im Sinne des Art. 28 Abs. 3 Datenschutzgrundverordnung (DSGVO)
zwischen den
Auftraggebern
der Cairful-Personalbemessungs-Software („Cairful-PeBeM“)
– nachfolgend „Auftraggeber“ genannt –
und der
Cairful GmbH
Otto-Brenner-Str. 19
52353 Düren
als Auftragsverarbeiter
- nachfolgend „Auftragnehmer“ genannt –
– nachfolgend gemeinsam „Parteien“ und je einzeln „Partei“ genannt –
Der Auftraggeber beabsichtigt, eine Lizenz zur Nutzung der Software Cairful-PeBeM des Auftragnehmers zu erwerben. Neben der Nutzung der Software Cairful-PeBeM möchte der Auftraggeber den Auftragnehmer auch mit der Erbringung von bestimmten Leistungen beauftragen. Art und Umfang dieser Leistungen ergeben sich aus den Lizenzbedingungen (hier abrufbar: https://pebem.cairful.com/lizenzbedingungen/) sowie der als Anlage 1 beigefügten Leistungsbeschreibung (nachfolgend zusammenfassend „Hauptvertrag“).
Im Rahmen der von ihm erbrachten Leistungen und zur Erfüllung seiner vertraglichen Verpflichtungen aus dem Hauptvertrag verarbeitet der Auftragnehmer personenbezogene Daten von Mitarbeiter:innen und Bewohner:innen des Auftraggebers.
Um die rechtmäßige Verarbeitung personenbezogener Daten anlässlich der Vertragserfüllung durch den Auftragnehmer zu gewährleisten, schließen die Parteien diese Auftragsverarbeitungsvereinbarung (nachfolgend „Vereinbarung“ genannt). Die Vereinbarung konkretisiert insoweit die datenschutzrechtlichen Verpflichtungen des Auftragnehmers.
1.1 Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers ausschließlich zum Zwecke der Erfüllung seiner vertraglichen Leistungsverpflichtungen aus dem Hauptvertrag, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
1.2 Die Kategorien betroffener Personen, die betroffenen personenbezogene Daten sowie Art und Zweck der Datenverarbeitung sind in Anlage 2 dargestellt.
1.3 Ist der Auftragnehmer der Ansicht, eine Weisung des Auftraggebers verstoße gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten, wird er den Auftraggeber darauf hinweisen. Der Auftragnehmer ist in diesen Fällen berechtigt, die Durchführung der Weisung auszusetzen, bis der Auftraggeber die Weisung bestätigt oder abändert.
2.1 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der Betroffenen verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung ihrer Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.
2.2 Der Auftraggeber ist Inhaber aller etwaigen erforderlichen Rechte, welche die personenbezogenen Daten betreffen.
2.3 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer oder seiner Weisungen feststellt.
2.4 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung der Vereinbarung bestehen.
3.1 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörden im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. Er wird dem Auftraggeber die Informationen zur Verfügung stellen, die dieser benötigt, um nachzuweisen, dass er hinsichtlich dieser Auftragsverarbeitung die Anforderungen des anwendbaren Datenschutzrechts erfüllt hat.
3.2 Der Auftragnehmer unterstützt den Auftraggeber außerdem unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen auf Anforderung bei der Einhaltung folgender Pflichten:
3.2.1 Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten,
3.2.2 Meldung der Verletzung des Schutzes personenbezogener Daten an Aufsichtsbehörden und betroffene Personen,
3.2.3 Durchführung einer Datenschutz-Folgenabschätzung, soweit die Datenverarbeitung durch den Auftragnehmer davon betroffen ist,
3.2.4 ggfs. Durchführung einer erforderlichen vorherigen Konsultation der Datenschutzbehörde, soweit die Datenverarbeitung durch den Auftragnehmer davon betroffen ist.
3.3 Der Auftragnehmer informiert den Auftraggeber, wenn ihm ein Verstoß gegen das Datenschutzrecht im Rahmen seiner Auftragsverarbeitung bekannt wird. Soweit der Auftraggeber unrechtmäßig Kenntnis von personenbezogenen Daten erlangt und er deshalb einer Informationspflicht unterliegt, wird der Auftragnehmer ihn bei der Erfüllung der Pflicht unterstützen, soweit es erforderlich und zumutbar ist.
3.4 Der Auftragnehmer ist verpflichtet, die bei der Verarbeitung personenbezogener Daten beschäftigten Personen auf den vertraulichen Umgang mit den verarbeiteten personenbezogenen Daten zu verpflichten und gewährleistet, dass auch seine Unterauftragnehmer diese Verpflichtung einhalten.
