Vereinbarung zur Auftragsverarbeitung im Rahmen der Bereitstellung des Nexaro HUB
AUFTRAGNEHMER und AUFTRAGGEBER im Sinne dieser Vereinbarung sind die Parteien des Vertrags über die Nutzung des Nexaro HUB und der darauf bereit gestellten Dienste zur Verwaltung und Steuerung von Geräten (nachfolgend als Nexaro HUB bezeichnet) auf Grundlage der Allgemeinen Nutzungsbedingungen für die Nutzung des Nexaro HUB (hub.nexaro.com) der Nexaro GmbH (nachfolgend ANB genannt). Die dort als KUNDE bezeichnete Partei ist der AUFTRAGGEBER, die Nexaro GmbH ist AUFTRAGNEHMER dieser Vereinbarung.
Die Vertragsdurchführung geht mit der Verarbeitung von personenbezogenen Daten einher, weshalb die Parteien den Vertrag inhaltlich um die gem. Art. 28 Abs. 3 DS-GVO erforderlichen Inhalte ergänzen. Zur Wahrung dieser Anforderungen schließen die Parteien in Ergänzung die nachfolgende Vereinbarung zur Auftragsverarbeitung:
§1 Anwendungsbereich und Vertragsbestandteile
- Diese Vereinbarung ergänzt den Vertrag über die Nutzung des Nexaro HUB, so dass ihre Inhalte zum Bestandteil jenes Vertrags werden. Diese Vereinbarung kann über das Ende jenes Vertrags hinaus Geltung erlangen, sofern sich dies aus den nachfolgenden Bestimmungen ergibt.
- Folgende Anlagen sind Bestandteil dieser ergänzenden Vereinbarung:
Anlage-Nr. Beschreibung 1 Kategorien von Betroffenen und Daten 2 Genehmigte Subunternehmen 3 Technische und organisatorische Maßnahmen - Die Regelungen der vorliegenden Vereinbarung gehen im Falle von Widersprüchen den Regelungen der ANB vor.
§2 Einzelheiten zu den Verarbeitungen
- Der AUFTRAGNEHMER erbringt für den AUFTRAGGEBER Leistungen im Bereich der Bereitstellung des Nexaro HUB und der damit verbundenen Dienste und Funktionalitäten auf der Grundlage der ANB. Im Rahmen der Nutzung des Nexaro HUB erhält der AUFTRAGNEHMER Zugriff auf personenbezogene Daten und verarbeitet diese im Auftrag und nach Weisung des AUFTRAGGEBERS. Die Dauer der Verarbeitungen entspricht der Dauer der Erbringung der vertragsgemäßen Leistungen.
- Art und Zweck der Datenverarbeitung durch den AUFTRAGNEHMER ergeben sich aus den ANB und den dazugehörigen Leistungsbeschreibungen.
§3 Weisungsrecht
- Der AUFTRAGNEHMER darf Daten nur im Rahmen des Vertrags über die Nutzung des Nexaro HUB und gemäß den Weisungen des AUFTRAGGEBERS verarbeiten. Wird der AUFTRAGNEHMER durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen berechtigt, darf er diese ausführen (etwa zur Erfüllung von ihn treffenden gesetzlichen Verpflichtungen). Vor Ausführung derartiger Verarbeitungen, die auf gesetzlicher Grundlage aber außerhalb des Auftrags des AUFTRAGGEBERS liegen, teilt der AUFTRAGNEHMER dem AUFTRAGGEBER die rechtlichen Anforderungen vor der Verarbeitung mit, sofern ihm eine solche Mitteilung nicht auf gesetzlicher Grundlage untersagt ist.
- Die Weisungen des AUFTRAGGEBERS werden anfänglich durch diesen Vertrag festgelegt und können vom AUFTRAGGEBER danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der AUFTRAGGEBER ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Durchführung von Verarbeitungen im Einzelfall, insbesondere ob eine Verarbeitung durchgeführt wird oder nicht. Dem Weisungsrecht unterliegen nicht die Auswahl der Mittel der Verarbeitung sowie technische oder organisatorische Schutzmaßnahmen. Derartige Änderungen sind einvernehmlich zu vereinbaren, wobei der AUFTRAGNEHMER Änderungswünsche des AUFTRAGGEBERS nicht unbillig ablehnen wird.
