Hier klicken zum Download als PDF.

Die Parteien treffen zum Vertrag über die Auftragsverarbeitung folgende Festlegungen:

§1 Gegenstand der Verarbeitung & Dauer der Auftragsverarbeitung

Gegenstand und Dauer des Auftrags ergibt sich aus dem SaaS-Vertrag.

§2 Zweck der Verarbeitung 

Die Tätigkeit von Echometer dient folgenden vereinbarten Zwecken: 

  • Durchführung von Online-Mitarbeiterbefragungen
  • Team- und Mitarbeiterentwicklung durch moderierte “Online-Workshops”
  • Bereitstellung von Ergebnisauswertungen in einem Online-Dashboard

§3 Kategorien personenbezogener Daten 

Folgende Kategorien personenbezogener Daten sind Gegenstand des Auftrags:

  • Name
  • E-Mail-Adressen
  • Passwörter
  • Mitarbeiterfeedbacks
  • Innerhalb des Tools hinterlassene Notizen der Mitarbeiter

§4 Kategorien betroffener Personen 

Folgende Kategorien betroffener Personen sind Gegenstand des Auftrags:

  • Beschäftigte

§5 Allgemeines

Diese Auftragsverarbeitungsvereinbarung (nachfolgend „AVV“) findet auf alle unter dem SaaS-Vertrag stattfindenden Verarbeitungsmaßnahmen personenbezogener Daten durch Echometer Anwendung.

Der Kunde ist im Rahmen dieser AVV für die Einhaltung der gesetzlichen Bestimmungen über die Rechtmäßigkeit der Offenlegung personenbezogener Daten gegenüber Echometer sowie für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten allein verantwortlich.

Echometer handelt im Rahmen der Verarbeitung personenbezogener Daten ausschließlich weisungsgebunden, es sei denn es liegt ein Ausnahmefall gemäß Art. 28 Abs. 3 lit. a) DSGVO vor. Mündliche Weisungen des Kunden hat er unverzüglich in Textform zu bestätigen. 

Auf Weisung des Kunden berichtigt oder löscht Echometer die vertragsgegenständlichen Daten oder schränkt deren Verarbeitung ein (nachfolgend „Sperrung”).

Echometer informiert den Kunden unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Vorschriften über den Datenschutz oder diese AVV verstößt. Echometer darf die Umsetzung der Weisung solange aussetzen, bis diese vom Kunden in Textform bestätigt oder abgeändert wurde. Die Ausführung offensichtlich datenschutzrechtswidriger Weisungen darf Echometer ablehnen.

Echometer gewährleistet, dass die mit der Verarbeitung personenbezogener Daten beauftragten Personen die Weisungen des Kunden beachten und sich zur Vertraulichkeit verpflichtet haben. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht nach Beendigung der Verarbeitung fort.

§6 Technische & organisatorische Maßnahmen

Die Parteien vereinbaren technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO zum angemessenen Schutz der Daten (nachfolgend „Anlage TOM“).

Im Falle von Änderungen der Anlage TOM darf das vereinbarte Schutzniveau nicht unterschritten wird. 

§7 Mitteilungspflichten bei Datenschutzverletzungen 

Echometer unterrichtet den Kunden unverzüglich, wenn Verletzungen des Schutzes der von Echometer verarbeiteten personenbezogenen Daten im Sinne des Art. 4 Nr. 12 DSGVO im Hoheitsbereich von Echometer bekannt werden bzw. falls ein konkreter Verdacht einer solchen Datenschutzverletzung bei Echometer besteht.

Echometer und der Kunde werden unverzüglich die erforderlichen Maßnahmen zur Behebung der Datenschutzverletzung treffen. 

§8 Drittlandübermittlung

Die Übermittlung von Daten an einen Empfänger in einem Drittland außerhalb der EU und des EWR ist unter Einhaltung der in Art. 44 ff. DSGVO festgelegten Bedingungen und nach vorheriger Zustimmung des Kunden in Textform zulässig. 

§9 Unterauftragsverarbeiter

Echometer darf die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere Auftragsverarbeiter (nachfolgend „Unterauftragnehmer“) erbringen lassen.

Der Kunde kann der Unterbeauftragung bei Vorliegen eines wichtigen Grundes der Unterbeauftragung in Textform widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn ein begründeter Anlass zu Zweifeln an der Integrität des Unterauftragsverarbeiters besteht.

Leistungen, die Echometer als reine Nebenleistung zur Unterstützung der geschäftlichen Tätigkeit außerhalb der Auftragsverarbeitung in Anspruch nimmt sind keine Unterbeauftragung.

Echometer nutzt die Hosting-Infrastruktur und Dienstleistungen der folgenden Unterauftragnehmer zur Bereitstellung der Echometer-Software: 

  • ONLINE SAS (https://scaleway.com)
  • Digital Ocean LLC (https://digitalocean.com)
  • Google Ireland Limited (https://cloud.google.com)

§10 Betroffenenrechte und Unterstützung des Kunden

Macht eine betroffene Person seine Betroffenenrechte aus der DSGVO bei einer der Parteien geltend, so hat sie die jeweils andere Partei darüber unverzüglich zu informieren. Echometer unterstützt den Kunden im Rahmen der Möglichkeiten bei der Bearbeitung solcher Anträge sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.

