Data Processing Agreement

Data Processing Agreement

Agreement on the processing of personal data on behalf of a controller pursuant to Art. 28 GDPR

As of: March 01, 2020

This Data Processing Agreement and its Annexes (“DPA”) reflects the agreement with respect to the Processing of Personal Data in the sense of the General Data Protection Regulation (” GDPR”) by the contractor JonnyGit GmbH, Lohmühlenstraße 65, 12345 Berlin (also referred to as “we”, “us”, “service”, “data processor”, “JonnyGit”) on behalf of Customer (also referred to as “client”, “data controller”). The Contractor shall provide services to the Customer in accordance with the Agreement concluded between them (hereinafter also referred “Main Contract”) and in accordance with the General Terms and Conditions. In order to meet the requirements of the GDPR for such constellations, the parties shall conclude the following Data Processing Agreement, which shall become effective upon signing the Agreement.

The Customer and the JonnyGit hereinafter each also referred to as “Party” and jointly as “Parties”. 

We periodically update these terms. If you have an active JonnyGit subscription, we will let you know when we do via email (if you have subscribed to receive email notifications) or via in-app notification. 

1. Subject/scope of the agreement

(1) Within the scope of the cooperation between the parties in accordance with the main contract, the contractor has access to personal data of the client (hereinafter “client Data”). The Contractor shall process this client data on behalf of and in accordance with the instructions of the client within the meaning of Art. 4 No. 8 and Art. 28 GDPR.

(2) The processing of the client data by the contractor is carried out in the following manner and to the extent and purpose specified therein. The circle of persons affected by the data processing is presented. The duration of the processing corresponds to the duration of the main contract.

a. Purpose of the processing

  • Assistance with the implementation of contracts or orders
  • Maintenance and administration of employee data
  • Employee Development Planning
  • Documentation of working hours
  • Payment of salaries and wages
  • Planning and administration of further education and training measures
  • Employee assessment or performance evaluation
  • Management of employees’ skills and qualifications
  • Management of applications / Onboarding
  • Monitoring of operational facilities
  • Guarantee of access protection
  • Enabling the prosecution of offences
  • Exercise of domiciliary rights
  • Ensuring the proper destruction of files and data media
  • Communication via electronic media
  • Enabling the contacting of employees
  • Documentation of appointments of employees
  • technical access management (including telecommunications, network)
  • permissions management
  • Management of licenses / software asset management
  • Maintenance and improvement of communication processes
  • Quality assurance

 b. Categories of data subjects

  • Employees
  • Trainees and interns
  • Applicants
  • Former employees
  • Freelancers
  • Shareholders, company organs
  • Employee representatives
  • Customers
  • Suppliers and service providers
  • Business Partner
  • External consultants

 c. Categories of personal data

  • Master data (addresses)
  • Personnel and identification numbers
  • Working time data
  • Employee evaluations
  • Employees (qualifications)
  • Contract data
  • Image data
  • Names
  • User IDs
  • E-mails
  • Access data

(3) The Contractor is prohibited from processing client data deviating from the above-mentioned specifications.

(4) The processing of the client data takes place exclusively within the territory of the Federal Republic of Germany, in a member state of the European Union or in another state party to the Agreement on the European Economic Area. Should there be a relocation of the order processing to a third country, this requires the prior consent of the client and only takes place if the special requirements of Art. 44 to 49 GDPR are fulfilled. The client already agrees to the processing of personal data by the subcontractors listed below upon conclusion of this contract.

(5) The provisions of this contract apply to all activities related to the main contract. The same shall apply to all activities in which the Contractor and its employees or agents commissioned by the Contractor come into contact with Client data.

2. Authority of the client

(1) The contractor processes the client data within the scope of the order and on behalf of and according to the instructions of the client in the sense of Art. 28 GDPR (order processing). The client has the sole right to issue instructions on the type, scope and method of the processing activities (hereinafter also referred to as “right to issue instructions”). If the contractor is obliged by the law of the European Union or the member states to which he is subject to further processing, he shall notify the customer of these legal requirements prior to processing.

