AUFTRAGSVERARBEITUNGSVERTRAG

zwischen

Hotelbird GmbH, Plinganserstraße 150, 801369 München

nachfolgend ” Auftragnehmer” genannt –

und

______________________________

nachfolgend „Auftraggeber“ genannt –

Verbindlicher Ansprechpartner bei dem Auftraggeber ist:

Name:______________________

Kontaktdaten:________________

1. VERTRAGSGEGENSTAND
1.1 Der Auftragnehmer erhält im Rahmen der Leistungserbringung und nach Maßgabe des Softwaredienstleistungsvertrag Zugang zu personenbezogenen Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Datenverarbeitung zuständig.
1.2 Die Parteien schließen diese Vereinbarung, um die gegenseitigen datenschutzrechtlichen Rechte und Pflichten festzulegen. Im Zweifelsfall haben die datenschutzrechtlichen Bestimmungen dieses Vertrages Vorrang vor den Bestimmungen des Softwaredienstleistungsvertrag.
1.3 Die Bestimmungen dieses Vertrages gelten für alle Tätigkeiten im Zusammenhang mit dem Softwaredienstleistungsvertrag, bei denen der Auftragnehmer und seine Mitarbeiter oder vom Auftragnehmer beauftragte Personen mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben werden.
1.4 Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Softwaredienstleistungsvertrag, soweit sich nicht aus den nachfolgenden Bestimmungen weitergehende Verpflichtungen oder Kündigungsrechte ergeben.
 

2. ART, UMFANG UND ZWECK DER AUFTRAGSVERARBEITUNG
2.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DS-GVO (Auftragsverarbeitung).
2.2 Der Auftragnehmer darf die Auftraggeber-Daten ausschließlich in der Art, in dem Umfang und zu den Zwecken verarbeiten, die sich aus der Anlage 1 ergeben. Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer betrifft ausschließlich die in Anlage 1 festgelegten Arten der Auftraggeber-Daten und die dort bestimmten Kategorien von Betroffenen.
2.3 Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Datenverarbeitungen in Drittstaaten dürfen nur erfolgen, wenn die Voraussetzungen des Kapitels V der DS-GVO (Art. 44 ff. DS-GVO) erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

3. RECHTE UND PFLICHTEN DES AUFTRAGGEBERS, WEISUNGSBEFUGNIS
3.1 Der Auftragnehmer darf Daten nur nach Maßgabe dieses Vertrages und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere im Hinblick auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Ist der Auftragnehmer nach dem Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu einer Weiterverarbeitung verpflichtet, so hat er den Auftraggeber vor der Verarbeitung über diese rechtlichen Anforderungen zu unterrichten.
3.2 Die Weisungen des Auftraggebers sollen stets in Schrift- oder Textform erfolgen. Bei Bedarf kann der Auftraggeber Weisungen auch mündlich oder telefonisch erteilen. Mündlich oder telefonisch erteilte Weisungen bedürfen jedoch einer unverzüglichen Bestätigung durch den benannten Weisungsberechtigten des Auftraggebers in Schrift- oder Textform.
3.3 Weisungen sollen im Regelfall von dem Weisungsberechtigten des Auftraggebers erteilt werden. Derzeit fungiert der auf Seite 2 dieses Vertrags genannte, verbindliche Ansprechpartner als Weisungsberechtigter des Auftraggebers. Der Auftraggeber wird dem Auftragnehmer einen Wechsel in der Person des Weisungsberechtigten frühzeitig anzeigen.
3.4 Die Parteien vereinbaren als Empfangsberechtigten für Weisungen auf Seiten des Auftragnehmers folgende Person: Herr Juan A. Sanmiguel (Telefonnummer: +49 (0) 89 95 45 99 31 0, E-Mail: juan.sanmiguel@hotelbird.com. Der Auftragnehmer kann dem Auftraggeber jederzeit einen neuen Empfangsberechtigten mitteilen.
3.5 Weisungen, die über die im Softwaredienstleistungsvertrag vereinbarte Leistung hinausgehen, werden als Antrag auf Änderung der Leistung behandelt. Für Leistungen, die nicht durch den Hauptvertrag geregelt sind, kann der Auftragnehmer vom Auftraggeber eine Vergütung für diese Tätigkeiten verlangen.
3.6 Der Auftragnehmer ist verpflichtet, angemessene Weisungen des Auftraggebers in einem angemessenen zeitlichen Rahmen auszuführen.
3.7 Ist der Auftragnehmer der begründeten Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch den Auftraggeber auszusetzen.
3.8 Falls eine Weisung die gemäß Ziffer 2.2. getroffenen Festlegungen ändert oder aufhebt, ist sie nur zulässig, wenn hierbei eine entsprechende neue schriftliche Festlegung nach Ziffer 2.2. erfolgt.