4.1 Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen (nachfolgend „TOM“) vor Beginn der Datenverarbeitung. Die TOM sind in Anlage 3 dargestellt.
4.2 Die TOM unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit kann der Auftragnehmer alternative, adäquate Maßnahmen umsetzen. Änderungen sind zu dokumentieren und die Dokumentationen sind dem Auftraggeber auf schriftliche Anfrage hin zur Verfügung zu stellen. Wesentliche Änderungen sind dem Auftraggeber anzuzeigen.
5.1 Der Auftraggeber ist berechtigt, sich auf eigene Kosten vor Beginn der Datenverarbeitung durch den Auftragnehmer und sodann regelmäßig, von den TOM zu überzeugen. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung feststellt. Eine derartige Prüfung durch den Auftraggeber bedarf der vorherigen schriftlichen Ankündigung mit angemessener Fristsetzung.
5.2 Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Durchführung einer umfassenden Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Der Nachweis der Umsetzung geeigneter Maßnahmen kann auch durch Vorlage aktueller Testate sowie von Berichten unabhängiger Prüfer (Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, etc.) erbracht werden.
5.3 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitspflicht unterliegt. Auf Verlangen des Auftragnehmers wird der Auftraggeber die Verschwiegenheitsverpflichtung unverzüglich vorlegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.
6.1 Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung von personenbezogenen Daten begründen. Die Unterauftragnehmer und deren jeweilige Tätigkeitsbereiche sind in Anlage 4 genannt.
6.2 Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung eines Unterauftragnehmers unterrichten. Sollte der Auftraggeber mit der geplanten Änderung nicht einverstanden sein, muss er der geplanten Änderung unverzüglich schriftlich widersprechen.
6.3 Der Auftragnehmer wird die wesentlichen vertraglichen Regelungen dieser Vereinbarung, einschließlich der Gewährleistung der TOM, an seine Unterauftragnehmer weitergeben. Die TOM müssen den Anforderungen des anwendbaren Datenschutzrechts entsprechen.
7.1 Der Auftraggeber stellt den Auftragnehmer von sämtlichen Ansprüchen, Kosten, Bußgeldern oder sonstigen negativen Auswirkungen frei, die darauf zurückzuführen sind, dass der Auftraggeber gegen die Bestimmungen dieser Vereinbarung oder anwendbares Datenschutzrecht verstoßen hat. Im Falle eines Mitverschuldens des Auftragnehmers gilt die Freistellung nur anteilig.
7.2 Der Auftragnehmer haftet – sofern der Hauptvertrag oder diese Vereinbarung zur Auftragsverarbeitung keine anderslautenden Regelungen treffen – gleich aus welchem Rechtsgrund nur für Vorsatz und grobe Fahrlässigkeit. Diese Haftungsbeschränkung gilt auch für seine Erfüllungs- und Verrichtungsgehilfen. Der Auftragnehmer haftet bei leichter Fahrlässigkeit nicht, außer wenn er eine wesentliche Vertragspflicht verletzt hat, deren Erfüllung die ordnungsgemäße Durchführung der Vereinbarung überhaupt erst ermöglicht, oder deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen kann. Diese Haftung ist bei Sach- und Vermögensschäden auf den vertragstypischen und vorhersehbaren Schaden beschränkt. Das gilt auch für entgangenen Gewinn und ausgebliebene Einsparungen.
7.3 Die Haftungsbeschränkungen nach Ziffer 7.2 gelten nicht für die Verletzung von Leben, Körper und Gesundheit.
8.1 Die Rechte betroffener Personen sind grundsätzlich gegenüber dem Auftraggeber geltend zu machen. Soweit eine betroffene Person ihre Rechte gegenüber dem Auftragnehmer geltend macht, wird dieser das Ersuchen zeitnah an den Auftraggeber weiterleiten.
8.2 Soweit eine betroffene Person ihre Rechte gegenüber dem Auftraggeber geltend macht, wird der Auftragnehmer den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung dieser Ansprüche angemessen und im erforderlichen Umfang unterstützen, wenn der Auftraggeber den Anspruch ohne die Unterstützung des Auftragnehmers nicht erfüllen kann.
Der Auftragnehmer hat einen Datenschutzbeauftragten benannt, der unter folgender E-Mail-Adresse zu erreichen ist:
10.1 Die Vereinbarung tritt mit dem Abschluss des Hauptvertrags in Kraft und läuft auf unbestimmte Zeit. Die Vereinbarung endet mit Beendigung des Hauptvertrags, ohne dass es einer gesonderten Kündigung der Vereinbarung bedarf.
