|
AGB (Allgemeine Geschäftsbedingungen) der GMP-Berlin
GMP-Berlin Thomas Loitsch Stromstraße 1 10555 Berlin (nachfolgend GMP-Berlin genannt)
Stand 01.01.2019
§ 1 Durchführung eines Mandantenauftrags
Die Autorisierte GMP-Berlin hat sich verpflichtet, nach den bestehenden Qualitäts- und Ethik-Richtlinien der DIN Norm 33430 Lieferungen und Leistungen zu erbringen. Der GMP-Berlin arbeitet selbständig, in eigenem Namen und auf eigene Rechnung.
GMP-Berlin gewährleistet, den erteilten Auftrag effektiv, kosten optimiert und professionell auszuführen. Dazu stehen ausgewogene Methoden, gebündeltes Know-how und langjährige Erfahrung. Diese Allgemeinen Geschäftsbedingungen gelten für alle Lieferungen und Leistungen der GMP-Berlin. Die Geschäftsbedingungen für die direkte Nutzung von Softwareprodukten von dem Auftraggeber, sind ergänzend in den €žbesonderen Bedingungen für die Nutzung von Softwareprodukt aufgeführt.
§ 2 Auftragsvergabe und -annahme
Die Auftragsbestätigung regelt grundsätzlich im Einzelnen den Projektumfang, die Art der Dienstleistung, das Honorar, die Kostenregelung und die Fälligkeiten.
§ 4 Reise- /Bewirtungskosten
Reisekosten werden für den Auftraggeber unter Ökonomischen Gesichtspunkten behandelt und unterliegen dem durchschnittlichen Preisniveau für:
a) Pkw: 0,40 EUR pro km Fahrstrecke
b) Flugzeug Economy Inland; Business-Class Langsteckenflüge
c) Züge: 1. Klasse
d) Taxifahrten: gegen Quittungsbeleg
e) Mietwagen: Mittelklasse Inland
f) Übernachtung: Mittelklassehotel inkl. Frühstück
g)Verpflegung / Bewirtung zum Mandantenauftrag gehörenden Dritten: Pro Person nach Verhältnismäßgkeit
und schriftlicher Festlegung gem. Vertrag.
§ 5 Zahlungsbedingungen
Die Zahlungen erfolgen nach den Sitten für Personal- und Managementdienstleistungen, wenn nicht vertraglich anderslautend, zu 1/3 der Gesamtsumme bei Auftragsvergabe, Rest bei Abschluss.
Reisekosten § 4 + 5, Porto, Honorare, werden durch GMP-Berlin vorfinanziert; diesbezügliche Rechnungen sind sofort nach Rechnungserhalt ohne Abzug vom Auftraggeber zu zahlen. Sämtliche weitere Rechnungen sind, ist keine anderslautende Regelung in der Auftragsbestätigung schriftlich vermerkt, ebenfalls sofort nach Rechnungserhalt ohne Abzug fällig. Die Zahlung erfolgt in Euro.
Alle Rechnungsbeträge verstehen sich zuzüglich der gesetzlich gültigen Mehrwertsteuer der Bundesrepublik Deutschland und werden in Euro berechnet. Bei Zahlungsabweichungen durch den Auftraggeber, fallen ab der zweiter Mahnung Verzugszinsen
in Höhe von 4% der Nettosumme an. Ab der letzten Mahnung treten wir unsere Forderungen an ein Inkassounternehmen ab.
§ 6 Vorzeitige Beendigung des Auftrages
Wird ein Projekt vorzeitig, d.h. vor Abschluss, durch den Auftraggeber beendet, so wird von GMP-Berlin, der entstandene Gesamtaufwand berechnet (Honorar/Std. EUR 125,-- zzgl. Auslagen § 4 + 5, sowie die landesgültige USt.).
Sämtliche Unterlagen der GMP-Berlin unterliegen dem Copyright der GMP-Berlin, Thomas Loitsch, soweit sie nicht vom Auftraggeber
kommen und bleiben bis zur vollständigen Zahlung Eigentum der GMP-Berlin Thomas Loitsch.
Vervielfältigungen der Unterlagen von GMP-Berlin sind nur durch Zusagen in schriftlicher form gestattet. Bei Zuwiderhandlung macht GMP-Berlin vom Gebrauchsmusterschutz Gebrauch.
§ 7 Vertraulichkeit/Datenschutz
Siehe DSGVO.
§ 8 Allgemeines
Änderungen und/oder Ergänzungen in Verträgen /Auftragsbestätigungen bedürfen der Schriftform.
Örtlicher Gerichtstand ist der Sitz der GMP-Berlin, Thomas Loitsch.
