ANLAGE ZU "ALLGEMEINE GESCHÄFTSBEDINGUNGEN FÜR GINLO @WORK"

Auftragsverarbeitungsvertrag zu ginlo @work

(gemäß Art. 28 DSGVO)

Stand: 25. Mai 2018

1 Vertragsgegenstand

1.1 Verarbeitung personenbezogener Daten.

Die Brabbler Secure Message and Data Exchange Aktiengesellschaft, Ria-Burkei-Straße 26, 81249 München/Deutschland ("Auftragnehmer") stellt dem Kunden ("Auftraggeber") gemäß "Allgemeine Geschäftsbedingungen für ginlo @work" ("Leistungsvertrag") einen Online-Dienst für den sicheren, verschlüsselten Austausch von Nachrichten und anderen Inhalten ("ginlo @work") zur Verfügung. Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragnehmer bei der Bereitstellung von ginlo @work gemäß Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung "DSGVO"). Die Begriffe "personenbezogene Daten", "Betroffener" (betroffene Person) und "Verarbeitung" haben die in Art. 4 DSGVO beschriebene Bedeutung.

1.2 Geltungsbereich.

Dieser Vertrag gilt nur dann und nur soweit, wie der Auftraggeber den Anforderungen des Art. 28 DSGVO unterliegt. Dieser Auftragsverarbeitungsvertrag gilt nicht, wenn und soweit der Auftragnehmer Telekommunikationsleistungen erbringt und für diese kein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO gesetzlich vorgeschrieben ist.

1.3 Gegenstand, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien Betroffener.

Gegenstand der Verarbeitung ist die Bereitstellung von ginlo @work, insbesondere die Bereitstellung der Serverleistungen gemäß dem Leistungsvertrag. Es werden folgende Arten von personenbezogenen Daten über Nutzer und Administratoren von ginlo @work verarbeitet (nachfolgend "Kundendaten"):
a)    Registrierdaten von Nutzern (E-Mail-Adresse, Vor- und Nachname, ggf. Profilbild)
b)    verschlüsselte Inhaltsdaten (z. B. von Nutzern gesendete oder empfangene ginlo Nachrichten); diese Daten werden bereits auf dem Gerät des Nutzers verschlüsselt und auch auf dem Server des Auftragnehmers verschlüsselt gespeichert, sodass der Auftragnehmer keine Einsicht in diese Daten nehmen kann.
c)    Metadaten (z. B. Versandzeitpunkt von Nachrichten oder IDs der Empfänger von Nachrichten, Geräte- und Verbindungsdaten, z. B. Geräte-Identifikationsnummer, Betriebssystemversion und IP-Adresse der Geräte der Nutzer)

2 Pflichten des Auftraggebers

2.1 Verantwortlicher.

Der Auftraggeber bleibt im Verhältnis zwischen Auftraggeber und Auftragnehmer alleiniger Verantwortlicher der Kundendaten im Sinne des Datenschutzrechts, Art. 4 Nr. 7 DSGVO und ist für die Rechtmäßigkeit der Datenverarbeitung während der gesamten Vertragslaufzeit sowie für die Wahrung der Rechte der Betroffenen alleine verantwortlich. Der Auftraggeber hat Betroffene über Datenverarbeitungen gemäß den Bestimmungen der DSGVO zu informieren. Hinweise zum Datenschutz des Auftragnehmers sind abrufbar unter www.ginlo.net/de/legal/privacy.

2.2 Weisungen.

Die Verarbeitung der Kundendaten durch den Auftragnehmer erfolgt im Rahmen der Zurverfügungstellung einer standardisierten Softwarelösung. Der Auftraggeber übt sein Weisungsrecht (siehe Ziffer 4.2) in Bezug auf die Kundendaten im Wesentlichen durch Einrichtung und Benutzung der ginlo Team Manager Software aus. Soweit erforderlich wird der Auftraggeber ergänzende Weisungen zur Verarbeitung von Kundendaten ausschließlich an folgende Adresse richten: support@ginlo.net. Geht der Inhalt von Weisungen des Auftraggebers über dasjenige hinaus, was der Auftragnehmer dem Auftraggeber gemäß dem Leistungsvertrag schuldet, hat der Auftraggeber die entsprechenden Leistungen dem Auftragnehmer gesondert zu den dann jeweils üblichen Stundensätzen des Auftragnehmers zu vergüten. Ist eine Weisung nur mit unverhältnismäßig hohem Aufwand umsetzbar, steht dem Auftragnehmer ein Recht zur außerordentlichen Kündigung des Leistungsvertrages und dieses Auftragsverarbeitungsvertrags zu.

3 Pflichten des Auftragnehmers

3.1 Weisungsgebundenheit.

Der Auftragnehmer verarbeitet die Kundendaten nur gemäß den dokumentierten Weisungen des Auftraggebers, sofern der Auftragnehmer nicht durch das Recht der EU oder Deutschlands hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Die Weisungen des Auftraggebers sind auch zu befolgen in Bezug auf die Übermittlung von Kundendaten an ein Land außerhalb der EU oder eine internationale Organisation, sofern dies nicht bereits vertraglich vereinbart ist.