4. RECHTE UND PFLICHTEN DES AUFTRAGNEHMERS
4.1 Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Bestimmungen dieses Vertrags und den Weisungen des Auftraggebers gemäß Ziffer 3.1 verarbeitet, sofern nicht ein Ausnahmefall im Sinne des Art. 28 Abs. 3 S. 2 lit. a) DS-GVO vorliegt.
4.2 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
4.3 Der Auftragnehmer führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Verantwortlichen durchgeführt werden, das alle Informationen gemäß Art. 30 Abs. 2 DSGVO enthält.
 
4.4 Der Auftragnehmer unterstützt den Auftraggeber in angemessenem bei der Erstellung des Verfahrensverzeichnisses. Der Auftragnehmer stellt dem Auftraggeber die erforderlichen Informationen in geeigneter Weise zur Verfügung.  
4.5 Ist der Auftraggeber gegenüber einer staatlichen Stelle, einem Betroffenen oder einer anderen Person verpflichtet, Auskünfte über die Auftraggeber-Daten oder deren Erhebung oder Verwendung zu erteilen, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte auf erstes Anfordern zu unterstützen.
4.6 Der Auftragnehmer wird den Auftraggeber –soweit rechtlich zulässig- über an ihn als Auftragnehmer gerichtete Mitteilungen der Aufsichtsbehörde (z.B. Anfragen, Berichtigungen über Maßnahmen oder Auflagen) in Verbindung mit der Verarbeitung personenbezogener Daten nach diesem Auftragsverarbeitungsvertrag unverzüglich informieren. Soweit rechtlich zulässig und keine Fristen versäumt werden, wird der Auftragnehmer Auskünfte an Dritte, auch an Aufsichtsbehörden, nur in schriftlicher Abstimmung mit dem Auftraggeber erteilen. Der Auftragnehmer haftet nicht für die nichtfristgerechte Bearbeitung des Anliegens durch den Auftraggeber.
4.7 Beim Auftragnehmer ist als Beauftragte für den Datenschutz bestellt:
Anwaltskanzlei Schenk Datenschutz Rechtsanwaltsgesellschaft mbH, E-Mail-Adresse: datenschutz@europajurist-schenk.com.
Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
 

5. VERPFLICHTUNG AUF VERTRAULICHKEIT
5.1 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
5.2 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.
5.3 Den in der Datenverarbeitung des Auftragnehmers tätigen Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer verpflichtet alle Personen, die von ihm bei der Bearbeitung und Erfüllung dieses Vertrages eingesetzt werden, gemäß Art. 28 Abs. 3 lit. b DSGVO zu verpflichten und die Einhaltung dieser Verpflichtung sicherzustellen.

6. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
6.1 Der Auftragnehmer hat die interne Organisation in seinem Verantwortungsbereich so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragnehmer hat alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Daten des Verantwortlichen gemäß Art. 32 DS-GVO, insbesondere mindestens die in Anlage 2 aufgeführten Maßnahmen für

• die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;

• die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der mit der Verarbeitung verbundenen Systeme und Dienste dauerhaft zu gewährleisten;

• die Verfügbarkeit von und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rasch wiederherzustellen;

• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

6.2 Dem Auftragnehmer ist es gestattet, alternative adäquate technische und organisatorische Maßnahmen umzusetzen, sofern das Sicherheitsniveau der in Anlage 2 festgelegten technischen und organisatorischen Maßnahmen nicht unterschritten wird.
6.3 Auf Verlangen weist der Auftragnehmer dem Auftraggeber die Einhaltung der in Anlage 2 festgelegten technischen und organisatorischen Maßnahmen nach. Der Auftragnehmer hat bei gegebenem Anlass, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DS-GVO). Diese Überprüfung hat mit angemessener zeitlicher Voranmeldung gemäß Ziffer 8 ohne Störung des Geschäftsbetriebs des Auftragnehmers stattzufinden. Soweit diese Auskünfte die Leistungen des Hauptvertrages überschreiten, ist der Auftragnehmer berechtigt, für diese Leistungen einen Vergütungsanspruch gegenüber dem Auftraggeber geltend zu machen.

