Login für registrierte Nutzer:
Registrieren

 

 

ADV-Vertrag

Der hinterlegte Standardvertrag zur Auftragsdatenverarbeitung ist mit Auftragsannahme und Freischaltung eines kostenpflichtigen Kunden- oder Vereinsbereiches und ggf. ergänzender kostenpflichtiger Zusatzanwendungen in Ergänzung zu den jeweiligen Nutzungs- und Geschäftsbedingungen automatisch Bestandteil des jeweiligen Vertragsverhältnisses.

 

Vertrag über die Auftragsverarbeitung personenbezogener Daten

zwischen

Auftraggeber (Kunde)
gemäß zu Grunde liegender
kostenpflichtiger Nutzungsvereinbarung

im Folgenden: Auftraggeber oder Kunde

und

JESNA Joost Enterprises
Social Network & Applications GmbH

(Auftragnehmer)

im Folgenden: Auftragnehmer oder JESNA

1. Einleitung, Geltungsbereich, Definitionen

Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber/Kunde und JESNA als Auftragnehmer (im Folgenden auch „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.

Grundlage dieses Vertrages sind ein bestehendes Vertragsverhältnis des Kunden mit JESNA oder der Joost Enterprise GmbH (vormals SPID Internet GmbH) für die Nutzung eines kostenpflichtigen Angebotes der Plattform JESNA (einschließlich JESNAsport, JESNAbusiness, JESNAclub, Sport-ID), die durch JESNA betrieben wird, sowie ergänzende bestehende oder zukünftige allgemeine vertragliche Regelungen oder spezifische fallbezogene Beauftragungen zur aktiven Datenverarbeitung durch den Kunden, ggf. auch im Rahmen des allgemeinen Kundensupports. Ohne eine solche dauerhafte oder spezifische fallbezogene Beauftragung ist die Datenverarbeitung auf Basis der kostenpflichtig zur Verfügung gestellten Datenverarbeitungssoftware im Rahmen der Plattform JESNA zunächst und vollumfänglich Sache des Kunden selbst.

Dieser Rahmenvertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten im Auftrag des Kunden erfassen, verarbeiten, verändern oder löschen.

In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2. Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand

Der Auftragnehmer übernimmt im Falle einer dauerhaften oder fallbezogenen spezifischen Beauftragung je nach konkreter Beauftragung folgende Verarbeitungen:

Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von personenbezogenen Daten.

Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Vertragsverhältnis zur Nutzung der Plattform JESNA, im Folgenden als „Hauptvertrag“ genannt, einschließlich der allgemeinen und spezifischen Geschäfts- bzw. Nutzungsbedingungen des Auftragnehmers. Gemäß diesen Bestimmungen erfolgt die Datenverarbeitung grundsätzlich durch den Kunden selbst, während JESNA die entsprechende internetbasierte Datenverarbeitungssoftware über die Plattform JESNA zur Verfügung stellt.

2.2 Dauer

Der Rahmenvertrag gilt auf unbestimmte Zeit bis zur rechtswirksamen Kündigung des Hauptvertrags durch eine Partei. Die Datenverarbeitung im Auftrag erfolgt im Rahmen eines gesonderten Vertrages bis zu dessen Beendigung oder fallbezogen bis zur Erledigung des konkreten Auftrags.

3. Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung:

3.1 Art und Zweck der Verarbeitung

Gemäß den Allgemeinen und spezifischen Geschäfts- und Nutzungsbedingungen für die Plattform JESNA führt der Kunde die gesamte Datenerhebung, -verarbeitung und -nutzung innerhalb des Systems in eigener Verantwortung durch. Der Kunde bestimmt selbst den Umfang der Datenerhebung, -verarbeitung und Nutzung auf der Plattform.

Die Verarbeitung dient folgenden Zwecken im vom Kunden selbstbestimmten Umfang: Digitale Organisation des Kunden, Mitgliederverwaltung, Beitragsverwaltung, Kundenverwaltung, Interessentenverwaltung, Verwaltung von personenbezogenen Kontaktdaten, Verwaltung von haupt-, neben- und ehrenamtlichen Mitarbeitern und Funktionsträgern, Verwaltung von personenbezogenen Lizenzen und Personalunterlagen, Veröffentlichung von Ansprechpartnern, Vergabe von Berechtigungen für den Kundenbereich innerhalb der Plattform, unmittelbare oder unmittelbare Bereitstellung von Informationen und Daten auf Websites und in sozialen Medien im Rahmen der gesetzlichen Bestimmungen und – falls erforderlich – mit Zustimmung der betroffenen Personen.

