Anlage 4 zum Haufe wowinex Vertrag
Vertrag über die Erhebung, Verarbeitung personenbezogener Daten im Auftrag Art. 28 DSGVO („AVV“) für den Einsatz von
Haufe wowinex
- GEGENSTAND UND DAUER DES AUFTRAGS
- GEGENSTAND DES AUFTRAGS
Der Gegenstand dieses Auftrags ergibt sich aus dem Neukundenangebot/Bestandskundenangebot, sowie seinen Vertragsbestandteilen, auf die hier verwiesen wird (im Weiteren „Hauptvertrag“). Dabei handelt es sich um die Verarbeitung personenbezogener Daten (im Weiteren „Daten“) durch den Auftragsverarbeiter für den Verantwortlichen im Zusammenhang mit der Nutzung der Software:
HAUFE wowinex
- DAUER DER VEREINBARUNG
Die Laufzeit dieses Auftrages (Laufzeit) entspricht der Laufzeit des Hauptvertrags .
- KONKRETISIERUNG DES AUFTRAGSINHALTS
- ART UND ZWECK DER VORGESEHENEN VERARBEITUNG VON DATEN
- Serviceleistungen
Der Auftragsverarbeiter erbringt im Auftrag des Verantwortlichen, selbst oder durch einen hierzu beauftragten Dritten, bei Bedarf Serviceleistungen rund um die Software Haufe wowinex für die Wohnungs- und Immobilienwirtschaft, (z.B. Support, Consulting, Dokumentenarchivierung Datenbank-Migrationen, die Analyse von Daten zur Behebung von Problemstellungen und die Erweiterungen von Schnittstellen und Optimierung von Software Funktionalitäten mittels anonymer Nutzungsstatistiken u.ä.) ausschließlich zu den Bedingungen dieses Vertrags.
- Optionale Dienste
Der Auftragsverarbeiter erbringt bei Lizenzierung im Auftrag des Verantwortlichen zusätzlich optionale Dienste:
- Wohnungsübergabe App
Dieser Dienst bietet die Möglichkeit der digitalen Abwicklung einer Wohnungsübergabe.
- Haufe Cloud API
Dieser Dienst ermöglicht die Anbindung von Partner- bzw. Drittsystemen.
- d.velop documents for Haufe wowinex
Dieser Dienst ermöglicht die webbasierte Archivierung von Dokumenten.
- Ort der Datenverarbeitung
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den europäischen Vertragsraum (Beschluss 94/1/EG) statt. Jede Verlagerung in ein weiteres Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
Für den optionalen Dienst d.velop documents kann in Ausnahmefällen eine Kenntnisnahme der Daten durch die Amazon Web Services, Inc., erfolgen, wenn dies für die Aufrechterhaltung der von dort bereitgestellten Services erforderlich ist, insbesondere weil der Support innerhalb von EU/EWR nicht zur Behebung einer Störung in der Lage ist. In diesem Fall wird ein angemessenes Datenschutzniveau i.S.d. Art. 44 DSGVO mit Amazon Web Services, Inc., durch EU-Standardvertrag (Processor to Processor) gewährleistet.
- ART DER DATEN
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien.
Es handelt sich in erster Linie um Daten im Kontext von wohnungs- bzw. immobilienwirtschaftlichen Verträgen und Prozessen:
- Personenstammdaten
- Kommunikations- und Adressdaten
- Aufträge
- Verträge
- Finanzdaten
- Buchhaltungsdaten
- Steuerdaten
- Messdaten
Datenarten besonderer Kategorien
Die Religionszugehörigkeit wird nur in dem Fall verarbeitet, wenn bei einer genossenschaftlichen Mitgliedschaft eine gesetzliche Kirchensteuermeldung erfolgt.