§ 9 Salvatorische Klausel
Sollte eine Bestimmung in diesen Geschäftsbedingungen oder Teile hiervon unwirksam sein oder werden oder die Geschäftsbedingungen eine Lücke enthalten, so bleibt die Rechtswirksamkeit der Übrigen Bestimmungen hiervon unberührt. An Stelle der unwirksamen Bestimmung gilt eine wirksame Bestimmung als vereinbart, die dem von den Parteien Gewollten am nächsten kommt. Das gleiche gilt im Falle einer Lücke.
Präambel
Der Auftragnehmer verarbeitet im Rahmen abgeschlossener oder abzuschließender Verträge personenbezogene Daten
aus dem datenschutzrechtlichen Verantwortungsbereich des Auftraggebers im Sinne des Art. 28 Datenschutzgrundverordnung
(DSGVO). Die dem Auftragnehmer vom Auftraggeber überlassenen personenbezogenen Daten unterliegen den Bestimmungen
des DSGVO und den sonstigen datenschutzrechtlichen Vorschriften (z. B. BDSG).
Diese Vereinbarung legt die Rahmenbedingungen zur Gewährleistung der Einhaltung der datenschutzrechtlichen Regelungen fest.
1. Gegenstand und Dauer des Auftrags
Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
- Analyse der im Auftrag benannten Unternehmensstruktur insbesondere das Erstellen von Profilen in den Bereichen Management-
kompetenzen, Leistungsträger-Soziale-Kompetenzen, Vertriebskompetenzen, Leadership-Kompetenzen, Teamkompetenzen,
Berufliche Stresspräfention..
- Erstellen von Filial- bzw. Gruppenprofilen zur Evaluation und Benchmark-Analyse
- Ergebnisgespräche mit Teilnehmerinnen und Teilnehmern, Auswertungsgespräche übergeordneten Führungskräften, Verantwortlichen
und Personalwesen.
- Workshops, Festlegung von Maßnahmen und Lernzielkontrollen.
Die Dauer des Auftrags
- Fxierung nach Art und Umfängen im Vertragswerk.
2. Konkretisierung des Auftragsinhaltes
Art und Zweck der vorgesehenen Verarbeitung von Daten
Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Umfang, Art und Zweck der Aufgaben des Auftragnehmers:
- Erhebungen personen- und unternehmensbezogener Daten mittels Statistiktools und Online Oberfläche www.dnla.de/fragen
durch persönlicher Eingabe demografischer Daten und Beantwortung der Fragenkataloge auf oben genannter Website.
- Auswertungen mittels DNLA-programmierter Anwendungssoftware über GMP-Berlin Thomas Loitsch.
- Auswertungen mittels DNLA-programmierter Anwendungssoftware über GMP-Berlin Thomas Loitsch und Versendung an Partner
oder Kunden die nicht über eine DNLA-Anwendungslizenz und - Software verfügen..
- Auswertungen mittels DNLA-programmierter Anwendungssoftware über den Kunden als Lizenznehmer o.g. DNLA Software.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union
oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland
bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff.
DSGVO erfüllt sind.
Das angemessene Schutzniveau
- ist festgestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DSGVO);
- wird hergestellt durch verbindliche interne Datenschutzvorschriften (Art.. 46 Abs. 2 lit. b i.V.m. 47 DSGVO);
- wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 litt. c und d DSGVO);
- wird hergestellt durch genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. e i.V.m. 40 DSGVO);
- wird hergestellt durch einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f i.V.m. 42 DSGVO);
- wird hergestellt durch sonstige Maßnahmen gemäß individueller Vertragsinhalte (Art. 46 Abs. 2 lit. a, Abs.. 3 litt. a und b DSGVO).
Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien)
- Personenstammdaten
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
- Kundenhistorie
- Vertragsabrechnungs- und Zahlungsdaten
- Planungs- und Steuerungsdaten
- Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus Öffentlichen Verzeichnissen)
Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden
- Interessenten
- Abonnenten
- Beschäftigte
- Lieferanten
- Freiberufliche Partnerinnen und Partner
- Ansprechpartner
- Beteiligte (Stakeholder)
3. Technisch-organisatorische Maßnahmen
Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen
Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu Übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von
Art. 32 Abs. 1 DSGVO zu berücksichtigen .
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem
Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht
unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
4. Berichtigung, Einschränkung und Löschung von Daten
Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessen werden, Berichtigung, Datenportabilität und Auskunft nach
dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO;
insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt.
- Dessen Kontaktdaten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. Ein Wechsel des Datenschutzbeauftragten
wird dem Auftraggeber unverzüglich mitgeteilt.
- Als Datenschutzbeauftragte(r) ist beim Auftragnehmer Herr / Frau (Name, Vorname Bereich, Straße, Plz, Ort Telefon, Email-Adresse) bestellt.
Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.
b) Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Als Ansprechpartner beim Auftragnehmer wird
Herr Thomas Loitsch Albrechtstraße 11 in 10117 Berlin-Mitte unter info@gmp-berlin.com benannt.
c) So der Auftragnehmer seinen Sitz außerhalb der Union hat, benennt er folgenden Vertreter nach Art. 27 Abs. 1 DSGVO in der Union:
[Vorname, Name, Organisationseinheit, Telefon, E-Mail].
d) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der
Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz
vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat,
dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag
eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
e) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß
Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO.
f) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
g) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen
Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die
Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
h) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem
Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung
beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
i) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu
gewährleisten,
dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der
Schutz der Rechte der betroffenen Person gewährleistet wird.
j) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner
Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.
6. Unterauftragsverhältnisse
Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die
Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer zB. als Telekommunikationsleistungen,
Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur
Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in
Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des
Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie
Kontrollmaßnahmen zu ergreifen.
Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw.
dokumentierter Zustimmung
des Auftraggebers beauftragen.
Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu, unter der Bedingung einer vertraglichen
Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO:
|
Firma Unterauftragnehmer
Frau Petra Nießner
|
Anschrift/Land
Albrechtstraße 11
D- 10117 Berlin
|
Leistung
Durchführung von Interviews
DNLA ESK; DNLA Management
|
|
|
|
|
|
|
|
Herr Dipl. Psychologe Rainer Vauk
|
Anschrift/Land
Georg-Wilhelm- Str. 48
D- 10711 Berlin
|
Leistung
Durchführung von Interviews
DNLA ESK Coaching
|
|
|
|
|
|
|
|
DNLA GmbH
|
Anschrift/Land
Münsterstraße 11
D- 48282 Emsdetten
|
Leistung
Bereitstellen der DNLA-Software
Bereitstellen der DNLA TAN
|
|
|
|
|
|
|
Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden, sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU / des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform); für sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
7. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO Überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch:
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
- aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter,
IT -Sicherheitsabteilung,
Datenschutzauditoren, Qualitätsauditoren)
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.
8. Mitteilung bei Verstößen des Auftragnehmers
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur
Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen.
Hierzu gehören u.a.
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der
Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken
berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;
b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;
c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem
Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
d) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung und
e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.
Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers
zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.
9. Weisungsbefugnis des Auftraggebers
Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung Verstöße gegen Datenschutzvorschriften. Der
Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert
wird.
10. Löschung von Daten und Rückgabe von Datenträgern
Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie
zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher
Aufbewahrungspflichten erforderlich sind.
Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber spätestens mit Beendigung der
Leistungsvereinbarung hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse
sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
11. Laufzeit und Kündigung
Diese Vereinbarung tritt mit Unterzeichnung durch beide Vertragsparteien in Kraft und behält Gültigkeit, solange das betreffende Dienstleistungsverhältnis andauert.
Ort, Datum eingeben.
|
|
|
|
Unterschrift / Stempel
GMP-Berlin Thomas Loitsch
|
|
Unterschrift / Stempel Auftragnehmer
|
Anlage(n):
Anlage “Technisch-organisatorische Maßnahmen” des Auftragnehmers
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)
Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen
- Magnet- oder Chipkarten
- Schlüssel
- elektrische Türöffner
- Werkschutz bzw. Pförtner
- Alarmanlagen
- Videoanlagen
Zugangskontrolle
Keine unbefugte Systembenutzung
- (sichere) Kennwörte
- automatische Sperrmechanismen
-Zwei-Faktor-Authentifizierung
- Verschlüsselung von Datenträgern
Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems
- Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte
- Protokollierung von Zugriffen
Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden
- Mandantenfähigkeit
Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DSGVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer
spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende
technischen und organisatorischen Maßnahmen unterliegen
2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)
Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport
- Verschlüsselung
- Virtual Private Networks (VPN)
- elektronische Signatur
Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
- Protokollierung
- Dokumentenmanagement
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs.1 lit. b. DSGVO)
Verfügbarkeitskontrolle
- Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust
- Backup-Strategie (online/offline; on-site/off-site)
- unterbrechungsfreie Stromversorgung (USV)
- Virenschutz.
- Firewall
- Meldewege und Notfallpläne
- Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
(Art. 32 Abs.1 lit. d. DSGVO; Art. 25 Abs. 1 DSGVO)
- Datenschutz-Management
- Incident-Response-Management
- Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
- Auftragskontrolle
- Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers
- Eindeutige Vertragsgestaltug
- formalisiertes Auftragsmanagement
- strenge Auswahl des Dienstleisters
- Vorabüberzeugungspflicht
- Nachkontrollen
|