- Alle erteilten Weisungen sind vom AUFTRAGGEBER zu dokumentieren. Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
- Ist der AUFTRAGNEHMER der Ansicht, dass eine Weisung des AUFTRAGGEBERS gegen datenschutzrechtliche Bestimmungen verstößt, hat er den AUFTRAGGEBER unverzüglich darauf hinzuweisen. Der AUFTRAGNEHMER ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den AUFTRAGGEBER bestätigt oder geändert wird. Der AUFTRAGNEHMER darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen. Die Bestätigung oder Änderung einer Weisung ist nur wirksam, wenn sie in schriftlicher Form oder in Textform (z.B. Brief, E-Mail oder Telefax) erteilt werden.
§4 Art der verarbeiteten Daten, Kreis der Betroffenen
Im Rahmen der Durchführung des Vertrags über die Nutzung des Nexaro HUB erhält der AUFTRAGNEHMER Zugriff auf die in der Anlage 1 spezifizierten personenbezogenen Daten. Der Kreis der betroffenen Personen ist ebenfalls in der Anlage 1 dargestellt.
§5 Schutzmaßnahmen
- Der AUFTRAGNEHMER wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der AUFTRAGNEHMER trifft die erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des AUFTRAGGEBERS i.S.v. Art. 32 DS-GVO, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem AUFTRAGGEBER sind die nach Maßgabe der Anlage 3 getroffenen technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
- Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem AUFTRAGNEHMER vorbehalten, wobei von diesem sicherzustellen ist, dass das bei Vertragsschluss gegebene Schutzniveau nicht unterschritten wird.
- Den bei der Datenverarbeitung durch den AUFTRAGNEHMER beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten. Der AUFTRAGNEHMER wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung kontrollieren.
- Der AUFTRAGNEHMER hat einen betrieblichen Datenschutzbeauftragten bestellt:
Nexaro GmbH
Der Datenschutzbeauftragte
Mühlenweg 17-37, 42275 Wuppertal
Deutschland
Der AUFTRAGNEHMER veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf seiner Internetseite und teilt sie der Aufsichtsbehörde mit. Veröffentlichung und Mitteilung weist der AUFTRAGNEHMER auf Anforderung des Auftraggebers in geeigneter Weise nach.
§ 6 Informationspflichten
- Im Falle der Verletzung des Schutzes personenbezogener Daten wird der AUFTRAGNEHMER den AUFTRAGGEBER unverzüglich informieren, sofern Daten betroffen sind, die im Auftrag des AUFTRAGGEBERS verarbeitet werden.
- Der AUFTRAGNEHMER trifft unverzüglich Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.
- Sollten die Daten des AUFTRAGGEBERS bei dem AUFTRAGNEHMER durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AUFTRAGNEHMER den AUFTRAGGEBER unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der AUFTRAGNEHMER wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim AUFTRAGGEBER als „Verantwortlichem“ im Sinne der DS-GVO liegt.
§ 7 Kontrollrechte des Auftraggebers
- Der AUFTRAGGEBER hat das Recht, Kontrollen beim AUFTRAGNEHMER – einschließlich Inspektionen vor Ort – durchzuführen. Gegenstand des Kontrollrechts ist die Einhaltung der Vorgaben dieses Vertrags sowie jener aus Art. 28 DS-GVO. Der AUFTRAGNEHMER wirkt an den Kontrollen mit, indem er z.B. Auskünfte erteilt, vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegt oder die technischen und organisatorischen Maßnahmen nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten zur Überprüfung stellt, welche der AUFTRAGEBER selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen kann, sofern dieser Dritte nicht in einem Wettbewerbsverhältnis zu dem AUFTRAGNEHMER steht. Der AUFTRAGGEBER wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
- Der AUFTRAGNEHMER verpflichtet sich, dem AUFTRAGGEBER auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen erforderlich sind.
