Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach Art. 28 / 29 DSGVO (Auftragsverarbeitung)

 

Zwischen

 

…………………………………………………….…….

………………………………………………….……….

………………………………………………………….

………………………………………………………….

 

Im folgenden Auftraggeber genannt

 

und der

 

WM Postmanagement e.K.

Talstraße 3

35625 Hüttenberg

 

Im folgenden Auftragnehmer genannt

 

  • 1. Gegenstand der Vereinbarung
  1. Der Auftragnehmer erhebt und verarbeitet personenbezogene Daten im Auftrag des Auftraggebers.
  1. Der Auftrag umfasst Folgendes:    

Zusammenführen, Drucken, Verarbeiten und Posteinliefern von personalisierten Postsendungen und Paketsendungen.

  1. Dauer des Auftrags

Der Vertrag wird auf unbestimmte Zeit geschlossen und ist jederzeit kündbar.

  1. Umfang, Art und Zweck der Datenerhebung und Datenverarbeitung:

Personalisieren von Briefsendungen, personalisieren von Paketsendungen

 

  1. Art der Daten:

Namen, Anschriften und Zuordnungsmerkmale (u.a. KdNr, Niederlassungen) vom Postsendungsempfängern und Versendern

 

  • 2. Rechte und Pflichten des Auftraggebers (Verantwortlicher)
  1. Für die Beurteilung der Zulässigkeit der Datenerhebung und Datenverarbeitung, sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber

verantwortlich.

 

  1. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam

abzustimmen und entsprechend Nr. I.2 dieser Vereinbarung schriftlich festzulegen.

 

  1. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Die schriftliche

Bestätigung der mündlichen Weisungen sollte von Auftraggeber und Auftragnehmer so aufbewahrt werden, dass alle maßgeblichen Regelungen jederzeit verfügbar sind.

 

  1. Weisungsberechtigte Personen des Auftraggebers sind die beim Auftragnehmer

hinterlegten Angebotsempfänger und Rechnungsempfänger, sowie diese, die von diesen Personen autorisiert wurden.

 

  1. Weisungsempfänger beim Auftragnehmer sind die in Angeboten und Rechnungen genannten Mitarbeiter, die Geschäftsleitung oder die von diesem Personenkreis autorisierten Mitarbeiter.
  1. Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem anderen Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. Falls Weisungen die unter Nr. I. 2 dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Festlegung erfolgt.
  1. Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen.
  1. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
  1. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses

erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.

 

  • 3. Pflichten des Auftragnehmers
  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er hat personenbezogene Daten zu löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen Vereinbarung oder einer Weisung verlangt. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.
  1. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber

genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden – automatisierten – Verwaltung. Eingang und Ausgang werden dokumentiert.

 

  1. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
  1. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam

machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

 

  1. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Auftragnehmer sichert zu, dass er, soweit

erforderlich, bei diesen Kontrollen mitwirkt.

 

  1. Die Verarbeitung von personenbezogenen Daten in Privatwohnungen ist nicht zulässig.
  1. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungsergebnisse oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. Die Datenträger des Auftragnehmers sind

danach physisch zu löschen. Testmaterial und Ausschussmaterial ist unverzüglich zu vernichten oder dem Auftraggeber auszuhändigen.

 

  1. Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers zugelassen, es sei denn, es handelt sich nicht um die Verarbeitung von personenbezogenen Daten. Der Auftragnehmer hat im Falle der Weitergabe von personenbezogenen Daten an Subunternehmer vertraglich sicherzustellen,

dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 28 / 29 DSGVO erfüllt hat. Hiervon nicht berührt ist die Weitergabe von Daten an Postbeförderungsunternehmen, Paketbeförderungsunternehmen oder sogenannten Konsolidierer.

 

  1. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, EU-Standarddatenschutzklauseln, genehmigte Verhaltensregeln). Falls ein Subunternehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den Bestimmungen in Nr. III.8. Hiervon ausgenommen ist die Weitergabe von Postsendungen an Postbeförderungsunternehmen mit dem Ziel, die entsprechenden Postsendungen im Ausland zuzustellen.
  • 4. Datenschutzbeauftragte des Auftragnehmers
  1. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da der Auftragnehmer nach Art. 37 DSGVO nicht verpflichtet ist einen Datenschutzbeauftragten zu bestellen.
  • 5. Datengeheimnis
  1. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Er verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen.
  1. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.
  1. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach

vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.

 

  • 6. Technische und organisatorische Maßnahmen nach Art. 24 und Art. 32 Abs.1 DSGVO
  1. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.
  1. Die technischen und organisatorischen Maßnahmen können im Laufe des

Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden.