7. MITTEILUNGS- UND UNTERSTÜTZUNGSPFLICHTEN DES AUFTRAGNEHMERS BEI DATENSICHERHEITSVORFÄLLEN
7.1 Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verstößen gegen vertragliche Pflichten des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder sonstige Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten des Auftraggebers durch den Auftragnehmer, von ihm eingesetzte Personen oder durch Dritte, informiert der Auftragnehmer den Auftraggeber unverzüglich schriftlich oder in Textform. Die Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten muss mindestens folgende Angaben enthalten

• eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der betroffenen Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
• eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Milderung ihrer möglichen nachteiligen Auswirkungen.
  

7.2 Der Auftragnehmer ergreift unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Abmilderung möglicher nachteiliger Auswirkungen auf die betroffenen Personen, unterrichtet den Auftraggeber darüber und fordert weitere Anweisungen an.
7.3 Darüber hinaus ist der Auftragnehmer verpflichtet, dem Auftraggeber jederzeit Auskunft zu erteilen, soweit Daten des Auftraggebers von einer Verletzung gemäß Abschnitt 7.1 betroffen sind. Soweit diese Auskünfte über die Leistungen des Hauptvertrages hinausgehen, ist der Auftragnehmer berechtigt, vom Auftraggeber eine Vergütung für diese Leistungen zu verlangen.

8. KONTROLLRECHTE DES AUFTRAGGEBERS
8.1 Der Auftraggeber ist dazu grundsätzlich berechtigt, nach Terminvereinbarung die  Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen einschließlich der Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer sowie der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen und die Ordnungsmäßigkeit der Datenverarbeitungsprozesse und -programme des Auftragnehmers zu prüfen, um sich von der Einhaltung der Bestimmungen dieses Vertrags, der vom Auftraggeber erteilten Weisungen sowie der einschlägigen gesetzlichen Datenschutzbestimmungen zu überzeugen. Der Auftraggeber wird Kontrollen nur im gesetzlich erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
8.2 Der Auftraggeber dokumentiert das Kontrollergebnis und teilt dem Auftragnehmer festgestellte Unregelmäßigkeiten mit. Werden bei der Kontrolle Sachverhalte festgestellt, die zukünftig einer Änderung unterliegen sollen, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
8.3 Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.
8.4 Zur Ermöglichung von Kontrollen nach Ziffer 8.1 ist der Auftragnehmer auf Verlangen verpflichtet, dem Auftraggeber vorhandene Zertifikate, Auditberichte und sonstige Ergebnisse von Überprüfungen im Hinblick auf die Erhebung und Verwendung personenbezogener Daten des Auftraggebers vorzulegen. Der Auftraggeber hat die Kosten der Kontrolle selbst zu tragen. Darüber hinaus ist der Auftragnehmer berechtigt für die Unterstützungsleistungen bei den Kontrollen einen Vergütungsanspruch gegenüber dem Auftraggeber geltend zu machen.
 

