Vereinbarung zur Auftragsverarbeitung

Stand 08.2019

Zwischen dem für die Verarbeitung personenbezogener Daten Verantwortlichen – nachfolgend als „Auftraggeber“ bezeichnet – und dem Auftragsverarbeiter – nachfolgend als „Auftragnehmer“ bezeichnet – wird diese Vereinbarung zur Auftragsverarbeitung (ADV) geschlossen.

Inhaltsverzeichnis

1. Gegenstand und Dauer des Auftrags
2. Art und Umfang des Auftrags
3. Technische und organisatorische Maßnahme
4. Berichtigung, Einschränkung und Löschung von Daten
5. Unterauftragsverhältnisse
6. Kontrollbefugnisse
7. Mitteilung bei Verstößen
8. Weisungsbefugnis des Auftraggebers
9. Löschung und Rückgabe von Daten

1. Gegenstand

Die Vereinbarung zur Auftragsverarbeitung wird geschlossen und beginnt mit der Nutzung unserer Dienste und der insoweit Registrierung und Freischaltung eines Benutzerzugangs durch bzw. für den Auftraggeber zur Nutzung der Dienste des Auftragnehmers. Der Auftrag endet mit Beendigung der Nutzung oder Kündigung des Benutzerkontos.

2. Zweck, Art und Umfang des Auftrags

Der Auftraggeber beauftragt den Auftragnehmer mit der Verarbeitung von Daten. Die Verarbeitung dient im Wesentlichen dem Zweck, Datenlieferungen von Versicherungsunternehmen und ggf. weiteren Produktgebern und Plattformen an den Auftraggeber zu übermitteln. Darüber hinaus erhält der Auftraggeber einen vereinfachten Zugang zu Informationen in Extranets von Versicherungsgesellschaften oder sonstigen Produktgebern. Dazu werden personenbezogene Daten, für die der Auftraggeber gemäß Art. 4 Abs. 7 DS-GVO als Verantwortliche gilt, an den Auftragnehmer übermittelt.

Der Auftragnehmer ist berechtigt, die übermittelten personenbezogenen Daten im Rahmen einer Auftragsverarbeitung im Auftrag des Verantwortlichen zu verarbeiten. Die Übermittlung findet ausschließlich nach Weisung des Verantwortlichen statt. Der Verantwortliche hat jederzeit die Möglichkeit, die Übermittlung für die Zukunft zu unterbinden.

Der Auftrag des Auftraggebers an den Auftragnehmer im Zusammenhang mit der Nutzung der Dienste umfasst im Wesentlichen folgende personenbezogen Daten:

• Personenstammdaten von Interessenten und Kunden, die im Zusammenhang mit Versicherungs- und Finanzgeschäften in unterschiedliche Rollen wie beispielsweise Versicherungsnehmer, versicherte Person, Beitragszahler, oder Begünstigter einnehmen können,
• Kommunikationsdaten wie beispielsweise Telefonnummern und E-Mail-Adressen dieser Personen,
• Personenstammdaten von Versicherungsvermittlern einschließlich ihrer Kommunikationsdaten und Vermittlernummern sowie Geschäftsbeziehungen zu ihren Produktgebern,
• Angebots-, Antrags- und Vertragsstammdaten wie beispielsweise Information über das Bestehen von Versicherungsverträgen oder deren (erfolglose) Beantragung, Laufzeiten dieser Verträge sowie Zahlungsmodalitäten, und grundlegende Informationen über den gewählten Leistungsumfang,
• detaillierte Angaben zum Leistungsumfang zu versicherten  Gegenständen, Risiken und Personen einschließlich der Informationen zu Objekten oder Personen wie beispielsweise Angaben zur Gesundheit,
• detailierte Informationen zu Schaden- oder Leistungsfällen im Versicherungsbereich einschließlich Informationen zur Regulierung sowie der betroffenenen Personen oder beschädigten Objekten sowie alle in diesem Zusammenhang relevanten Unterlagen wie beispielsweise Fotos oder Dokumente,
• Informationen zur Historie von Kunden oder Angebots-, Antrags-, Vertrags- und Schaden-/Leitungsvorgängen,
• sämtliche Informationen und Dokumente, die im Rahmen einer Angebots- und Antragsstellung sowie während der Laufzeit eines Vertrages sowie im Schaden-/Leistungsfall vom Versicherungsunternehmen für den Versicherungsvermittler und Verbraucher erzeugt werden,
• Informationen über Provisionen sowie Zahlungs- und Abrechnungsdaten,
• Planungs- und Steuerungsdaten und
• Informationen über das Navigations- und Klickverhalten des Benutzers und seines gegebenenfalls in den Prozess involvierten Kunden bzw. Interessenten (Verbraucher).