 

  1. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den

Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den

Auftraggeber unverzüglich. Entsprechendes gilt für Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen

datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.

 

  • 7. Vertragsdauer
  1. Der Vertrag wird auf unbestimmte Zeit geschlossen und ist jederzeit kündbar.
  • 8. Vergütung
  1. Die Vergütung richtet sich nach den AGB und den aktuell gültigen Preislisten des Auftragnehmers, sowie individuell vereinbarten Konditionen, soweit sie schriftlich vereinbart wurden.
  • 9. Haftung
  1. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen. Näheres regeln die AGB des Auftragnehmers.
  1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.

 10. Sonstiges

  1. Des Weiteren gelten die aktuellen AGB´s des Auftragnehmers.
  1. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
  1. Für Nebenabreden ist die Schriftform erforderlich.

 

  • 11. Wirksamkeit der Vereinbarung
  1. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

 

 

Beschreibung der technischen und organisatorischen Maßnahmen

Datensicherungsmaßnahmen

 

  1. Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:

 

  • Kontrollierte Schlüsselvergabe (elektronische Schlüssel)
  • Schlüssel ist jedem einzelnen Mitarbeiter zugeordnet
  • Jeder Zutritt wird elektronisch festgehalten
  • Zutritt zu Datenverarbeitungs- und Produktionsanlagen nur unter Aufsicht von verpflichtetem Personal
  • Videoüberwachung der Ein- und Ausgänge, sowie des Postausgangs und der Warenannahme
  1. Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und verfahren benutzen:

 

  • Kennwortgeschützter Zugang zu allen Systemen
  • Firewall
  • Zugriff auf personenbezogene Daten nur verschlüsselt im internen Netz oder über VPN
  1. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

 

  • Kennwortgeschützter Zugang
  • Zugriffsbeschränkung durch strikte Rechtevergabe
  1. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

 

  • Verschlüsselte SSL-Übertragung (2048Bit)
  • Verschlüsselte- bzw. passwortgeschützte Dateien
  • Kontrollierte und sachgemäße Vernichtung der Datenträger und der Fehldrucke

 

  1. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind:

 

  • Elektronisches Logbuch
  • Adressdaten werden nur in Kopie verarbeitet, Originale bleiben erhalten
  1. Auftragskontrolle

Maßnahmen, die gewährleisten, dass die Auftragsdatenverarbeitung weisungsgemäß erfolgt und die Kompetenzen zwischen Auftraggeber und Auftragnehmer abgegrenzt werden:

 

  • Erfassung der Auftragsdaten in internem Kundenverwaltungssystem
  • Formalisierte Auftragserteilung (Auftragsformular)
  • Auf Wunsch des Auftraggebers werden Korrekturabzüge gefertigt
  1. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

 

  • Sicherungsverfahren RAID 6
  • Zusätzlich komplette Spiegelung der Daten
  • Externe Aufbewahrung der Backups (verschlüsselt)
  • USV, damit bei Stromausfall nicht gespeicherte Daten erhalten bleiben
  • Firewall und permanenter Virenschutz
  1. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

 

  • Speicherung der übermittelten Daten in getrennten, logischen Auftragsordnern
  • Dazugehörige Aufträge erhalten intern eigene Auftragsnummern zwecks Zuordnung
  • Bei WM Postmanagement e.K. erhält jede einzelne Sendung eine einmalige Auftragsnummer.

 

    
    

Datum, Ort, Auftragnehmer                                                                                  Datum, Ort, Auftraggeber

 

 

 

 

Daher sind Ihre Daten bei uns in sicheren Händen:

 

Mitarbeiter

Alle Mitarbeiter sind nach BDSG verpflichtet

  • strafrechtl. Konsequenzen
  • alle Mitarbeiter sind „fest“ angestellt
  • soziale Sicherheit durch angemessene Bezahlung

Überwachung

Videoüberwachung aller relevanten Bereiche

  • Ausgänge
  • Warenabgang
  • Produktion
  • kein Outsourcing

Vernichtung

Ihre Daten werden automatisch gelöscht, Makulatur geschreddert

  • Sicherheitsstufe 4
  • eigene Schredder
  • ausschließlich crosscut

Aufsicht

Wir unterliegen der Aufsichtsinstanz

  • Bundesnetzagentur

Damit die Zurverfügungstellung Ihrer Daten im gesetzlichen Rahmen verläuft, ist eine Vereinbarung zur Auftragsdatenverarbeitung automatisch Bestandteil des Vertrages zwischen Ihnen und uns. Inbegriffen sind auch unsere Datensicherungsmaßnahmen, damit Sie sicher gehen können, dass Ihre Daten bei uns in vertrauensvollen Händen sind.