9. UNTERAUFTRAGSVERHÄLTNISSE
9.1 Der Auftragnehmer darf allgemein Unterauftragsverhältnisse hinsichtlich der Verarbeitung von Auftraggeber-Daten begründen; Unterauftragnehmer können auch mit dem Auftragnehmer verbundene Unternehmen sein.
9.2 Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Anlage 3 aufgeführten Unterauftragsnehmer erbracht. Der Auftraggeber stimmt den in Anlage 3 aufgeführten Unterauftragnehmers zu. Der Auftragnehmer ist berechtigt, im Rahmen seiner vertraglichen Verpflichtungen weitere Unterauftragsverhältnisse mit Unterauftragnehmers einzugehen.
9.3 Der Auftragnehmer wird den Auftraggeber informieren, wenn ein neues Unterauftragsverhältnis abgeschlossen wird, soweit der neue Unterauftragnehmer Zugriff auf die Auftraggeber-Daten erhält. Die Parteien sind sich darüber einig, dass die Beauftragung von Unterauftragnehmer zulässig ist, soweit der Auftragnehmer den Auftraggeber über die Beauftragung von Unterauftragnehmern eine angemessene Zeit vorher schriftlich oder in Textform unterrichtet und der Auftraggeber der Beauftragung eines Unterauftragnehmers nicht innerhalb einer Frist von 14 Tagen schriftlich oder in Textform aus wichtigem Grund widerspricht. Ein wichtiger Grund liegt u.a. vor, wenn das Unterauftragsverhältnis nicht den gesetzlichen Anforderungen entspricht.
9.4 Der Auftragnehmer ist verpflichtet, Unterauftragnehmer sorgfältig nach ihrer Eignung und Zuverlässigkeit auszuwählen. Bei der Beauftragung von Unterauftragsnehmern hat der Auftragsnehmer diese gemäß den Bestimmungen dieses Vertrages zu verpflichten und sicherzustellen, dass der Auftraggeber seine Rechte aus diesem Vertrag (insbesondere seine Kontroll- und Überwachungsrechte) auch unmittelbar gegenüber den Unterauftragnehmern geltend machen kann. 
9.5 Falls der Auftragnehmer einen Unterauftragnehmer in einem Drittstaat einschalten möchte, gelten zusätzlich die Anforderungen der Art. 44 ff. DS-GVO (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
 

10. RECHTE DER BETROFFENEN
10.1 Die Rechte der durch die Verarbeitung von Auftraggeber-Daten betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung der ihn betreffenden Auftraggeber-Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und ohne entsprechende Einzelweisung des Auftraggebers nicht mit dem Betroffenen in Kontakt treten. Der Auftragnehmer darf Auskünfte an Betroffene nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.
10.2 Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erfüllung von Anfragen und Ansprüchen Betroffener auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung oder sonstiger Rechte aus Kapitel III oder VIII der DS-GVO von Auftraggeber-Daten auf erstes Anfordern im Rahmen des Zumutbaren zu unterstützen. Insbesondere wird der Auftragnehmer dem Auftraggeber unverzüglich, Informationen über die gespeicherten Auftraggeber-Daten (auch soweit sie sich auf den Speicherungszweck beziehen), die Empfänger von Auftraggeber-Daten, an die der Auftragnehmer sie auftragsgemäß weitergibt und den Zweck der Speicherung mitteilen, sofern dem Auftraggeber diese Informationen nicht selbst vorliegen.
10.3 Der Auftragnehmer ist verpflichtet, Auftraggeber-Daten auf Weisung des Auftraggebers unverzüglich zu berichtigen, zu löschen oder die Verarbeitung einzuschränken, wenn berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Der Auftragnehmer wird dem Auftraggeber die weisungsgemäße Berichtigung, Einschränkung der Verarbeitung und Löschung jeweils auf Verlangen bestätigen.
10.4 Der Auftragnehmer haftet nicht für die nichtfristgerechte Bearbeitung des Anliegens der betroffenen Person/en durch den Auftraggeber.
 

11. RÜCKGABE UND LÖSCHUNG ÜBERLASSENER DATEN
11.1 Soweit kein anderer Rechtfertigungsgrund besteht, hat der Auftragnehmer die ihm vom Auftraggeber überlassenen sowie im Zuge der Vertragsdurchführung hinzugewonnenen Auftraggeber-Daten vollständig und unwiederbringlich zu löschen bzw. zu vernichten, sobald der Auftraggeber ihn dazu auffordert.
11.2 Über jede Löschung und Vernichtung von Auftraggeber-Daten hat der Auftragnehmer ein schriftliches Protokoll zu erstellen, das dem Auftraggeber auf Verlangen unverzüglich vorzulegen ist.
11.3 Der Auftragnehmer ist verpflichtet, alle Daten, die ihm im Zusammenhang mit dem Hauptvertrag bekannt werden, auch nach Beendigung des Hauptvertrages vertraulich zu behandeln. 
 