§11 Kontrollrechte des Kunden

Der Kunde überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen von Echometer. Hierfür kann er z. B. Auskünfte von Echometer einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen von Echometer nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zu Echometer steht. Der Kunde wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe von Echometer dabei nicht unverhältnismäßig stören.

Echometer verpflichtet sich, dem Kunden auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen von Echometer erforderlich sind.

Echometer stellt dem Kunden auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung.

§12 Haftung und Schadenersatz

Kunde und Echometer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

Die Parteien unterstützen sich wechselseitig bei der Abwehr von Schadenersatzansprüchen betroffener Personen.

§13 Datenschutzbeauftragte*r

Bei Fragen zum Thema Datenschutz erreichen Sie uns unter datenschutz@echometer.de.

§14 Laufzeit

Die Laufzeit dieser AVV orientiert sich an der Laufzeit des SaaS-Vertrages.

§15 Schlussbestimmungen

Mündliche Nebenabreden wurden nicht getroffen. Änderungen und Ergänzungen der AVV bedürfen zu ihrer Wirksamkeit der Textform. Dies gilt auch für Änderungen dieser Klausel.

Sollte eine Bestimmung dieser AVV ganz oder teilweise unwirksam sein, bleibt dieser AVV im Übrigen unberührt. An Stelle der unwirksamen Bestimmung gilt das Gesetz. 

Es gilt deutsches Recht unter Ausschluss des Kollisionsrechts; Art. 3 Abs. 3, Abs. 4 ROM-I-VO bleiben unberührt. Gerichtsstand für alle Streitigkeiten aus dieser AVV ist Münster (Westf.).

Anlage TOM 

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Die Parteien treffen zur Auftragsverarbeitungsvereinbarung ergänzend folgende Festlegungen über die Echometer umzusetzenden technischen und organisatorischen Maßnahmen:

Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle

Folgende Maßnahmen verhindern, dass unbefugte Personen Zutritt zu Datenverarbeitungsanlagen haben:

  • Zutrittskontrollsystem
  • Spezielle Schutzvorkehrungen für die Aufbewahrung von Backups und anderen Datenträgern

Zugangskontrolle

Folgende Maßnahmen verhindern, dass unbefugte Dritte Zugang zu Datenverarbeitungsanlagen haben:

  • Persönlicher und individueller Login bei Anmeldung am System/Netzwerk
  • Autorisierungsprozess für Zugangsberechtigungen
  • Begrenzung der befugten Benutzer
  • Zusätzlicher Login für datenschutz-relevante Anwendungen

Zugriffskontrolle

Folgende Maßnahmen stellen sicher, dass unbefugte Dritte keinen Zugriff auf Daten haben:

  • Verwaltung und Dokumentation von differenzierten Berechtigungen
  • Autorisierungsprozess für Berechtigungen
  • Vier-Augen-Prinzip

Trennungskontrolle

Folgende stellen sicher, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

  • Verwendung von Testdaten
  • Trennung von Entwicklungs- und Produktionsumgebung

Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung von Daten erfolgt so, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle

Es ist sichergestellt, dass Daten bei der Übertragung oder Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert, entfernt oder sonst verarbeitet werden können und überprüft werden kann, welche Personen oder Stellen Zugriff auf Daten erhalten haben. Zur Sicherstellung sind folgende Maßnahmen implementiert:

  • Verschlüsseltes WLAN
  • Server-Verbindungen werden SSL-verschlüsselt
  • Backups werden in verschlüsselter Form gespeichert

Eingabekontrolle

Durch folgende Maßnahmen ist sichergestellt, dass geprüft werden kann, wer Daten zu welcher Zeit in Datenverarbeitungsanlagen verarbeitet hat:

  • Zugriffsrechte
  • Systemseitige Protokollierungen
  • Vier-Augen-Prinzip

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Durch folgende Maßnahmen ist sichergestellt, dass Daten gegen zufällige Zerstörung oder Verlust geschützt und für den Kunden stets verfügbar sind:

  • Sicherheitskonzept für Software- und IT-Anwendungen
  • Backup Verfahren

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management

Folgende Maßnahmen sollen gewährleisten, dass eine den datenschutzrechtlichen Grundanforderungen genügende Organisation vorhanden ist: 

  • Datenschutz-Richtlinie von Echometer
  • Verpflichtung der Mitarbeiter auf die Vertraulichkeit
  • Hinreichende Schulungen der Mitarbeiter im Datenschutz

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Datenschutzfreundliche Voreinstellungen sind sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Verarbeitungen zu berücksichtigen. In dieser Phase werden Funktionen und Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben oder Eingabemöglichkeiten festgelegt und über die Verfügbarkeit von Nutzungsfunktionen entschieden. Ebenso werden die Art und der Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Selektions-, Export- und Auswertungsfunktionen, die festgelegt und voreingestellt oder frei gestaltbar zur Verfügung gestellt werden) oder die Verfügbarkeit bestimmter Verarbeitungen, Funktionen oder Protokollierungen.

Auftragskontrolle

Durch folgende Maßnahmen ist sichergestellt, dass Daten nur nach Weisungen des Kunden verarbeitet werden:

  • Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitenden 
  • Kontrolle/Überprüfung weisungsgebundener Auftragsdurchführung 
  • Verpflichtung der Beschäftigten auf die Vertraulichkeit