Die Verarbeitung kann folgender Arten umfassen: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten.

Grundsätzlich stellt die JESNA Joost Enterprises Social Network & Applications GmbH dem Kunden die digitale, webbasierte Plattform für die vorgenannten Zwecke zur Verfügung, ohne darüber hinaus selbst tätig zu werden. JESNA kann die gespeicherten Daten insbesondere zu Supportzwecken einsehen. Darüber hinaus kann JESNA die vorgenannten Aufgaben nach gesonderter Beauftragung oder im Rahmen des allgemeinen Supports auf Bitten des Auftraggebers gänzlich, teilweise oder in Einzelfällen übernehmen bzw. einsehen.

3.2 Art der Daten

Es werden je nach Anwendung im vom Kunden festgelegten Umfang folgende Daten verarbeitet:

  • Titel, Vorname, Name
  • Anschrift
  • Telefon- und Telefaxnummern
  • E-Mail-Adressen
  • Benutzerkonten in Sozialen Netzwerken
  • Lizenzdaten
  • Passdaten für Verbände
  • Beitragsdaten
  • Kontoverbindungen
  • Sozialversicherungsdaten
  • Gesundheitsdaten
  • Zuordnungen zu Organisationsstrukturen (z.B. Verein, Unternehmen, Abteilungen, Teams, Kursen)
  • Teilnehmerdaten
  • Grund
  • Personenbezogene Bilder
  • Personenbezogene Videos

3.2.1 Kategorien der betroffenen Personen

Von der Verarbeitung betroffen sind

  • Mitglieder
  • Erziehungsberechtigte von Mitgliedern
  • Mitarbeiter
  • Kunden
  • Dienstleister
  • Lieferanten
  • Teilnehmer
  • Interessenten
  • Abonnenten
  • Sonstige Kontakte

des Auftraggebers im Rahmen der rechtlichen Zulässigkeit.

4. Pflichten des Auftragnehmers

  1. Der Auftragnehmer verarbeitet im Falle der allgemeinen oder gesonderten Beauftragung personenbezogene Daten ausschließlich auf der Online-Plattform JESNA. Die Verarbeitung erfolgt ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
  2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
  3. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
  4. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
  5. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
  6. Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.
  7. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
  8. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.
  9. Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit. Die Mitteilung der Kontaktdaten des Datenschutzbeauftragten erfolgt auf der Website des Auftragnehmers im Rahmen der Datenschutzerklärung (https://jesna.de/datenschutz/) .
  10. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.

5.Technische und organisatorische Maßnahmen

  1. Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
  2. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
  3. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.
  4. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Konkret bedeutet dies, dass die dem Kunden gehörenden bzw. zuzuordnenden Daten in einem eigenen Datenbankbereich abgespeichert werden, der nur im Zugriff des Kunden bzw. der durch den Kunden im System hinterlegten Rechteinhaber zugänglich ist.
  5. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen sowie reguläre System- und Datensicherungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
  6. Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.
  7. Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.
  8. Der Auftragnehmer führt im Falle der allgemeinen oder gesonderten Beauftragung zur Datenerfassung, –verarbeitung, -veränderung oder –löschung den bei allgemeiner Beauftragung regelmäßigen oder ansonsten auftragsbezogenen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber auf Anforderung zu überlassen. Der Nachweis kann u.a. durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.

6. Regelungen zur Berichtigung, Löschung und Sperrung von Daten

  1. Grundsätzlich ist der Kunde für die Berichtigung, Löschung oder Sperrung von Daten  selbst verantwortlich JESNA wird vom Kunden erhobene, erfasste und verarbeitete Daten oder nach Auftragserteilung durch den Auftragsnehmer erfasste und verarbeitete Daten nur dann berichtigen, löschen oder sperren, wenn hierfür eine vertraglichen Vereinbarung bzw. Beauftragung des Auftraggebers vorliegt oder wenn eine zwingende rechtliche Verpflichtung besteht.

