GMP-BERLIN

Gesellschaft für Management und Personalentwicklung-Berlin

GMP_Okt2005mini_Spot

AGB  (Allgemeine Geschäftsbedingungen) der GMP-Berlin
GMP-Berlin Thomas Loitsch Stromstraße 1  10555  Berlin  (nachfolgend GMP-Berlin genannt)
Stand  01.01.2019

§ 1  Durchführung eines Mandantenauftrags
Die Autorisierte GMP-Berlin hat sich verpflichtet, nach den bestehenden Qualitäts-  und Ethik-Richtlinien der DIN Norm 33430 Lieferungen und Leistungen zu  erbringen. Der GMP-Berlin arbeitet selbständig, in  eigenem Namen und auf eigene Rechnung.
GMP-Berlin gewährleistet, den erteilten  Auftrag effektiv, kosten optimiert und professionell auszuführen. Dazu stehen  ausgewogene Methoden, gebündeltes Know-how und langjährige Erfahrung. Diese  Allgemeinen Geschäftsbedingungen gelten für alle Lieferungen und Leistungen  der GMP-Berlin. Die Geschäftsbedingungen für die direkte Nutzung von  Softwareprodukten von dem Auftraggeber, sind ergänzend in den €žbesonderen  Bedingungen für die Nutzung von Softwareprodukt aufgeführt.

§ 2  Auftragsvergabe und -annahme
Die  Auftragsbestätigung regelt grundsätzlich im Einzelnen den Projektumfang, die  Art der Dienstleistung, das Honorar, die Kostenregelung und die Fälligkeiten.

§ 4 Reise-  /Bewirtungskosten
 Reisekosten werden für den Auftraggeber unter Ökonomischen Gesichtspunkten  behandelt und unterliegen dem durchschnittlichen Preisniveau für:
a) Pkw:  0,40 EUR pro km Fahrstrecke
b) Flugzeug Economy Inland;  Business-Class Langsteckenflüge
c) Züge: 1.  Klasse
d) Taxifahrten: gegen Quittungsbeleg
e) Mietwagen: Mittelklasse Inland
f) Übernachtung: Mittelklassehotel inkl. Frühstück
g)Verpflegung / Bewirtung zum Mandantenauftrag gehörenden Dritten: Pro Person  nach Verhältnismäßgkeit
   und schriftlicher Festlegung gem. Vertrag.

§ 5  Zahlungsbedingungen
Die  Zahlungen erfolgen nach den Sitten für Personal- und  Managementdienstleistungen, wenn nicht vertraglich  anderslautend, zu 1/3 der Gesamtsumme bei Auftragsvergabe, Rest bei  Abschluss.
Reisekosten § 4 + 5, Porto, Honorare, werden durch GMP-Berlin  vorfinanziert; diesbezügliche Rechnungen sind sofort nach Rechnungserhalt ohne  Abzug vom Auftraggeber zu zahlen. Sämtliche weitere Rechnungen sind,  ist keine anderslautende Regelung in der  Auftragsbestätigung schriftlich vermerkt, ebenfalls sofort nach  Rechnungserhalt ohne Abzug fällig. Die Zahlung erfolgt in Euro.

Alle  Rechnungsbeträge verstehen sich zuzüglich der gesetzlich gültigen  Mehrwertsteuer der Bundesrepublik Deutschland und werden in Euro berechnet. Bei  Zahlungsabweichungen durch den Auftraggeber, fallen ab der zweiter Mahnung  Verzugszinsen
in Höhe von 4% der Nettosumme an. Ab der letzten Mahnung treten wir unsere Forderungen an ein Inkassounternehmen ab.

§ 6  Vorzeitige Beendigung des Auftrages
Wird ein  Projekt vorzeitig, d.h. vor Abschluss, durch den Auftraggeber beendet, so wird  von GMP-Berlin, der entstandene Gesamtaufwand berechnet (Honorar/Std. EUR  125,-- zzgl. Auslagen § 4 + 5, sowie die landesgültige USt.).
Sämtliche Unterlagen der GMP-Berlin unterliegen dem Copyright der GMP-Berlin, Thomas Loitsch, soweit sie nicht vom Auftraggeber
kommen und bleiben bis zur vollständigen Zahlung Eigentum der GMP-Berlin Thomas Loitsch.
Vervielfältigungen der Unterlagen von GMP-Berlin sind nur durch Zusagen in schriftlicher form gestattet. Bei Zuwiderhandlung macht GMP-Berlin vom Gebrauchsmusterschutz Gebrauch. 

§ 7  Vertraulichkeit/Datenschutz
Siehe DSGVO.

§ 8  Allgemeines

Änderungen  und/oder Ergänzungen in Verträgen  /Auftragsbestätigungen bedürfen der  Schriftform. 
Örtlicher Gerichtstand ist der Sitz der GMP-Berlin, Thomas Loitsch.