- KATEGORIEN BETROFFENER PERSONEN
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Interessenten
- Mieter
- Vermieter
- Gesetzl. Betreuer und Vertreter
- Handwerker
- Unternehmer
- Eigentümer von Immobilien
- Mitglieder von Genossenschaften
- Kreditoren
- Debitoren
- Sparer von genossenschaftlichen Spareinrichtungen
- Mitarbeiter des Verantwortlichen
- TECHNISCHE UND ORGANISATORISCHE MASSNAHME
- DER AUFTRAGSVERARBEITER HAT DIE UMSETZUNG DER IM VORFELD DER AUFTRAGSVERGABE DARGELEGTEN UND ERFORDERLICHEN TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN VOR BEGINN DER VERARBEITUNG, INSBESONDERE HINSICHTLICH DER KONKRETEN AUFTRAGSDURCHFÜHRUNG ZU DOKUMENTIEREN UND DEMVERANTWORTLICHEN IN ANLAGE 2 ZUR PRÜFUNG ZU ÜBERGEBEN. BEI AKZEPTANZ DURCH DEN VERANTWORTLICHEN WERDEN DIE DOKUMENTIERTEN MASSNAHMEN GRUNDLAGE DES AUFTRAGS
- DER AUFTRAGSVERARBEITER HAT DIE SICHERHEIT GEM. ART. 28 ABS. 3 LIT. C, 32 DSGVO INSBESONDERE IN VERBINDUNG MIT ART. 5 ABS. 1, ABS. 2 DSGVO HERZUSTELLEN. INSGESAMT HANDELT ES SICH BEI DEN ZU TREFFENDEN MASSNAHMEN UMMASSNAHMENDER DATENSICHERHEIT UND ZUR GEWÄHRLEISTUNG EINES DEM RISIKO ANGEMESSENEN SCHUTZNIVEAUS HINSICHTLICH DER VERTRAULICHKEIT, DER INTEGRITÄT, DER VERFÜGBARKEIT SOWIE DER BELASTBARKEIT DER SYSTEME. DABEI SIND DER STAND DER TECHNIK, DIE IMPLEMENTIERUNGSKOSTEN UND DIE ART, DER UMFANG UND DIE ZWECKE DER VERARBEITUNG SOWIE DIE UNTERSCHIEDLICHE EINTRITTSWAHRSCHEINLICHKEIT UND SCHWERE DES RISIKOS FÜR DIE RECHTE UND FREIHEITEN NATÜRLICHER PERSONEN IM SINNE VON ART. 32 ABS. 1 DSGVO ZU BERÜCKSICHTIGEN (EINZELHEITEN IN ANLAGE 2).
- DIE TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN UNTERLIEGEN DEM TECHNISCHEN FORTSCHRITT UND DER WEITERENTWICKLUNG INSOWEIT IST ES DEM AUFTRAGSVERARBEITER GESTATTET, ALTERNATIVE ADÄQUATE MASSNAHMEN UMZUSETZEN. DABEI DARF DAS SICHERHEITSNIVEAU DER FESTGELEGTEN MASSNAHMEN NICHT UNTERSCHRITTEN WERDEN. WESENTLICHE ÄNDERUNGEN SIND ZU DOKUMENTIERE
- BERICHTIGUNG, EINSCHRÄNKUNG UND LÖSCHUNG VON DATEN
- DER AUFTRAGSVERARBEITER DARF DIE DATEN, DIE IM AUFTRAG VERARBEITET WERDEN, NICHT EIGENMÄCHTIG, SONDERN NUR NACH DOKUMENTIERTER WEISUNG DES VERANTWORTLICHEN BERICHTIGEN, LÖSCHEN ODER DEREN VERARBEITUNG EINSCHRÄNKEN. SOWEIT EINE BETROFFENE PERSON SICH DIESBEZÜGLICH UNMITTELBAR AN DEN AUFTRAGSVERARBEITER WENDET, WIRD DER AUFTRAGSVERARBEITER DIESES ERSUCHEN UNVERZÜGLICH AN DEN VERANTWORTLICHEN WEITERLEITEN.
- LÖSCHKONZEPT, RECHT AUF VERGESSENWERDEN, BERICHTIGUNG, DATENPORTABILITÄT LIEGEN IN DER VERANTWORTUNG DES VERANTWORTLICHEN. IM SUPPORTFALL WERDEN DIE DATEN DES VERANTWORTLICHEN NACH ABSCHLUSS DER BEARBEITUNGEN NACH 3 MONATEN DURCH DEN AUFTRAGSVERARBEITER GELÖSCHT BZW. ANONYMISIERT.
- FÜR DIE BEURTEILUNG DER ZULÄSSIGKEIT DER VERARBEITUNG GEMÄSS ART. 6 ABS. 1 DSGVO SOWIE FÜR DIE WAHRUNG DER RECHTE DER BETROFFENEN PERSONEN NACH DEN ART. 12 BIS 22 DSGVO IST ALLEIN DER AUFTRAGGEBER VERANTWORTLICH.DER AUFTRAGSVERARBEITER UNTERSTÜTZT DEN VERANTWORTLICHEN BEI DER ERFÜLLUNG SEINER PFLICHTEN GEGENÜBER DEN BETROFFENEN (ART. 12-23 DSGVO).