7. Unterauftragsverhältnisse

  1. JESNA kann Aufträge zur Erfassung, Bearbeitung und Löschung von Daten des Auftraggebers durch einen Subunternehmer durchführen lassen, sofern diesem vertraglich mindestens Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Vertragspassagen zwischen Auftragnehmer und Subunternehmer. Sofern ein Subunternehmer mit der Durchführung der Arbeiten betraut wird, ist dies dem Auftraggeber vorab mitzuteilen.
  2. Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.
  3. Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.
  4. Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.
  5. Eine weitere Subbeauftragung durch den Subunternehmer ist nicht zulässig.
  6. Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 4 (10) und (11) dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist.
  7. Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätestens alle 12 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber unaufgefordert vorzulegen.
  8.  Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.
  9.  Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt.
  10. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erfassung, Verarbeitung, Veränderung und Löschung von Daten aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen, Serveradministration oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

8. Rechte und Pflichten des Auftraggebers

  1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
  2. Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.
  3. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
  4. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Sofern keine allgemeine oder gesonderte Beauftragung zur Erfassung, Verarbeitung, Veränderung und Löschung von Daten vorliegt, ist diese Pflicht seitens des Auftraggebers mit der Beschreibung der entsprechenden Programmfunktionen erfüllt. Die Einsichtnahme in die gespeicherten Daten und Datenverarbeitungsprogramme ist dem Auftraggeber durch den Administrator und von diesem berechtigte Personen jederzeit möglich.
  5. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 (8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

9. Mitteilungspflichten

  1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
    1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
    3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    4. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
  2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
  3. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen. 
  4. Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

10. Weisungen

  1. Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.
  2. Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen in Anlage 3.
  3. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.
  4. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
  5. Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

11. Beendigung des Auftrags

  1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben, sofern es sich nicht um die auf der Plattform selbst gespeicherten Daten handelt. Hier kann der Auftraggeber die personenbezogenen Daten selbst exportieren und löschen. Zu vernichten sind sämtliche außerhalb der Plattform vorhandenen Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399.
  2. Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.
  3. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber unverzüglich vorzulegen.
  4. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.

12. Vergütung

Die Vergütung des Auftragnehmers ist im Hauptvertrag bzw. ergänzenden Verträgen/Vereinbarungen geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.

13. Haftung

  1. Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.
  2. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.
  3. Nummern (1) und (2) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.
  4. Der Auftraggeber haftet für alle Schäden, die durch ihn selbst bzw. durch ihn Berechtigte im Rahmen der selbstverantworteten Nutzung des Systems verursacht werden selbst bzw. gegenüber Dritten.

14. Sonstiges

  1. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
  2. Für Nebenabreden ist die Schriftform erforderlich.
  3. Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
  4. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Der Vertrag ist ergänzender Bestandteil aller kostenpflichtigen Vertragsverhältnisse zwischen der JESNA Joost Enterprises Social Network & Applications GmbH und Kunden. Er beginnt mit dem Zustandekommen eines kostenpflichtigen Vertragsverhältnisses für Kundenbereiche auf der Plattform JESNA sowie im Rahmen laufender Nutzungsentgelte für vom Kunden gegen Entgelt genutzte Anwendungen (Software as a Service) und endet mit Beendigung des zu Grunde liegenden kostenpflichtigen Vertragsverhältnisses. gilt auch ohne Unterschrift der Vertragsparteien.

 

Anlage 1 – technische und organisatorische Maßnahmen

Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.

Der Auftragnehmer gewährleistet im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die nach § 64 BDSG-neu Art. 32 DSGO gesetzlich geforderten Sicherheitsmaßnahmen und wird sie auf Verlangen des Auftraggebers nachweisen.

Folgende besondere technische und organisatorische Maßnahmen werden bei der Verarbeitung im Rechenzentrum eingehalten:

1. Zutrittskontrolle

· elektronisches Zutrittskontrollsystem mit Protokollierung

· Video- und Alarmanlagen gesichert.

· dokumentierte Schlüsselvergabe an Mitarbeiter und Colocation-Kunden für Colocation Racks (jeder Auftraggeber ausschließlich für seinen Colocation Rack)

· Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude

· Videoüberwachung an den Ein- und Ausgängen, Sicherheitsschleusen und Serverräumen 2. Zugangskontrolle

2. Zugangskontrolle

· Passwörter, welche nur vom Auftraggeber (JESNA) nach erstmaliger Inbetriebnahme von ihm selbst geändert werden und dem Auftragnehmer (Rechenzentrum) nicht bekannt sind. Verwendete Passwörter müssen komplexen Vorgaben entsprechen und eine Mindestlänge haben.

