monitoring
Zwischen AYTECH GmbH & Co. Systemhaus KG (nachfolgend Auftragnehmer genannt)
und
$aos_contracts_contract_account
$aos_contracts_contact
$contract_account_billing_address_street, $contract_account_billing_address_postalcode $contract_account_billing_address_city
(nachfolgend als Auftraggeber benannt)
wird nachstehender Service- & Supportvertrag geschlossen.
§ 1 Vertragsgegenstand
- Der Auftragnehmer übernimmt den Wartungs- und Pflegeservice für die in Anlage 1 aufgeführten, installierten EDV-Anlagen, Betriebssysteme und Anwendungsprogramme auf den EDV-Anlagen des Auftraggebers (Hardware-Wartung und Software-Unterstützung).
- Der Umfang der EDV-Anlagen sowie der zu pflegenden Software wird durch eine vom Auftragnehmer vor Vertragsschluss durchzuführende Bestandsaufnahme festgestellt. Das Verzeichnis der Hardware- und Softwaresysteme ist von beiden Parteien zu unterzeichnen und wird damit Vertragsgegenstand (Anlage 1).
- Nicht in Anlage 1 aufgeführte Gegenstände (Hard- oder Software) werden erst nach Überprüfung und Genehmigung durch den Auftragnehmer Bestandteil des Systempflegevertrages. Nach Genehmigung sind sie unter Angabe des Aufnahmedatums im Verzeichnis der Hardware- und Softwaresysteme aufzuführen.
§ 2 Umfang der Systempflege (Managed Services Modern Workplace)
Gegenstand der Hardware-Wartung ist die Instandhaltung und ggf. die Instandsetzung der vertragsgegenständlichen EDV-Anlage(n), soweit dieses technisch möglich ist und entsprechende Ersatzteile auf dem Markt zu den üblichen Preisen und Konditionen angeboten werden.
Wenn im Folgenden das Wort Workstation genutzt wird, sind hiermit PCs und Notebooks gemeint.
Die AYTECH GmbH & CO. Systemhaus KG stellt ihren Kunden eine Software mit einem webbasierten Dashboard zur
Überwachung und Betreuung der Kunden-IT zur Verfügung (“IT-Monitoring”).
Die Software („Monitoring-Agent“) bietet auf Workstations unter anderem folgende Funktionen:
● Rund-um-die-Uhr-Überwachung von Systemdiensten, Festplattenzustand, Speicherund CPU-Auslastung
● Sicherheitsrisikoprüfung auf fehlende Updates, Patches und Schwachstellen von Microsoft-Betriebssystemen und anderer unterstützter Hersteller
● Ping-Test auf Netzwerkgeräte
● Monitoring von fehlgeschlagenen Log-In-Versuchen
● Auslesen von SNMP-Protokollen, sofern vom Gerät unterstützt
● Überprüfung von Webseiten auf Verfügbarkeit
● tägliche Überprüfung der Antivirensoftware auf Aktualität
● fortlaufende Backup-Überprüfung (von unterstützten Programmen)
● Feststellen des Datenzuwachses der letzten 24 Stunden auf ausgewählten Festplattenpartitionen, sowie Alarmierung bei Überschreitung von Schwellenwerten
● Überprüfung der Windowsereignisanzeige auf kritische Fehler
● Installation einer Software zur Fernwartung von überwachten Systemen
● Inventarisierung eingesetzter Hard- und Software
● Remoteverwaltung im Hintergrund (Kommandozeile, Prozess- und Dienstesteuerung)
● automatisierte Aufgaben im Dashboard
● Taskleistenanwendung mit individuellem Symbol und Einstellungen Montags bis Freitags von 9 Uhr bis 18 Uhr (sog. Hotline-Service).
- Der Auftragnehmer führt seine vertraglichen Wartungs-und Pflegeleistungen Montags bis Freitags zwischen 9 Uhr und 18 Uhr aus. Wartungs- und Pflegearbeiten außerhalb des vereinbarten Zeitraums erfolgen nur, wenn dieses gesondert schriftlich vereinbart und vergütet wird.
- Die Wartung und Pflege erfolgt in den Geschäftsräumen des Auftraggebers, sofern möglich.
