Skip to end of metadata
Go to start of metadata


Vereinbarung zur Auftragsverarbeitung
nach EU-Datenschutz-Grundverordnung (DSGVO/GDPR)

zwischen dem Kunden als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, im Folgenden "Kunde" genannt


und


Franke und Bornberg Research GmbH
Prinzenstraße 16, 30159 Hannover
als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, im Folgenden "Franke und Bornberg" genannt

- gemeinsam "Parteien" genannt

1. Gegenstand der Verarbeitung
Diese Vereinbarung zur Auftragsverarbeitung regelt ausschließlich die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten, soweit Franke und Bornberg personenbezogene Daten im Auftrag des Kunden gemäß Art. 28 DSGVO (Auftragsverarbeitung) verarbeitet, die von dem Kunden an Franke und Bornberg weitergegeben werden, z.B. durch Eingabe in ein Franke und Bornberg-Produkt. Dies umfasst alle Tätigkeiten, die Franke und Bornberg gemäß der Leistungsbeschreibungen der fb>tools (unter https://wiki.fb-portal.de/display/FBR einsehbar) und den jeweiligen vertraglichen Vereinbarungen mit dem Kunden (Verträge über die Zurverfügungstellung von Standardprodukten oder individuellen Leistungen) für den Kunden erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern die Leistungsbeschreibungen der fb>tools (unter https://wiki.fb-portal.de/display/FBR einsehbar) und die jeweiligen vertraglichen Vereinbarungen nicht ausdrücklich Bezug nehmen auf diese Vereinbarung zur Auftragsverarbeitung. Dieser Vertrag gilt deshalb für sämtliche jeweils zwischen dem Kunden und Franke und Bornberg bestehenden separaten Vereinbarungen, die sich insbesondere auf Software von Franke und Bornberg, Regelung einer Kooperation, Einbindung von Tarifrechenkernen/Web Services in die Programmumgebung von Franke und Bornberg, etc. erstrecken können. Die vorstehend erwähnten vertraglichen Regelungen werden jeweils einheitlich nachfolgend „Hauptvertrag“ genannt.

Diese Vereinbarung zur Auftragsverarbeitung enthält in Ziffern 15 und 16 Regelungen und Vereinbarungen zu weiteren Vertragszwecken. Die jeweilige Leistungsbeschreibungen der fb>tools (unter https://wiki.fb-portal.de/display/FBR einsehbar) enthält Vereinbarungen zu weiteren Vertragszwecken. Der Kunde stimmt diesen weiteren Vertragszwecken mit Annahme dieser Vereinbarung zur Auftragsverarbeitung zu.

Bei Widersprüchen zwischen der Leistungsbeschreibung des Hauptvertrags und dieser Vereinbarung zur Auftragsverarbeitung geht die Leistungsbeschreibung des Hauptvertrags als speziellere Regelung vor.

Diese Vereinbarung zur Auftragsverarbeitung gilt für alle künftigen und bereits erfolgenden Auftragsverarbeitungen von Franke und Bornberg für den Kunden, soweit die Parteien keinen individuellen Auftragsverarbeitungsvertrag geschlossen haben, der auf diese Vereinbarung zur Auftragsvereinbarung ausdrücklich Bezug nimmt und ausdrücklich für vorrangig erklärt wird.

2. Dauer der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt zeitlich unbefristet, sofern dies in dem Hauptvertrag nicht anders vereinbart ist.

3. Art und Zweck der Verarbeitung
Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne von Art. 4 Nr. 2 DSGVO.

Die Zwecke der Verarbeitung sind im Hauptvertrag sowie der jeweiligen Leistungsbeschreibungen der fb>tools  (unter https://wiki.fb-portal.de/display/FBR einsehbar) enthalten und dienen zur Erbringung der vereinbarten Leistungen.

 

4. Art der personenbezogenen Daten und Kategorien betroffener Personen
Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die Franke und Bornberg im Auftrag des Kunden verarbeitet. Hiervon umfasst sind auch besondere Kategorien personenbezogener Daten. Insbesondere können, soweit sich dies aus der Leistungsbeschreibung des Hauptvertrages ergibt, folgende Arten personenbezogener Daten verarbeitet werden:

  • Name, Vorname, Adressdaten, Kontaktdaten für Kommunikation (Telefon, E-Mail, Fax),
  • versicherungsbezogene Angaben (Versicherungs- und Vertragsart, Deckungssumme etc.),
  • gesundheitsbezogene Angaben (insbesondere Vorerkrankungen, aktuelle Erkrankungen).