- Der AUFTRAGGEBER dokumentiert das Kontrollergebnis und teilt es dem AUFTRAGNEHMER mit. Bei Fehlern oder Unregelmäßigkeiten, die der AUFTRAGGEBER insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den AUFTRAGNEHMER unverzüglich zu informieren.
§8 Einsatz von Subunternehmern
- Der AUFTRAGNEHMER ist im Allgemeinen berechtigt, zur Leistungserbringung Dritte als weitere Auftragsverarbeiter einzusetzen.
- Ausdrücklich genehmigt werden mit Vertragsschluss die Einschaltung der in Anlage 2 genannten Subunternehmer.
- Über beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines weiteren Auftragsverarbeiters informiert der AUFTRAGNEHMER den AUFTRAGGEBER. Der AUFTRAGGEBER ist berechtigt, binnen 5 Werktagen nach Zugang einer solchen Informationen Einspruch gegen den neuen AUFTRAGSVERARBEITER zu erheben. Können die Parteien keine Einigung über die beabsichtigte Einsetzung des neuen weiteren Auftragsverarbeiters erzielen, unterbliebt diese.
- Die gesetzlichen Pflichten aus Art. 28 Abs. 2 und 4 DS-GVO sind dem AUFTRAGNEHMER bekannt und werden von diesem eingehalten.
§9 Unterstützungspflichten
- Der AUFTRAGNEHMER unterstützt den AUFTRAGGEBER im Rahmen der vereinbarten Leistungen mit darin enthaltenen technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten zur Erfüllung der Rechte betroffener Personen.
- Ferner unterstützt der AUFTRAGNEHMER unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den AUFTRAGGEBER bei der Erfüllung von dessen Pflichten aus den Art. 32 bis 36 DS-GVO, sofern und soweit solche Unterstützungsleistungen dem AUFTRAGNEHMER zumutbar und zur Erfüllung der Pflichten des AUFTRAGGEBERS unverzichtbar sind. Der AUFTRAGGEBER und AUFTRAGNEHMER arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem AUFTRAGNEHMER geltend, so verweist er den Betroffenen unverzüglich an den AUFTRAGGEBER.
§10 Haftung
- Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zu dem AUFTRAGNEHMER alleine der AUFTRAGGEBER gegenüber dem Betroffenen verantwortlich. Dies gilt nicht, sofern der AUFTRAGNEHMER seinen datenschutzrechtlichen Pflichten als Auftragsverarbeiter nach Maßgabe der DS-GVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des AUFTRAGGEBERS oder gegen dessen Anweisungen gehandelt hat.
- Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie nach Maßgabe des Abs. 1 im Innenverhältnis nicht verantwortlich ist. Entsprechendes gilt im Falle eines etwaigen Mitverschuldensanteils.
§11 Beendigung des Vertrags über die Nutzung des Nexaro HUB
- Der AUFTRAGNEHMER wird dem AUFTRAGGEBER nach Beendigung des Vertrags über die Nutzung des Nexaro HUB oder jederzeit auf dessen Anforderung alle personenbezogenen Daten zurückgeben und etwaig verbliebene Kopien löschen oder – auf Wunsch des AUFTRAGGEBERS – löschen. Eine Verpflichtung zur Löschung besteht nicht, sofern nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten für den AUFTRAGNEHMER besteht.
- Der AUFTRAGNEHMER ist verpflichtet, auch über das Ende des Vertrags über die Nutzung des Nexaro HUB hinaus die ihm im Zusammenhang mit dem Vertrag über die Nutzung des Nexaro HUB bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Vertrags über die Nutzung des Nexaro HUB hinaus so lange gültig, wie der AUFTRAGNEHMER die zuvor im Auftrag verarbeiteten personenbezogene Daten noch nicht zurückgegeben bzw. auf Wunsch des AUFTRAGGEBERS gelöscht hat.
