Im Laufe der letzten Jahre haben wir immer wieder Anregungen und Hinweise zu unserem bisherigen Auftragsverarbeitungsvertrag (AVV) erhalten. Dieser AVV wird zum 1. Mai 2022 an einzelnen Stellen angepasst, um Ihren und unseren Anforderungen besser zu entsprechen (neue Version). Neben kleineren Formalien sind auch einzelne Paragrafen überarbeitet worden. Welche Änderungen das sind, zeigen wir Ihnen bereits jetzt in der folgenden Übersicht.
WICHTIG: Sie müssen NICHTS tun. Nichts drucken, nichts unterschreiben, nichts versenden. Es handelt sich bei diesen Änderungen im Wesentlichen um formale Anpassungen, die wir natürlich trotzdem so transparent wie möglich kommunizieren möchten. Für Fragen und Anmerkungen können Sie uns natürlich wie gewohnt im Kundensupport erreichen.
Alt vs. Neu
Punkt 6.2, neue Version: „Der Auftragnehmer hat die Umsetzung der in den TOM aufgeführten technischen und organisatorischen Maßnahmen und deren Eignung zur Erfüllung der gesetzlichen Verpflichtung regelmäßig zu prüfen“.
[alte Version] Der Auftragnehmer hat die Umsetzung der in dem TOM aufgeführten technischen und organisatorischen Maßnahmen und deren Eignung zur Erfüllung der gesetzlichen Verpflichtung regelmäßig zu prüfen und zu dokumentieren. Die Dokumentation hat durch den Datenschutzbeauftragten des Auftragnehmers oder eine sonstige unabhängige Stelle zu erfolgen und inhaltlich Bezug auf durch den Auftragnehmer vorgenommene Auftragsverarbeitungen zu nehmen. Auf Anfrage des Auftraggebers wird der Auftragnehmer die jeweils aktuelle Dokumentation dem Auftraggeber zur Verfügung stellen.
Punkt 8.2, neue Version: „Der Auftraggeber ist grundsätzlich damit einverstanden, dass der Auftragnehmer Unterauftragnehmer einsetzt. Vor Einsatz eines neuen Unterauftragnehmers hat der Auftragnehmer den Auftraggeber hiervon eine angemessene Zeit zuvor zu unterrichten. Der Auftraggeber kann aus wichtigem Grund dem Einsatz eines neuen Unterauftragnehmers widersprechen. Ein wichtiger Grund liegt insbesondere dann vor, wenn tatsächliche Anhaltspunkte bestehen, dass der Unterauftragnehmer nicht willens oder in der Lage ist, eine datenschutzkonforme Verarbeitung der Daten sicherzustellen. Im Falle eines Widerspruchs verpflichten sich die Parteien, auf eine für beide vertretbare Lösung hinzuwirken. Sollte binnen 4 Wochen kein Kompromiss gefunden werden können, kann entweder der Auftragnehmer entscheiden, den Unterauftragnehmer nicht einzusetzen oder der Auftraggeber ein Sonderkündigungsrecht geltend machen.“
[alte Version] Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher elektronischer oder schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.
Punkt 9.4, neue Version: ersatzlos gestrichen
[alte Version] Lässt der Auftraggeber durch oder begleitet durch eine fachkundige Person (internen oder externen Datenschutzbeauftragter, Wirtschaftsprüfer o.ä.) eine Kontrolle im Sinne von Ziffer 9.2 bei dem Auftragnehmer durchführen, ist der Auftraggeber verpflichtet, auf seine Kosten durch diesen unabhängigen Dritten ein Protokoll dieser Kontrolle erstellen zu lassen (nachfolgend „Prüfprotokoll“). Der Auftraggeber wird das durch diese fachkundige Person erstellte Prüfprotokoll dem Auftragnehmer als gut lesbare und einsetzbare digitale Datei unverzüglich nach Erstellung zur freien Verwendung zur Verfügung stellen. Der Auftragnehmer ist insbesondere berechtigt, diese Datei nach Schwärzung des Namens des Auftraggebers und – sofern der Ersteller der interne Datenschutzbeauftragte des Auftraggebers ist – des Erstellernamens Dritten / anderen Auftraggebern zu übermitteln und so die Ordnungsgemäßheit der Datenverarbeitung bei dem Auftragnehmer diesen gegenüber zu dokumentieren.
Punkt 9.6, neue Version mit Ergänzung: “Sämtliche bei dem Auftragnehmer im Zusammenhang mit der Durchführung einer oder mehrerer Kontrollen durch den Auftraggeber oder eine durch den Auftraggeber beauftragte fachkundige Person entstehenden Kosten sind durch den Auftraggeber zu erstatten. Erfasst sind hiervon insbesondere die Kosten des die Kontrollen begleitenden Mitarbeiters und / oder Datenschutzbeauftragten von dem Auftragnehmer und eventuelle ergänzende Dienstleistungen wie Kosten von Wirtschaftsprüfer, Rechtsanwalt etc. Der Auftragnehmer kann die Durchführung einer Kontrolle von der Zahlung eines Vorschusses auf die zu erwartenden zu erstattenden Kosten der Kontrolle abhängig machen. Dies gilt nicht, wenn die Kontrolle nicht nur routinemäßig erfolgt, sondern ihr ein wichtiger, vom Auftragnehmer zu vertretender Grund zugrunde liegt.“
Punkt 10.2, neue Version: “Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des zugrundeliegenden Vertrags – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen datenschutzgerecht zu vernichten."
[alte Version] Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des zugrundeliegenden Vertrags – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, gegen Erstattung der Kosten dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung auf Kosten des Auftraggebers datenschutzgerecht zu vernichten.
TOMs / Anlage 2: Technische-Organisatorische Maßnahmen
folgender Abschnitt wurde zum Abschluss der TOMs ergänzt:
"Die aufgeführten Maßnahmen werden regelmäßig hinsichtlich Aktualität und technischer Belastbarkeit überprüft. Ferner werden regelmäßige Sicherheitschecks durchgeführt. Die Maßnahmen selbst werden jedoch hier (in dem TOMs) aus Sicherheitsgründen nicht detailliert aufgeführt, um potentiellen Angreifern keine Hintergrundinformationen für Cyberattacken auf unsere Infrastruktur zu liefern"
Anlage 3: Liste der genehmigten Unterauftragnehmer
Die aufgeführten Dienste werden für unterschiedliche Aufgaben, wie zum Beispiel dezentrale Backups genutzt. Aus Gründen der Flexibilität, Verfügbarkeit und Sicherheit setzen wir verschiedene Anbieter für unsere Infrastruktur ein. Neu hinzugekommen ist nun auch:
Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen
(Die Hetzner Online GmbH planen wir insbesondere für die Speicherung dezentraler Backups sowie für den Betrieb interner Systeme einzusetzen (Fehlertracking, Logging).