- Hardware-Wartung und Software-Pflege an Geräten des Auftraggebers außerhalb der Geschäftsräume des Auftraggebers (auf Baustellen, an Fahrzeugen o. Ä.) ist gesondert zu vergüten. Bei der Berechnung des Fahrtweges und der Fahrzeit des eingesetzten Technikers wird von einem Einsatz ab seinen Geschäftsräumen ausgegangen.
- Monitoring von Workstations:
Überwachung der Workstations rund um die Uhr mit dem Monitoring-Agent hinsichtlich der Lauffähigkeit der Windows-Dienste, Überschreitung eines Festplatten-Auslastungswertes, Aktualität der Anti-Virus-Signaturen, Zustand des letzten Backups für unterstützte Hersteller, Prüfung auf kritische Ereignisse in den Windows-Ereignisprotokollen, Physischer Festplattenzustand (S.M.A.R.T.), sofern die entsprechenden Hard- und Softwarekomponenten diese Informationen bereitstellen. Für die Funktionalität wird der Agent auf den Workstations (Windows und MacOS) installiert. Der Agent benötigt zwingend eine ausgehende SSL-Internetverbindung (Port 443).
Fehlerbeseitigung bei Workstations:
Nach einer Alarmierung bei fehlgeschlagenen Überprüfungen meldet sich der Auftragnehmer bei ihren Kunden, um die Fehlerbehebung abzustimmen. Dies kann per E-Mail oder telefonisch erfolgen.
Die Fehlerbeseitigung ist nicht Bestandteil dieses Leistungspakets und wird gegebenenfalls separat abgerechnet.
Installation aktueller Sicherheitsupdates
Automatische Installation von als „kritisch“, „wichtig“, “mäßig” und “niedrig” eingestuften Updates für Microsoft Produkte sowie Updates der Kategorie “kritisch” und “wichtig” für Adobe Reader, Adobe Air, Adobe Flash, Adobe Shockwave Player, Apple Quicktime, OpenOffice, CCleaner, Malwarebytes Anti-Malware, Java Runtime, Google Chrome, Libre Office, Thunderbird, Pidgin, Skype, VLC, WinZip, iTunes und Mozilla Firefox.
Die Sicherstellung der erfolgreichen Installation erfolgt über eine tägliche Abfrageroutine. Nach Installation eines Updates ist gelegentlich ein Neustart der Workstation notwendig, dieser wird nach Absprache durch den Auftragnehmer oder selbstständig vom Kunden durchgeführt. Es werden fortlaufend weitere Programme (sofern technisch möglich) der Updateroutine hinzugefügt. Die jeweils aktuelle Übersicht ist unter https://wwwgermany1.systemmonitor.eu.com/dashboard/helpcontents/pm_non_ms_913.htm zu finden. Der Kunde kann auf Wunsch bestimmte Patches von der Installation ausschließen lassen.
Die Haftung für die Fehlerfreiheit der Sicherheitsupdates, die Sinnhaftigkeit der Risiko-Klassifizierung sowie die Kompatibilitätseinschätzung mit der zu aktualisierenden Software liegt allein beim jeweiligen Softwarehersteller.
Dem Kunden ist bewusst, dass Sicherheitsaktualisierungen Veränderungen an der installierten Software vornehmen um die Sicherheit zu erhöhen. Bei diesen Veränderungen kann es zu Problemen kommen, die die Lauffähigkeit des Systems negativ beeinflussen. Für Folgeschäden aus diesem Umstand übernimmt der Auftragnehmer keine Haftung.
Monatlicher Bericht über den Service
Der Kunde erhält auf Wunsch einen monatlichen Bericht über den Service und seine IT-Umgebung per E-Mail.
Bereitstellung passender Antiviren-Software inklusive Wartungs- und updatepaket
Der Auftragnehmer installiert eine Antiviren-Software und überprüft regelmäßig den Virenschutz auf Aktualität und Integrität. Sie alarmiert bei veralteten Antivirus-Signaturen und passt die Richtlinien bei Störung des Systems oder anderer Software an. Falls ein Neustart der Workstation notwendig sein sollte, wird dies nach Absprache durch Auftragnehmer oder selbstständig vom Kunden durchgeführt.