- QUALITÄTSSICHERUNG UND SONSTIGE PFLICHTEN DES AUFTRAGSVERARBEITERS
Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
- DER AUFTRAGSVERARBEITER HAT EINEN DATENSCHUTZBEAUFTRAGTEN SCHRIFTLICH BESTELLT, DER SEINE TÄTIGKEIT GEMÄSS ART. 38 UND 39 DSGVO AUSÜB:
Herr Raik Mickler
Konzerndatenschutzbeauftragter
E-Mail: dsb@haufe-lexware.com
Telefon: +49 (0)761/898-0
- DIE WAHRUNG DER VERTRAULICHKEIT GEMÄSS AT. 28 ABS. 3 S. 2 LIT. B, 29, 32 ABS. 4 DSGVO. DER AUFTRAGSVERARBEITER SETZT BEI DER DURCHFÜHRUNG DER ARBEITEN NUR BESCHÄFTIGTE EIN, DIE AUF DIE VERTRAULICHKEIT VERPFLICHTET UND ZUVOR MIT DEN FÜR SIE RELEVANTEN BESTIMMUNGEN ZUM DATENSCHUTZ VERTRAUT GEMACHT WURDEN. DIESE VERPFLICHTUNG BESTEHT ÜBER DIE LAUFZEIT ES BESCHÄFTIGUNGSVERHÄLTNISSES FORT. DER AUFTRAGSVERARBEITER UND JEDE DEM AUFTRAGSVERARBEITER UNTERSTELLTE PERSON, DIE ZUGANG ZU PERSONENBEZOGENEN DATEN HAT, DÜRFEN DIESE DATEN AUSSCHLIESSLICH ENTSPRECHEND DER WEISUNG DESVERANTWORTLICHEN VERARBEITEN, EINSCHLIESSLICH DER IN DIESEM VERTRAG EINGERÄUMTEN BEFUGNISSE, ES SEI DENN, DASS SIE GESETZLICH ZUR VERARBEITUNG VERPFLICHTET SIND
- DIE UMSETZUNG UND EINHALTUNG ALLER FÜR DIESEN AUFTRAG ERFORDERLICHEN TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN GEMÄSS ART. ABS. 3 S. 2 LIT. C, 32 DSGVO (EINZELHEITEN IN ANLAGE 2).
- DER VERANTWORTLICHE UND DER AUFTRAGSVERARBEITER ARBEITEN AUF ANFRAGE MIT DER AUFSICHTSBEHÖRDE BEI DER ERFÜLLUNG IHRER AUFGABEN ZUSAMMEN.
- DIE UNVERZÜGLICHE INFORMATION DES VERANTWORTLICHEN ÜBER KONTROLLHANDLUNGEN UND MASSNAHMEN DER AUFSICHTSBEHÖRDE, SOWEIT SIE SICH AUF DIESEN AUFTRAG BEZIEHEN. DIES GILT AUCH, SOWEIT EINE ZUSTÄNDIGE BEHÖRDE IM RAHMEN EINES ORDNUNGSWIDRIGKEITS- ODER STRAFVERFAHRENS IN BEZUG AUF DIE VERARBEITUNG PERSONENBEZOGENER DATEN BEI DER AUFTRAGSVERARBEITUNG BEIMAUFTRAGSVERARBEITER ERMITTELT.
- SOWEIT DER VERANTWORTLICHE SEINERSEITS EINER KONTROLLE DER AUFSICHTSBEHÖRDE, EINEM ORDNUNGSWIDRIGKEITS- ODER STRAFVERFAHREN, DEM HAFTUNGSANSPRUCH EINER BETROFFENEN PERSON ODER EINES DRITTEN ODER EINEM ANDEREN ANSPRUCH IM ZUSAMMENHANG MIT DER AUFTRAGSVERARBEITUNG BEIM AUFTRAGSVERARBEITER AUSGESETZT IST, HAT IHN DER AUFTRAGSVERARBEITER NACH BESTEN KRÄFTEN ZU UNTERSTÜTZEN.
- DER AUFTRAGSVERARBEITER KONTROLLIERT REGELMÄSSIG DIE INTERNEN PROZESSE SOWIE DIE TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN, UM ZU GEWÄHRLEISTEN, DASS DIE VERARBEITUNG IN SEINEM VERANTWORTUNGSBEREICH IM EINKLANG MIT DEN ANFORDERUNGEN DES GELTENDEN DATENSCHUTZRECHTS ERFOLGT UND DER SCHUTZ DER RECHTE DER BETROFFENEN PERSON GEWÄHRLEISTET WIR
- UNTERAUFTRAGSVERHÄLTNISSE
- DIE VERTRAGLICH VEREINBARTEN LEISTUNGEN BZW. DIE NACHFOLGEND BESCHRIEBENEN TEILLEISTUNGEN WERDEN UNTER EINSCHALTUNG DER IN ANHANG 1 GENANNTEN UNTERAUFTRAGSVERARBEITER DURCHGEFÜHRT. DER AUFTRAGSVERARBEITER IST IM RAHMEN SEINER VERTRAGLICHEN VERPFLICHTUNGEN ZUR BEGRÜNDUNG VON WEITEREN UNTERAUFTRAGSVERHÄLTNISSEN MIT UNTERAUFTRAGSVERARBEITERN BEFUGT, SOWEIT ER DEN VERANTWORTLICHEN HIERVON UNVERZÜGLICH IN KENNTNIS SETZT UND DER VERANTWORTLICHE NICHT BIS ZUM ZEITPUNKT DER ÜBERGABE DER DATEN GEGENÜBER DEM AUFTRAGSVERARBEITER SCHRIFTLICH ODER IN TEXTFORM EINSPRUCH GEGEN DIE GEPLANTE AUSLAGERUNG ERHEBT UND EINE VERTRAGLICHE VEREINBARUNG NACH MASSGABE DES ART. 28 ABS. 2-4 DSGVO ZUGRUNDE GELEGT WIRD. IM FALLE DES EINSPRUCHS DES VERANTWORTLICHEN STEHT BEIDEN PARTEIEN EIN AUSSERORDENTLICHES KÜNDIGUNGSRECHT SOWOHL HINSICHTLICH DIESER VEREINBARUNG ALS AUCH BEZÜGLICH DES HAUPTVERTRAGES Z IM FALLE DASS SICH DIE EINSCHALTUNG NUR AUF DIE ERBRINGUNG EINES OPTIONALEN DIENSTES IM SINNE DER ANLAGE 1 BEZIEHT, ERSTRECKT SICH DAS KÜNDIGUNGSRECHT NUR AUF DIESEN DIENST.