Kategorien betroffener Personen sind insbesondere

  • Beschäftigte und Geschäftspartner/Mandanten des Kunden,
  • Familienangehörige des Geschäftspartners/Mandanten,
  • Versicherungsinteressenten des Kunden,
  • ggf. weitere Personen, sofern deren personenbezogene Daten zur Erfüllung eines mit Franke und Bornberg geschlossenen Vertrages erforderlich sind.


5. Pflichten und Rechte des Kunden
Der Kunde hat das Recht, Weisungen in Bezug auf Verarbeitung personenbezogener Daten zu erteilen. Alle Weisungen werden schriftlich oder per E-Mail erteilt.

Für die Beurteilung der rechtlichen Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen ist allein der Kunde verantwortlich. Der Kunde ist im Rahmen dieser Vereinbarung zur Auftragsverarbeitung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung als solche sowie die Datenweitergabe an Franke und Bornberg sowie für die Rechtmäßigkeit der Verarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung und die Beschreibung der betroffenen Daten.

Der Kunde hat Franke und Bornberg unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.

Der Kunde nennt Franke und Bornberg bei Bedarf den Ansprechpartner für im Rahmen dieser Vereinbarung zur Auftragsverarbeitung anfallende Datenschutzfragen.

Weitere Pflichten und Rechte des Kunden ergeben sich aus den nachfolgenden Regelungen dieser Vereinbarung zur Auftragsverarbeitung und der DSGVO sowie den dazugehörigen gesetzlichen Bestimmungen.

6. Verarbeitung auf dokumentierte Weisung
Franke und Bornberg - und jede ihr unterstellte Person - darf die personenbezogenen Daten nur im Rahmen des Hauptvertrags und der Weisungen des Kunden verarbeiten, sofern keine gesetzliche Pflicht zur Verarbeitung besteht. Franke und Bornberg nimmt Weisungen des Kunden in schriftlicher Form entgegen. Mündliche Weisungen sind durch den Kunden unverzüglich schriftlich zu bestätigen.

Franke und Bornberg informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere anwendbaren Datenschutzbestimmungen verstößt. Franke und Bornberg darf die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde.

Sind die Weisungen des Kunden nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt Franke und Bornberg dem Kunden mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist Franke und Bornberg die Umsetzung der Weisung nicht zumutbar, so ist Franke und Bornberg berechtigt, die Verarbeitung zu beenden. Im Übrigen gelten die Regelungen des Hauptvertrags.

Die Parteien vereinbaren, dass Franke und Bornberg berechtigt ist, die personenbezogenen Daten - unter Beachtung der zwingend anwendbaren Vorschriften - an Unterauftragsverarbeiter in einem Drittland zu übermitteln. Die Information, an welche Dienstleister in welchem Drittland die Daten für welche Zwecke übermittelt werden, kann der Kunde aus den Leistungsbeschreibungen entnehmen. Für diesen Fall verpflichtet sich Franke und Bornberg sicherzustellen, dass das durch die DSGVO gewährleistete Datenschutzniveau auch bei dem Unterauftragsverarbeiter gewährleistet ist. Der Kunde stellt sicher, dass die betroffenen Personen über diesen Umstand ordnungsgemäß informiert werden.

7. Verpflichtung zur Vertraulichkeit
Franke und Bornberg gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflichtunterliegen.

8. Maßnahmen zur Sicherheit der Verarbeitung
Franke und Bornberg gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Franke und Bornberg ergreift in ihrem Verantwortungsbereich alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen.

Die jeweils aktuell geltenden Technisch Organisatorische Maßnahmen kann der Kunde unter https://wiki.fb-portal.de/display/FBR einsehen. Der Kunde informiert sich vor Abschluss der Vereinbarung zur Auftragsverarbeitung und anschließend in regelmäßigen Abständen über diese Technischen Organisatorische Maßnahmen.

Eine Änderung der getroffenen Technisch Organisatorische Maßnahmen bleibt Franke und Bornberg vorbehalten, sofern das Schutzniveau nach DSGVO nicht unterschritten wird.

9. Weitere Auftragsverarbeiter
Der Kunde erteilt Franke und Bornberg die allgemeine Genehmigung, weitere Auftragsverarbeiter  („Unterauftragsverarbeiter“) im Sinne des Art. 28 DSGVO in Anspruch zu nehmen. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die Franke und Bornberg z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Franke und Bornberg ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Kunden auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Die jeweils aktuell eingesetzten Unterauftragsverarbeiter kann der Kunde unter https://wiki.fb-portal.de/display/FBR einsehen.  