Der Kunde ist darauf hingewiesen, dass der Einsatz einer Antiviren-Software nicht bedeutet, dass jegliche Schadsoftware vom System ferngehalten werden kann. Es gibt immer einen zeitlichen Verzug zwischen Bekanntwerden einer neuen Schadsoftware und dem Anpassen der Software durch den Hersteller, in dem der Schutz gegen diese Schadsoftware nicht gegeben ist. - Nachweise
Die Wartungs- und Pflegearbeiten werden über ein integriertes Ticket-System protokolliert. - Beginn der Arbeiten
Mit Wartungs- bzw. Pflegearbeiten auf Grund von angezeigten Fehlern ist spätestens innerhalb von 6 Stunden nach Zugang der schriftlichen Störungsmeldung des Auftraggebers zu beginnen, sofern die Störung die Aufrechterhaltung des Betriebes des Auftraggebers unmöglich macht, in anderen Störungsfällen innerhalb 24 Stunden nach Zugang der schriftlichen Störungsmeldung. Die Störungsmeldung muss eine detaillierte Beschreibung der Fehler und ihrer Auswirkungen enthalten. Soweit möglich, sollte die Störungsmeldung auch Hinweise auf beobachtete Fehlermeldungen beinhalten. Der Auftraggeber hat für die Störungsmeldung das vom Auftragnehmer vorgefertigte und ausgehändigte Formular zu verwenden (Service-Anforderung, Anlage 2). - Störungsbehebung
Ist eine Störung nicht innerhalb von 24 Stunden ab Zeitpunkt der Aufnahme der Wartungs- und Pflegearbeiten behebbar, so hat der Auftragnehmer die fehlerhaften Programme oder Hardwareteile für die Dauer der Fehler-Störungsbehebung auszutauschen. Ist dieses aus technischen Gründen, die in den Programmen liegen, nicht möglich, hat er den Auftraggeber unverzüglich zu unterrichten. - Stand der Technik und Informationspflichten des Auftragnehmers
Der Auftragnehmer führt die Wartung und Pflege nach den Grundsätzen der ordnungsgemäßen Berufsausübung durch und berücksichtigt hierbei den neuesten Stand der Wissenschaft und Technik. Er hat sich über Entwicklungen technischer Art, welche den Aufgaben und Interessen seines Auftraggebers in Informationstechnischer Hinsicht entsprechen, zu informieren. Zur Erfüllung seiner Aufgaben kann der Auftragnehmer auch hinreichend qualifizierte Dritte einschalten.
§ 3 Pflichten des Auftraggebers
- Der Auftraggeber hat dem Auftragnehmer ungehinderten Zutritt zu den Geräten und Anlagen zu ermöglichen.
- Er hat ferner sämtliche für die Wartung und Pflege erforderlichen Informationen und Dokumente z. B. Anwendungsdokumentationen, Anleitungen und Spezifikationen zu beschaffen und diese dem Auftraggeber für die Dauer der Pflege- und Reparatur-arbeiten zu überlassen.
- Der Auftraggeber hat den Auftragnehmer unverzüglich schriftlich von geplanten Umbauten oder Veränderungen an der vertragsgegenständlichen EDV-Anlage und der darauf installierten Software, die nicht durch den Auftragnehmer oder durch einen von ihm beauftragten Partner veranlasst oder durchgeführt werden, in Kenntnis zu setzen.
§ 4 Vergütung der Wartungs- und Pflegeleistungen
- Das Wartungs- und Pflegeentgelt beträgt monatlich EURO $aos_contracts_total_amt,- zuzüglich der im Abrechnungsmonat gültigen gesetzlichen Mehrwertsteuer.
- Bei Einsätzen vor Ort wird ein ermässigter Stundensatz in Höhe von 69,00 Euro je Stunde zuzüglich gesetzlich gültiger MwSt. abgerechnet.
- Anfahrtskosten werden pauschal mit je EUR 20,-- Netto zzgl. der gültigen MwSt berechnet.
- Anfahrtskosten für Wartungs- und Pflegearbeiten an Geräten außerhalb der Geschäftsräume des Auftraggebers (z. B. auf Baustellen, in Fahrzeugen o. Ä.) sind gesondert mit einem Stundensatz von EURO 82,-- zuzüglich der im Abrechnungsmonat gültigen gesetzlichen Mehrwertsteuer abzurechnen.
- Die Kosten für Ersatz- und Verschleißteile sowie Verbrauchsmaterial werden gesondert berechnet.