(2) Instructions are generally given by the client in writing or in electronic form (e-mail is sufficient); instructions given orally must be confirmed by the contractor in electronic form.

(3) If the contractor is of the opinion that an instruction of the client violates data protection regulations, he must inform the client of this fact. The contractor is entitled to suspend the execution of the instruction in question until it is confirmed or amended by the client.

3. Protective measures of the contractor

(1) The contractor is obliged to comply with the legal provisions on data privacy and not to pass on information obtained from the customer’s area to third parties or to suspend their access. Documents and data must be secured against unauthorized access, taking into account the state of technology.

(2) Furthermore, the Contractor shall oblige all persons entrusted by it with the processing and performance of this contract (hereinafter referred to as “employees”) to maintain confidentiality (obligation of confidentiality, Art. 28 para. 3 lit. b GDPR). At the request of the client, the contractor shall provide the client with written or electronic evidence of the obligation of the employees.

(3) The Contractor shall design its internal organisation in such a way that it meets the special requirements of data privacy. He undertakes to take all appropriate technical and organisational measures for the appropriate protection of the client data in accordance with Art. 32 GDPR, in particular the measures listed in Annex 1 to this contract, and to maintain these measures for the duration of the processing of the client data.

(4) The contractor reserves the right to change the technical and organisational measures taken, whereby he shall ensure that the contractually agreed level of protection is not compromised.

(5) At the request of the client, the contractor will provide the client with evidence of compliance with the technical and organisational measures.

4. Information and support obligations of the contractor

(1) In the event of disruptions, suspicion of data protection violations or breaches of contractual obligations on the part of the Contractor, suspicion of security-related incidents or other irregularities in the processing of the Client’s data by the Contractor, persons employed by the Contractor within the framework of the order or by third parties, the Contractor shall inform the Client immediately, but at the latest within 48 hours, in writing or electronically. The same applies to audits of the Contractor by the data protection supervisory authority. These notifications should in each case contain at least the information referred to in Art. 33 para. 3 GDPR.

(2) In the above-mentioned case, the Contractor shall support the Client in the performance of its educational, remedial and information measures in this respect within the scope of what is reasonable.

(3) The Contractor undertakes to provide the Client, at its request and within a reasonable period of time, with all information and evidence required to carry out an audit.

5. Other obligations of the contractor

(1) If the conditions of Art. 30 GDPR apply to the contractor, the contractor is obliged to keep a record of all categories of processing activities carried out on behalf of the customer in accordance with Art. 30 Para. 2 GDPR. The list shall be made available to the customer on request.

(2) The Contractor is obliged to assist the Client in the preparation of a data privacy impact assessment pursuant to Art. 35 GDPR and any prior consultation of the supervisory authority pursuant to Art. 36 GDPR.

(3) The contractor confirms that he has appointed a data protection officer – insofar as there is a legal obligation to do so. The Customer must be informed of any change in the person of the company data protection officer/contact person for data protection.

(4) Should the Customer’s data at the Contractor be endangered by seizure or confiscation, by insolvency or settlement proceedings or by other events or measures of third parties, the Contractor must inform the Customer immediately, unless this is prohibited by court or official order. In this context, the Contractor shall inform all responsible authorities without delay that the decision-making authority over the data lies exclusively with the Customer as the “responsible party” within the meaning of the GDPR.

6. Sub-Processors

(1) The Contractor is authorised to establish subcontracting relationships with subcontractors (“subcontracting relationship”) within the scope of its contractual obligations. The Contractor shall ensure that the provisions agreed in this contract also apply to the subcontractors engaged by him, whereby the Client shall be granted all rights of control over the subcontractor in accordance with this contract.

