Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

zwischen dem Auftraggeber bzw. Verantwortlichen

und

BauCloud GmbH, Jörg-Hube-Str. 99, 81927 München, Deutschland – nachfolgend „Auftragnehmer“ oder „Auftragsverarbeiter“ genannt –

Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem zwischen ihnen geschlossenen Vertrag über die Nutzung der Software "Librario" (nachfolgend „Librario-Nutzungsvertrag“). Sie gilt für alle Tätigkeiten, bei denen der Auftragnehmer oder von ihm beauftragte Unterauftragsverarbeiter personenbezogene Daten (nachfolgend "Daten") im Auftrag und nach Weisung des Auftraggebers verarbeitet.

§ 1 Gegenstand, Dauer, Art und Zweck der Verarbeitung

1)

Gegenstand des Auftrags ist die Erbringung der im Librario-Nutzungsvertrag spezifizierten SaaS-Dienstleistungen. Die detaillierte Beschreibung des Verarbeitungsgegenstands, von Art und Zweck der Verarbeitung, der Art der personenbezogenen Daten und der Kategorien betroffener Personen ergibt sich aus Anlage 1 zu dieser Vereinbarung.

2)

Die Dauer dieser Vereinbarung (Laufzeit) richtet sich nach der Laufzeit des Librario-Nutzungsvertrags. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

3)

Die Verarbeitung der Daten durch den Auftragnehmer findet grundsätzlich in einem Mitgliedstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt.

4)

Der Auftragnehmer ist berechtigt, Unterauftragsverarbeiter auch in Drittländern einzusetzen, sofern die gesetzlichen Voraussetzungen gemäß Art. 44ff. DS-GVO für die Datenübermittlung sichergestellt sind. Die eingesetzten Unterauftragsverarbeiter und deren Standorte sind der online geführten Liste gemäß § 5 dieser Vereinbarung zu entnehmen.

§ 2 Pflichten des Auftragnehmers

1)

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Auftraggebers (vgl. § 3), sofern er nicht nach dem Recht der EU oder der Mitgliedstaaten, dem er unterliegt, zu einer bestimmten Verarbeitung verpflichtet ist.

2)

Der Auftragnehmer gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle gemäß Art. 32 DS-GVO erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau für die Daten des Auftraggebers zu gewährleisten. Die jeweils aktuellen technischen und organisatorischen Maßnahmen sind unter https://www.librario.de/terms/tom einsehbar und gelten als integraler Bestandteil dieser Vereinbarung. Der Auftragnehmer behält sich das Recht vor, die TOMs dem technischen Fortschritt und der Weiterentwicklung anzupassen, stellt jedoch sicher, dass das vertraglich vereinbarte Schutzniveau niemals unterschritten wird. Wesentliche Änderungen werden dem Auftraggeber dokumentiert.

3)

Der Auftragnehmer behält sich das Recht vor, die getroffenen Sicherheitsmaßnahmen zu ändern, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber zu dokumentieren.

4)

Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Personen zur Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b, Art. 29 und Art. 32 DS-GVO verpflichtet wurden und in die für sie relevanten Datenschutzbestimmungen eingewiesen sind.

5)

Der Auftragnehmer benennt dem Auftraggeber einen Ansprechpartner für alle im Rahmen dieser Vereinbarung anfallenden Datenschutzfragen.

6)

Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gemäß Art. 30 Abs. 2 DS-GVO.

§ 3 Weisungsrecht des Auftraggebers

1)

Der Auftragnehmer darf Daten nur nach Weisung des Auftraggebers verarbeiten. Die Weisungen des Auftraggebers erfolgen insbesondere durch die Nutzung der im Rahmen des Librario-Nutzungsvertrags bereitgestellten Software "Librario" und ihrer Funktionalitäten durch den Auftraggeber oder von ihm autorisierte Nutzer (z.B. durch das Anlegen, Ändern oder Löschen von Datensätzen). Diese Nutzung im Self-Service gilt als primäre dokumentierte Weisung.