10.2 Die Vereinbarung kann im Übrigen mit einer Frist von drei (3) Monaten zum Monatsende von jeder der Parteien gekündigt werden. Die Parteien werden bei Bedarf angemessene Überleitungsregelungen vereinbaren, um die Ordnungsmäßigkeit der zugrundeliegenden Verarbeitungsprozesse ggf. auch über das Ende des Hauptvertrags hinaus sicherzustellen.
10.3 Im Übrigen kann jede Partei die Vereinbarung bei Vorliegen eines wichtigen Grundes außerordentlich fristlos kündigen.
10.4 Eine Kündigung bedarf der Schriftform.
11.1 Bei Änderungen der tatsächlichen Ausgestaltung der Leistungsbeziehungen zwischen den Parteien werden die Parteien die Anlagen entsprechend anpassen und einvernehmlich austauschen.
11.2 Auf die Vereinbarung findet das Recht der Bundesrepublik Deutschland Anwendung. Gerichtsstand für alle Streitigkeiten in Zusammenhang mit dieser Vereinbarung ist Düren.
11.3 Änderungen oder Ergänzungen der Vereinbarung bedürfen der Textform (§ 126 BGB). Dies gilt für Änderung oder Aufhebung des vorstehenden Schriftformerfordernisses entsprechend.
11.4 Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der Vereinbarung im Übrigen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die in ihrem wirtschaftlichen Gehalt der unwirksamen Bestimmung möglichst nahekommt. Entsprechendes gilt im Falle von Regelungslücken.
*-*-*
Anlage 1: Leistungsübersicht
Anlage 2: Kategorien betroffener Personen; betroffene personenbezogene Daten; Art und Zweck der Datenverarbeitung
Anlage 3: Technische und organisatorische Maßnahmen
Anlage 4: Genehmigte Unterauftragnehmer
Anlage 1: Leistungsübersicht
Mit Cairful-PeBeM können Sie die Chancen der Personalbemessung 2023 nutzen, indem Sie:
Als Kunde von Cairful-Pflege haben Sie außerdem die Möglichkeit, die relevanten Informationen im Rahmen des „Cairful-Komfort-Imports“ per Schnittstelle zu übertragen.
Da sich der konkrete Inhalt und Umfang von Cairful-PeBeM aufgrund von kontinuierlicher Weiterentwicklung des Produkts ändern kann, finden Sie eine aktuelle Funktionsbeschreibung und Preisliste unter https://pebem.cairful.com/lizenzen/.
Anlage 2: Kategorien betroffener Personen; betroffene personenbezogene Daten;
Der Auftragnehmer verarbeitet die personenbezogenen Daten folgender betroffener Personen:
Der Auftragnehmer verarbeitet im Rahmen des Leistungsbeziehung die folgenden personenbezogenen Daten:
Mitarbeiter:innen |
Bewohner:innen |
Name, Vorname |
Name, Vorname |
Qualifikationsniveau |
Informationen über Kriterien einer „instabilen gesundheitlichen Situation“ |
|
Informationen über den Pflegezustand (anhand des Begutachtungsinstruments) |
Die Datenverarbeitung durch den Auftragnehmer erfolgt ausschließlich für folgende Zwecke:
Anlage 3: Technische und organisatorische Maßnahmen des Auftragnehmers
1. Zutrittskontrolle
Die Cairful GmbH hat angemessene Maßnahmen und Vorkehrungen getroffenen, um Unbefugte am Zutritt zu den Datenverarbeitungssystemen zu hindern (räumlich):
a) Räumlichkeiten der Cairful GmbH
Hinsichtlich der Räumlichkeiten der Cairful GmbH bestehen folgende Maßnahmen zur Zutrittskontrolle:
b) Besondere Bestimmungen für die Software Cairful-PeBeM
Die Software Cairful-PeBeM ist im Datacenter-Park eines Unterauftragnehmers auf einem Server gehostet (Dedicated Server). Dort bestehen folgende technischen und organisatorischen Maßnahmen zur Zutrittskontrolle:
2. Zugangskontrolle
Die Cairful GmbH stellt sicher, dass nur die zur Nutzung des Datenverarbeitungssystems befugten Personen Zugang zu den Datenverarbeitungsanlagen haben und die Nutzung der Verarbeitungssysteme mit Hilfe von Einrichtungen oder Mitteln zur Datenübertragung durch Unbefugte verhindert wird (Zugangskontrolle).
