Vereinbarung Auftragsverarbeitung (VAV)

Stand: V3.7 von 12/2023

Präambel

Der Kunde beauftragt GCT mit Leistungen, die im Sinne der EU Datenschutz-Grundverordnung (EU DSGVO) als Auftragsverarbeitung anzusehen sind oder sein können.

Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Rahmenvertrag mit seinen Anlagen und den darauf basierenden Leistungsscheinen (nachfolgend einheitlich „Vertragsleistungen“ genannt) ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit den Vertragsleistungen in Zusammenhang stehen und bei denen Mitarbeiter von GCT oder durch GCT beauftragte Dritte Zugriffsmöglichkeiten auf personenbezogene Daten des Kunden haben könnten. Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Rahmenvertrages.

Umfang, Art und Zweck der Verarbeitung von Daten, die Art der Daten und der Kreis der betroffenen Personen ist in den einzelnen Leistungsscheinen definiert.

1. Definitionen

Bereitstellung Bereitstellung
Personenbezogene Daten Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (Art. 4 Nr. 1 EU DSGVO).
Auftragsverarbeitung Auftragsverarbeitung ist jeder ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Verarbeitung i. S. v. Art. 4 Nr. 2 EU DSGVO) durch GCT im Auftrag des Kunden.
Weisung Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang durch GCT mit personenbezogenen Daten gerichtete schriftlich dokumentierte Anordnung des Kunden. Die Weisungen werden anfänglich durch den Hauptvertrag und seine Anlagen festgelegt und können vom Kunden danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden.
Subunternehmer Subunternehmer sind Dritte, die GCT mit der Durchführung von (Teil-)Leistungen aus dem Hauptvertrag beauftragt, die nicht mit GCT arbeitsrechtlich verbunden oder im Rahmen einer Arbeitnehmerüberlassung entliehen wurden und von GCT auf dieselben datenschutzrechtlichen Bestimmungen der EU DSGVO sowie dieses Vertrages verpflichtet wurden

2. Anwendungsbereich und Verantwortlichkeiten

  1. GCT verarbeitet personenbezogene Daten im Auftrag des Kunden oder erhält durch die beauftragte Leistung Zugriffsmöglichkeit auf personenbezogene Daten. Der genaue Leistungsumfang ergibt sich aus den Vertragsleistungen. Der Kunde ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze und der Datenschutzbestimmungen der EU, insbesondere für die Rechtmäßigkeit der Datenweitergabe an GCT sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. GCT haftet für den durch die Verarbeitung verursachten Schaden nur dann, wenn sie ihren einem Auftragsverarbeiter von der EU DSGVO auferlegten Pflichten nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Kunden oder gegen diese Anweisungen des Kunden gehandelt hat. GCT wird von der Haftung befreit, wenn sie nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 EU DSGVO).
  2. Aufgrund seiner Verantwortlichkeit kann der Kunde auch während der Laufzeit und nach Beendigung des Vertrages die Löschung, Sperrung oder Herausgabe von Daten verlangen, sofern dem nicht eine gesetzliche Verpflichtung zur Speicherung von personenbezogenen Daten entgegensteht.
  3. Die Inhalte dieser Vertragsanlage gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

3. Pflichten von GCT

  1. GCT darf Daten nur im Rahmen der getroffenen Vereinbarungen und der dokumentierten Weisungen des Kunden und i.ü. nur aufgrund einer gesetzlichen Verpflichtung verarbeiten. GCT wird keine Daten eigenständig im Sinne dieser Vereinbarung erheben oder nutzen.
  2. GCT hat im eigenen Verantwortungsbereich die innerbetriebliche Organisation so gestaltet, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. GCT hat für eigene Systeme, auf denen Kundendaten verarbeitet werden, technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Kunden vor Missbrauch und Verlust getroffen, die den Anforderungen von Art. 32 EU DSGVO entsprechen. Dies beinhaltet insbesondere:
    • Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste;
    • rasche Wiederherstellung der Verfügbarkeit und des Zugangs zu den personenbezogenen Daten bei einem physischen oder technischen Zwischenfall;
    • regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Maßnahmen; insbesondere auch durch folgende Maßnahmen:
      • Unbefugten den Zutritt zu den Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet werden, zu verwehren (Zutrittskontrolle);
      • zu verhindern, dass die Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle);
      • dafür Sorge zu tragen, dass die Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung entsprechenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle);
      • dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen der Datenübertragung vorgesehen ist (Weitergabekontrolle);
      • zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle);
      • dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag des Kunden verarbeitet werden, nur entsprechend den Weisungen des Kunden verarbeitet werden können (Auftragskontrolle);
      • dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle);
      • dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle);
      • dafür Sorge zu tragen, dass die Systeme auf denen Daten des Kunden verarbeitet werden, ausreichende Kapazitätsreserven haben, um typischerweise zu erwartende Spitzen in der Leistungsanforderung bereitstellen zu können (Belastbarkeit der Systeme);
      • dafür Sorge zu tragen, dass die Systeme auf denen Daten des Kunden verarbeitet werden im Fall einer notwendigen Wiederherstellung im Rahmen der mit dem Kunden vereinbarten Wiederherstellungszeiten wieder zur Verfügung stehen (Wiederherstellung der Systeme);
      • dafür Sorge zu tragen, dass die technischen und organisatorischen Maßnahmen regelmäßig (mindestens halbjährlich) auf ihre Wirksamkeit hin zumindest stichprobenartig überprüft werden.