- DER AUFTRAGSVERARBEITER IST VERPFLICHTET, UNTERAUFTRAGSVERARBEITER SORGFÄLTIG NACH DEREN EIGNUNG UND ZUVERLÄSSIGKEIT AUSZUWÄHLEN. SOFERN EINE EINBEZIEHUNG VON UNTERAUFTRAGSVERARBEITERN IN EINEM DRITTLAND ERFOLGEN SOLL, HAT DER AUFTRAGSVERARBEITER SICHERZUSTELLEN, DASS BEIM JEWEILIGEN UNTERAUFTRAGSVERARBEITERN EIN ANGEMESSENES DATENSCHUTZNIVEAU GEWÄHRLEISTET IST (Z. B. DURCH ABSCHLUSS EINER VEREINBARUNG AUF BASIS DER EU-STANDARDDATENSCHUTZKLAUSELN). DER AUFTRAGSVERARBEITER WIRD DEM VERANTWORTLICHEN AUF VERLANGEN DEN ABSCHLUSS DER VORGENANNTEN VEREINBARUNGEN MIT SEINEN UNTERAUFTRAGSVERARBEITERN NACHWEISEN. EIN UNTERAUFTRAGSVERARBEITUNGSVERHÄLTNIS IM SINNE DIESER BESTIMMUNGEN LIEGT NICHT VOR, WENN DER AUFTRAGSVERARBEITER DRITTE MIT DIENSTLEISTUNGEN BEAUFTRAGT, DIE ALS REINE NEBENLEISTUNGEN ANZUSEHEN SIND. DAZU GEHÖREN Z. B. POST-, TRANSPORT- UND VERSANDLEISTUNGEN, REINIGUNGSLEISTUNGEN, TELEKOMMUNIKATIONSLEISTUNGEN OHNE KONKRETEN BEZUG ZU LEISTUNGEN, DIE DER AUFTRAGSVERARBEITER FÜR DEN VERANTWORTLICHEN ERBRINGT UND BEWACHUNGSDIENSTE.
- DEM VERANTWORTLICHEN SIND VOR BEGINN DER VERARBEITUNG DIE UNTERAUFTRAGSVERARBEITER NACH ANLAGE 1 MITGETEILT WORDEN.
- DIE WEITERGABE VON PERSONENBEZOGENEN DATEN DES VERANTWORTLICHEN AN DEN UNTERAUFTRAGSVERARBEITER UND DESSEN ERSTMALIGES TÄTIGWERDEN SIND ERST MIT VORLIEGEN ALLER VORAUSSETZUNGEN FÜR EINE UNTERBEAUFTRAGUNG GESTATTET.
- SÄMTLICHE VERTRAGLICHEN REGELUNGEN IN DER VERTRAGSKETTE SIND AUCH DEM WEITEREN UNTERAUFTRAGSVERARBEITER AUFZUERLEGEN.
- DER AUFTRAGSVERARBEITER HAT DIE EINHALTUNG DER PFLICHTEN DES UNTERAUFTRAGSVERARBEITERS REGELMÄSSIG ZU ÜBERPRÜFEN
- KONTROLLRECHTE DES VERANTWORTLICHEN
- DER VERANTWORTLICHE ÜBERZEUGT SICH VOR DER AUFNAHME DER DATENVERARBEITUNG UND SODANN REGELMÄSSIG VON DEN TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN DEAUFTRAGSVERARBEITERS. HIERFÜR KANN ER Z. B. AUSKÜNFTE DES AUFTRAGSVERARBEITERS EINHOLEN, SICH VORHANDENE TESTATE VON SACHVERSTÄNDIGEN, ZERTIFIZIERUNGEN ODER INTERNEN PRÜFUNGEN VORLEGEN LASSEN ODER DIE TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN DESAUFTRAGSVERARBEITERS NACH RECHTZEITIGER ABSTIMMUNG ZU DEN ÜBLICHEN GESCHÄFTSZEITEN SELBST PERSÖNLICH PRÜFEN BZW. DURCH EINEN SACHKUNDIGEN DRITTEN PRÜFEN LASSEN, SOFERN DIESER NICHT IN EINEM WETTBEWERBSVERHÄLTNIS ZUM AUFTRAGSVERARBEITER STEHT. DER VERANTWORTLICHE WIRD KONTROLLEN NUR IM ERFORDERLICHEN UMFANG DURCHFÜHREN UND DIE BETRIEBSABLÄUFE DES AUFTRAGSVERARBEITERS DABEI NICHT UNVERHÄLTNISMÄSSIG STÖREN
- DER AUFTRAGSVERARBEITER VERPFLICHTET SICH, DEM VERANTWORTLICHEN AUF DESSEN MÜNDLICHE, SCHRIFTLICHE ODER ELEKTRONISCHE ANFORDERUNG INNERHALB EINER ANGEMESSENEN FRIST ALLE AUSKÜNFTE UND NACHWEISE ZUR VERFÜGUNG ZU STELLEN, DIE ZUR DURCHFÜHRUNG EINER KONTROLLE DER TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN DESAUFTRAGSVERARBEITERS ERFORDERLICH SIND.