a) Cairful GmbH
Bei der Cairful GmbH bestehen folgende Maßnahmen zur Zugangskontrolle:
b) Besondere Bestimmungen für die Software Cairful-PeBeM
Im Datacenter-Park des Unterauftragnehmers bestehen folgende technischen und organisatorischen Maßnahmen zur Zugangskontrolle:
3. Zugriffskontrolle
Die Cairful GmbH hat angemessene Maßnahmen getroffen, um zu verhindern, dass die zur Benutzung eines automatisierten Verarbeitungsvorgangs Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben, d.h. nur im Umfang der ihnen erteilten Berechtigung auf die Daten zugreifen können (Zugriffskontrolle). Dies wird gewährleistet durch:
Datenträgerkontrolle
Die Cairful GmbH stellt sicher, dass unbefugtes Lesen, Kopieren, Verändern oder Löschen der Datenträgermedien verhindert wird (Datenträgerkontrolle).
a) Cairful GmbH
Die Cairful GmbH setzt folgende Maßnahmen zur Datenträgerkontrolle um:
b) Besondere Bestimmungen für die Software Cairful-PeBeM
Im Datacenter-Park des Unterauftragnehmers bestehen folgende Maßnahmen zur Datenträgerkontrolle:
5. Speicherkontrolle
Die Cairful GmbH stellt sicher, dass die unbefugte Eingabe von personenbezogenen Daten sowie die unbefugte Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten verhindert wird (Speicherkontrolle).
Dies wird gewährleistet durch:
6. Übertragungs- bzw. Weitergabekontrolle
Die Cairful GmbH gewährleistet, dass überprüft und festgestellt werden kann, an welche Stellen oder Standorte personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung (d.h. Trägermedien wie USB-Sticks oder über das Intra- bzw. Internet) übermittelt wurden oder werden können (Übertragungs- bzw. Weitergabekontrolle).
Dies wird gewährleistet durch:
7. Transportkontrolle
Die Cairful GmbH stellt sicher, dass bei der Übermittlung der personenbezogenen Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle).
Dies wird gewährleistet durch:
8. Eingabekontrolle
Die Cairful GmbH stellt sicher, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben oder verändert worden sind.
Dies wird gewährleistet durch:
9. Auftragskontrolle
Die Cairful GmbH gewährleistet, dass die Daten, die im Auftrag durch Unterauftragnehmer verarbeitet werden, nur entsprechend den Weisungen des Auftragnehmers verarbeitet werden können (Auftragskontrolle).
Dies wird gewährleistet durch:
10. Kontrolle der Trennung der Daten („Trennbarkeit“)
Die Cairful GmbH ermöglicht die Trennung von Daten, die zu unterschiedlichen Zwecken erhoben wurden.
Dies wird gewährleistet durch:
11. Belastungskontrolle der Systeme und Verfügbarkeitskontrolle
Die Cairful GmbH stellt sicher, dass die von ihr eingesetzten Systeme funktionstüchtig sind und Fehlfunktionen gemeldet werden (Zuverlässigkeit) sowie gespeicherte personenbezogene Daten durch Fehlfunktionen des Systems möglichst nicht beschädigt werden (Datenintegrität). Zudem gewährleistet die Cairful GmbH, dass die Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit) und personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeit).
Dies wird durch folgende Maßnahmen sichergestellt:
Zuverlässigkeit:
Datenintegrität:
Wiederherstellbarkeit:
Verfügbarkeit:
a) Cairful GmbH
Die Cairful GmbH trifft folgende Maßnahmen zur Verfügbarkeit der eingesetzten Systeme:
b) Data-Center Park
Beim Unterauftragnehmer bestehen folgende Maßnahmen hinsichtlich der Verfügbarkeit der eingesetzten Systeme:
12. Organisationskontrolle
Die Cairful GmbH stellt sicher, dass ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherung der Verarbeitung etabliert ist.
Dies wird gewährleistet durch folgende Maßnahmen:
Anlage 4: Genehmigte Unterauftragnehmer und Tätigkeitsbereiche des Unterauftragnehmers
Name des Unterauftragnehmers und dessen Unterauftragnehmern: |
Zwecke für die der Unterauftragnehmer die Daten verarbeitet |
Verarbeitungen (sofern diese von Anlage 1 abweichen) |
Ort der Verarbeitung |
Übermittlung an Stellen mit Sitz außerhalb des EWR
|
Microsoft Azure Microsoft Ireland South County Business Park, Operations Ltd, One Microsoft Place, Leopardstown, Dublin, D18 P521, Ireland |
Bereitstellung eines Cloud Servers zum Hosting der Web-Anwendung „Cairful-PeBeM“ |
- |
Deutschland |
Informationen unter https://azure.microsoft.com/de-de/explore/global-infrastructure/data-residency/#overview |