitungsanlagen der Heroku Inc. und diese ausschließlich in der “Europe Region”. Das heißt, dass sämtliche Daten in der EU gespeichert und verarbeitet werden.

Amazon Web Services, Inc.
P.O. Box 81226
Seattle, WA 98108-1226
USA

Auftragsinhalt: Die Projo GmbH nutzt die Dateienverwaltung von AWS S3 und diese ausschließlich in der “EU-Region”. Das heißt, sämtlich hochgeladene Dateien des Dokumenten-Management-Systems von Projo werden in der EU gespeichert.