(2) A subcontractor relationship within the meaning of these provisions shall not exist if the contractor commissions third parties with services which are to be regarded as purely ancillary services. These include, for example, postal, transport and dispatch services, cleaning services, security services, telecommunications services without any specific reference to services which the contractor provides for the customer as well as other measures to ensure the confidentiality, availability, integrity and resilience of the hardware and software of data processing systems. The Contractor’s obligation to ensure compliance with data protection and data security also in these cases remains unaffected.

(3) The contractor has established subcontractor relationships with the following companies, which the client agrees to by concluding this data processing agreement:

  • Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg

7. Rights of inspection

(1) The client is entitled to regularly ensure that the regulations of this contract are complied with. For this purpose, he may, for example, request information from the Contractor, have existing attestations from experts, certifications or internal tests presented to him or have the Contractor’s technical and organizational measures checked personally or by a competent third party during normal business hours, provided that the latter is not in a competitive relationship with the Contractor.

(2) The client will only carry out checks to the extent necessary and will take appropriate account of the contractor’s operating procedures. The parties shall agree on the time and type of inspection in good time.

(3) The client shall document the results of the inspection and notify the contractor. In the event of errors or irregularities which the client discovers, particularly in the examination of the results of the order, he must inform the contractor without delay. If facts are discovered during the inspection, the future avoidance of which requires changes to the ordered procedure, the client shall inform the contractor immediately of the necessary procedural changes.

8. Rights of data subjects

(1) The Contractor shall support the Client as far as possible with suitable technical and organisational measures in the fulfilment of the Client’s obligations under Articles 12 to 22 and Articles 32 to 36 GDPR. He shall provide the Client with the requested information on Client data without delay, but at the latest within 14 working days, unless the Client himself has the relevant information at his disposal.

(2) If the person concerned asserts his rights in accordance with Art. 16 to 18 GDPR, the Contractor is obliged to rectify, delete or restrict the Client’s data without delay, at the latest within a period of 7 working days, on the Client’s instructions. The Contractor shall provide the Client with written proof of the deletion, correction or restriction of the data upon request.

(3) If a data subject asserts rights, such as the right to information, rectification or deletion with regard to his data, directly against the contractor, the contractor shall forward this request to the client and await the client’s instructions. In the absence of such specific instructions, the Contractor shall not contact the data subject.

9. Term and termination

The term of this contract corresponds to the term of the main contract. If the main contract can be terminated with notice, the provisions for ordinary termination shall apply accordingly.

10. Deletion and return after termination of contract

(1) The Contractor shall return to the Customer after termination of the main contract or at any time at the Customer’s request all documents, data and data carriers provided to him or, at the Customer’s request, delete them completely and irrevocably, unless a statutory retention period exists. This also applies to copies of the Customer’s data at the Contractor’s premises, such as data backups, but not to documentation that serves as proof of the orderly and proper processing of the Customer’s data. Such documentation shall be kept by the Contractor for a period of 6 months and shall be handed over to the Client upon request.

(2) The Contractor shall confirm the deletion to the Client electronically. The purchaser has the right to control the complete and contractually compliant return or deletion of the data at the contractor in a suitable manner.

(3) The Contractor is obliged to treat confidentially the data which have become known to him in connection with the main contract also beyond the end of the main contract.

11. Liability

(1) The liability of the parties is governed by Art. 82 GDPR. Any liability of the Contractor towards the Client due to breach of obligations arising from this contract or the main contract remains unaffected.

(2) The parties shall each release themselves from liability if one party proves that it is in no way responsible in any way for the circumstance by which the damage occurred to a party affected. This shall apply accordingly in the case of a fine imposed on one party, whereby the release shall be to the extent that the respective other party bears part of the responsibility for the infringement sanctioned by the fine.

12. Final provisions

(1) The parties agree that the defence of the right of retention by the contractor in the sense of § 273 German Civil Code (BGB) with regard to the data to be processed and the associated data carriers is excluded.