Franke und Bornberg informiert den Kunden, wenn sie eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern beabsichtigt. Die Änderungen kann der Kunde unter  https://wiki.fb-portal.de/display/FBR einsehen. Der Kunde kann gegen derartige Änderungen Einspruch erheben.

Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 4 Wochen nach Zugang der Information über die Änderung gegenüber Franke und Bornberg zu erheben. Im Fall des Einspruchs kann Franke und Bornberg nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung Franke und Bornberg nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Kunden innerhalb von 4 Wochen nach Zugang des Einspruchs kündigen.

Erteilt Franke und Bornberg Aufträge an  Unterauftragsverarbeiter, so obliegt es Franke und Bornberg, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag auf den Unterauftragsverarbeiter zu übertragen.


10. Unterstützung des Kunden im Hinblick auf Betroffenenrechte und Behördenanfragen
Im Rahmen der Pflichten des Kunden  zur Wahrung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person unterstützt Franke und Bornberg den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen.

Franke und Bornberg unterstützt den Kunden im Falle von Anfragen einer Datenschutzaufsichtsbehörde. Vorbehaltlich einer behördlichen Aufforderung zur direkten Kommunikation bzw. einer vorherigen Abstimmung der Parteien, dass Franke und Bornberg eine Anfrage einer betroffenen Person oder einer Behörde selbst bearbeiten soll, ist der Kunde für die Kommunikation und Korrespondenz mit der Datenschutzaufsichtsbehörde im Zusammenhang mit dieser Auftragsverarbeitung zuständig. Der Kunde wird Franke und Bornberg die Korrespondenz und Kommunikation weiterleiten.

Franke und Bornberg ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen. Die Konditionen hierfür stimmen die Vertragsparteien im Vorfeld untereinander ab.


11. Unterstützung des Kunden im Hinblick auf die Sicherheit personenbezogener Daten
Franke und Bornberg unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.

Franke und Bornberg ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen. Die Konditionen hierfür stimmen die Vertragsparteien im Vorfeld untereinander ab.

12. Umgang mit den Daten nach Abschluss der Erbringung der Verarbeitungsleistungen
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht Franke und Bornberg nach Wahl des Kunden entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach dem Unionsrecht oder nach deutschem Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus dem Hauptvertrag etwas anderes ergibt.

13. Informationen und Überprüfungen zum Nachweis der Einhaltung der Pflichten
Franke und Bornberg stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Kunden oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und wirkt daran mit. Sofern hierbei die Kenntnisnahmemöglichkeit von vertraulichen Informationen, insbesondere Betriebs- und Geschäftsgeheimnissen besteht, ist Franke und Bornberg  berechtigt, eine Verschwiegenheitserklärung vom Kunden und von diesem beauftragten Prüfer zu verlangen.

Das Inspektionsrecht des Kunden hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. Der Nachweis soll primär durch unabhängige Prüfberichte und Zertifizierungen erbracht werden. Sofern der Kunde auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Prüfberichte bzw. Zertifizierungen unzureichend oder unzutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung des Kunden dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Sofern solche Vor-Ort-Kontrollen durchgeführt werden, sind diese als Stichprobenkontrollen der für die Durchführung der Auftragsverarbeitung relevanten Bereiche auszugestalten und Franke und Bornberg rechtzeitig im Voraus, in der Regel (Ausnahme z.B. bei besonderen Vorfällen) mindestens jedoch 14 Kalendertage, schriftlich anzumelden. Das Gleiche gilt für anlasslose Vor-Ort-Kontrollen. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb von Franke und Bornberg nicht über Gebühr stören oder missbräuchlich sein.

Franke und Bornberg ist berechtigt, für Inspektionen eine angemessene Vergütung vom Kunden zu verlangen.

14. Gegenseitige Unterstützung in Haftungsfällen
Im Fall des Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.

15. Berechtigung zur Verarbeitung anonymisierter Daten für Analysezwecke
Franke und Bornberg hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und vorher die für die Anonymisierung erforderlichen Verarbeitungsschritte durchzuführen. Unter Wahrung der Anonymität kann Franke und Bornberg alle so entstandenen anonymisierten Daten für eigene Zwecke wie die Erstellung von Betriebs- oder Branchenvergleichen oder sonstige Zwecke mit volks- bzw. betriebswirtschaftlichem Informationscharakter, statistische Auswertungen, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke auch über die Dauer dieser Vereinbarung hinaus verarbeiten und nutzen. Dies umfasst auch eine anonymisierte Weitergabe an Franke und Bornberg-Anwender und Dritte, insbesondere an Verbände, Organisationen oder Forschungseinrichtungen sowie für Publikationen. Der ursprüngliche Datenbestand ist von dieser Anonymisierung nicht betroffen.