12. VERTRAGSDAUER UND KÜNDIGUNG
12.1 Die Laufzeit dieses Vertrags entspricht der Laufzeit des Softwaredienstleistungsvertrages. Die Regelungen zur ordentlichen Kündigung des Softwaredienstleistungsvertrages gelten entsprechend. Das Recht zur außerordentlichen Kündigung bleibt unberührt.
12.2 Der Softwaredienstleistungsvertrag darf im Falle einer Beendigung dieses Vertrags nur fortgeführt werden, wenn ausgeschlossen ist, dass der Auftragnehmer Auftraggeber-Daten verwendet oder darauf zugreift. Im Zweifel gilt eine Kündigung des Softwaredienstleistungsvertrages auch als eine Kündigung dieses Vertrags und gilt eine Kündigung dieses Vertrags auch als Kündigung des Softwaredienstleistungsvertrages.

13. HAFTUNG
13.1 Die Haftung richtet sich nach Art. 82. DS-GVO.
13.2 Im Innenverhältnis zwischen dem Auftraggeber und dem Auftragnehmer haftet der Auftragnehmer jedoch nur dann für den durch eine Verarbeitung verursachten Schaden, wenn der Auftragnehmer

• seinen spezifischen Verpflichtungen gemäß der DS-GVO nicht nachgekommen ist oder
• den rechtmäßig erteilten Weisungen des Verantwortlichen nicht nachgekommen ist oder gegen solche Weisungen gehandelt hat.
  

13.3 Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.

14. SCHLUSSBESTIMMUNGEN
14.1 Änderungen, Ergänzungen und die Aufhebung dieses Vertrags bedürfen der Schriftform. Gleiches gilt für eine Änderung oder Aufhebung des Schriftformerfordernisses.
14.2 Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen der Art. 28 f. DS-GVO am besten gerecht wird.
14.3 Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Softwaredienstleistungsvertrag, gehen die Regelungen dieses Vertrags vor.
14.4 Diese Vereinbarung unterliegt deutschem Recht.
14.5 Ausschließlicher Gerichtsstand ist München.

ANLAGENVERZEICHNIS:

Anlage 1 Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen
Anlage 2 Technische und organisatorische Maßnahmen
Anlage 3: Unterauftragnehmer

Anlage 1:       Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen

Zweck, Art und Umfang der Datenverarbeitung, die Art der Daten und der Kreis der Betroffenen richtet sich nach den Vereinbarungen in dem Softwaredienstleistungsvertrag. Darunter fällt insbesondere:

 

Zweck der Datenverarbeitung	·       Datenverwaltung der Kundendaten ·       Auftragsabwicklung und Bereitstellung der Dienstleistungen, insbesondere: 1. Einladung zum Online Check-In und Online Check-out 2. Online Check-In via Web und App 3. Check-Out via Web und App
Art der Daten	·       Personenstammdaten (Name, Anrede) ·       Kommunikationsdaten (E-Mail-Adresse) ·       Vertragsstammdaten (An- und Abreisedaten) ·       Kundenhistorie (Information, ob weitere Daten des Kunden bereits vorliegen)
Kreis der Betroffenen	·       Hotelgäste

Anlage 2: Technische und organisatorische Maßnahmen

§ 1 Zutrittskontrolle
Maßnahmen, um den Zutritt zu Datenverarbeitungsanlagen durch Unbefugte zu verhindern (z.B. physische Barrieren wie verschlossene Türen).
Maßnahmen:

• Verantwortlich für die Zutrittskontrolle beim Auftragnehmer ist der Verantwortliche des Rechenzentrums. Dieser legt die zu sichernden Objekte und Bereiche fest.
• Räume, in denen sich IT-Systeme befinden, sind mit einem Zugangskontrollsystem ausgestattet.
• Die Zugänge der Räume sind ausreichend abgesichert durch Türen, Türschlösser, verschlossene Fenster. Die Räumlichkeiten befinden sich im Obergeschoss. Man gelangt lediglich in die Räumlichkeiten, nachdem man klingelt und die Tür geöffnet wird.
• Die Räumlichkeiten werden verschlossen, sobald ein Raum länger nicht besetzt ist.