(2) Changes and amendments to this agreement must be made in electronic form.

(3) In case of doubt, the provisions of this agreement shall take precedence over the provisions of the main contract. Should individual provisions of this agreement prove to be wholly or partially invalid or unenforceable, or become invalid or unenforceable as a result of changes in legislation after conclusion of the contract, the validity of the remaining provisions shall not be affected. The invalid or unenforceable provision shall be replaced by a valid and enforceable provision which comes as close as possible to the meaning and purpose of the invalid provision.

(4) This agreement is subject to German law. Exclusive place of jurisdiction is the registered office of the contractor. 


Annex 1 

Technical and organisational measures (Art. 32 GDPR) 

In addition to the order processing contract, the parties shall make the following specifications regarding the technical and organisational measures to be implemented by JonnyGit:

Confidentiality (Art. 32 para. 1 lit. b GDPR)

Entry control

The following measures prevent unauthorized persons from gaining access to data processing systems:

  • Access control system, badge reader (magnetic/chip card)
  • Door safety devices (electric door openers, combination lock, etc.)
  • Key management/documentation of key allocation
  • Alarm system
  • Special protection measures of the server room
  • Special protective measures for the storage of backups and other data carriers
  • Non-reversible destruction of data media
  • Employee and authorization cards

Access control

The following measures prevent unauthorised third parties from having access to data processing systems:

  • Personal and individual authentication when logging on to the system/network
  • Authorization process for acces rights
  • Single sign-on
  • Password procedure (specification of password parameters regarding complexity and update interval)
  • Logging of the access
  • Additional login for certain applications
  • Automatic blocking of clients after time lapse without user activity
  • Firewall

Authorization control

The following measures ensure that unauthorized third parties do not have access to data:

  • Conclusion of contracts for order processing for the external care, maintenance and repair of data processing systems, provided that in the case of remote maintenance the processing of data is the subject of the service provided by the contractor.
  • Evaluations/Logging of data processing
  • Authorization process for permissions
  • Encryption of data carriers
  • Dual control principle
  • Segregation of Duties
  • Privacy shields for mobile data processing systems

Separation control

The following ensure that data collected for different purposes are processed separately:

  • Multi-tenancy of IT systems
  • Use of test data
  • Separation of development and production environment

Integrity (Art. 32 para. 1 lit. b GDPR)

Transfer control

It is ensured that data cannot be read, copied, changed, removed or otherwise processed without authorisation during transmission or storage on data carriers and that it is possible to check which persons or bodies have gained access to data. The following measures have been implemented to ensure this:

  • Encryption of e-mail or e-mail attachments
  • Encryption of data media
  • Secured file transfer or other data transport
  • Encrypted WLAN
  • Logging of data transmission or data transport
  • Logging of read accesses
  • Logging the copying, modification or removal of data

Input control

The following measures ensure that it can be verified who has processed data in data processing systems at what time:

  • User access rights
  • System side logging
  • Dual control principle

Availability and resilience (Art. 32 para. 1 lit. b GDPR)

The following measures ensure that data is protected against accidental destruction or loss and is always available to the customer:

  • Security concept for software and IT applications
  • Backup procedure
  • Storage process for backups (e.g. fire protected safe, separate fire compartment)
  • Guarantee of data storage in the secured network
  • Apply security updates as needed
  • Uninterruptible Power Supply (UPS)
  • Fire and/or fire water protection of the server room
  • Air-conditioned server room
  • Virus protection
  • Firewall

Procedures for regular review, assessment and evaluation (Art. 32 para. 1 lit. d GDPR; Art. 25 para. 1 GDPR)

Data Privacy Management

The following measures are intended to ensure that there is an organisation that meets the basic requirements of data privacy law:

  • Privacy mission statement of JonnyGit
  • Privacy Guideline of JonnyGit
  • Obligation of employees to maintain confidentiality
  • Adequate training of employees in data protection
  • keeping a register of processing activities (Art. 30 GDPR)

Data Breach Management

The following measures should ensure that reporting processes are triggered in the event of data protection violations:

  • Notification process for data breaches pursuant to Art. 4 No. 12 GDPR to the supervisory authorities (Art. 33 GDPR)
  • Notification process for data protection infringements pursuant to Art. 4 No. 12 GDPR with regard to data subjects (Art. 34 GDPR)

Privacy-friendly default settings (Art. 25 para. 2 GDPR)

Privacy-conscious presettings must be taken into account both in the standardized presettings of systems and apps and in the setup of processing. In this phase, functions and rights are specifically configured, the permissibility or inadmissibility of certain entries or possible entries is determined with regard to data minimization, and a decision is made on the availability of usage functions. In the same way, the type and scope of the reference to persons or anonymization (e.g. in the case of selection, export and evaluation functions, which are defined and preset or freely configurable) or the availability of certain processing, functions or logs are determined.

Order control

The following measures ensure that data is only processed according to the instructions of the customer:

  • Agreement on data processing with regulations on the rights and obligations of the parties
  • Process for issuing and/or following instructions
  • Determination of contact persons and/or responsible employees
  • Training/instruction of all employees with access rights at JonnyGit
  • Obligation of employees to maintain confidentiality
  • Agreement of contractual penalties for breaches of instructions

Auftragsverarbeitungsvertrag

Vertrag über die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DSGVO

Stand: 01.03.2020

Diese Datenverarbeitungsvereinbarung und ihre Anhänge (“AVV”) spiegelt die Vereinbarung über die Verarbeitung personenbezogener Daten im Sinne der Datenschutzgrundverordnung (“DSGVO”) durch den Auftragnehmer, die JonnyGit GmbH, Lohmühlenstraße 65, 12345 Berlin (auch als “wir”, “uns”, “Dienstleistung”, “Datenverarbeiter”, “JonnyGit” bezeichnet) im Auftrag des Auftraggeber (auch als “Kunde”, bezeichnet) wieder. Der Auftragnehmer erbringt für den Auftraggeber Leistungen gemäß dem zwischen ihnen geschlossenen Nutzungsvertrag (im Folgenden „Vereinbarung“ oder “Hauptvertrag”) und gemäß der Allgemeinen Vertragsbedingungen. Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien den nachfolgenden Auftragsverarbeitungsvertrag, der mit Unterzeichnung des Hauptvertrages zustande kommt.

Der Auftraggeber und Auftragnehmer werden nachfolgend jeweils auch als “Partei” und gemeinsam als “Parteien” bezeichnet. 

Wir aktualisieren diese Bedingungen in regelmäßigen Abständen. Wenn Sie ein aktives JonnyGit-Abonnement haben, werden wir Sie per E-Mail (wenn Sie sich für den Erhalt von E-Mail-Benachrichtigungen angemeldet haben) oder per In-App-Benachrichtigung darüber informieren, wann wir dies tun.

 

1. Gegenstand/Umfang der Beauftragung

(1) Im Rahmen der Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages hat der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend “Auftraggeberdaten”). Diese Auftraggeberdaten verarbeitet der Auftragnehmer im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.

(2) Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer erfolgt in der folgenden Art sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen Personen wird dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

