Vereinbarung über die Verarbeitung von Daten im Auftrag

1. Definitionen

Auftraggeber ist der Auftraggeber des Hauptvertrages.

Auftraggeber-Daten sind die von AGERAS nach dieser Vereinbarung im Auftrag des Auftraggebers zu verarbeitenden Daten.

Auftragsverarbeiter hat bis zum 24. Mai 2018 die Bedeutung gemäß Art. 2 e) der Datenschutzrichtlinie, ab dem 25. Mai 2018 die Bedeutung gemäß Art. 4 Nr. 8 DSGVO.

BDSG bezeichnet dasBundesdatenschutzgesetz.

Betroffene(r) hat bis zum 24. Mai 2018 die Bedeutung gemäß § 3 Abs. 1 BDSG, ab dem 25. Mai 2018 die Bedeutung gemäß Art. 4 Nr. 1 DSGVO.

Datenschutzrichtlinie bezeichnetdie Richtlinie 95/46/EG.

Datenschutz-Grundverordnung (DSGVO) bezeichnet die Verordnung (EU) 2016/679.

Hauptvertrag bezeichnet den zwischen den Parteien abgeschlossenen „Vertrag über Plattformleistungen und Rahmenvertrag über Serviceleistungen mit einem Berater" einschließlich darunter gemäß dessen § 1 Abs. 2 abgeschlossener Einzel-Serviceverträge.

Mandanten-Dritte hat die Bedeutung gemäß Ziffer 4.

Office Services sind die gemäß § 1 Abs. 2 des „Vertrages über Plattformleistungen und Rahmenvertrag über Serviceleistungen mit einem Berater" zu erbringenden Office Services.

Personenbezogene Daten bezeichnet bis zum 24. Mai 2018 Daten gemäß § 3 Abs. 1 BDSG, ab dem 25. Mai 2018 Daten gemäß Art. 4 Nr. 1 DSGVO.

StGB bedeutet Strafgesetzbuch.

TOMs bedeutet "technische und organisatorische Maßnahmen".

Verantwortlicher bezeichnet bis zum 24. Mai 2018 die verantwortliche Stelle gemäß § 3 Abs. 7 BDSG, ab dem 25. Mai 2018 den Verantwortlichen gemäß Art. 4 Nr. 7 DSGVO.

Vereinbarung bezeichnet diese Vereinbarung über den Umgang mit Auftraggeber-Daten und über die Verarbeitung von Auftraggeber-Daten im Auftrag.

2. Gegenstand/Laufzeit der Vereinbarung

(1) Diese Vereinbarung spezifiziert und konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien in Bezug auf die Auftraggeber-Daten im Zusammenhang mit den Office Services unter dem Hauptvertrag.

(2) AGERAS erbringt die Office Services in Bezug auf die Auftraggeber-Daten als Auftragsverarbeiter für den Auftraggeber. Der Auftraggeber ist für die Rechtmäßigkeit der Weitergabe der Auftraggeber-Daten an AGERAS allein verantwortlich.

(3) Soweit die Auftraggeber-Daten einer beruflichen Schweigepflicht des Auftraggebers unterliegen, steht der Beginn der Datenverarbeitung durch AGERAS unter der aufschiebenden Bedingung, dass der Auftraggeber Ageras die für die Datenverarbeitung erforderliche Einwilligung der Betroffenen und eine entsprechende Befreiung von der Schweigepflicht nachweist.

(4) Diese Vereinbarung gilt solange, wie AGERAS Auftraggeber-Daten unter dem Hauptvertrag verarbeitet.

3. Umfang, Art und Zweck der Auftragsverarbeitung

(1) Umfang, Art und Zweck der Erhebung, Verarbeitung und/oder Nutzung der Auftraggeber-Daten durch AGERAS sind im Einzelnen im Hauptvertrag beschrieben. AGERAS wird die Auftraggeber-Daten nur im Rahmen dieser Vereinbarung und nach den Weisungen des Auftraggebers gemäß Ziffer 5. verarbeiten.

(2) AGERAS wird keine Duplikate der Auftraggeber-Daten ohne Einwilligung des Auftraggebers anfertigen. Dies gilt nicht für Sicherungskopien, soweit diese erforderlich sind, um die ordnungsgemäße Verarbeitung zu ermöglichen, sowie für Kopien, die aufgrund gesetzlicher Aufbewahrungsfristen erforderlich sind.

4. Arten Betroffener und personenbezogener Daten

(1) Betroffene:

• Mandanten des Auftraggebers, soweit es sich um natürliche Personen handelt;
•  
• Mitglieder der Geschäftsführung und Arbeitnehmer der Auftraggeber/Mandanten;
•  
• Dritte, vom Mandanten benannte Personen (z.B. weitere steuerpflichtige, veranlagte Personen oder aufgrund sonst steuerlicher buchhalterischer, Audit- oder sonst prüfungsrelevanter Bedeutung benannte Personen („ Mandanten-Dritte").