§ 9 Salvatorische Klausel

Sollte eine Bestimmung in diesen Geschäftsbedingungen oder Teile hiervon  unwirksam sein oder werden oder die Geschäftsbedingungen eine Lücke enthalten,  so bleibt die Rechtswirksamkeit der Übrigen Bestimmungen hiervon unberührt. An  Stelle der unwirksamen Bestimmung gilt eine wirksame Bestimmung als  vereinbart, die dem von den Parteien Gewollten am nächsten kommt. Das gleiche gilt im Falle einer Lücke.

Präambel

Der Auftragnehmer verarbeitet im Rahmen abgeschlossener oder abzuschließender Verträge personenbezogene Daten
aus dem datenschutzrechtlichen Verantwortungsbereich des Auftraggebers im Sinne des Art. 28 Datenschutzgrundverordnung
(DSGVO). Die dem Auftragnehmer vom Auftraggeber überlassenen personenbezogenen Daten unterliegen den Bestimmungen
des DSGVO und den sonstigen datenschutzrechtlichen Vorschriften (z. B. BDSG).

Diese Vereinbarung legt die Rahmenbedingungen zur Gewährleistung der Einhaltung der datenschutzrechtlichen Regelungen fest.

1. Gegenstand und Dauer des Auftrags
     Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:

-   Analyse der im Auftrag benannten Unternehmensstruktur insbesondere das Erstellen von Profilen in den Bereichen Management-
    kompetenzen, Leistungsträger-Soziale-Kompetenzen, Vertriebskompetenzen, Leadership-Kompetenzen, Teamkompetenzen,
    Berufliche Stresspräfention..

-   Erstellen von Filial- bzw. Gruppenprofilen zur Evaluation und Benchmark-Analyse

-   Ergebnisgespräche mit Teilnehmerinnen und Teilnehmern, Auswertungsgespräche übergeordneten Führungskräften, Verantwortlichen
    und Personalwesen.

 -  Workshops, Festlegung von Maßnahmen und Lernzielkontrollen.

    Die Dauer des Auftrags
-   Fxierung nach Art und Umfängen im Vertragswerk.

2. Konkretisierung des Auftragsinhaltes
    Art und Zweck der vorgesehenen Verarbeitung von Daten
    Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Umfang, Art und Zweck der Aufgaben des Auftragnehmers:

-   Erhebungen personen- und unternehmensbezogener Daten mittels Statistiktools und Online Oberfläche www.dnla.de/fragen
    durch persönlicher Eingabe demografischer Daten und Beantwortung der Fragenkataloge auf oben genannter Website.

-   Auswertungen mittels DNLA-programmierter Anwendungssoftware über GMP-Berlin Thomas Loitsch.
-   Auswertungen mittels DNLA-programmierter Anwendungssoftware über GMP-Berlin Thomas Loitsch und Versendung an Partner
    oder Kunden die nicht über eine DNLA-Anwendungslizenz und - Software verfügen..
-   Auswertungen mittels DNLA-programmierter Anwendungssoftware über den Kunden als Lizenznehmer o.g. DNLA Software.

    Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union
    oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland
    bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff.
    DSGVO erfüllt sind.
    Das angemessene Schutzniveau
-   ist festgestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DSGVO);
-   wird hergestellt durch verbindliche interne Datenschutzvorschriften (Art.. 46 Abs. 2 lit. b i.V.m. 47 DSGVO);
-   wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 litt. c und d DSGVO);
-   wird hergestellt durch genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. e i.V.m. 40 DSGVO);
-   wird hergestellt durch einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f i.V.m. 42 DSGVO);
-   wird hergestellt durch sonstige Maßnahmen gemäß individueller Vertragsinhalte (Art. 46 Abs. 2 lit. a, Abs.. 3 litt. a und b DSGVO).

Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien)

-   Personenstammdaten
-   Kommunikationsdaten (z.B. Telefon, E-Mail)
-   Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
-   Kundenhistorie
-   Vertragsabrechnungs- und Zahlungsdaten
-   Planungs- und Steuerungsdaten
-   Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus Öffentlichen Verzeichnissen)

Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

-   Kunden
-   Interessenten
-   Abonnenten
-   Beschäftigte
-   Lieferanten
-   Freiberufliche Partnerinnen und Partner
-   Ansprechpartner
-   Beteiligte (Stakeholder)

 3. Technisch-organisatorische Maßnahmen
Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen
Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu Übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von
Art. 32 Abs. 1 DSGVO zu berücksichtigen .

   Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem
   Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht
   unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten
Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

   Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessen werden, Berichtigung, Datenportabilität und Auskunft nach
   dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
  
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO;
   insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt.

-  Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Ein Wechsel des Datenschutzbeauftragten
   wird dem Auftraggeber unverzüglich mitgeteilt.