a. Zweck der Verarbeitung

  • Unterstützung bei der Durchführung von Verträgen oder Aufträgen
  • Pflege und Verwaltung von Beschäftigtendaten
  • Angestelltenentwicklungsplanung
  • Dokumentation von Arbeitszeiten
  • Zahlung von Gehältern und Löhnen
  • Planung und Verwaltung von Fortbildungs- und Trainingsmaßnahmen
  • Beschäftigtenbeurteilung oder Leistungsbewertung
  • Verwaltung von Kompetenzen und Qualifikationen der Beschäftigten
  • Verwaltung von Bewerbungen / Onboarding
  • Überwachung betrieblicher Einrichtungen
  • Gewährleistung des Zutrittsschutzes
  • Ermöglichung der Verfolgung von Straftaten
  • Wahrnehmung des Hausrechts
  • Gewährleistung der ordnungsgemäßen Akten- und Datenträgervernichtung
  • Kommunikation mittels elektronischer Medien
  • Ermöglichung der Kontaktierung von Beschäftigten
  • Dokumentation von Terminen von Beschäftigten
  • Zugangsverwaltung hinsichtlich Technik (einschließlich Telekommunikation, Netzwerk)
  • Verwaltung von Berechtigungen
  • Verwaltung von Lizenzen / Software Asset Management
  • Pflege und Verbesserung von Kommunikationsprozessen
  • Qualitätssicherung

 b. Kategorien betroffener Personen

  • Beschäftigte
  • Auszubildende und Praktikanten
  • Bewerber
  • ehemalige Arbeitnehmer
  • freie Mitarbeiter
  • Gesellschafter, Organe der Gesellschaft
  • Angehörige von Beschäftigten
  • Kunden
  • Lieferanten und Dienstleister
  • Geschäftspartner
  • externe Berater

c. Kategorien personenbezogener Daten

  • Stammdaten (Adressen)
  • Personal- und Identifikationsnummern
  • Arbeitszeitdaten
  • Mitarbeiterbewertungen
  • Beschäftigte (Qualifikationen)
  • Vertragsdaten
  • Bilddaten
  • Namen
  • Nutzerkennungen
  • E-Mails
  • Zugangsdaten

 (3) Dem Auftragnehmer ist eine von den o.g. Festlegungen abweichende Verarbeitung von Auftraggeberdaten untersagt.

(4) Die Verarbeitung der Auftraggeberdaten findet grds. ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Sollte es eine Verlagerung der Auftragsverarbeitung in ein Drittland geben, bedarf dies der vorherigen Zustimmung des Auftraggebers und erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind. Der Auftraggeber stimmt bereits Abschluss dieses Auftragsverarbeitungsvertrages der Verarbeitung personenbezogener Daten durch die unten genannten Subunternehmen zu.

(5) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen. Gleiches gilt für alle Tätigkeiten, bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit Auftraggeberdaten in Berührung kommen.

2. Weisungsbefugnisse des Auftraggebers

(1) Der Auftragnehmer verarbeitet die Auftraggeberdaten im Rahmen der Beauftragung und im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber hat das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch “Weisungsrecht”). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

(2) Weisungen werden vom Auftraggeber grundsätzlich schriftlich oder in elektronischer Form (E-Mail ausreichend) erteilt; mündlich erteilte Weisungen sind vom Auftragnehmer in elektronischer Form zu bestätigen.

(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

3. Schutzmaßnahmen des Auftragnehmers

(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

(2) Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden “Mitarbeiter” genannt), zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO). Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Verpflichtung der Mitarbeiter schriftlich oder in elektronischer Form nachweisen.

(3) Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gem. Art. 32 DSGVO, insbesondere die in Anlage 1 zu diesem Vertrag aufgeführten Maßnahmen, zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrecht zu erhalten.

(4) Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(5) Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung der technischen und organisatorischen Maßnahmen nachweisen.

4. Informations- und Unterstützungspflichten des Auftragnehmers

(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte, wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von 48 Stunden in Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Diese Meldungen sollten jeweils zumindest die in Art. 33 Absatz 3 DSGVO genannten Angaben enthalten.

(2) Der Auftragnehmer wird den Auftraggeber im o.g. Falle bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe- und Informationsmaßnahmen im Rahmen des zumutbaren unterstützen.

(3) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen Anforderung innerhalb angemessener Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle erforderlich sind.