Anlage Nr. 1
„Kategorien von Betroffenen und Daten“
Lfd. Nr. |
Betroffene |
Daten |
1 | Nutzer des AUFTRAGGEBERS |
Unternehmensdaten: Nutzerdaten: |
2 |
Mitarbeiter der Kunden (keine Nutzer) |
Unternehmensdaten: Mitarbeiterdaten: Objekt- & Gerätedaten: |
3 |
Dritte (Kundenansprechpartner des AUFTRAGGEBERS) |
Unternehmensdaten: Kontaktdaten: Sonstige: |
Anlage Nr. 2
„Genehmigte Subunternehmer“
Lfd. Nr. |
Firma und Anschrift |
Funktion |
1 |
Vorwerk Elektrowerke GmbH Co. KG |
Intergroup (ESP-Tool, Server hosting, 2FA Service, 2nd Level Support) |
2 |
Vorwerk Services GmbH |
Intergroup (ERP-System, eCommerce, ESP-Tool,) |
3 |
intive GmbH |
Entwicklungspartner |
4 |
LetMeRepair GmbH |
Kundenservice- und Reparaturcenter (1st Level Support) |
5 |
Vorwerk International & Co. KmG Verenastrasse 39, P.O. Box 685, 8832 Wollerau Schweiz |
Intergroup (Tools) |
6 |
ja-dialog Holding GmbH |
Kundenservice- und Reparaturcenter (1st Level Support) |
Anlage Nr. 3
„Technische und organisatorische Maßnahmen“
Der Auftragsverarbeiter wird die folgenden technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten durchführen. Die einzelnen Kategorien sind nicht abschließend und können bei Bedarf ergänzt werden.
1. Vertraulichkeit (Artikel 32 (1) (b) DS-GVO)
- Physische Zugangskontrolle
Der Auftragsverarbeiter stellt sicher, dass an allen Orten, an denen personenbezogene Daten verarbeitet werden, seien es Büros oder Datenzentren, physische Zugangskontrollen implementiert werden, um unbefugten Zugriff zu verhindern. - Gebäudesicherheit
Alle Gebäude sind durch Zutrittskontrollsysteme, geschützt.
In Rechenzentren oder Datenverarbeitungsräumen werden zusätzliche Kontrollen wie Feuchtigkeits- oder Brandmeldesysteme, unterbrechungsfreie Stromversorgungen und Vorrichtungen zum Schutz vor Über- oder Unterspannungen implementiert.
Alle Besucher müssen sich an der Rezeption registrieren lassen und beim Besuch eines Standorts des Prozessors begleitet werden. - Elektronische Zugangskontrolle
Um die unbefugte Nutzung der Datenverarbeitungs- und Datenspeichersysteme zu verhindern, hat der Auftragsverarbeiter verschiedene Layer oder Schutzvorrichtungen implementiert, je nach Gerät, Berechtigungen und Standort.
Standardmäßig sind alle Computer und mobilen Geräte sowie Datenträger und Speichermedien verschlüsselt. Systeme werden nach einer bestimmten Zeit automatisch gesperrt und benötigen sichere Passwörter, um wieder entsperrt zu werden.
Um auf die Verarbeitungsgeräte des Auftragsverarbeiters zugreifen zu können, müssen alle Mitarbeiter über personalisierte Konten verfügen. - Interne Zugriffskontrolle (Berechtigungen für Benutzerrechte für den Zugriff auf und die Änderung von Daten)
Der Auftragsverarbeiter hat ein rollenbasiertes Zugriffskonzept implementiert.
- Trennung
Systeme sind mandantenfähig ausgelegt.
2. Pseudonymisierung (Artikel 32 (1) (a) DS-GVO; Artikel 25 (1) DS-GVO)
Die Verarbeitung personenbezogener Daten erfolgt auf eine solche Art und Weise, dass die Daten ohne die Unterstützung zusätzlicher Informationen nicht mit einer bestimmten betroffenen Person in Verbindung gebracht werden können, vorausgesetzt, diese zusätzlichen Informationen werden getrennt gespeichert und unterliegen geeigneten technischen und organisatorischen Maßnahmen, sofern dies vom für die Verarbeitung Verantwortlichen vorgeschrieben und mit den Datenverarbeitungsaktivitäten vereinbar ist.
