Sehr geehrte Damen
sehr geehrte Herren, 

Sie haben seit Beginn der Nutzung unserer Softwareprodukte eine direkte Geschäftsbeziehung zu p.a.d. europe ltd und lassen mittels Software Daten im
posPAD/gastronovi Rechenzentrum verarbeiten. Deshalb sind Sie als Auftraggeber und die p.a.d. europe ltd als Auftragnehmer aufgrund der neuen
EU-Datenschutz-Grundverordnung (DS-GVO) gesetzlich verpflichtet, Verträge zur Auftragsverarbeitung zu schließen.

Bitte handeln Sie jetzt: Unterzeichnen Sie die von uns vorbereitete Vereinbarung zur Auftragsverarbeitung. Sie vermeiden dadurch ein Bußgeldrisiko
und helfen uns gleichzeitig, eine einheitliche Vertragsbasis mit unseren Kunden zu vereinbaren.

Die Vereinbarung regelt, welche Daten wie verarbeitet werden, welche technischen oder organisatorischen Maßnahmen getroffen werden und
welche Kontrollpflichten, Rechte und Weisungsbefugnisse gelten.

Mit freundlichen Grüßen

p.a.d. europe ltd

Vereinbarung zur Auftragsdatenverarbeitung

Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien. Sie findet Anwendung auf alle Tätigkeiten, die mit der Durchführung von Aufträgen in Zusammenhang stehen, bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Subunternehmer mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Die vertraglichen Verpflichtungen ergeben sich im Übrigen aus den sonstigen Vereinbarungen auf der Grundlage der Geschäftsbedingungen der p.a.d. europe ltd.

§ 1 Definitionen

(1) Personenbezogene Daten
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

(2) Datenverarbeitung im Auftrag
Datenverarbeitung im Auftrag ist die Erhebung, Vertragsanlage und Nutzung oder Löschung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers. Nach §511 Abs. 5 Bundesdatenschutzgesetz gelten die Inhalte dieser Vereinbarung entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

(3) Weisung
Weisung ist die auf einen bestimmten datenschutzrelevanten Umgang (zum Beispiel Berichtigung, Sperrung und Löschung) des Aufragnehmers mit personenbezogenen Daten gerichtete Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch die vertraglichen Vereinbarungen festgelegt und können vom Auftraggeber danach durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Mündliche Weisungen sind umgehend schriftlich zu bestätigen. Weisungen, die sich auf Löschungen oder die Übertragung von Daten beziehen, sind schriftlich zu erteilen.

§ 2 Anwendungsbereich und Verantwortlichkeit

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst "Fätigkeiten, die in den vertraglichen Vereinbarungen festgelegt sind. Der Auftraggeber ist im Rahmen der Auftragsdatenverarbeitung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG).

(2) Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit des Vertrages und nach Beendigung des Auftrages die Herausgabe oder Löschung der Daten bzw. der überlassenen Datenträger verlangen.

§ 3 Pflichten des Auftragnehmers

(1) Der Auftragnehmer darf Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen.

(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetzes (§ 9 BDSG) entsprechen. Eine Auflistung dieser Maßnahmen ist dieser Vereinbarung als Anhang eingefügt.

(3) An der Erstellung der Verfahrensverzeichnisse hat der Auftragnehmer mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten.

(4) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers oder bei Verstößen gegen die in diesem Auftrag getroffenen Festlegungen.

(5) Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter gemäß § 5 BDSG (Datengeheimnis) verpflichtet und in die Schutzbestimmungen des Bundesdatenschutzgesetzes eingewiesen sind. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.



(6) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte über seine Daten und Unterlagen zu erteilen.

(7) Der Auftragnehmer bestätigt, dass er einen betrieblichen Datenschutzbeauftragten im Sinne des § 4f BDSG bestellt hat. Der Datenschutzbeauftragte des Auftragnehmers ist aus dem öffentlichen Verfahrensverzeichnis ersichtlich, welches unter www.posPAD.com einsehbar ist.

§ 5 Anfragen Betroffener an den Auftraggeber

Ist der Auftraggeber aufgrund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Erhebungverarbeitung oder Nutzung von Daten dieser Person zu geben, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereitzustellen. Voraussetzung ist, dass der Auftraggeber den Auftragnehmer hierzu schriftlich auffordert und der Auftraggeber dem Auftragnehmer die durch diese Unterstützung entstandenen Kosten erstattet.