5. Sonstige Verpflichtungen des Auftragnehmers

(1) Der Auftragnehmer ist, sofern die Voraussetzungen des Art. 30 DSGVO auf ihn zutreffen, verpflichtet ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Absatz 2 DSGVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

(2) Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO zu unterstützen.

(3) Der Auftragnehmer bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat. Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber mitzuteilen.

(4) Sollten die Auftraggeberdaten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.

6. Subunternehmerverhältnisse

(1) Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von Unterauftragsverhältnissen mit Subunternehmern (“Subunternehmerverhältnis”) befugt. Der Auftragnehmer hat dafür Sorge zu tragen, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber den von ihm beauftragten Subunternehmen gelten, wobei dem Auftraggeber gegenüber dem Subunternehmer sämtliche Kontrollrechte gemäß dieses Vertrages einzuräumen sind.

(2) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Bewachungsdienste, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

(3) Der Auftragnehmer hat mit folgenden Unternehmen Subunternehmerverhältnisse begründet, denen der Auftraggeber mit Abschluss dieses Auftragsverarbeitungsvertrages zustimmt:

  • Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg

7. Kontrollrechte

(1) Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrages zu überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.

(2) Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.

(3) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

8. Rechte Betroffener

(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO. Er wird dem Auftraggeber unverzüglich, spätestens aber innerhalb von 14 Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Auftraggeber nicht selbst über die entsprechenden Informationen verfügt.

(2) Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DSGVO geltend, ist der Auftragnehmer dazu verpflichtet, die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich, spätestens binnen einer Frist von 7 Werktagen zu berichtigen, löschen oder einzuschränken. Der Auftragnehmer wird dem Auftraggeber die Löschung, Berichtigung bzw. Einschränkung der Daten auf Verlangen schriftlich nachweisen.

(3) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht mit der betroffenen Person in Kontakt treten.

9. Laufzeit und Kündigung

Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung entsprechend.

10. Löschung und Rückgabe nach Vertragsende

(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Solche Dokumentationen sind vom Auftragsnehmer für eine Dauer von 6 Monaten aufzubewahren und auf Verlangen an den Auftragsgeber herauszugeben.

(2) Der Auftragnehmer wird dem Auftraggeber die Löschung elektronisch bestätigen. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.

(3) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.

11. Haftung

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt.

(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Dies gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

12. Schlussbestimmungen

(1) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer iSd § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der elektronischen Form.

(3) Die Regelungen dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.

(4) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Sitz des Auftragnehmers.


Anlage TOM

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Die Parteien treffen zum Auftragsverarbeitungsvertrag ergänzend folgende Festlegungen über die von JonnyGit umzusetzenden technischen und organisatorischen Maßnahmen:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle

Folgende Maßnahmen verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungsanlagen haben:

  • Zutrittskontrollsystem, Ausweisleser (Magnet-/Chipkarte)
  • Türsicherungen (elektrische Türöffner, Zahlenschloss, etc.)
  • Schlüsselverwaltung/Dokumentation der Schlüsselvergabe
  • Alarmanlage
  • Spezielle Schutzvorkehrungen des Serverraums
  • Spezielle Schutzvorkehrungen für die Aufbewahrung von Backups und anderen Datenträgern
  • Nicht-reversible Vernichtung von Datenträgern
  • Mitarbeiter- und Berechtigungsausweise

Zugangskontrolle

Folgende Maßnahmen verhindern, dass unbefugte Dritte Zugang zu Datenverarbeitungsanlagen haben:

  • Persönlicher und individueller Login bei Anmeldung am System/Netzwerk
  • Autorisierungsprozess für Zugangsberechtigungen
  • Single Sign-On
  • Kennwortverfahren (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall)
  • Protokollierung des Zugangs
  • Zusätzlicher Login für bestimmte Anwendungen
  • Automatische Sperrung der Clients nach Zeitablauf ohne Useraktivität
  • Firewall

