Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch BR-Systems im Auftrag des Kunden — insbesondere im Rahmen von Fernwartung, Monitoring und Betrieb (RMM) sowie der Bereitstellung virtueller Server (Private Cloud).
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vereinbarten Leistungen. Gegenstand, Art, Zweck, Datenkategorien, Kategorien betroffener Personen sowie die Dauer der Verarbeitung sind in Anlage 1 beschrieben. Eine Verarbeitung zu eigenen Zwecken findet nicht statt.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Hält er eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich. Mündliche Weisungen werden unverzüglich schriftlich oder in Textform bestätigt.
Die vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO sind in Anlage 2 dokumentiert und Bestandteil dieses Vertrags. Sie werden bei Bedarf an den Stand der Technik angepasst, ohne das vereinbarte Schutzniveau zu unterschreiten.
Sollte künftig ein Unterauftragsverarbeiter eingesetzt werden, erfolgt dies nur nach vorheriger Information des Verantwortlichen, der innerhalb einer angemessenen Frist widersprechen kann. Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter auf dieselben Datenschutzpflichten (Art. 28 Abs. 4 DSGVO). Der Betreiber des Rechenzentrums (reine Colocation/Stellfläche) erhält keinen Zugriff auf personenbezogene Daten und gilt nicht als Unterauftragsverarbeiter.
Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Erfüllung der Rechte betroffener Personen. Wendet sich eine betroffene Person direkt an den Auftragsverarbeiter, leitet er das Anliegen unverzüglich an den Verantwortlichen weiter.
Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, und unterstützt bei den Pflichten nach Art. 33, 34 DSGVO.
Der Verantwortliche hat das Recht, die Einhaltung der getroffenen Maßnahmen zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftragsverarbeiter weist die Einhaltung auf Anfrage nach, etwa durch die TOM-Dokumentation oder geeignete Nachweise. Vor-Ort-Prüfungen erfolgen nach rechtzeitiger Ankündigung und ohne unangemessene Störung des Betriebs.
Nach Abschluss der Leistungen löscht oder übergibt der Auftragsverarbeiter — nach Wahl des Verantwortlichen — sämtliche personenbezogenen Daten und vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird auf Verlangen bestätigt.
Es gelten die Haftungsregelungen der DSGVO (Art. 82) sowie die zwischen den Parteien vereinbarten Bedingungen. Änderungen bedürfen der Schriftform bzw. Textform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
| Art der Verarbeitung | Fernwartung (Remote-Zugriff), Monitoring, Inventarisierung, Patch-Management, Skriptausführung, Bereitstellung/Betrieb virtueller Server, Backup. Bei einer Bildschirmsitzung wird dem Nutzer am Gerät ein deutlich sichtbarer Hinweis angezeigt („Desktop wird geteilt mit Benjamin Raulf – BR-Systems“). |
|---|---|
| Zweck | Betrieb, Wartung und Absicherung der IT-Systeme des Verantwortlichen im Rahmen des Dienstleistungsvertrags |
| Kategorien personenbezogener Daten | System- und Protokolldaten, Benutzer- und Kontaktdaten von Administratoren/Beschäftigten, Inventardaten; mittelbar ggf. auf den Systemen gespeicherte personenbezogene Daten des Verantwortlichen |
| Kategorien betroffener Personen | Beschäftigte und Administratoren des Verantwortlichen; mittelbar Personen, deren Daten auf den betreuten Systemen verarbeitet werden |
| Dauer | Für die Laufzeit des Dienstleistungsvertrags |
| Ort der Verarbeitung | Rechenzentrum (Colocation) Hannover, Deutschland — ausschließlich EU/EWR |