-   Als Datenschutzbeauftragte(r) ist beim Auftragnehmer Herr / Frau (Name, Vorname  Bereich, Straße, Plz, Ort Telefon, Email-Adresse) bestellt.
    Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
    Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.

b) Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Als Ansprechpartner beim Auftragnehmer wird
    Herr Thomas Loitsch Stromstraße 1 10555 Berlin info@gmp-berlin.com  benannt.

c) So der Auftragnehmer seinen Sitz außerhalb der Union hat, benennt er folgenden Vertreter nach Art. 27 Abs. 1 DSGVO in der Union:
     [Vorname, Name, Organisationseinheit, Telefon, E-Mail].

d) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der
    Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz
    vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat,
    dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag
    eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

e) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß
    Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO.

f)  Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

g) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen  
    Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die
    Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

h) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem 
    Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung
    beim Auftragnehmer  ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

i) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu
   gewährleisten,
   dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der
   Schutz der Rechte der betroffenen Person gewährleistet wird.

j)  Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner
    Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

 6. Unterauftragsverhältnisse
  
Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die 
   Erbringung der Hauptleistung  beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer zB. als Telekommunikationsleistungen,
   Post-/Transportdienstleistungen,  Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur
   Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in
   Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des
   Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie
   Kontrollmaßnahmen zu ergreifen.

   Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw.
   dokumentierter Zustimmung
   des Auftraggebers beauftragen.

 Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu, unter der Bedingung einer vertraglichen
 Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO:

Firma Unterauftragnehmer
Frau Petra Nießner

Anschrift/Land
Albrechtstraße 11
D- 10117 Berlin 

Leistung
Durchführung von Interviews
DNLA ESK; DNLA Management


Herr Dipl. Psychologe Rainer Vauk

Anschrift/Land
Georg-Wilhelm- Str. 48
D- 10711 Berlin

Leistung
Durchführung von Interviews
DNLA ESK  Coaching


DNLA GmbH

Anschrift/Land
Münsterstraße 11
D- 48282 Emsdetten

Leistung
Bereitstellen der DNLA-Software
Bereitstellen der DNLA TAN

Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden, sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU / des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform);  für sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

7. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO Überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

    Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch:
-  die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
-  die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
-  aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, 
   IT -Sicherheitsabteilung,
   Datenschutzauditoren, Qualitätsauditoren)
-  eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

   Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

8. Mitteilung bei Verstößen des Auftragnehmers
   
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur
    Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen.    
    Hierzu gehören u.a.

a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der
    Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken
    berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;

b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;

c)  die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem   
     Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;

d)  die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung und

e)  die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

    Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers
    zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

9. Weisungsbefugnis des Auftraggebers
   
Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).

    Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung Verstöße gegen Datenschutzvorschriften. Der
    Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert
    wird.

10. Löschung von Daten und Rückgabe von Datenträgern
Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie
zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher
Aufbewahrungspflichten erforderlich sind.

Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber spätestens mit Beendigung der
Leistungsvereinbarung hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse
sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der  jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11. Laufzeit und Kündigung
Diese Vereinbarung tritt mit Unterzeichnung durch beide Vertragsparteien in Kraft und behält Gültigkeit, solange das betreffende Dienstleistungsverhältnis andauert.

 

 

Ort, Datum eingeben.

 

 

Unterschrift / Stempel

GMP-Berlin Thomas Loitsch

Unterschrift / Stempel Auftragnehmer

 

Anlage(n):

Anlage “Technisch-organisatorische Maßnahmen” des Auftragnehmers

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

    Zutrittskontrolle
    Kein unbefugter Zutritt zu Datenverarbeitungsanlagen
-   Magnet- oder Chipkarten
-   Schlüssel
-   elektrische Türöffner
-   Werkschutz bzw. Pförtner
-   Alarmanlagen
-   Videoanlagen

    Zugangskontrolle
    Keine unbefugte Systembenutzung
-   (sichere) Kennwörte
-   automatische Sperrmechanismen
   -Zwei-Faktor-Authentifizierung
-   Verschlüsselung von Datenträgern

    Zugriffskontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems
-   Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte
-   Protokollierung von Zugriffen

    Trennungskontrolle
    Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden
 -  Mandantenfähigkeit 

    Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DSGVO)
    Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer
    spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende
    technischen und organisatorischen Maßnahmen unterliegen

 2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

    Weitergabekontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport
-   Verschlüsselung
-   Virtual Private Networks (VPN)
-   elektronische Signatur

    Eingabekontrolle
    Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
-   Protokollierung
-   Dokumentenmanagement

 3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs.1 lit. b. DSGVO)

    Verfügbarkeitskontrolle
-   Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust
-   Backup-Strategie (online/offline; on-site/off-site)
-   unterbrechungsfreie Stromversorgung (USV)
-   Virenschutz.
-   Firewall
-   Meldewege und Notfallpläne
-   Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);

 4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
     (Art. 32 Abs.1 lit. d. DSGVO; Art. 25 Abs. 1 DSGVO)

-   Datenschutz-Management
-   Incident-Response-Management
-   Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
-   Auftragskontrolle

-   Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers
-   Eindeutige Vertragsgestaltug
-   formalisiertes Auftragsmanagement
-   strenge Auswahl des Dienstleisters
-   Vorabüberzeugungspflicht
-   Nachkontrollen   

 

[Kontakt] [Impressum] [DSGVO] [AGB]