- Die Zahlung des Wartungs- und Pflegeentgeltes erfolgt monatlich im voraus und muss bis zum dritten Werktag des jeweiligen Kalendermonats auf dem Konto 270 34 644 bei der Stadtsparkasse Düsseldorf 300 501 10 gutgeschrieben sein.
§ 5 Vertragsdauer und Kündigung
- Der Vertrag wird für unbestimmte Zeit geschlossen und beginnt zum $aos_contracts_start_date.
- Der Vertrag kann von jeder Partei mit einer Frist von drei Monaten jeweils zum Ende des Kalenderjahres schriftlich gekündigt werden. Die Kündigung ist jedoch erstmals nach Ablauf von zwölf Monaten ab Vertragsschluss möglich.
- Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt davon unberührt. Wichtige Gründe sind nur schwere und nachhaltige Verletzungen der vertraglichen Pflichten der Parteien. Insbesondere der Auftragnehmer hat das Recht, den Vertrag außerordentlich und ohne Einhaltung einer Frist zu kündigen, wenn der Auftraggeber mit der Entrichtung seines Entgeltes in Höhe von zwei Monatszahlungen in Verzug geraten ist.
§ 6 Mithaftung des Auftraggebers und Haftungseingrenzungen - Gewährleistung
- Im Falle einer Inanspruchnahme des Auftragnehmers aus Gewährleistung oder Haftung ist das Mitverschulden des Auftraggebers angemessen zu berücksichtigen. Das gilt insbesondere bei unzureichenden Fehlermeldungen oder unzureichender Datensicherung.
- Der Auftraggeber trägt selbst die Verantwortung dafür, dass eine aktuelle Datensicherung in geeigneter Form durchgeführt wird und eine zeitnahe und wirtschaftlich vernünftige Wiederherstellung verlorengegangener Daten gewährleistet ist.
- Sämtliche Gewährleistungsanprüche des Auftraggebers aus diesem Vertrag verjähren in zwei Jahren ab Vollendung der jeweiligen Wartungs- oder Pflegeleistung. Der im Serviceschein genannte jeweilige Zeitpunkt dient hierfür als Ausgangspunkt für die Vollendung.
- Ist die Leistung des Auftragnehmers mangelhaft, d. h. entspricht ihre Beschaffenheit nicht dem Vereinbarten, kann der Auftraggeber schriftlich Nacherfüllung verlangen. Dabei hat er dem Auftragnehmer ausreichend Zeit und Gelegenheit zur Nacherfüllung zu geben.
- Im Falle des Scheiterns der Nacherfüllung, kann der Auftraggeber den Vertrag ohne Einhaltung einer Frist mit sofortiger Wirkung kündigen, den Mangel selbst beseitigen und Ersatz der erforderlichen Aufwendungen verlangen oder die Vergütung mindern. Die Nacherfüllung gilt als gescheitert, wenn der Auftragnehmer zwei erfolglose Nacherfüllungsversuche bezüglich des selben Mangels unternommen hat. Es sei denn, aus den Gesamtumständen ergibt sich etwas anderes. Die Nacherfüllung gilt auch dann als gescheitert, wenn der Auftragnehmer die Nacherfüllung schuldhaft verweigert hat.
- Der Auftragnehmer haftet gegenüber dem Auftraggeber uneingeschränkt nur für Körperschäden und für Schäden, die der Auftragnehmer, dessen gesetzliche Vertreter oder Mitarbeiter in Erfüllung ihrer Pflichten vorsätzlich oder grob fahrlässig verursacht haben. Für Sach- und Vermögensschäden, die auf leichter Fahrlässigkeit der in Satz 1 genannten Personen beruhen, haftet der Auftragnehmer nur, wenn er eine wesentliche Vertragspflicht verletzt hat und die Pflichtverletzung typischerweise zum Eintritt des vom Auftraggebers geltend gemachten Schadens führt. In diesem Fall ist die Haftung des Auftragnehmers auf maximal EURO 7.500 begrenzt.
§ 7 Urheberrechte und sonstige Schutzrechte
Gegenstand des Vertrages ist sowohl die Wartung der Hardware als auch die Pflege der Programme. Bestehende Urheberrechte und sonstige Schutzrechte an den vertragsgegenständlichen Software-Programmen werden durch die Software-Pflege nicht berührt. Die bisherigen Regelungen, Urheberschaften und sonstigen Schutzrechten bleiben weiter bestehen.