16. Vereinbarung weiterer Vertragszwecke
Franke und Bornberg ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Fehlerbehebung in dem Franke und Bornberg-Produkt, in dem die Daten gespeichert sind, zu verarbeiten.

Franke und Bornberg ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Qualitätssicherung (z.B. Produktanalyse, Optimierung der Benutzeroberfläche) für das Franke und Bornberg-Produkt, in dem die Daten gespeichert sind bzw. für eine neuere Version des Franke und Bornberg-Produkts zu verarbeiten.
Franke und Bornberg ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Entwicklung neuer oder Weiterentwicklung bestehender Franke und Bornberg-Produkte in einer angemessen gesicherten Umgebung zu verarbeiten. Franke und Bornberg berücksichtigt auch in diesem Verarbeitungsprozess, dass vom Kunden gelöschte oder zur Löschung angewiesene Daten nicht mehr verarbeitet werden.

Franke und Bornberg ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten des Kunden (z.B. IP-Adresse sowie die Kontaktdaten) zu verarbeiten, soweit dies erforderlich ist, um Missbrauch zu verhindern und die Verfolgung von Angreifern zu ermöglichen (z.B. Abwehr von Störungen oder widerrechtlichen oder mutwilligen Eingriffen, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen.)

Dies umfasst insbesondere auch, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern ("Denial of service"-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.

17. Salvatorische Klausel
Sollten sich einzelne Bestimmungen dieser Vereinbarung als ungültig erweisen, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ungültige Bestimmung ist durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Ungültigkeit des jeweiligen Punktes gedacht. Soweit diese Vereinbarung eine unbewusste Regelungslücke enthält, ist diese durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Regelungsbedürftigkeit des jeweiligen Punktes gedacht.

18. Formerfordernis
Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - sind gemäß DSGVO schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann, und bedürfen des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt.

Dies gilt auch für den Verzicht auf dieses Formerfordernis.

19. Beginn der Vereinbarung, Auswirkung von Kündigungen
Diese Vereinbarung beginnt mit Bestätigung des Vertragsschlusses des Hauptvertrages durch Franke und Bornberg, frühestens jedoch am 25.05.2018.

Nimmt der Kunde Änderungen am Vertragstext vor, beginnt diese Vereinbarung mit Annahme der geänderten Fassung durch Franke und Bornberg; Franke und Bornberg ist zur Annahme jedoch nicht verpflichtet. In diesem Fall ist Franke und Bornberg berechtigt, den Hauptvertrag außerordentlich ohne Einhaltung einer Kündigungsfrist zu kündigen, wenn die Änderungen eine Erfüllung des Hauptvertrags durch Franke und Bornberg unmöglich machen.

Eine Annahme der geänderten Fassung durch Franke und Bornberg erfolgt nicht bereits durch (fortgesetzte) Leistungserbringung, sondern erfordert eine dem Formerfordernis des Art. 28 DSGVO entsprechende Annahmeerklärung durch Franke und Bornberg.

Die Annahme/Bestätigung des Vertragsschlusses durch Franke und Bornberg kann in einem elektronischen Format erfolgen.

Diese Vereinbarung endet nicht automatisch mit der Kündigung des Hauptvertrages, sondern bedarf des ausdrücklichen Hinweises darauf in der Kündigung, dass der Kunde auch diese Vereinbarung zur Auftragsverarbeitung kündigt.

20. Aufhebung bisheriger Vereinbarungen

Vereinbarung zur Auftragsdatenverarbeitung nach BDSG

Die Parteien vereinbaren, dass zeitgleich mit Beginn dieser Vereinbarung zur Auftragsverarbeitung die zwischen den Parteien bestehende Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (alt) sowie etwaige weitere Vereinbarungen zur Auftragsdatenverarbeitung einvernehmlich aufgehoben und durch diese neue Vereinbarung zur Auftragsverarbeitung vollumfänglich ersetzt werden.


21. Verweise auf die DSGVO
Alle in dieser Vereinbarung enthaltenen Verweise auf die DSGVO gelten für die DSGVO in ihrer jeweils aktuellen Fassung bzw. etwaige Nachfolgeregelungen.





  • No labels