    Eine Darstellung der technischen und organisatorischen Maßnahmen erfolgt im Datenschutzkonzept, das als Dokument DSK gemäß Ziffer 10 der Rahmenvereinbarung Vertragsbestandteil ist.

  3. GCT berichtigt, löscht und sperrt personenbezogene Daten, wenn der Kunde dies in der getroffenen Vereinbarung oder durch Weisung verlangt.
  4. GCT verwendet die zur Verarbeitung überlassenen Daten nur für die vertragsgegenständlichen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate erstellt GCT ohne Wissen des Kunden nicht.
  5. GCT stellt sicher, dass die mit der Verarbeitung der Daten des Kunden befassten Mitarbeiter gemäß Art. 28 Abs. 3 b) EU DSGVO zur Vertraulichkeit verpflichtet und in die Schutzbestimmungen der EU DSGVO eingewiesen worden sind. Die Verpflichtung besteht auch nach Beendigung des Beschäftigungsverhältnisses fort.
  6. GCT unterrichtet den Kunden unverzüglich
    • bei schwerwiegenden Störungen des Betriebsablaufes, die Einfluss auf die Datenverarbeitung der Daten des Kunden, insbesondere auf den Schutz der Daten des Kunden haben,
    • bei Verdacht auf Verletzungen des Datenschutzes,
    • bei anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Kunden und verpflichtet sich gegenüber dem Kunden bei der Meldung von Datenschutzverletzungen, erforderlichen Datenschutzfolgenabschätzungen und damit verbundenen Konsultationen mit der Aufsichtsbehörde bei entsprechender schriftlicher Beauftragung durch den Kunden mitzuwirken. Die in Auftrag gegebenen Mitwirkungshandlungen wird GCT anhand der zum Beauftragungszeitpunkt gültigen Servicepreisliste in Rechnung stellen.
  7. Datenträger, die der Kunde GCT überl.sst, sowie sämtliche hiervon gefertigte Kopien oder Reproduktionen verbleiben im Eigentum des Kunden. GCT wird diese sorgfältig kennzeichnen und verwahren, so dass sie Dritten nicht zugänglich sind. GCT verpflichtet sich, dem Kunden jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind. Die datenschutzkonforme Vernichtung von Datenträgern übernimmt GCT nach Einzelbeauftragung durch den Kunden.
  8. GCT sorgt für eine strikte Trennung der verarbeiteten Daten von sonstigen Datenbeständen.
  9. GCT macht den Kunden unverzüglich aufmerksam, wenn eine vom Kunden erteilte Weisung nach Meinung von GCT gegen gesetzliche Vorschriften oder EU Datenschutzbestimmungen verstößt. GCT ist in diesem Falle berechtigt, die Befolgung der betroffenen Weisung so lange auszusetzen, bis die Aussetzung durch eine vertretungsberechtigte Person des Kunden entweder bestätigt oder die Weisung entsprechend geändert wird.
  10. GCT erklärt sich damit einverstanden, dass der Kunde jederzeit berechtigt ist, die Einhaltung datenschutzrechtlicher Vorschriften und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst zu kontrollieren oder durch Dritte kontrollieren zu lassen, insbesondere durch Einholen von Auskünften und Einsichtnahmen in die gespeicherten Daten und erforderliche Kontrolle vor Ort. GCT wirkt bei dieser Kontrolle mit, soweit erforderlich.

4. Pflichten des Kunden

  1. Der Kunde ist für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen im Rahmen der EU Datenschutzbestimmungen verantwortlich.
  2. Der Kunde erteilt Aufträge und Weisungen schriftlich. Änderungen sind von den Parteien gemeinsam abzustimmen. Weisungsberechtigte Personen ergeben sich aus dem Dokument WB-K, das nach Ziffer 10 Abs. 3 der Rahmenvereinbarung Vertragsbestandteil ist.
  3. Der Kunde informiert GCT unverzüglich und vollständig, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
  4. Dem Kunden obliegen die aus Art. 33 EU DSGVO resultierenden Informationspflichten.
  5. Der Kunde legt die Maßnahmen zur Rückgabe der überlassenen Datenträger und/oder der Löschung der gespeicherten Daten nach Beendigung des Vertrages durch Weisung fest.
  6. Erteilt der Kunde Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, wird GCT die Leistung anhand der zum Beauftragungszeitpunkt gültigen Servicepreisliste von GCT in Rechnung stellen.