§ 6 Kontrollrecht

(1) Der Auftraggeber kann sich vor Bedinn der Datenverarbeitung und sodann regelmäßig von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsdatenverarbeitung einschlägigen Datenschutzgesetze
überzeugen.

(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind.

(3) Das Ergebnis seiner Prüfung wird der Auftraggeber dokumentieren.

§ 7 Subunternehmer

(1) Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen und, soweit für die Geschäftsabwicklung notwendig, Subunternehmer mit Leistungen unterbeauftragt.

(2) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Auftrag dem Subunternehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Auftrages.

§ 8 Löschung von Auftragsdaten

(1) Der Auftraggeber trägt die Verantwortung für das Löschen der nicht mehr benötigten Daten.

(2) Der Auftragnehmer kann im Rahmen seines Leistungsangebots bereits bei Auftragserteilung eine Regelfrist für die Datenlöschung vorgeben.

(3) In jedem Fall werden Auftragsdaten des Auftraggebers bei Auftragsbeendigung gelöscht bzw. nach § 35 111 BDSG gesperrt.

§ 9 lnformationspflichten, Schriftformklausel, Sonstiges

(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als verantwortlicher Stelle im Sinne des Bundesdatenschutzgesetzes liegen.

(2) Der Auftraggeber verzichtet auf die Erklärung der Annahme durch die p.a.d. europe ltd an ihn (§ 151 Satz 1 BGB).

(3) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile - einschießlich etwaiger Zusicherungen des Auftragnehmers bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(4) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der sonstigen Vereinbarungen im Übrigen nicht.

(5) im Übrigen gelten die Geschäftsbedingungen der p.a.d. europe ltd.


Anhang: Technische und organisatorische Maßnahmen nach § 9 BDSG


Anhang: Technische und organisatorische Maßnahmen nach § 9 BDSG

Nachstehend erfolgen eine Aufstellung und eine Beschreibung der wesentlichen Maßnahmen der p.a.d. europe ltd zur Einhaltung der Datensicherheitsvorschriften gemäß der Anlage zu § 9 BDSG (Kontrollziele Nummer 1 bis 8). Hierbei ist einschränkend darauf hinzuweisen, dass ein Rechenzentrum verständlicherweise nicht alle Sicherheitsvorkehrungen offenlegen kann; vielmehr ist gerade im Interesse des Datenschutzes und der Datensicherheit der Verzicht auf vertrauliche und detaillierte Beschreibungen unabdingbar.

1. Zutrittskontrolle im Rechenzentrum

Die Betriebsareale, die in mehrere Sicherheitsbereiche mit differenzierten Zutrittsberechtigungen aufgeteilt sind, werden rund um die Uhr durch den Betriebsschutz überwacht. Der Zutritt zu den baulich extrem ab eschotteten und elektronisch überwachten Sicherheitszonen es Rechenzentrums ist nur wenigen berechtigten Personen mit codierten Lichtbildausweisen möglich.

2. Zugangskontrolle im Rechenzentrum

Der Zugang kann nur über ein Zugangskontrollsystem erfolgen. Beim elektronischen Datenaustausch zwischen dem Rechenzentrum und den Kunden besteht das Sicherungssystem aus vielschichtigen und komplexen Prüfungen. Weitere technische Absicherungen erfolgen über Firewalls und Proxyserver. Soweit technisch möglich und wirtschaftlich vertretbar werden hierzu geeignete Verschlüsselungstechnologien eingesetzt.

3. Zugriffskontrolle im Rechenzentrum

Eine Reihe von Hardware- und Software-Identifikationsmaßnahmen, die Verschlüsselung der Daten bei der Datenübertragung sowie ein mehrstufiges Zugriffs- und Nutzungskontrollverfahren schließen den unbefugten Zugriff auf die gespeicherten Datenbestände und die unberechtigte Kenntnisnahme aus. Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tatigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen. Soweit technisch möggich und wirtschaftlich vertretbar, werden hierzu geeignete Verschlüsselungstechnologien eingesetzt.