2)

Weisungen werden anfänglich durch den Librario-Nutzungsvertrag und diese Vereinbarung festgelegt und können vom Auftraggeber danach in Textform (z.B. per E-Mail) an die vom Auftragnehmer benannte Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden.

3)

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DS-GVO oder andere anwendbare Datenschutzvorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber nach Prüfung bestätigt oder geändert wird.

§ 4 Unterstützungspflichten für den Auftraggeber

1)

Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei dessen Pflicht, Anträge auf Wahrnehmung der Rechte der betroffenen Personen gemäß Kapitel III der DS-GVO (Art. 12-22) zu beantworten.

2)

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DS-GVO genannten Pflichten (Sicherheit der Verarbeitung, Meldung von Datenschutzverletzungen an die Aufsichtsbehörde, Benachrichtigung der betroffenen Person, Datenschutz-Folgenabschätzung, vorherige Konsultation).

3)

Der Auftragnehmer meldet dem Auftraggeber jede Verletzung des Schutzes personenbezogener Daten, die er verarbeitet, unverzüglich, nachdem ihm diese bekannt wurde.

§ 5 Unterauftragsverhältnisse

1)

Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine schriftliche Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) im Sinne des Art. 28 Abs. 2 DS-GVO hinzuzuziehen.

2)

Eine aktuelle Liste der vom Auftragnehmer eingesetzten und vom Auftraggeber allgemein genehmigten Unterauftragsverarbeiter wird vom Auftragnehmer online unter https://www.librario.de/terms/subprocessors zur Verfügung gestellt. Die zum Zeitpunkt des Vertragsschlusses unter dieser URL veröffentlichte Liste gilt als genehmigt.

3)

Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern durch Aktualisierung der online verfügbaren Liste und eine Benachrichtigung in Textform (z.B. per E-Mail). Der Auftraggeber kann gegen solche Änderungen innerhalb einer Frist von 14 Tagen nach Zugang der Benachrichtigung aus wichtigem datenschutzrechtlichen Grund Einspruch erheben. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Änderung als genehmigt. Im Falle eines begründeten Widerspruchs sind die Parteien berechtigt, den Librario-Nutzungsvertrag und diese Vereinbarung mit einer Frist von 30 Tagen außerordentlich zu kündigen.

4)

Der Auftragnehmer schließt mit dem Unterauftragsverarbeiter einen Vertrag, der den Anforderungen des Art. 28 DS-GVO entspricht und dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt, die in dieser Vereinbarung festgelegt sind. Der Auftragnehmer hat die Einhaltung dieser Pflichten durch den Unterauftragsverarbeiter regelmäßig zu überprüfen.

§ 6 Kontrollrechte des Auftraggebers

1)

Der Auftragnehmer stellt dem Auftraggeber auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten aus Art. 28 DS-GVO zur Verfügung.

2)

Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften zum Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer durch Überprüfungen, einschließlich Inspektionen, selbst oder durch einen beauftragten Prüfer zu kontrollieren. Der Auftragnehmer duldet diese Maßnahmen und wirkt unterstützend mit.

3)

Der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen kann vom Auftragnehmer auch durch die Vorlage von geeigneten, aktuellen Testaten, Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Datenschutzbeauftragter) oder einer geeigneten Zertifizierung (z.B. nach ISO 27001) erbracht werden. Solche Nachweise sind dem Auftraggeber kostenfrei zur Verfügung zu stellen. Für vom Auftraggeber darüber hinaus verlangte Inspektionen vor Ort kann der Auftragnehmer eine Vergütung auf Basis seines nachgewiesenen Aufwands verlangen.

§ 7 Haftung

1)

Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung.