(2) Datenarten:

Daten, die der Auftraggeber und seine Mandanten im Rahmen der Offices Services über die AGERAS-Plattform im Rahmen der Mandatsbearbeitung austauschen. Dazu zählen:

• Informationen darüber,
  • wann der Auftraggeber bzw. Mandant oder die von dem Auftraggeber/ Mandanten mit der Bearbeitung befasste(n) Person(en) Zugriff auf die Office Services nehmen;
  • welche Nachrichten und Dokumente sie bearbeitet oder ausgetauscht haben (z.B. das Hochladen von Dokumenten; Änderungen von Dokumenten; Kommunikation zwischen Auftraggeber und Mandant).
• Kommunikationsvorgänge (Erhalt, Absendung, Inhalt von Nachrichten) zwischen der Auftraggeber- und Mandantenseite.
• Alle Informationen des Mandanten, die bei der Inanspruchnahme von Leistungen des Auftraggebers anfallen, z. B. Geschäfts-Adresse/ -Telefonnummer/ -E-Mail-Adresse des Mandanten; Private Anschrift; Familienstand; Anzahl und Alter der Kinder; Arbeitgeberdaten (Name, Geschäfts-Adresse/ -Telefonnummer/ -E-Mail-Adresse); Angaben über Einkommens- und Vermögensverhältnisse; Steuernummer; Identität des von ihm beauftragten Steuerberaters; Inhalt von Steuerbescheiden; Kontodaten; besondere Arten personenbezogener Daten, z. B. Religionszugehörigkeit, Parteizugehörigkeit, Gewerkschaftszugehörigkeit, Gesundheitsdaten.

5. Weisungsrecht des Auftraggebers

(1) Der Auftraggeber hat im Rahmen der betrieblichen, insbesondere technischen Möglichkeiten von AGERAS ein allgemeines Weisungsrecht in Bezug auf die Art und den Umfang der Datenverarbeitung. Die Weisungen werden anfänglich durch den Hauptvertrag sowie diese Vereinbarung festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert werden (Einzelweisung). Die Erfüllung von Einzelweisungen kann dem Auftraggeber gesondert in Rechnung gestellt werden.

(2) AGERAS informiert den Auftraggeber unverzüglich, wenn AGERAS der Ansicht ist, dass eine Weisung datenschutzrechtswidrig ist. Eine Prüfungspflicht von AGERAS wird damit nicht begründet. AGERAS kann eine Umsetzung der Weisung aussetzen, bis diese vom Auftraggeber bestätigt oder geändert wird.

6. Verpflichtung von AGERAS zur Verschwiegenheit

(1) Die im Auftrag verarbeiteten Daten enthalten teilweise Privatgeheimnisse im Sinne von § 203 StGB. AGERAS verpflichtet sich zur Wahrung der Vertraulichkeit der Geheimnisse und dazu, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Erfüllung des Hauptvertrages erforderlich ist. (2) AGERAS ist bekannt, dass Dienstleister im Sinne des § 62a StBerG bzw. § 50a WPO als Personen, die im Sinne des § 203 Absatz 4 StGB an der beruflichen Tätigkeit eines Berufsgeheimnisträgers „mitwirken", sich 

• bei unbefugter Offenbarung der Geheimnisse
• im Falle der Verarbeitung von Daten in Ländern außerhalb Deutschlands, in denen kein Schutz von Privatgeheimnissen besteht, der dem Schutz in Deutschland vergleichbar ist, und
• bei Einbindung weiterer Dienstleister ohne Weitergabe der Verschwiegenheitsverpflichtung 

strafbar machen gemäß § 203 Abs. 4 und Abs. 5 StGB.

AGERAS wird seine Beschäftigten sowie ggf. Unterauftragnehmer in gleicher Weise wirksam verpflichten und über die Strafbarkeit der vorgenannten Handlungen belehren.

7. TOMs

AGERAS implementiert angemessene TOMs. Diese sind in Anhang 1 aufgeführt. AGERAS ist berechtigt, die in Anhang 1 aufgeführten TOMs zu ändern, soweit hierdurch das Schutzniveau der in Anhang 1 spezifizierten TOMs nicht unterschritten wird. Alle wesentlichen Änderungen sind zu dokumentieren.

8. Berichtigung, Löschung und Sperrung von Daten; Anfragen Betroffener

(1) AGERAS wird die Auftraggeber-Daten nur gemäß Weisung des Auftraggebers berichtigen, löschen oder sperren. (2) Soweit ein Betroffener sich bezüglich Auftraggeber-Daten unmittelbar an AGERAS wendet, beispielsweise bzgl. Berichtigung, Löschung oder Sperrung, wird AGERAS dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

9. Sonstige Pflichten AGERAS

(1) Soweit AGERAS aufgrund zwingender datenschutzrechtlicher Bestimmungen verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, wird AGERAS diesen bestellen.