§ 2 Zugangskontrolle
Maßnahmen, um den Zugriff auf Datenverarbeitungssystemen durch Unbefugte zu verhin-dern (z.B. Passwörter, Schutz gegen Hacker).
Maßnahmen:
Um die DV-Anlage vor Eindringlingen zu schützen, werden Verfahren der Identifikation und Authentifikation eingesetzt, welche den Zugang steuern:

• Die Anmeldung erzwingt vor Zugriff auf Daten oder Programme die Eingabe Passwortes (Authentifizierung) verbunden mit einer Benutzerkennung (Identifizierung).
• Jeder Berechtigte hat ein eigenes, individuelles, nur ihm bekanntes Passwort. Die Passwörter der Mitarbeiter sind selbst den Vorgesetzten und Administratoren unbekannt. Gruppenpasswörter werden nicht verwendet.
• Die Mitarbeiter sind aufgefordert, komplexe Passwörter zu setzen.
• Die Passwörter werden verschlüsselt abgespeichert und übertragen. Die Schlüssel für Kryptographie-Verfahren werden gesichert aufbewahrt.
• Nach 3-5 vergeblichen Anmeldeversuchen wird der Zugriff automatisch gesperrt.
• Die Erteilung einer Zugangsberechtigung wird vom benannten Systemeigentümer genehmigt.
• Bei Arbeitsunterbrechungen wird ein passwortgeschützter Bildschirmschoner aktiviert.
  Außerdem:
• wird ein Jump Server mit SSH-Verschlüsselung verwendet.
• werden Daten auf mobilen IT-Systemen verschlüsselt.
• haben Unbefugte keinen Zugang zum BIOS-Setup.
• besteht ein zentraler Zugangsserver.
   
  § 3 Zugriffskontrolle
  Maßnahmen, um zu gewährleisten, dass der Zugriff auf Daten nur durch den jeweils zum Zugriff auf diese konkreten Daten Berechtigten erfolgt (z.B. Berechtigungsverwaltung).
  Eine wirksame Zugriffskontrolle setzt eine geordnete Prüfung und Vergabe von Berechtigun-gen voraus. Die Zugriffskontrolle soll die unerlaubte Tätigkeit in DV – Systemen außerhalb eingeräumter Berechtigungen verhindern.
  Maßnahmen:
• Maßnahmen zur Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
• Datenträger sind verschlüsselt.
• Maßnahmen zum Schutz der Daten bei der Übermittlung
• Die Zugriffsrechte werden nach dem „Need-To-Know“ Prinzip vergeben. Es werden nur so viele Zugriffsrechte vergeben, wie für die Wahrnehmung der Aufgaben der jeweiligen Rolle notwendig sind.
• Die Berechtigung wird automatisch anhand der Benutzerkennung geprüft.
• Zur Umsetzung differenzierter Zugriffsrechte sind die verarbeiteten personenbezogenen Daten auf unterschiedliche Datensätze und Server / IT-Systeme verteilt. Zudem Bestehen differenzierter Bearbeitungsrechte (u.a. „nur Lesen“, „Ändern“).
• Auf Veranlassung der Geschäftsleitung oder des Fachverantwortlichen werden Zugriffsberechtigungen von der Geschäftsleitung genehmigt und nach deren Weisung von der IT-Administration erteilt. Die Zugriffsrechte werden alle 3 Monate überprüft.
• Ein Änderungsmanagement existiert. Genehmigte Konfigurationsänderungen werden vom IT-Administrator vorgenommen.
• Maßnahmen zur Sicherstellung der Ereignisprotokollierung
• Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration
• Es bestehen Sicherungsmaßnahmen gegen unbefugtes Kopieren von Daten auf lokale Rechner.
• Maßnahmen zur Sicherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls zeitnah wiederherzustellen
• Maßnahmen zur Ermöglichung der Datenübertragbarkeit und Sicherstellung der Löschung