3.2 Zweckbindung.

Der Auftragnehmer verarbeitet die Kundendaten ausschließlich im Rahmen und zum Zwecke der Bereitstellung von ginlo @work für den Auftraggeber und nach den Weisungen des Auftraggebers.

3.3 Hinweispflicht.

Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung nach Meinung des Auftragnehmers gegen die DSGVO oder gegen andere Datenschutzbestimmungen der EU oder Deutschlands verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird. Eine Pflicht zur rechtlichen Prüfung von Weisungen besteht für den Auftragnehmer nicht.

3.4 Betroffenenrechte.

Machen Betroffene ihre Betroffenenrechte auf Auskunft (Art. 15 DGSVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSVO) oder Datenübertragbarkeit (Art. 20 DSGVO) geltend, erfüllt der Auftraggeber dies selbst durch Nutzung der entsprechenden Funktionen der Software, sofern möglich. Gleiches gilt im Fall des Widerspruchs (Art. 21 DSGVO) oder Widerrufs von Einwilligungen. Ist dem Auftragnehmer dies nicht möglich, gilt Ziffer 3.7. Für die Herausgabe und Löschung der Kundendaten bei Vertragsende gilt vorrangig Ziffer 6.2.

3.5 Datengeheimnis.

Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der Kundendaten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3.6 Meldepflicht bei Datenschutzverletzungen.

Wenn dem Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Auftraggeber unverzüglich. "Verletzung des Schutzes personenbezogener Daten" ist jede Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Kundendaten führt, die übermittelt, gespeichert oder auf sonstige Weise vom Auftragnehmer verarbeitet wurden, Art. 4 Nr. 12 DSGVO.

3.7 Unterstützungspflicht.

Der Auftragnehmer wird den Auftraggeber angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Art. 12 bis 23 DSGVO genannten Rechte der Betroffenen nachzukommen. Eine Pflicht des Auftragnehmers, ginlo @work so bereitzustellen, dass Betroffenenrechte unter der DSGVO mittels integrierter Funktionen der Software durch den Auftragnehmer selbst erfüllt werden können, besteht nicht. Zudem besteht durch die vorgenannte Unterstützungspflicht keine Pflicht des Auftragnehmers zur Anpassung von ginlo @work. Der Auftragnehmer wird unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten unterstützen. Den durch die Erfüllung der Unterstützungspflichten nach dieser Ziffer 3.7 verursachten Aufwand (einschließlich Arbeitszeit) hat der Auftraggeber dem Auftragnehmer zu den dann jeweils üblichen Stundensätzen des Auftragnehmers zu erstatten.

3.8 Datensicherheit.

Der Auftragnehmer trifft in seinem Verantwortungsbereich alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen. Eine Dokumentation der bei Vertragsbeginn getroffenen Maßnahmen kann über https://www.ginlo.net/de/legal/privacy bezogen werden. Die Maßnahmen sind vom Auftraggeber vor Vertragsschluss zu prüfen und gelten als akzeptiert, wenn der Auftraggeber sie nicht bis zum Vertragsschluss ausdrücklich beanstandet hat. Der Auftragnehmer ist berechtigt, diese Maßnahmen den jeweiligen Anforderungen entsprechend anzupassen, sofern hierdurch das Datenschutzniveau insgesamt nicht abgesenkt wird. Änderungen sind zu dokumentieren.

3.9 Anfragen von Aufsichtsbehörden.

Anfragen von Aufsichtsbehörden (Art. 31 DSGVO) in Bezug auf unmittelbare Pflichten des Auftragnehmers aus der DSGVO (vgl. Art. 30, 32, 46 Abs. 1 DSGVO) beantwortet der Auftragnehmer eigenständig und informiert den Auftraggeber nur, soweit die Sache unmittelbare rechtliche Auswirkungen auf den Auftraggeber hat.

4 Kontrollrechte des Auftraggebers

4.1 Kontrollrecht.

Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Der Auftraggeber hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieses Auftragsverarbeitungsvertrags durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Kontrollen sind ohne wesentliche Beeinträchtigung des Geschäftsbetriebs des Auftragnehmers durchzuführen. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer wird dem Auftraggeber auf Anforderung die erforderlichen Auskünfte erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen darlegen.

4.2 Nachweis.

Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann nach Wahl des Auftragnehmers auch erfolgen durch
a)    die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
b)    die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
c)    aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
d)    eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI IT-Grundschutz).

4.3 Kosten.

Durch Kontrollen entstehende Kosten wird der Auftraggeber dem Auftragnehmer erstatten. Dies umfasst auch eine Aufwandsentschädigung für die Arbeitszeit des vom Auftragnehmer beanspruchten Personals zu den dann jeweils üblichen Stundensätzen des Auftragnehmers. Der Auftragnehmer kann im Falle einer angekündigten Kontrolle einen angemessenen Vorschuss vom Auftraggeber verlangen.