(2) AGERAS setzt bei der Erbringung der Leistungen unter dieser Vereinbarung nur Beschäftigte und Unterauftragnehmer ein, die sich a) zur Wahrung der Verschwiegenheit gemäß Ziffer 6 und b) dazu verpflichtet haben, die Auftraggeber-Daten nicht unbefugt zu erheben, zu verarbeiten oder zu nutzen (Pflicht zur Vertraulichkeit).

(3) Soweit AGERAS den Auftraggeber aufgrund zwingender datenschutzrechtlicher Bestimmungen bei der Erfüllung der den Auftraggeber in Bezug auf die Verarbeitung der Auftraggeber-Daten unter dieser Vereinbarung treffenden Pflichten zu unterstützen hat, wird AGERAS diese Verpflichtung angemessen und unter Berücksichtigung der Art der Datenverarbeitung erfüllen. Die Erbringung von Unterstützungsleistungen kann AGERAS von einer angemessenen gesonderten Vergütung abhängig machen.

(4) AGERAS wird die Einhaltung der sie unter dieser Vereinbarung treffenden Pflichten überwachen.

(5) AGERAS hat mit dem Auftraggeber zum Zweck der Erstellung der Verzeichnisse der Datenverarbeitungsaktivitäten gemäß dem anwendbaren Recht zusammenzuarbeiten und Auftraggeber alle erforderlichen Informationen zur Verfügung zu stellen. Absatz 3 letzter Satz findet Anwendung.

10. Unterauftragsverhältnisse

10.1. Bestehende Unterauftragnehmer

Die zum Zeitpunkt des Abschluss dieser Vereinbarung von AGERAS eingesetzten Unterauftragnehmer, die Auftraggeber-Daten erheben, verarbeiten oder nutzen und die von diesen erbrachten Leistungen sind in Anhang 2 aufgelistet. Sie werden vom Auftraggeber hiermit genehmigt.

10.2. Änderungen

(1) Die Hinzunahme weiterer Unterauftragnehmer, die Auftraggeber-Daten erheben, verarbeiten oder nutzen oder die Ersetzung eines Unterauftragnehmers, der Auftraggeber-Daten erhebt, verarbeitet oder nutzt durch einen anderen (insgesamt „Änderung"), sind unter den nachfolgenden Voraussetzungen dieser Ziff. 2 zulässig.

(2) AGERAS unterrichtet den Auftraggeber über eine beabsichtigte Änderung schriftlich, in Textform oder in anderer geeigneter Form (bspw. über die von AGERAS zur Verfügung gestellte technische Plattform) mit einer Vorlaufzeit von mindestens 30 (dreißig) Tagen.

(3) Der Auftraggeber ist berechtigt, der beabsichtigten Änderung schriftlich oder in Textform innerhalb von 14 (vierzehn) Tagen nach Erhalt der Mitteilung gemäß Absatz 2 unter Darlegung seiner Bedenken zu widersprechen. Widerspricht der Auftraggeber, wird AGERAS den Widerspruch prüfen.

(4) AGERAS wird dem Auftraggeber das Ergebnis der Prüfung gemäß Absatz 3 unverzüglich mitteilen. Hält AGERAS an der Änderung fest, ist der Auftraggeber berechtigt, diese Vereinbarung sowie den Hauptvertrag mit einer Frist von 30 (dreißig) Tagen zu kündigen. Die Kündigung ist innerhalb von 14 (vierzehn) Tagen nach der Mitteilung von AGERAS gemäß diesem Absatz 4 schriftlich gegenüber AGERAS zu erklären. Widerspruch und Kündigung hindern AGERAS nicht daran, den Unterauftragnehmer bereits vor Wirksamwerden der Kündigung einzusetzen.

11. Kontrollrechte des Auftraggebers

(1) AGERAS stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der datenschutzrechtlichen Anforderungen zur Verfügung. Dies erfolgt in erster Linie durch die Zertifizierung nach einem genehmigten Zertifizierungsverfahren, aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. externe Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder in Form von Zertifikaten aufgrund eines IT-Sicherheits- oder Datenschutzaudits (z. B. „IT-Grundschutz-Standards" im Sinne der Definition des Bundesamtes für Sicherheit in der Informationstechnik (BSI)).

(2) Soweit der Auftraggeber darüber hinaus Informationen benötigt, wird er diese gegenüber AGERAS schriftlich oder in Textform anfragen.