- DER VERANTWORTLICHE DOKUMENTIERT DAS KONTROLLERGEBNIS UND TEILT ES DEM AUFTRAGSVERARBEITER MIT. BEI FEHLERN ODER UNREGELMÄSSIGKEITEN, DIE DERVERANTWORTLICHE INSBESONDERE BEI DER PRÜFUNG VON AUFTRAGSERGEBNISSEN FESTSTELLT, HAT ER DEN AUFTRAGSVERARBEITER UNVERZÜGLICH ZU INFORMIEREN. WERDEN BEI DER KONTROLLE SACHVERHALTE FESTGESTELLT, DEREN ZUKÜNFTIGE VERMEIDUNG ÄNDERUNGEN DES ANGEORDNETEN VERFAHRENSABLAUFS ERFORDERN, TEILT DER VERANTWORTLICHE DEM AUFTRAGSVERARBEITER DIE NOTWENDIGEN VERFAHRENSÄNDERUNGEN UNVERZÜGLICH MIT.
- DER AUFTRAGSVERARBEITER WEIST DEM VERANTWORTLICHEN DIE VERPFLICHTUNG DER MITARBEITER AUF DAS DATENGEHEIMNIS AUF VERLANGEN NACH.
- DER VERANTWORTLICHE VERGÜTET DEM AUFTRAGSVERARBEITER DEN AUFWAND, DER IHM IM RAHMEN DER KONTROLLE ENTSTEHT.
- MITTEILUNG BEI VERSTÖSSEN DES AUFTRAGSVERARBEITER
- DER AUFTRAGSVERARBEITER UNTERSTÜTZT DEN VERANTWORTLICHEN BEI DER EINHALTUNG DER IN DEN ARTIKELN 32 BIS 36 DER DSGVO GENANNTEN PFLICHTEN ZUR SICHERHEIT PERSONENBEZOGENER DATEN, MELDEPFLICHTEN BEI DATENPANNEN, DATENSCHUTZ-FOLGEABSCHÄTZUNGEN UND VORHERIGE KONSULTATIONEN. HIERZU GEHÖREN U.A.:
- die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;
- die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden;
- die Verpflichtung, den Verantwortlichen im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen;
- die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung;
- die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.
- WEISUNGSBEFUGNIS DES VERANTWORTLICHEN
- DER AUFTRAGSVERARBEITER DARF DATEN NUR IM RAHMEN DES HAUPTVERTRAGS UND GEMÄSS DEN WEISUNGEN DESVERANTWORTLICHEN ERHEBEN, NUTZEN ODER AUF SONSTIGE WEISE VERARBEITEN.
- DIE WEISUNGEN DES VERANTWORTLICHEN WERDEN ANFÄNGLICH DURCH DIESEN VERTRAG FESTGELEGT UND KÖNNEN VOM VERANTWORTLICHEN DANACH IN SCHRIFTLICHER FORM ODER IN TEXTFORM DURCH EINZELNE WEISUNGEN GEÄNDERT, ERGÄNZT ODER ERSETZT WERDEN (EINZELWEISUNG). DER VERANTWORTLICHE IST JEDERZEIT ZUR ERTEILUNG ENTSPRECHENDER WEISUNGEN BERECHTIGT. DIES UMFASST WEISUNGEN IN HINBLICK AUF DIE BERICHTIGUNG, LÖSCHUNG UND SPERRUNG VON DATEN.
- REGELUNGEN ÜBER EINE ETWAIGE VERGÜTUNG VON MEHRAUFWÄNDEN, DIE DURCH ERGÄNZENDE WEISUNGEN DES VERANTWORTLICHEN AN DEN AUFTRAGSVERARBEITER ENTSTEHEN, BLEIBEN UNBERÜHRT.