- Isolationskontrolle: Die isolierte Verarbeitung von Daten, die für unterschiedliche Zwecke gesammelt werden
3. Integrität (Artikel 32 (1) (B) DS-GVO)
- Datentransfersteuerung
Um Daten vor unbefugtem Lesen, Kopieren, Ändern oder Löschen zu schützen, hat der Auftragsverarbeiter Kontrollen zur Verschlüsselung von Daten bei der Übertragung implementiert und unterstützt die E-Mail-Verschlüsselungsstandards X.509 und PGP. - Dateneingabekontrolle
Der Auftragsverarbeiter hat Systeme implementiert oder ist Teil von Informationssystemlösungen, um zu überprüfen, ob und von wem personenbezogene Daten in ein Datenverarbeitungssystem eingegeben, geändert oder gelöscht werden.
Die Protokolldateien sind so strukturiert, dass sie Nachweise darüber liefern, wer wann Daten hinzugefügt, geändert, modifiziert oder gelöscht hat, und auch um Eingabefehler und Missbrauch zu identifizieren.
4. Verfügbarkeit und Belastbarkeit (Artikel 32 (1) DS-GVO)
Der Auftragsverarbeiter hat eine Vielzahl von Maßnahmen ergriffen, um die Verfügbarkeit und Belastbarkeit der Daten, insbesondere der personenbezogenen Daten, zu gewährleisten und vor zufälligen oder vorsätzlichen Ereignissen wie Zerstörung, Stromausfall, Blitzschlag sowie Feuer- und Wasserschäden zu schützen.
- Kontrolle der Verfügbarkeit
Zum Schutz vor Datenverlust hat der Auftragsverarbeiter eine Sicherungsstrategie entwickelt und implementiert, um Daten regelmäßig zu sichern. Backup-Datenträger werden an einem anderen physischen Ort als dem Standort des Systems gesichert.
Darüber hinaus werden die Informationssicherheitssysteme des Auftragsverarbeiters gegen Angriffe geschützt.
5. Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung (Artikel 32 (1) (d) DS-GVO; Artikel 25 (1) DS-GVO)
- Datenschutzmanagement
Der Auftragsverarbeiter hat Prozesse und Verfahren implementiert, um sicherzustellen, dass die Aufgaben termingerecht ausgeführt werden und dass die Daten gesichert und wiederhergestellt werden können. - Incident Response Management
Um auf alle Incidents vorbereitet zu sein, hat der Auftragsverarbeiter ein Sicherheits-Betriebszentrum zur Steuerung der Reaktion auf Incidents eingerichtet. Darüber hinaus hat der Auftragsverarbeiter einen funktionsübergreifenden Information Security Incident Response Plan entwickelt, implementiert und getestet, um Information Security Incidents zu handhaben und zu verwalten. - Auftragskontrolle
Ohne entsprechende Anweisungen des Auftragsverarbeiters, z.B. klare und eindeutige Vereinbarungen, formalisiertes Auftragsmanagement, strenge Kontrollen bei der Auswahl des Dienstleisters, Pflicht zur Vorevaluierung, aufsichtsrechtliche Nachkontrollen, ist eine Datenverarbeitung durch Dritte nach Artikel 28 DS-GVO nicht zulässig.
6. Organisation
- Bestellung eines Datenschutzbeauftragten
Der Auftragsverarbeiter hat einen (internen/externen) Datenschutzbeauftragten. Zur Wahrnehmung der Beratungs- und Kontrollfunktion bestellt. Die Kontaktdaten sind auf der Unternehmenswebsite des Auftragsverarbeiters jederzeit zugänglich. - Weitere Maßnahmen
Der Auftragsverarbeiter führt regelmäßige Schulungen seiner Mitarbeiter durch. Alle Mitarbeiter sind im Datenschutz unterwiesen und verpflichtet, den datenschutzkonformen Umgang mit personenbezogenen Daten sicherzustellen.
Stand: 11. März 2024
Der Auftragsverarbeitungsvertrag (AVV) steht auch als Download zur Verfügung: Nexaro AVV