§ 8 Datenschutz und Geheimhaltung
- Der Auftraggeber hat sicherzustellen, dass die bei ihm vorhandenen Datenverarbeitungsanlagen und Datenbestände dem Bundesdatenschutzgesetz, dem Landesdatenschutzgesetz sowie den jeweils geltenden Datenschutzsondervorschriften genügen. Dies gilt insbesondere hinsichtlich der Erhebung, Verarbeitung, Veränderung, Übermittlung und Löschung von Daten und Datenbeständen.
- Der Auftragnehmer stellt seinerseits sicher, dass er im Rahmen der Erfüllung dieses Vertrages keine Handlungen vornimmt, die gegen bestehende Datenschutzbestimmungen verstoßen. Im Einzelfall hat sich der Auftragnehmer mit dem vom Auftraggeber zu benennenden Verantwortlichen für die Datensicherheit (Datenschutzbeauftragter) abzustimmen.
- Darüber hinaus hat der Auftragnehmer sämtliche ihm auf Grund der Durchführung des Vertrages bekanntgewordenen betrieblichen Abläufe und sonstigen Betriebs- und Geschäftsgeheimnisse des Auftraggebers streng vertraulich zu behandeln. Es ist ihm untersagt, diese in irgendeiner Weise für sich selbst oder für Dritte zu nutzen. Speicherungen auf Datenträgern oder sonstige Aufzeichnungen und Notizen sowie die Weitergabe an Dritte sind ihm nur gestattet, wenn sie für die Durchführung des Vertrages unerlässlich sind oder wenn sie geeignet sind, berechtigte Interessen und Rechte aus diesem Vertrag wahrzunehmen oder zu verteidigen. Durch geeignete Vereinbarungen sowie die Schaffung technischer und organisatorischer Vorkehrungen hat der Auftragnehmer sicherzustellen, dass seine Mitarbeiter und Erfüllungsgehilfen der gleichen Geheimhaltungspflicht unterliegen.
§ 9 Abtretung
Der Auftraggeber kann Rechte aus diesem Vertrag nur mit schriftlicher Zustimmung des Auftragnehmers abtreten.
§ 10 Schriftform und Nebenabreden
Nebenabreden bestehen nicht. Vertragsänderungen und / oder Ergänzungen bedürfen der Schriftform. Gleiches gilt auch für die Aufhebung dieser Schriftformklausel.
§ 11 Unwirksamkeit einzelner Bestimmungen
Sofern Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden sollten, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen und des Vertrages. Die unwirksame Bestimmung ist durch die entsprechenden gesetzlichen Vorgaben zu ersetzen.
§ 12 Aufrechnung gegen Ansprüche aus diesem Vertrag
Die Aufrechnung mit Forderungen des Auftraggebers ist nur zulässig, wenn diese unbestritten ist oder durch rechtskräftigen Titel festgestellt wurde.
§ 13 Gerichtsstand - Anwendbares Recht
Gerichtsstand ist, sofern die Parteien Kaufleute sind, Düsseldorf. Es gilt ausschließlich das Recht der Bundesrepublik Deitschland.
Ort / Datum Ort / Datum
Ratingen, den {DATE d.m.Y}
Unterschrift: (Kunde, ggf. Stempel) (AYTECH GmbH & Co. KG)
Anlage 1: Verzeichnis der Hardware- und Softwaresysteme
Anlage 2: Vertrag für Auftragsdatenverarbeitung im Auftrag
Anlage 3: Zugelassene Subdienstleister
Anlage 4: Technisch Organisatorische Maßnahmen (TOM)
$aos_products_quotes_product_qtyx $aos_products_quotes_name $aos_products_quotes_item_description |
$aos_products_quotes_product_total_price € | |
$aos_services_quotes_name |
$aos_services_quotes_service_total_price € | |
Nettosumme: | $aos_contracts_total_amt € |
________________________________________________________________ |
________________________________________________________________ |
Ort, Datum | Unterschrifft, ggf. Stempel |
Was kostet Sie ein Ausfall Ihrer Systeme pro Tag/Stunde? Wie sieht das im Verhältnis zu den Vertragskosten aus?
________________________________________________________________ |
________________________________________________________________ |
Ort, Datum | Unterschrifft, ggf. Stempel |
Durch den Servicevertrag managen wir Ihre EDV: wir Dokumentieren und verfolgen den Status der Geräte. – remote und vor Ort. Ihre (Störungs-) Fälle und wünsche werden bevorzugt behandelt.