§ 4 Weitergabekontrolle / Übermittlungskontrolle

• Maßnahmen zur Pseudonymisierung und Verschlüsselung von personenbezogenen Daten
• Maßnahmen zur Nutzeridentifikation und Autorisierung
• Bei der Übermittlung von Daten mittels Datenübertragungsleitungen werden Daten mit sensitivem Inhalt verschlüsselt. Zur Übermittlung werden folgende Dienste genutzt: E-Mail, WWW, FTP. Folgende Sicherheitsstandards werden dabei verwendet: Bei Übermittlung per WWW https oder SSL/TLS, beim FTP SFTP.
• Datenträger werden, sobald sie nicht mehr benötigt werden, physisch vernichtet oder mittels eines sicheren Verfahrens mehrfach überschrieben.
• Die Server-Konsolen sind gesperrt.
• Es gibt ein Berechtigungskonzept, in dem Netzwerkfreigaben und Zugriffsberechtigungen auf Ordner und Dateien für einzelne Benutzergruppen festgelegt sind?
• Bei Versetzung oder Ausscheiden eines Mitarbeiters werden die nicht mehr benötigten (im Falle des Ausscheidens alle) Zugangsberechtigungen entzogen.
• Wenn Rechner oder Datenträger von externen Dienstleistern mitgenommen werden müssen, werden die darauf befindlichen Daten logisch gelöscht.
• Externen Dienstleistern bekannt gewordene Passwörter werden geändert.
• Fernwartungsmöglichkeiten werden nur im Einzelfall freigegeben. Die Fernwartung muss zuvor vom verantwortlichen Abteilungsleiter oder Netzwerkadministrator genehmigt wer-den.
  § 5 Auftragskontrolle / Vertragskonformitätskontrolle
• Maßnahmen zur Sicherstellung der Datenminimierung
• Maßnahmen zur Sicherung der Datenqualität
• Maßnahmen zur Sicherstellung einer begrenzten Datenhaltung
• Maßnahmen zur Sicherstellung der Rechenschaftspflicht
• Maßnahmen zur Sicherstellung der laufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten
• Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen
• Maßnahmen zur Sicherstellung der Systemkonfiguration, einschließlich der Standardkonfiguration
• Maßnahmen zur internen IT- und IT-Sicherheitssteuerung und -verwaltung
• Durch transaktionsbasierte Verarbeitungskontrolle kann nachträglich geprüft werden, ob und von wem Daten in IT-Systeme eingegeben, verändert oder entfernt worden sind.
• Maßnahmen zur Sicherstellung der Ereignisprotokollierung
• Sicherheitsrelevante Updates und Patches für Betriebssysteme und Anwendungsprogramme werden innerhalb von 7 Tagen aufgespielt.
• Daten und Programme werden in unterschiedlichen Verzeichnissen und Partitionen gespeichert.
• Maßnahmen zum Schutz der Daten während der Speicherung Maßnahmen zur Gewährleistung der physischen Sicherheit von Standorten, an denen personenbezogene Daten verarbeitet werden
• Vor größeren Wartungs-, Fernwartungs- oder Reparaturarbeiten wird eine komplette Sicherung der betroffenen Systeme erstellt.
• Der Auftraggeber wird über Programmabbrüche/Programmfehler informiert.
• Zur Durchführung von Fernwartung wird ein Einmal-Passwort verwendet.
• Von allen Daten wird täglich eine Totalsicherung angefertigt mit Ausnahme der Daten auf mobilen Endgeräten. Verantwortlich dafür ist der Backup-Administrator. 12 Generationen von Sicherungskopien werden aufbewahrt.
• Zur Dokumentation werden Sicherungsprotokolle erstellt und geprüft. Das Backup-Verfahren ist dokumentiert und wird regelmäßig kontrolliert.
• Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
• Die Backup-Medien werden im Rechenzentrum aufbewahrt. Diesbezüglich besteht eine Regelung.
• Zudem wird Festplattenspiegelung durchgeführt.
• Es besteht außerdem unterbrechungsfreie Stromversorgung (USV).

§ 6 Datentrennung
Durch einen softwareseitigen Ausschluss (Mandantentrennung), sowie Trennung von Test- und Produktivdaten wird gewährleistet, dass die zu unterschiedlichen Zwecken verarbeiteten Daten getrennt verarbeitet werden.
 
Anlage 3: Unterauftragnehmer