3. Zugriffskontrolle

· Allgemein o private Besuche im  Rechenzentrum sind grundsätzlich untersagt

· Geschäftliche Besuche unterliegen einer durchgängigen Aufsicht o Lieferanten werden persönlich vom Eingangsbereich abgeholt und stehen durchgängig unter Aufsicht o Firewalls vor allen Systemen, die besondere Schutzmaßnahmen benötigen

· bei internen Verwaltungssystemen des Auftragnehmers (Rechenzentrum):

o Sicherheitsupdate- und Backupmanagement (nach dem jeweiligen Stand der Technik) stellen sicher, dass unberechtigte Zugriffe verhindert werden.

o Abgestufte Berechtigungsvergabe für Mitarbeiter des Auftragnehmers o Firewalls vor allen Systemen, die besondere Schutzmaßnahmen benötigen

· bei Root Systemen und „Colocation“

o Die Verantwortung der Zugriffskontrolle obliegt dem Auftraggeber JESNA), da die Mitarbeiter des Rechenzentrums auftragsbedingt keinen Zugriff haben

4. Weitergabekontrolle

· Alle Mitarbeiter des Rechenzentrums sind ebenso wie alle Mitarbeiter von JESNA auf das Datengeheimnis nach § 53 BDSG (neu) bzw. § 5 BDSG verpflichtet.

· Datenschutzgerechte Löschung der Daten nach Auftragsbeendigung.

· Sichere und verschlüsselte Verbindungen für alle Verbindungen zwischen den Standorten

· Für Kunden-Services werden sichere Zugangskanäle angeboten 5. Eingabekontrolle

· bei internen Verwaltungssysteme des Auftragnehmers (Rechenzentrum)

o Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzeptes

· bei von JESNA genutzten Root Systemen und „Colocation“

o Die Verantwortung der Eingabekontrolle obliegt dem Auftraggeber (JESNA).

o Bei diesen Systemen haben die Mitarbeiter des Rechenzentrums keinerlei Zugriffsmöglichkeit. Sperrungen erfolgen aus rechtlichen oder technischen Gründen sowie im Falle des Zahlungsverzuges.

6. Verfügbarkeitskontrolle

 · bei internen Verwaltungssysteme des Auftragnehmers

o Backup- und Recovery-Konzept mit Sicherung aller relevanten Daten in angemessenen Intervallen. o Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).

 o Einsatz von Festplattenspiegelung bei allen relevanten Servern.

o Monitoring aller relevanten Server. o Einsatz unterbrechungsfreier Stromversorgung.

 o Maßnahmen gegen DDoS und sonstige Angriffe gegen die Systeme nach dem Stand der Technik Stand: 06.03.2018 Seite 4 von 5

· bei Root Systemen und „Colocation“

o Datensicherung obliegt dem Auftraggeber JESNA).

o Einsatz von Festplattenspiegelung.

o Einsatz unterbrechungsfreier Stromversorgung.

 o Einsatz von Softwarefirewall und Portreglementierungen.

o Maßnahmen gegen DDoS und sonstige Angriffe gegen die Systeme nach dem Stand der Technik

· Allgemein o Firewalls

o Restriktive Einstellungen - nur sichere und erlaubte Dienste sind erreichbar o Hardware-Firewall

o Software-Firewall o Intrusion-Detection/Prevention-Systeme o Anti-Viren-Software

 o 24/7 Monitoring sämtlicher Dienste

o 24/7 Bereitschaftstechniker auf Abruf verfügbar

o erreichbar über Ticketsystem/E-Mail und zwei verschiedene Mobilfunknetze o Stromversorgung o 2 Trafostationen auf dem Gelände

o Unterbrechungsfreie Stromversorgung (USV) 320 kW o Notstrom-Dieselgenerator 500 kW

o N + 1 redundante Klimatisierung

o Geräte zur Überwachung von Temperatur in den Serverräumen

o Feuer- und Rauchmeldeanlagen o Feuerlöschgeräte o Schutzsteckdosenleisten in den Server-Racks o Blitz- und Überspannungsschutz o Notfallpläne

7.Trennungskontrolle

· bei internen Verwaltungssysteme des Auftragnehmers (Rechenzentrum)

o Datenverarbeitung erfolgt grundsätzlich auf je nach Zweck getrennten Systemen o Daten werden physikalisch oder logisch von anderen Daten getrennt gespeichert.

o Die Datensicherung erfolgt ebenfalls auf logisch und/oder physikalisch getrennten Systemen.

· bei Root Systemen und „Colocation“

o Die Trennungskontrolle obliegt dem Auftraggeber.

· Für die Vernichtung gem. DIN 66399 gilt Schutzklasse 1.