5. Anfragen betroffener Personen

  1. Ist der Kunde auf Grund geltender Datenschutzgesetze und/oder der EU DSGVO gegenüber einer betroffenen Person verpflichtet, Anträge auf Wahrnehmung von Rechten der betroffenen Person gemäß Kapitel III der EU DSGVO zu beantworten, wird GCT den Kunden dabei unterstützen, die Informationen bereitzustellen und die Mitwirkungshandlungen vorzunehmen, vorausgesetzt der Kunde hat GCT hierzu schriftlich beauftragt. GCT wird die Leistung anhand der zum Beauftragungszeitpunkt gültigen Servicepreisliste in Rechnung stellen.

6. Kontrollpflichten

  1. Der Kunde überzeugt sich vor Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen von GCT und dokumentiert das Ergebnis. Hierfür kann er Selbstauskünfte von GCT einholen oder sich nach rechtzeitiger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Regelbetriebs bei GCT persönlich überzeugen.
  2. GCT verpflichtet sich, dem Kunden auf schriftliche Anforderung innerhalb angemessener Frist alle Auskünfte zu erteilen, die zur Durchführung einer Kontrolle erforderlich sind.

7. Subunternehmer

  1. Die Vergabe von (Teil-)Aufträgen der Vertragsleistungen an Subunternehmer durch GCT bedarf der schriftlichen Zustimmung des Kunden. GCT versichert, dass sie den Subunternehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt hat.
  2. Der Kunde wird seine Zustimmung zur Beauftragung von Subunternehmern nicht verweigern, sofern keine objektiven sachlichen Gründe eine Verweigerung nahelegen und GCT dem Kunden die schriftliche Verpflichtung des Subunternehmers auf die datenschutzrechtlichen Bestimmungen aus diesem Vertrag und aus der EU DSGVO nachweist.
  3. Vergibt GCT (Teil-)Aufträge an Subunternehmer, obliegt es GCT, ihre Pflichten aus diesem Vertrag oder aus den nationalen oder europäischen Datenschutzbestimmungen auf den Subunternehmer zu übertragen. GCT überprüft die Einhaltung dieser Pflichten regelmäßig und dokumentiert dies.
  4. Der Kunde erklärt sich mit Unterzeichnung dieses Vertrages damit einverstanden, dass GCT folgende Leistungen an einen Subunternehmer vergibt:

VAV Vereinbarte Subunternehmer

Leistung Subunternehmer Anschrift Bemerkung
Rechenzentrumsleistungen (Colocation) für das GCT:rechenzentrum MightyCare Solutions GmbH Vilbeler Landstr. 255 60388 Frankfurt Standort des Rechenzentrums: c/o Global Switch Frankfurt Eschborner Landstr. 110 60489 Frankfurt
Rechenzentrum und Serverbetrieb für hostIT domain domainfactory GmbH Oskar-Messter-Str. 33 85737 Ismaning Standort des Rechenzentrums: c/o HostEurope, Köln
Betrieb der Lösung „hostITbox“ Dracoon GmbH Galgenbergstr. 2a 93053 Regensburg Standort des Rechenzentrums: c/o Noris Network AG Nürnberg
Betrieb eines S3- kompatiblen Cloud- Speichers EBERTLANG Distributions GmbH Garbenheimer Str. 36 35578 Wetzlar Standorte der Rechenzentren: 60489 Frankfurt & Amsterdam (Niederlande)
Betrieb der Lösung protectIT mail Hornetsecurity GmbH Am Listholze 78 30177 Hannover
Betrieb zentraler Komponenten der Lösung protectIT defense ESET GmbH Spitzweidenweg 32 07743 Jena
Betrieb zentraler Komponenten der Lösung secureIT SonicWall GmbH Maximilianstr. 13 80539 München
Betrieb der Security Audit Komponenten der Lösung watchIT Lywand Software GmbH Josefstr. 46a/6 A-3100 St. Pölten Standort des Rechenzentrums: Wien (Österreich)
Versand von E-Mails und SMS (Newletter, Wartungsinfos und weitere Massenaussendungen GTC Gutacker Telecommunication GmbH Zimmermannstrasse 15 70182 Stuttgart
Vernichtung von Dokumenten und Datenträgern Oberurseler Werkstätten für Menschen mit Behinderung Eigenbetrieb des Hochtaunuskreises Zimmersmühlenweg 67 61440 Oberursel

8. Informationspflichten, sonstige Bestimmungen

  1. Sollten Daten des Kunden bei GCT durch Pfändung oder Beschlagnahme, durch ein Insolvenz oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, wird GCT den Kunden unverzüglich darüber informieren. GCT wird weiterhin alle in diesem Zusammenhang tätigen verantwortlichen Sachbearbeiter unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Kunden entweder als „betroffene Person“ oder als „Verantwortlicher“ im Sinne des Bundesdatenschutzgesetzes und der EU DSGVO liegen.

9. Ansprechpartner für Datenschutzfragen bei GCT:

Datenschutzbeauftragter:

Ronald Baranowski

SIX Datenschutz

Mail: dsb@gct.de

Ansprechpartner Geschäftsleitung:

Andreas Gradl

Mail: agradl@gct.de

Tel.: 06172/9486-13

Stand: V3.7 von 12/2023