- IST DER AUFTRAGSVERARBEITER DER ANSICHT, DASS EINE WEISUNG DES VERANTWORTLICHEN GEGEN DATENSCHUTZRECHTLICHE BESTIMMUNGEN VERSTÖSST, HAT ER DENVERANTWORTLICHEN UNVERZÜGLICH DARAUF HINZUWEISEN. DER AUFTRAGSVERARBEITER IST BERECHTIGT, DIE DURCHFÜHRUNG DER BETREFFENDEN WEISUNG SOLANGE AUSZUSETZEN, BIS DIESE DURCH DEN VERANTWORTLICHEN BESTÄTIGT ODER GEÄNDERT WIRD. DER AUFTRAGSVERARBEITER DARF DIE DURCHFÜHRUNG EINER OFFENSICHTLICH RECHTSWIDRIGEN WEISUNG ABLEHNEN.
- LÖSCHUNG UND RÜCKGABE VON PERSONENBEZOGENEN DATEN
- KOPIEN ODER DUPLIKATE DER DATEN WERDEN OHNE WISSEN DES VERANTWORTLICHEN NICHT ERSTELLT. HIERVON AUSGENOMMEN SIND SICHERHEITSKOPIEN, SOWEIT SIE ZUR GEWÄHRLEISTUNG EINER ORDNUNGSGEMÄSSEN DATENVERARBEITUNG ERFORDERLICH SIND, SOWIE DATEN, DIE IM HINBLICK AUF DIE EINHALTUNG GESETLICHER AUFBEWAHRUNGSPFLICHTEN ERFORDERLICH SIND.
- NACH ABSCHLUSS DER VERTRAGLICH VEREINBARTEN ARBEITEN ODER FRÜHER NACH AUFFORDERUNG DURCH DEN VERANTWORTLICHEN – SPÄTESTENS MIT BEENDIGUNG DER LEISTUNGSVEREINBARUNG – HAT DER AUFTRAGSVERARBEITER SÄMTLICHE IN SEINEN BESITZ GELANGTEN UNTERLAGEN, ERSTELLTE VERARBEITUNGS- UND NUTZUNGSERGEBNISSE SOWIE DATENBESTÄNDE, DIE IM ZUSAMMENHANG MIT DEM AUFTRAGSVERHÄLTNIS STEHEN, UND NICHT DATEN IN DER VERTRAGSGEGENSTÄNDLICHEN SOFTWARE SIND, DEM VERANTWORTLICHEN AUSZUHÄNDIGEN ODER DATENSCHUTZGERECHT ZU VERNICHTEN. GLEICHES GILT FÜR TEST- UND AUSSCHUSSMATERIAL. DAS PROTOKOLL DER LÖSCHUNG IST AUF ANFORDERUNG VORZULEGEN. FÜR DIE DATEN IN DER VERTRAGSGEGENSTÄNDLICHEN SOFTWARE GILT ZIFFER 4.2.
- DOKUMENTATIONEN, DIE DEM NACHWEIS DER AUFTRAGS- UND ORDNUNGSGEMÄSSEN DATENVERARBEITUNG DIENEN, SIN DURCH DEN AUFTRAGSVERARBEITER ENTSPRECHEND DER JEWEILIGEN AUFBEWAHRUNGSFRISTEN ÜBER DAS VERTRAGSENDE HINAUS AUFZUBEWAHREN. ER KANN SIE ZU SEINER ENTLASTUNG BEI VERTRAGSENDE DEM VERANTWORTLICHEN ÜBERGEBEN.
- HAFTUNG
- DIE PARTEIEN HAFTEN GEGENÜBER DRITTEN NACH ART. 82 DSGVO.
- DER INNENAUSGLEICH ZWISCHEM DEM VERANTWORTLICHEN UND DEM AUFTRAGSVERARBEITER RICHTET SICH NACH ART. 82 ABS. 5 DSGVO.
- SCHLUSSBESTIMMUNGEN
- DIE PARTEIEN SIND SICH DARÜBER EINIG, DASS DIE EINREDE DES ZURÜCKBEHALTUNGSRECHTS DURCH DEN AUFTRAGSVERARBEITER I. S. D. § 273 BGB HINSICHTLICH DER ZU VERARBEITENDEN DATEN UND DER ZUGEHÖRIGEN DATENTRÄGER AUSGESCHLOSSEN IST.
- ÄNDERUNGEN UND ERGÄNZUNGEN DIESER VEREINBARUNG BEDÜRFEN DER SCHRIFTFORM ODER DER TEXTFORM. DIES GILT AUCH FÜR DEN VERZICHT AUF DIESES FORMERFORDERNIS. DER VORRANG INDIVIDUELLER VERTRAGSABREDEN BLEIBT HIERVON UNBERÜHRT.
- SOLLTEN EINZELNE BESTIMMUNGEN DIESER VEREINBARUNG GANZ ODER TEILWEISE NICHT RECHTSWIRKSAM ODER NICHT DURCHFÜHRBAR SEIN ODER WERDEN, SO WIRD HIERDURCH DIE GÜLTIGKEIT DER JEWEILS ÜBRIGEN BESTIMMUNGEN NICHT BERÜHRT.
- DIESE VEREINBARUNG UNTERLIEGT DEUTSCHEM RECHT. AUSSCHLIESSLICHER GERICHTSSTAND ISTFREIBURG IM BREISGAU.