Zugriffskontrolle

Folgende Maßnahmen stellen sicher, dass unbefugte Dritte keinen Zugriff auf Daten haben:

  • Abschluss von Verträgen zur Auftragsverarbeitung für die externe Pflege, Wartung und Reparatur von Datenverarbeitungsanlagen, sofern bei der Fernwartung die Verarbeitung von Daten Gegenstand der Leistung des Auftragnehmers ist.
  • Auswertungen/Protokollierungen von Datenverarbeitungen
  • Autorisierungsprozess für Berechtigungen
  • Verschlüsselung von Datenträgern
  • Vier-Augen-Prinzip
  • Funktionstrennung (Segregation of Duties)
  • Sichtschutzfolien für mobile Datenverarbeitungsanlagen

Trennungskontrolle

Folgende stellen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

  • Mandantenfähigkeit von IT-Systemen
  • Verwendung von Testdaten
  • Trennung von Entwicklungs- und Produktionsumgebung

Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

Es ist sichergestellt, dass Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert, entfernt oder sonst verarbeitet werden können und überprüft werden kann, welche Personen oder Stellen Zugriff auf Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

  • Verschlüsselung von E-Mail oder E-Mail-Anhängen
  • Verschlüsselung von Datenträgern
  • Gesicherter File Transfer oder sonstiger Datentransport
  • Verschlüsseltes WLAN
  • Protokollierung von Datenübertragung oder Datentransport
  • Protokollierung von lesenden Zugriffen
  • Protokollierung des Kopierens, Veränderns oder Entfernens von Daten

Eingabekontrolle

Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:

  • Zugriffsrechte
  • Systemseitige Protokollierungen
  • Vieraugenprinzip

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Durch folgende Maßnahmen ist sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Kunden stets verfügbar sind:

  • Sicherheitskonzept für Software- und IT-Anwendungen
  • Backup Verfahren
  • Aufbewahrungsprozess für Backups (z.B. brandgeschützter Safe, getrennter Brandabschnitt)
  • Gewährleistung der Datenspeicherung im gesicherten Netzwerk
  • Bedarfsgerechtes Einspielen von Sicherheits-Updates
  • Unterbrechungsfreie Stromversorgung (USV)
  • Brand- und/oder Löschwasserschutz des Serverraums
  • Klimatisierter Serverraum
  • Virenschutz
  • Firewall

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutz-Management

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist:

  • Datenschutzleitbild von JonnyGit
  • Datenschutz-Richtlinie von JonnyGit
  • Verpflichtung der Mitarbeiter auf die Vertraulichkeit
  • Hinreichende Schulungen der Mitarbeiter im Datenschutz
  • Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Management bei Datenschutzverletzungen

Folgende Maßnahmen sollen gewährleisten, dass im Fall von Datenschutzverstößen Meldeprozesse ausgelöst werden:

  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber den Aufsichtsbehörden (Art. 33 DSGVO)
  • Meldeprozess für Datenschutzverletzungen nach Art. 4 Ziffer 12 DSGVO gegenüber betroffenen Personen (Art. 34 DSGVO)

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Datenschutzfreundliche Voreinstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Verarbeitungen zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben oder Eingabemöglichkeiten festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden. Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden) oder die Verfügbarkeit bestimmter Verarbeitungen, Funktionen oder Protokollierungen.

Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass Daten nur nach Weisungen des Kunden verarbeitet werden:

  • Vereinbarung zur Auftragsverarbeitung mit Regelungen zu den Rechten und Pflichten der Parteien
  • Prozess zur Erteilung und/oder Befolgung von Weisungen
  • Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern
  • Schulungen/Einweisung aller zugriffsberechtigten Mitarbeiter bei JonnyGit
  • Verpflichtung der Beschäftigten auf die Vertraulichkeit
  • Vereinbarung von Vertragsstrafen für Verstöße gegen Weisungen

Let us call you back

We are ready to help