Neu: Die ersten 10 Minuten Hotline & Support je Fall sind im Servicevertrag enthalten, ab der 11 Minute werden 2 Einheiten a 9 € berechnet.
Stundenpreise :
Vor-Ort: 69.- € mit Servicevertrag (87 € ohne)
Remote: 54.- € mit Servicevertrag (72 € ohne)
Fakt ist: Man weiß Managed Services zu schätzen, sobald man sie hat. Die Systeme laufen sicherer und stabiler, geben die Möglichlichkeit, nicht nur reaktiv sondern präventiv zu handeln, und schützen einen demzufolge vor ungeplanten Ausfällen. Natürlich haben Sie das bisher nie gebraucht – aber auch nur, weil Sie es bislang nicht kannten!
Anlage 2: Vertrag über die Auftragsverarbeitung personenbezogener Daten nach EU Datenschutz-Grundverordnung
Einleitung, Geltungsbereich, Definitionen
Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.
(Art. 4 Abs. 1 Nr. 1 DS-GVO)
Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.D.d. Art. 4 Abs 2 DS-GVO zugrunde gelegt.
Zuständige Datenschutzbehörde für den Auftragnehmer ist der Landesbeauftragte für den Datenschutz des jeweiligen Bundeslandes. Die Vertragsparteien arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.
Die Regelungen dieses Vertrages gehen im Zweifel der Regelung des Hauptvertrages vor.
-
Gegenstand und Dauer der Verarbeitung
- Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Auftrag, Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag), soweit eine Verarbeitung von personenbezogenen Daten durch den Auftragnehmer als Auftragsverarbeiter für den Auftraggeber gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
- Die Dauer der Verarbeitung entspricht der im Auftrag vereinbarten Laufzeit.
2. Art und Zweck der Verarbeitung
- Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des Auftrags.
- Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung im Bereich Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support erforderlichen Zwecke.
3. Art der personenbezogenen Daten und Kategorien von Betroffenen
- Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten.
- Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Produktwahl, die Konfiguration, die Nutzung der Dienste und die Übermittlung von Daten.
4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
- Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung.
- Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) durch einzelne Weisungen geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist dem Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden. Eine Unzumutbarkeit liegt insbesondere vor, wenn die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auftraggebern / Kunden des Auftragnehmers genutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne Auftraggeber nicht möglich oder nicht zumutbar ist.
- Die vertraglich vereinbarte Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, soweit nicht etwas anderes vereinbart ist, z.B. über die Produktbeschreibung der beauftragten Leistung.
- Ist Vertragsbestandteil die Registrierung von Domains bei Registrierungsstellen, die ihren Sitz in einem Drittland haben (außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums), ist auch vereinbart, dass der Auftragnehmer personenbezogene Daten - unter Beachtung der zwingend anwendbaren Vorschriften – an diese Registrierungsstellen übermittelt.
- Die Parteien vereinbaren außerdem, dass der Auftragnehmer berechtigt ist, personenbezogene Daten - unter Beachtung der zwingend anwendbaren Vorschriften zur Leistungserbringung in einem Drittland zu übermitteln. Dies ist insbesondere der Fall, wenn Auftragsgegenstand der Dienst eines Drittanbieters ist, der diesen Dienst ganz oder teilweise in einem Drittland erbringt.
5. Rechte des Auftraggebers, Pflichten des Auftragnehmers
- Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor (Verpflichtung nach dem Recht der Europäischen Union oder eines Mitgliedstaates). Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
- Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Ansprüche der betroffenen Personen nach Kapitel III der DSGVO. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen.
- Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen.
- Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt für das Fernmeldegeheimnis nach § 88 TKG und – in Kenntnis der Strafbarkeit – für die Wahrung von Geheimnissen der Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
- Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.
- Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Eine Kontaktmöglichkeit wird auf der Webseite des Auftragnehmers veröffentlicht.
- Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus jeweiligen vertraglichen Vereinbarungen etwas anderes ergibt. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als vereinbart. Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütung verlangen.
- Machen betroffene Person Schadensersatzansprüche nach Art. 82 DSGVO geltend, unterstützt der Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten. Der Auftragnehmer kann hierfür eine angemessene Vergütung verlangen.
6. Pflichten des Auftraggebers
- Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
- Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
- Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in Datenschutzangelegenheiten.
7. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
- Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische Maßnahmen, um sicher zu stellen, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Der Auftragnehmer ergreift in seinem Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
- Die aktuellen technischen und organisatorischen Maßnahmen sind im Anhang 2 aufgeführt.
- Der Auftragnehmer betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d) DSGVO.
- Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim Stand der Technik und die Risikolage an. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.
8. Nachweis und Überprüfung
- Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt dazu bei. Der Auftragnehmer ist berechtigt, eine Verschwiegenheitserklärung vom Auftraggeber und von dessen beauftragten Prüfer zu verlangen. Der Auftragnehmer stimmt der Benennung eines unabhängigen externen Prüfers durch den Auftraggeber zu, sofern der Auftraggeber dem Auftragnehmer eine Kopie des Auditberichts zur Verfügung stellt. Wettbewerber des Auftraggebers oder Personen, die für Wettbewerber des Auftraggebers tätig sind, kann der Auftragnehmer als Prüfer ablehnen.
- Als Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten reicht dem Auftraggeber die vorliegende Zertifizierung nach ISO 27001 aus. Das jeweils aktuelle Zertifikat stellt der Auftragnehmer auf seiner Webseite zur Verfügung.
- Das Inspektionsrecht des Auftraggebers hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. Der Nachweis der Einhaltung dieser Pflichten wird durch die Zertifizierung nach vorstehendem Absatz erbracht. Sofern der Auftraggeber auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Zertifizierungen zureichend oder zutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung für den Auftraggeber dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Diese können zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt werden.
- Für Informationen und Unterstützungshandlungen kann der Auftragnehmer eine angemessene Vergütung verlangen. Der Aufwand für den Auftragnehmer durch eine Inspektion ist grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
- Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige staatliche oder kirchliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gelten die vorstehenden Regeln entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
9. Subunternehmer (weitere Auftragsverarbeiter)
- Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserfüllung einzusetzen.
- Die aktuell eingesetzten weiteren Auftragsverarbeiter sind im Anhang 1 aufgeführt. Der Auftraggeber erklärt sich mit deren Einsatz einverstanden.
- Der Auftragnehmer informiert den Auftraggeber, wenn er eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben.
- Der Einspruch gegen die beabsichtigte Änderung kann nur aus einem wichtigen datenschutzrechtlichen Grund innerhalb einer angemessenen Frist nach Zugang der Information über die Änderung gegenüber dem Auftragnehmer erhoben werden. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung für den Auftragnehmer nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Auftraggeber innerhalb einer angemessenen Frist nach Zugang des Einspruchs einstellen.
- Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen.
- Als weitere Auftragsverarbeiter im Sinne dieser Regelung sind nur solche Subunternehmer zu verstehen, die Dienstleistungen erbringen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören solche Nebenleistungen, die sich auf Telekommunikationsleistungen, Druck-/Post-/Transportdienstleistungen, Wartung und Pflege, Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der personenbezogenen Daten, Netze, Dienste, Datenverarbeitungsanlagen und sonstiger IT-Systeme, beziehen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit in Bezug auf die Daten des Auftraggebers auch bei solchen Nebenleistungen angemessene und gesetzeskonforme ertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
10. Haftung und Schadensersatz
- Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
- Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung und im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art 82 DSGVO, außer soweit ausdrücklich etwas anderes vereinbart ist.
11. Vertragslaufzeit, Sonstiges
- Die Vereinbarung beginnt mit dem Abschluss durch den Kunden. Sie endet mit Ende des letzten Vertrages unter der o.g. Kundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum tatsächlichen Ende der Verarbeitung.
- AYTECH kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern. Es gilt Ziffer 1.4 AGB.
- Ergänzend gelten die AGB des Auftragnehmers, abrufbar unter https://www.aytech.de/agb/. Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarungen im Übrigen nicht.
- Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Berlin. Dieser gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Dieser Vertrag unterliegt den gesetzlichen Bestimmungen der Bundesrepublik Deutschland.
- Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher « im Sinne der DSGVO liegen.