Diese Vereinbarung zur Auftragsverarbeitung ersetzt alle bisherigen Vereinbarungen gem. Art. 28 DSGVO oder § 11 BDSG (alt) zu der in Punkt 1.1 genannten Software und tritt mit Unterzeichnung des Hauptvertrags in Kraft.
Anlagen:
Anlage 1 - Genehmigte Unterauftragsverarbeiter
Anlage 2: Technisch-organisatorische Maßnahmen
- HAUFE GROUP
- VERTRAULICHKEIT (ART. 32 ABS. 1 LIT. B DSGVO)
- Zutrittskontrolle
Um unbefugten Personen den Zutritt zu den Geschäftsräumen und insbesondere zu den Datenverarbeitungsanlagen zu verhindern, haben ausschließlich Mitarbeiter Zutritt zu den Geschäftsräumen der HLRE AG. Alle Außentüren sind stets verschlossen und mit Sicherheitsschlössern bzw. Zutrittskarten gesichert. Die zentrale Ausgabe der Karten und Schlüssel wird dokumentiert und erfolgt nur an berechtigte Mitarbeiter. Das Gebäude, in dem sich die Geschäftsräume befinden, ist generell verschlossen und gegen unbefugten Zutritt mit einer zweifachen Überprüfung der Zutrittskarte gesichert. Firmenfremde Personen können nur durch einen Mitarbeiter ins Gebäude gelassen werden. Eine Arbeitsanweisung legt fest, dass firmenfremde Personen sich nicht unbegleitet in den Geschäftsräumen bewegen dürfen und durch einen Mitarbeiter wieder hinausgebracht werden müssen. An den Eingängen (Treppen und Fahrstühle) sowie den Fluren sind Überwachungskameras installiert. Die Aufzeichnung bzw. Speicherung der Videos wird per Bewegungsmelder ausgelöst.
- Zugangskontrolle
Um unbefugten Personen das Eindringen in DV-Systeme und Anwendungen zu verwehren, werden zur Benutzeridentifikation und Authentifizierung individuelle Benutzernamen mit zugehörigen Kennwörtern vergeben. Die Nutzung von Datenverarbeitungssystemen mithilfe von Einrichtungen zur Datenübertragung durch Unbefugte wird durch Standleitung, Teilnehmerkennung und VPN (Virtual Private Network) verhindert. Das WLAN ist mit maschinenzertifikatsgebunden Zugang verschlüsselt (Cisco Landschaft). Die E-Mail Kommunikation erfolgt über https und verschlüsselte Protokolle. Haufe nutzt ein revisionssicheres E-Mail-System.
- Zugriffskontrolle
- Netzwerkebene
Die Durchsetzung und Kontrolle von Filterlisten (access control lists) für Zugriffskontrolle auf den Netzwerkgeräten und Abtrennung sensibler Datenbereiche erfolgt via Firewalls. Standortübergreifende Firewalls blockieren sicherheitskritische Verbindungen und Services. Firewalls trennen auch die Verbindung zu sensitiven Bereichen zwischen den Standorten ab.
Jedes System der Haufe Gruppe muss vor Go-live durch den CISO (Chief Information Security Officer) abgenommen werden und unterliegt kontinuierlichen Securityscans und Patchzyklen. Segmentierung von WAN-Bereichen über MPLS: zwischen den Standorten wird MPLS als privates Netzwerk der Haufe Gruppe genutzt.
- Applikationsebene
Es existiert ein Rollen- und Berechtigungskonzept, welches den Zugriff auf die Daten des jeweiligen Benutzers beschränkt. Lizenzierte Benutzer des DV-Programmes/Verfahrens greifen mit ihrem individuellen, selbst generierten Passwort in Kombination mit der im System hinterlegten Kennung zu. Die Authentifizierung erfolgt über das zentrale SSO-System der Haufe Group und richtet sich an Gruppen- / Rollenkonzepten aus. Hierbei kommen ausschließlich etablierte Standard-Protokolle zum Einsatz.
Mit der Definition von Rollen beziehungsweise Berechtigungen wird der Zugriff auf die jeweiligen Daten auf ein sinnvolles Minimum begrenzt. Das bedeutet, nur der Mitarbeiter, der den Zugriff auf spezifische Daten unbedingt benötigt, erhält das Zugriffsrecht. Die Einschränkung der Zugriffsmöglichkeit des Berechtigten ausschließlich auf die seiner Zugriffsberechtigung unterliegenden Daten, erfolgt durch die automatische Prüfung der Zugriffsberechtigung im System.
Richtlinien beschränken die Nutzung von Endgeräten für definierte Systeme.
- Trennungskontrolle
Zur Beachtung des Trennungsgebotes und um sicher zu stellen, dass Daten, die zu unterschiedlichen Zwecken erhoben wurden, auch getrennt verarbeitet werden, verwenden wir getrennte Systeme. Zu Migrationszwecken übermittelte Datenbanken werden getrennt von den Daten anderer Verantwortlicher (Mandanten) verarbeitet.
- Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DSGVO, Art. 25 Abs. 1 DSGVO)
Der Verantwortliche und der Auftragsverarbeiter verfolgen das Ziel der Datenminimierung. Vor der Übermittlung einer Kundendatenbank an den Auftragsverarbeiter werden die Daten, wenn dies möglich ist, durch den Verantwortlichen pseudonymisiert (depersonalisiert). Die Übermittlung von Kundendatenbanken an den Auftragsverarbeiter erfolgt über einen verschlüsselten Transportweg oder auf einem verschlüsselten Datenträger.
- INTEGRITÄT (ART. 32 ABS. 1 LIT. B DSGVO)
- Weitergabekontrolle
Wenn personenbezogene Daten auf Weisung des Verantwortlichen übermittelt werden, erfolgt dies zur Transportsicherung stets verschlüsselt, bzw. werden gegebenenfalls https- Verbindungen, VPN-Tunnel sowie eine depersonalisierte Datenbankübertragung angewandt. Die Übermittlung und Löschung von Daten sowie die physikalische Vernichtung von Datenträgern wird dokumentiert.
- Eingabekontrolle
Die Passwort Policy gibt verbindliche Vorgaben bezüglich Zeichenlänge, Sonderzeichen sowie der Änderungsmöglichkeiten von Passwörtern vor. Nach mehrmaligen Fehleingabe erfolgt eine automatische temporäre Sperrung des Accounts. Individuelle Systeme haben weitergehende Sicherheits-mechanismen. Logs werden zentral gesammelt und bei Bedarf analysiert.
Zur Nachvollziehbarkeit beziehungsweise Dokumentation der Datenverwaltung und -pflege protokolliert die eingesetzte Software, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind. Der Schreib-/Lösch-/Änderungs-Zugriff auf die Protokoll-Dateien ist nur mit dem Account möglich, den die Software zum Schreiben des Protokolls verwendet.
- VERFÜGBARKEIT UND BELASTBARKEIT (ART. 32 ABS. 1 LIT. B DSGVO)
- Verfügbarkeitskontrolle und rasche Wiederherstellbarkeit
Um die zu Migrationszwecken übermittelten Datenbanken gegen zufällige Zerstörung oder Verlust zu schützen setzen wir Plattenspiegelung (RAID), Storage Area Network (SAN), Verfahren zur täglichen und wöchentlichen Sicherung sowie zur untertägigen Replikation, unterbrechungsfreie Stromversorgung (USV), Überspannungsfilter, Klimaanlagen sowie Brandschutzeinrichtungen (Brandabschnitte, Brandschutztüren, Feuermelder, Feuerlöscher etc.) ein.
- VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG (ART. 32 ABS. 1 LIT. DDSGVO; ART. 25 ABS. 1 DSGVO)
- Datenschutz-Management und Incident-Response-Management
Die Haufe Group verfügt über ein Incident-Response-Management und über ein Datenschutzmanagementsystem mit entsprechender Planung zu Maßnahmen zum Umgang mit Chancen/Risiken und der Ausstattung mit angemessenen Ressourcen, Kompetenzen, Awareness und Kommunikation. Die Überwachung, Messung, Analyse und Bewertung, zusammen mit internen Audits und Managementbewertungen finden zur fortlaufenden Verbesserung des Managementsystems kontinuierlich statt.
- Auftragskontrolle
Zur Verwaltung von Verträgen mit Subdienstleistern, insbesondere Auftragsverarbeitungsvereinbarungen (AVV), Wartungs- und Supportverträgen und NDAs wird eine softwarebasierte Lösung eingesetzt.
Mit Subdienstleistern (in diesem Kontext Auftragnehmer) werden alle notwendigen Vereinbarungen zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln abgeschlossen.
Die vertraglichen Regelungen mit dem Auftragnehmer enthalten folgende Regelungen zur Sicherstellung des Schutzniveaus:
- schriftliche oder dokumentierte elektronische Weisungen gegenüber dem Auftragnehmer
- Verpflichtung des Auftragnehmers und seiner Mitarbeiter auf das Datengeheimnis
- Regelungen zum Einsatz weiterer Subunternehmer
- Sicherstellung der Vernichtung von Daten durch den Auftragnehmer nach Beendigung des Auftrags
- Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer
Die Haufe-Lexware Real Estate prüft den Auftragnehmer vor Beginn des Auftrags, insb. hinsichtlich seines Schutzniveaus, der durch ihn getroffenen Sicherheitsmaßnahmen und deren Dokumentation. Es erfolgt in jedem Fall eine Auswahl der Auftragnehmer unter Sorgfaltsgesichtspunkten, insbesondere hinsichtlich Datenschutzes und Datensicherheit.
- DRITTE
Alle Unterauftragnehmer haben alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergriffen und unterstützen unter Berücksichtigung der Art der Verarbeitung und der ihnen zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten.
Stand: März 2024
Hier finden Sie das Dokument zum Download
zum Download