Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch BR-Systems im Auftrag des Kunden — insbesondere im Rahmen von Remote maintenance, Monitoring und Operations (RMM) sowie der Bereitstellung virtueller Server (Private Cloud).
Der Processor verarbeitet personenbezogene Daten ausschließlich zur Erbringung der vereinbarten Services. Gegenstand, Art, Zweck, Datenkategorien, Kategorien betroffener Personen sowie die Duration der Verarbeitung sind in Annex 1 beschrieben. Eine Verarbeitung zu eigenen Zwecken findet nicht statt.
Der Processor verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur Verarbeitung verpflichtet. Hält er eine Weisung für rechtswidrig, informiert er den Verantwortlichen unverzüglich. Mündliche Weisungen werden unverzüglich schriftlich oder in Textform bestätigt.
Die vom Processor getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO sind in Annex 2 dokumentiert und Bestandteil dieses Vertrags. Sie werden bei Bedarf an den Stand der Technik angepasst, ohne das vereinbarte Schutzniveau zu unterschreiten.
Sollte künftig ein Unterauftragsverarbeiter eingesetzt werden, erfolgt dies nur nach vorheriger Information des Verantwortlichen, der innerhalb einer angemessenen Frist widersprechen kann. Der Processor verpflichtet jeden Unterauftragsverarbeiter auf dieselben Datenschutzpflichten (Art. 28 Abs. 4 DSGVO). Der Betreiber des Rechenzentrums (reine Colocation/Stellfläche) erhält keinen Zugriff auf personenbezogene Daten und gilt nicht als Unterauftragsverarbeiter.
Der Processor unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Erfüllung der Rechte betroffener Personen. Wendet sich eine betroffene Person direkt an den Processor, leitet er das Anliegen unverzüglich an den Verantwortlichen weiter.
Der Processor meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens innerhalb von 24 Stunden nach Bekanntwerden, und unterstützt bei den Pflichten nach Art. 33, 34 DSGVO.
Der Verantwortliche hat das Recht, die Einhaltung der getroffenen Maßnahmen zu überprüfen (Art. 28 Abs. 3 lit. h DSGVO). Der Processor weist die Einhaltung auf Request nach, etwa durch die TOM-Documentation oder geeignete Nachweise. On-site-Prüfungen erfolgen nach rechtzeitiger Ankündigung und ohne unangemessene Störung des Betriebs.
Nach Abschluss der Services löscht oder übergibt der Processor — nach Wahl des Verantwortlichen — sämtliche personenbezogenen Daten und vorhandene Kopien, sofern keine gesetzliche Aufbewahrungspflicht besteht. Die Löschung wird auf Verlangen bestätigt.
Es gelten die Haftungsregelungen der DSGVO (Art. 82) sowie die zwischen den Parteien vereinbarten Bedingungen. Änderungen bedürfen der Schriftform bzw. Textform. Sollte eine Bestimmung unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt.
| Art der Verarbeitung | Remote maintenance (Remote-Zugriff), Monitoring, Inventarisierung, Patch-Management, Skriptausführung, Bereitstellung/Operations virtueller Server, Backup. Bei einer Bildschirmsitzung wird dem Nutzer am Gerät ein deutlich sichtbarer Note angezeigt („Desktop wird geteilt mit Benjamin Raulf – BR-Systems“). |
|---|---|
| Zweck | Operations, Maintenance und Absicherung der IT-Systeme des Verantwortlichen im Rahmen des Dienstleistungsvertrags |
| Kategorien personenbezogener Daten | System- und Protokolldaten, Benutzer- und Kontaktdaten von Administratoren/Beschäftigten, Inventardaten; mittelbar ggf. auf den Systemen gespeicherte personenbezogene Daten des Verantwortlichen |
| Kategorien betroffener Personen | Beschäftigte und Administratoren des Verantwortlichen; mittelbar Personen, deren Daten auf den betreuten Systemen verarbeitet werden |
| Duration | Für die Laufzeit des Dienstleistungsvertrags |
| Ort der Verarbeitung | Rechenzentrum (Colocation) Hannover, Germany — ausschließlich EU/EWR |