________________________________________________________________ |
________________________________________________________________ |
Ort, Datum | Unterschrifft, ggf. Stempel |
Anlage 3 – Zugelassene Subdienstleister
Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten (Unterauftragnehmer)
Subunternehmer |
Land |
Adresse |
Kurzbeschreibung der Leistung |
Keyweb AG |
Deutschland |
Neuwerkstraße 45/46, |
Rechenzentrum, Bereitstellung von Webservern und Leistungen |
myLoc managed IT AG |
Deutschland |
Am Gatherhof 44 40472 Düsseldorf |
Rechenzentrum, Bereitstellung von Webservern und Leistungen |
Vautron AG |
Deutschland |
Obermünsterstr. 9, |
Rechenzentrum, Bereitstellung von Webservern und Leistungen, sowie Domain-Registrierung |
EBERTLANG Distribution GmbH |
Deutschland |
Garbenheimer Str. 36, |
Distributor für Softwarelösungen |
Securepoint GmbH |
Deutschland |
Bleckeder Landstraße 28, |
UTM, Firewall, Antivirus & Mailarchivierung |
COS Computer GmbH |
Deutschland |
Am Pfahlgraben 4-10 |
Hardware & Software Distributor |
api Computerhandels GmbH |
Deutschland |
Robert-Koch-Str. 7-17 |
Hardware & Software Distributor |
G DATA Software AG |
Deutschland |
Königsallee 178 |
Sicherheitslösungen |
Tech Data GmbH & Co. OHG |
Deutschland |
Kistlerhofstraße 75 |
Hardware & Software Distributor |
Microsoft |
Deutschland |
One Microsoft Way |
Hardware & Software, Cloudleistungen |
Synaxon AG |
Deutschland |
Falkenstraße 31 |
IT-Verbung, Cloudleistungen |
Anlage 4 –
Technische und organisatorische Maßnahmen nach Art: 32 DS-GVO
Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.
1. ZutrittskontrolleUnbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren
- Schließanlage
Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können
- komplexe Passwörter für den Serverzugriff und separate komplexe Passwörter zu den datenverarbeitenden Programmen
- Schutz der Arbeitsplatzrechner durch Bildschirmschoner mit Kennwort Rollenmanagement, Identifikation und Authentifikation der Benutzer
Es ist zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können
- durch regelmäßige Sicherheitsupdates der Server und der datenverarbeitenden Programme (nach dem jeweiligen Stand der Technik) stellt der Auftragnehmer sicher, dass unberechtigte Zugriffe verhindert werden
- Berechtigungsverfahren für Mitarbeiter des Auftragnehmers, Nutzer können nur gemäß den ihnen erteilten Berechtigungen auf personenbezogene Daten zugreifen
Es ist zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
- Daten, die über das Internet übertragen werden, werden nur über TLS verschlüsselte Leitungen übertragen
- werden Daten über mobile Datenträger übertragen, so sind diese mobilen Datenträger verschlüsselt, sowie die darauf befindlichen Daten zusätzlich verschlüsselt oder passwortgeschützt
5. Eingabekontrolle
Es ist zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind
- bei den Systemen, bei denen ein Eingeben, Verändern oder Entfernen durch die Mitarbeiter des Auftragnehmers möglich sind, wird eine Protokollierung der Eingaben/Änderungen durch das Protokollierungssystem des datenverarbeitenden Programms durchgeführt
Es ist zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können
- Bestellung eines Datenschutzbeauftragten wenn notwendig.
- Erfüllung der Dokumentations- und Rechenschaftspflichten, insbesondere ein Verzeichnis der Verarbeitungstätigkeiten
- schriftliche Vertragsgestaltung, insbesondere für Auftragsverarbeitung nach Art. 28 DSGVO
- ausländische Dienstleister nach Art. 45 ff. DSGVO eingebunden
- datenschutzrechtliche Regelungen/Pflichten werden an Subunternehmer weitergegeben
- formalisierte Auftragserteilung (Auftragsformulare) die mit der Auftragserfüllung betrauten Personen und Dienstleister kennen die Weisungen aus dem Vertrag und sind datenschutzrechtlich unterwiesen Kontrolle der Vertragsausführung
- regelmäßige Kontrolle der Dienstleister, insbesondere ToMs.
- dokumentierter Prozess bei Datenschutzvorfällen
- Datenschutzfolgenabschätzung bei Risikoprozessen
7. Verfügbarkeit
Es ist zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
- Unterbrechungsfreie Stromversorgung (USV) am Server
- RAID-Verfahren, Spiegeln von Festplatten im Rechenzentrum
- Backupkonzept vor Ort und extern
- Aufrufe: 4391