4. Weitergabekontrolle im Rechenzentrum

Beim elektronischen Datenaustausch besteht das Sicherungssystem als vielschichtigen und komplexen Prüfungen. Strenge Sicherheitsvorkehrungen im Rechenzentrum gewährleisten, dass ein unbefugtes Entfernen von Datenträgern aus den Sicherheitsbereichen verhindert wird. Entsorgungsgut mit schutzwürdigem Inhalt wird durch eine hausinterne Schredderanlage unter Beachtung des Vier-Augen-Prinzips nach einer hohen Sicherheitsstufe vernichtet. Soweit technisch möglich und wirtschaftlich vertretbar, werden hierzu geeignete Verschlüsselungstechnologien eingesetzt.

5. Eingabekontrolle im Rechenzentrum

Ein mehrstufiges Protokoll- und Auditingverfahren gewährleistet, dass keine Datenveränderungen unbemerkt vorgenommen werden können.

6. Auftragskontrolle im Rechenzentrum

Die zur Verarbeitung eingereichten Daten werden entsprechend den gesetzlichen Vorschriften nur im Rahmen der Weisungen des jeweiligen Auftraggebers verarbeitet und insbesondere auch nicht an unbefugte Dritte weitergegeben. Der Weisungsrahmen ist insbesondere durch den schritlich geschlossenen Vertrag zur Datenverarbeitung im Auftrag unter Berücksichtigung der Pflichtinhalte gemäß § 1 Abs. 2 BDSG sowie ferner durch die Anwendungsbeschreibung der Programme der p.a.d. europe ltd eindeutig vorgegeben. Gleiches gilt für auftragsbezogene Auskünfte; sie werden ausschließlich an den Auftraggeber oder im Rahmen seiner Weisungen erteilt. Ausnahmen vom konkreten Weisungsrahmen gelten für technisch bedingte Verarbeitungen, zB. für die interne Datensicherung.

7. Verfügbarkeitskontrolle im Rechenzentrum

Zahlreiche Datensicherungsmaßnahmen gewährleisten, dass Personenbezogene und andere schutzwürdige Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Besonders umfangreich sind die Brandschutz-, Verlustsicherungs- und Katastrophenschutzmaßnahmen. Hierzu gehören unter anderem die Absicherung sämtlicher EDV-Räume und deren Umgebung durch Brandmelde- und stationäre Feuerlöschanlagen, alle mehrfache maschinelle und gegen unbefugten Zugriff gesicherte Auslagerung von Datensicherungsbeständen, die Notstromversorgung zur unterbrechungsfreien Uberbrückung von Stromausfällen sowie der 24-Stunden-Bereitschaftsdienst von Einsatz- und Evakuierungsleitung.

8. Trennungsgebot im Rechenzentrum

In allen wichtigen Bereichen besteht das Prinzip der Funktionstrennung; das heißt, alle in die Datenverarbeitung eingebundenen Abteilungen sind funktionell, organisatorisch und räumlich getrennt. Das Prinzip der Funktionstrennung ist auch weitgehend innerhalb der Organisationseinheiten verwirklicht; schutzwürdige Daten werden den Mitarbeitern nur in dem Umfang zur Verfügung estellt, wie es für die zu zugewiesene rechtmäßige Aufgabenerfüllung unbedingt erfordelich ist. Zur Sicherstellung werden definierte Rechteprofile für die verschiedenen Funktionsbereiche zugeteilt und zentral administriert. Zahlreiche Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken und für unterschiedliche Ordnungsbegriffe (z.B. Mitglieds- und Mandantennummer) erhobene bzw. gespeicherte Daten getrennt verarbeitet werden können.


Vereinbarung
zur Auftragsdatenverarbeitung


zwischen

dem Auftragnehmer

p.a.d. europe ltd
Breslauer Straße 27
73054 Eislingen

und dem Auftraggeber

nebenstehend
eingetragener
Geschäftspartner

Download
Vereinbarung zur Auftragsdatenverarbeitung


Auftraggeber

Postadresse für Waren

p.a.d. europe ltd
Breslauer Straße 27
73054 Eislingen
DEUTSCHLAND

Postadresse für Briefe

p.a.d. europe ltd
Postfach 1121
73080 Salach
DEUTSCHLAND

p.a.d. europe ltd

69 Great Hampton Street
B18 6EW Birmingham
CNo. 5396294 – CH CARDIFF
GREAT BRITAIN