2)

Im Innenverhältnis ist der Auftragnehmer nur dann zum Ersatz eines Schadens verpflichtet, wenn er eine ihm nach dieser Vereinbarung oder der DS-GVO spezifisch obliegende Pflicht verletzt oder eine rechtmäßige Weisung des Auftraggebers missachtet hat. Der Auftraggeber ist für die Beurteilung der Rechtmäßigkeit der von ihm angewiesenen Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO allein verantwortlich.

§ 8 Beendigung des Vertrags und Datenlöschung

1)

Nach Beendigung des Librario-Nutzungsvertrags oder jederzeit auf Weisung des Auftraggebers hat der Auftragnehmer nach Wahl des Auftraggebers alle im Zusammenhang mit dem Auftrag verarbeiteten personenbezogenen Daten entweder an den Auftraggeber zurückzugeben oder datenschutzkonform zu löschen.

2)

Die erfolgte Löschung oder Rückgabe ist dem Auftraggeber schriftlich zu bestätigen.

3)

Gesetzliche Aufbewahrungspflichten des Auftragnehmers bleiben von der Regelung in Abs. 1 unberührt.

4)

Die Verpflichtungen aus dieser Vereinbarung, insbesondere zur Vertraulichkeit und Datensicherheit, bestehen auch nach Beendigung des Vertrags fort, solange sich personenbezogene Daten im Herrschaftsbereich des Auftragnehmers befinden.

§ 9 Schlussbestimmungen

1)

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

2)

Bei etwaigen Widersprüchen gehen die Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Librario-Nutzungsvertrags vor.

3)

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

4)

Es gilt deutsches Recht. Der Gerichtsstand ist München.

Anlage 1: Beschreibung der Datenverarbeitung

(gemäß § 1 dieser Vereinbarung)

1. Art und Zweck der Verarbeitung:

• Bereitstellung und Betrieb der SaaS-Anwendung "Librario": Dies umfasst die Zurverfügungstellung der Software zur Bibliotheksverwaltung über das Internet, inklusive des für den Betrieb erforderlichen Hostings und der Infrastruktur.

• Datenverarbeitung zur Vertragserfüllung: Speicherung, Abrufbarkeit, Organisation, Änderung und Löschung der vom Auftraggeber und dessen Nutzern in die Anwendung eingegebenen Daten zur Ermöglichung der Bibliotheksverwaltung.

• Datensicherung und Wiederherstellung: Regelmäßige Erstellung von Backups der vom Auftraggeber gespeicherten Daten zur Gewährleistung der Datenverfügbarkeit.

• Technischer Support und Wartung: Verarbeitung von Daten im Rahmen von Supportanfragen des Auftraggebers zur Fehlerbehebung und Wartung der Anwendung.

• Sicherheitsprotokollierung: Protokollierung von technischen Daten wie IP-Adressen und Login-Zeiten zur Gewährleistung der Systemsicherheit und Nachvollziehbarkeit.

2. Art der personenbezogenen Daten:

• Daten der Bibliotheksnutzer und administrativen Nutzer: Name, E-Mail-Adresse, Telefonnummer, Mitarbeiternummer.

• Nutzungsdaten: z.B. Ausleihhistorie (ausgeliehene Medien, Rückgabedaten), Vormerkungen, Suchanfragen.

• Kommunikationsdaten: z.B. Inhalt von Nachrichten, die über die Anwendung versendet werden, sowie Korrespondenz im Rahmen von Supportanfragen.

• Technische Protokolldaten: IP-Adressen, Zeitstempel von Logins, durchgeführte Aktionen (Logging), Browser-Informationen.

3. Kategorien der betroffenen Personen:

• Nutzende der Bibliothek des Auftraggebers (z.B. Mitarbeiter oder Mitglieder des Auftraggebers).
• Mitarbeiter des Auftraggebers, die die Anwendung "Librario" administrativ verwalten und nutzen (z.B. Bibliothekare, Verwaltungsangestellte, Systemadministratoren).