Ein unterschriebenes Exemplar der nachfolgenden Auftragsverarbeitungsvereinbarung  kann über support@finui.de angefordert werden.

Vereinbarung zur Auftragsverarbeitung gem. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)
Finui GmbH

Geschäftsführung: Sebastian Timm

Blumenstr. 47

10243 Berlin

- Auftragnehmer -

Präambel

Diese Vereinbarung zur Auftragsverarbeitung (»Vereinbarung«) konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz und der Auftragsverarbeitung für plattformbasierte Finui-Dienste (Finui Software), die als Auftragsverarbeitung i.S.d. Art. 28 DSGVO erbracht werden. Die der Auftragsverarbeitung zu Grunde liegende Finui Software sind jeweils im Nutzungsvertrag (»Nutzungsvertrag«), ggf. in der Leistungsbeschreibung und in den Allgemeinen Geschäftsbedingungen des Auftragnehmers (»AGB«), geregelt. Sie findet Anwendung auf alle Verarbeitungen personenbezogener Daten (»Daten«) im Rahmen der Nutzung der Finui Software.

§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

1. Aus dem jeweiligen Nutzungsvertrag ergeben sich grundsätzlich Gegenstand und Dauer des Auftrags und damit der Verarbeitung sowie Art und Zweck der Verarbeitung.  

2. Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber ergibt sich aus dem jeweiligen Nutzungsvertrag.

3. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

1. Kunden
2. Interessenten
3. Beschäftigte
4. Lieferanten
5. Handelsvertreter
6. Ansprechpartner
7. Bewerber
8. Geschäftspartner
9. Investoren

4. Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:

1. Personalstammdaten (Name, Vorname, Geburtsdatum)
2. Personalabrechnungsdaten (Sozialversicherungsnummer, Steuernummer)
3. Arbeitsvertragsdaten 
4. Personenbezogene Daten von Vertretern von Geschäftspartnern 
5. Kontaktdaten (z. B. Vor- und Nachname, Anschrift, E-Mail-Adresse, Telefonnummer)
6. Korrespondenzen
7. Identifikationsnummern (z. B. Sozialversicherungsnummer, Steuernummer, Steuer-ID, Reisepass- oder Personalausweisnummer, Versicherungsnummer)
8. Zahlungsdaten (z. B. Beispiel Kontonummer, Kreditkartennummer, Geldinstitut)
9. Physische Charakteristiken (z. B. Profilfotos, Bewerbungsfotos)
10. Auszeichnungen (z. B. Zeugnisse und Zertifikate)
11. Informationen über ethnische und kulturelle Herkunft
12. Informationen über politische, religiöse und philosophische Weltanschauung (z.B. Kirchensteuernachweis)
13. Gesundheitsdaten (z. B. medizinische Diagnosen, Arbeitsunfähigkeits-bescheinigungen)
14. Informationen über Gewerkschaftszugehörigkeiten

§ 2 Anwendungsbereich und Verantwortlichkeit

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO).

(2) Der im Nutzungsvertrag vereinbarte Leistungsumfang stellt die abschließenden Weisungen des Auftraggebers (in Bezug auf die Datenverarbeitung) zum Zeitpunkt des Abschlusses dieser Vereinbarung dar. Darüber hinaus kann der Auftraggeber einzelne Weisungen erteilen. Derartige Weisungen sind dem Auftragnehmer in einem elektronischen Format (Textform) zu übermitteln und von diesem ebenfalls in einem elektronischen Format (Textform) zu bestätigen.

§ 3 Pflichten des Auftragnehmers

(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung so lange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Der Auftragnehmer stellt dem Auftraggeber eine Dokumentation der gegenwärtig implementierten Maßnahmen in der Anlage 1 bereit.

(3) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten. 

(4) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

(5) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

(6) Der Auftragnehmer nennt dem Auftraggeber die Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

(7) Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

(8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. 

In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. 

(9) Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers herauszugeben. Der Auftragnehmer wird sämtliche gespeicherten Daten des Auftraggebers spätestens drei Monate nach Auftragsende löschen.

(10) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. 

§ 4 Pflichten des Auftraggebers

(1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

(2) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt §3 Abs. 10 entsprechend. 

(3) Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

§ 5 Anfragen betroffener Personen

(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. 

(2) Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. 

(3) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung, soweit vereinbart. 

(4) Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

§ 6 Nachweismöglichkeiten

(1) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten mit geeigneten Mitteln nach.

(2) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.

Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung verlangen. Der Umfang einer Inspektion und die dafür zu leistende Vergütung sind im Vorfeld schriftlich zu vereinbaren.

(3) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

§ 7 Unterauftragnehmer (weitere Auftragsverarbeiter)

(1) Unterauftragnehmer im Sinne dieser Vereinbarung sind Dritte, die im Auftrag des Auftragnehmers direkt und unmittelbar in die Erbringung des mit dem Auftraggeber vereinbarten Leistungsumfangs für Finui Software involviert sind. Damit in Verbindung stehende Nebenleistungen des Auftragnehmers, wie z.B. der Betrieb einer Kundendatenbank, die Raumpflege, der Betrieb von IT-Infrastrukturen, Druck- und Mailingdienstleistungen sind hiervon nicht erfasst. Die Pflicht des Auftragnehmers zur Gewährleistung von Datenschutz und Datensicherheit bleibt hiervon unberührt und ergibt sich als Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO. 