12. Benachrichtigung im Falle von Verstößen durch AGERAS

Sofern Vorfälle in Bezug auf die Auftraggeber-Daten in der Sphäre von AGERAS auftreten, die den Auftraggeber zu einer Meldung gegenüber den Aufsichtsbehörden verpflichten, wird AGERAS diese dem Auftraggeber unverzüglich anzeigen. Das Gleiche gilt für schwerwiegende Betriebsstörungen oder schwerwiegende Verletzungen datenschutzrechtlicher Vorschriften in Bezug auf die im Rahmen dieser Vereinbarung verarbeiteten Auftraggeber-Daten.

13. Pflichten bei Beendigung des Hauptvertrages

Bei Beendigung der unter dem Hauptvertrag zu erbringenden Leistungen oder auf Ersuchen des Auftraggebers gibt AGERAS dem Auftraggeber alle in seinem Besitz befindlichen Auftraggeber-Daten, die unter dieser Vereinbarung verarbeitet wurden, zurück oder löscht oder sperrt sie in Einklang mit den datenschutzrechtlichen Bestimmungen. Soweit AGERAS selbst Aufbewahrungspflichten treffen, ist AGERAS berechtigt, Kopien von den betroffenen Auftraggeber-Daten zu behalten.

Anhang 1

Allgemeine technische und organisatorische Maßnahmen (TOMs)

1. Vertraulichkeit

Zutrittskontrolle (Kein unbefugter Zutritt zu Datenverarbeitungsanlagen)

(a) In Bezug auf die Datenverarbeitungsanlagen von den Hosting Providern (siehe Anhang 2) von AGERAS :

Physischen Zugang zu den Servern haben nur die Mitarbeiter der Hosting Provider von AGERAS.

Zugangskontrolle in den Rechenzentren erfolgt über Identitätskontrolle (ID) sowie biometrische Abgleichkontrolle.

Die Rechenzentren sind 24/7 überwacht; Zugang zu den Rechenzentren wird nur entsprechend autorisierten Personen gewährt.

(b) In Bezug auf die Datenverarbeitungsanlagen von AGERAS:

Das Office-Gebäude von AGERAS ist durch ein Sicherheitsschloss sowie einen Alarmmechanismus gesichert; nur Mitarbeiter von AGERAS sowie Reinigungspersonal/Pförtner haben Zugang zu dem Gebäude.

Direkten Administratorzugriff auf die Datenverarbeitungsanlagen (Server) hat nur das IT-Personal. Physischen Zugang zu den Servern haben nur die Mitarbeiter der Hosting Provider von AGERAS; AGERAS Mitarbeiter können auf Server nicht physisch zugreifen.

Interne Zugriffskontrolle (Berechtigungskonzept für Nutzerrechte auf Zugriff und Änderung von Daten; Kein unbefugtes Lesen, Kopieren, Ändern oder Löschen von Auftraggeber-Daten)

Abgestuftes und Rollen-basierter Berechtigungsprofile.

Audit-Protokollierung für kritische Business Transaktionen.

Auf Notwendigkeiten basierende Gewährung von Zugangsrechten, d.h. „zero permissions" per Voreinstellung.

Trennungskontrolle (Separate Verarbeitung von Daten, die zu unterschiedlichen Zwecken gesammelt werden)

Funktionstrennung für alle Umgebungen (environments) bzgl. Entwicklung und Produktion.

2. Integrität

Weitergabekontrolle (Kein unbefugtes Lesen, Kopieren, Ändern oder Entfernen von Daten bei elektronischer Übermittlung oder elektronischem Transport)

Zugang zu den internen Systemen wie Netzlaufwerke erfordert eine Virtual Private Network (VPN)-Verbindung zu AGERAS Hosting Centern.

Alle Zugriffsvorgänge werden protokolliert.

Jeder Zugang zu internen Systemen erfolgt über verschlüsselte HTTP (HTTPS)-Formate, einschließlich durch Mitarbeiter von AGERAS, Partner (Auftraggeber), Mandanten

Eingabekontrolle (Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind)

Jeder Zugang zum gemeinsamen Netzwerk, etc. wird per Windows Audit Log protokolliert.

3. Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle (Verhinderung von versehentlicher oder absichtlicher Zerstörung oder Verlust)

Redundante Power Supply

Redundante UPS Power backup

Redundant Diesel Generator Power backup

Redundant Cooling

Redundant Fire protection

Rasche Wiederherstellbarkeit (disaster recovery plan)

Anhang 2

Unterauftragnehmer bei Abschluss des Hauptvertrages

Unterauftragnehmer    Technische Dienstleistung    Erfüllungsort
Ageras A/S    Technischer Support, Koordination der Unterauftragnehmer    Kopenhagen, Dänemark
Amazon Web Services, Inc.    Hosting    Frankfurt am Main
Solido Hosting A/S    Hosting    Kopenhagen, Dänemark
DigitalOcean Inc.    Hosting    Frankfurt am Main
CloudFlare, Inc.    DDoS protection (kein Caching)