4.4 Schutzwürdige Interessen des Auftragnehmers.

Soweit durch Kontrollen Betriebs- und Geschäftsgeheimnisse des Auftragnehmers offenbart oder geistiges Eigentum des Auftragnehmers oder die Systemsicherheit gefährdet werden kann, hat der Auftraggeber die Kontrollen durch eine fachkundigen und unabhängigen Dritten vornehmen zu lassen, der sich gegenüber dem Auftragnehmer vorab schriftlich zur Verschwiegenheit verpflichtet.

5 Unterauftragsverhältnisse

5.1 Gestattung von Unterauftragnehmern.

Der Auftragnehmer ist berechtigt, nach eigenem Ermessen weitere Auftragnehmer (Unterauftragnehmer) im Wege der Auftragsverarbeitung einzuschalten, insbesondere Hoster, sofern die Datenverarbeitung durch einen Anbieter mit Sitz in Deutschland erfolgt und die Datenverarbeitungsanlagen sich in Deutschland befinden. Der Auftraggeber stimmt der Einschaltung solcher Unterauftragnehmer hiermit zu. Derzeit werden vom Auftragnehmer lediglich Colocation-Anbieter genutzt, die Internetanbindung und Raum in einem Rechenzentrum bereitstellen. Diese stellen keine Unterauftragnehmer dar.

5.2 Änderungen.

Der Auftragnehmer informiert den Auftraggeber (z. B. per E-Mail) über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern. Der Auftraggeber kann dem binnen einer Frist von vier Wochen ab Mitteilung widersprechen. Der Auftraggeber wird einen Widerspruch nur aus sachlichen Gründen einlegen. Im Falle eines Widerspruchs steht dem Auftragnehmer ein außerordentliches Recht zur Kündigung des Leistungsvertrags und dieses Auftragsverarbeitungsvertrags zu; im Voraus bezahlte Gebühren sind dann vom Auftragnehmer anteilig zurückzuzahlen.

5.3 Verträge mit Unterauftragnehmern.

Nimmt der Auftragnehmer die Dienste eines Unterauftragnehmers in Anspruch, so wird der Auftragnehmer dem Unterauftragnehmer im Wege eines Vertrags dieselben Datenschutzpflichten auferlegen, die in diesem Auftragsverarbeitungsvertrag festgelegt sind. Kommt der weitere Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragnehmers.

6 Laufzeit

6.1 Laufzeit.

Die Laufzeit dieses Vertrages entspricht der Laufzeit des Hauptvertrages. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.

6.2 Daten bei Vertragsende.

Mit Ende der Vertragslaufzeit gilt in Bezug auf die Löschung und Herausgabe der Kundendaten:
a)    Löschung. Nach Beendigung der Testphase oder nach Ablauf eines kostenpflichtigen Abonnements werden die Kundendaten für weitere 7 Tage gespeichert, sodass der Auftraggeber ginlo @work noch in vollem Umfang weiter nutzen kann. Danach werden alle Accounts der Nutzer des Auftraggebers sowie die Funktionen zur Nutzerverwaltung deaktiviert. Die Daten bleiben für weitere 60 Tage gespeichert (Nachspeicherfrist). Während der Nachspeicherfrist kann der Auftraggeber seinen Unternehmens-Account ohne Datenverlust reaktivieren oder den gesamten Inhalt für die Nutzung außerhalb von ginlo @work im Klartext exportieren. Nach Ablauf der Nachspeicherfrist werden alle Kundendaten gelöscht – bis auf jene, die einer gesetzlichen Aufbewahrungsfrist unterliegen. Möchte der Auftraggeber die Nachspeicherfrist nicht in Anspruch nehmen, kann er unentgeltlich die sofortige Löschung der Kundendaten beim ginlo Kundenservice beauftragen.
Kommunikationsinhalte können noch in den Postfächern von Dritten verbleiben. Sofern eine Löschung nur mit unverhältnismäßigem Aufwand möglich ist (z. B. in Backups) ist der Auftragnehmer berechtigt, die Kundendaten zunächst zu sperren und später turnusgemäß endgültig zu löschen. Die endgültige Löschung aus allen Server-Backups kann bis zu 30 Tage dauern.

b)   Herausgabe/Export. Es obliegt dem Auftraggeber, die Kundendaten vor Ende der Vertragslaufzeit mit Hilfe der Exportfunktion der ginlo Team Manager Software (gemäß Leistungsbeschreibung auf www.ginlo.net) zu exportieren und bei sich zur weiteren Verwendung zu speichern. Zu einer darüberhinausgehenden Herausgabe der Kundendaten (z. B. Bereitstellung weitergehender Daten oder Bereitstellung in einem bestimmten Format) ist der Auftragnehmer nicht verpflichtet.

7 Schlussbestimmungen

Die Bestimmungen der Ziffer 12 der allgemeinen Geschäftsbedingungen für ginlo @work gelten auch für diesen Auftragsverarbeitungsvertrag.

Stand: 25. Mai 2018