(2) Eine Beauftragung von Unterauftragnehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

(3) Die Beauftragung von Unterauftragnehmern bei der Verarbeitung oder Nutzung von Daten des Auftraggebers ist grundsätzlich nur mit einer Genehmigung des Auftraggebers gestattet. 

(4) Der Auftragnehmer stellt dem Auftraggeber eine Aufstellung aller Unterauftragnehmer in Anlage 2 zur Verfügung.

(5) Die Genehmigung für die Beauftragung weiterer Auftragsverbeiter zum Zeitpunkt der Unterzeichnung gilt auf Grundlage der Dokumentation aus Abs. 4 als erteilt.

(6) Ferner gestattet der Auftraggeber dem Auftragnehmer die allgemeine Genehmigung, weitere Unterauftragnehmer unter Berücksichtigung von Abs. 2 hinzuzuziehen. Der Auftragnehmer informiert den Auftraggeber durch aktive Mitteilung in Textform (z.B. per E-Mail), wenn er die Hinzuziehung weiterer Unterauftragnehmer beabsichtigt. Der Auftraggeber kann diesem nur bei Vorliegen eines wichtigen datenschutzrechtlichen Grundes widersprechen. Der Einspruch ist binnen 14 Tagen ab aktiver Bekanntmachung des Auftragnehmers beim Auftraggeber in Textform zu erklären. Im Falle eines Einspruchs liegt es im Ermessen des Auftragnehmers, die geschuldete Leistung ohne Hinzunahme des in der Rede stehenden Unterauftragnehmers zu erbringen oder den zu Grunde liegenden Nutzungsvertrag teilweise oder vollständig zu kündigen, sofern die beabsichtigte Änderung für den Auftragnehmer nicht zumutbar ist. 

(7) Der Auftragnehmer hat jeden Unterauftragnehmer ebenso vertraglich zu verpflichten, wie auch der Auftragnehmer aufgrund dieser Vereinbarung gegenüber dem Auftraggeber verpflichtet ist. 

(8) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

§ 8 Informationspflichten, Schriftformklausel, Rechtswahl

(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher« im Sinne der Datenschutz-Grundverordnung liegen.

(2) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3) Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Nutzungsvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

(4) Es gilt deutsches Recht.

§ 9 Haftung und Schadensersatz

Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

Anlage 1

Vereinbarung zur Auftragsverarbeitung gem. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO) Zusammenfassung 

Der Verantwortliche hat zur Erreichung des Schutzniveaus für die Datenverarbeitung (insbesondere hinsichtlich Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie der regelmäßigen Überprüfung der Maßnahmen) die folgenden technischen und organisatorischen Maßnahmen, in Übereinstimmung mit den datenschutzrechtlichen Vorschriften, insb. des Art. 32 Datenschutz-Grundverordnung (DSGVO), ergriffen.

Dieses Dokument wurde in Übereinstimmung mit den gesetzlichen Anforderungen erstellt und soll eine allgemeine Beschreibung enthalten, die es ermöglicht, eine Vorabkontrolle darüber vorzunehmen, ob die getroffenen Maßnahmen zur Datensicherheit für die nachstehend beschriebenen Aspekte geeignet sind. 

Rechtliche Anforderungen

Unter Berücksichtigung des Standes der Technik, der Kosten der Durchführung und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie des Risikos in Form von Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen, ergreift der Verantwortliche geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich unter anderem der folgenden Punkte, soweit angemessen:

• die Pseudonymisierung und Verschlüsselung von Daten;
• die Fähigkeit, laufend die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten zu gewährleisten;
• die Fähigkeit, die Verfügbarkeit von und den Zugriff auf Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen;
• ein Verfahren zur regelmäßigen Prüfung, Bewertung und Auswertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die Anforderungen sind in folgenden Kategorien von TOMs abgebildet und dokumentiert:

• Übergreifende, organisatorische Aspekte
• Physische Zugangssicherung (Gebäude/Perimeter/Standorte)
• Zugriffssicherung (System)
• Datenträgersicherung
• Übertragungssicherung  
• Eingabekontrolle
• Trennungskontrolle
• Verfügbarkeitskontrolle
• Auftragskontrolle.

Scope und Anwendungsbereich

Der Scope dieses Dokuments richtet sich nach dem jeweiligen Nutzungsvertrag und umfasst die operativen Verarbeitungsprozesse- und Infrastrukturen in Zusammenhang mit der Entwicklung und dem Betrieb der Finui Software. Die Finui Software wird in der Cloud-Infrastruktur des Providers Amazon Web Services (AWS) betrieben. 

Darüber hinaus setzt Finui weitere Auftragsverarbeiter ein, die auf Grundlage vereinbarter Verträge zur Auftragsverarbeitung (Art. 28 DSGVO) eine weisungsgebundene Verarbeitung personenbezogener Daten im Auftrag von Finui vornehmen. 

Aus Gründen der Transparenz und Übersichtlichkeit umfasst dieses Dokument die Beschreibung der technischen- und organisatorischen Maßnahmen auf Ebene der Kern-Infrastruktur. Als zentrale Nachweise für die TOM-Dokumentation dieser Provider wird auf folgende Dokumente verwiesen:

Amazon Web Services (AWS):

https://aws.amazon.com/de/compliance/data-center/controls

Beschreibung der einzelnen Maßnahmen

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung / Übergreifende organisatorische Maßnahmen.