3. Technische und organisatorische Maßnahmen

Der Auftragnehmer hat die Sicherheit gemäß Artikel 28 Abs. 3 lit. c und Artikel 32 DS-GVO insbesondere in Verbindung mit Artikel 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Artikel 32 Abs. 1 DS-GVO zu berücksichtigen.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

Der Auftragnehmer hat folgende Maßnahmen für die Realisierung der Vertraulichkeit , Integrität, Verfügbarkeit und Belastbarkeit im Sinne des Artikels 32 Abs. 1 lit. b DS-GVO sowie folgende Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung im Sinne des Artikels 32 Abs. 1 lit. d bzw. Artikel 25 Abs. 1 DS-GVO getroffen:

Zutrittskontrolle

Das Rechenzentrum des Auftragnehmers ist durch Schließsysteme für Chip-Karten gesichert. Chip-Karten werden nur an die für das Rechenzentrum berechtigten Personen ausgegeben. Elektronische Sicherheitsschlösser sind zusätzlich durch Intrusion Detection-Systeme gesichert. Besucher des Rechenzentrums dürfen das Rechenzentrum nur nach vorheriger Identifikationsprüfung und nur in Begleitung von berechtigten Personen betreten. Der Besucherausweis ist mit einem Foto ausgestattet und sichtbar zu tragen. Alle Zugänge sind videoüberwacht. Die Serverräume verfügen über Sensoren zum Aufspüren von Personen. Glasflächen bestehen aus Sicherheitsglas und sind mit Glasbruch-Sensoren ausgestattet.

Zugangskontrolle

Alle Zugänge zu den Rechnern im Rechenzentrum des Auftragnehmers sind über personalisierte Benutzerzugänge und Passworte gesichert. Eine Passwortrichtlinie sieht vor, dass alle Passwörter über eine hohe Komplexität (Zahlen, Buchstaben, Sonderzeichen, Länge, etc.) verfügen müssen. Regelmäßige und systematische Zugangsversuche von außen werden erkannt und blockiert.

Zugriffskontrolle

Alle Mitarbeiter des Auftragnehmers und des Auftraggebers erhalten einen persönlichen Benutzerzugang / Benutzerkonto und gemäß Aufgabenbeschreibungen differenzierte Berechtigungen, die von allen Systemen automatisch überprüft werden. Die Zugriffe auf das System werden technisch protokolliert.

Trennungskontrolle

Der Auftragnehmer legt für den Auftraggeber eine Benutzergruppe und für jeden Mitarbeiter ein Benutzerkonto an, das dieser Benutzergruppe zugeordnet ist. Das System stellt sicher, dass Daten eines Benutzers bzw. einer Benutzergruppe von anderen Benutzern und Gruppen anderer Auftraggeber getrennt erhoben, verarbeitet und gespeichert werden und Daten nicht zwischen unterschiedlichen Benutzern verschiedener Benutzergruppen unberechtigt übertragen werden können.

Der Zugriff über ein vom Auftraggeber eingesetztes Drittsystem unter Nutzung der technischen Schnittstellen des Auftragnehmers, erfolgt grundsätzlich unter Verwendung der Zugangsdaten für das jeweilige Benutzerkonto des Auftraggebers. Hat der Auftraggeber den Auftragnehmer und das Drittsystem bzw. den Anbieter des Systems dazu legimitiert, ohne Verwendung von Zugangsdaten auf das Benutzerkonto zuzugreifen, erfolgt der Zugriff unter Verwendung eines personalisierten Tokens. Die Vertrauensstellung des Drittsystems gegenüber dem System des Auftragnehmers erfolgt über ein sicheres Signaturverfahren und dient dem Zweck, die Zugangsdaten des Benutzerkontos nicht im Drittsystem verwalten zu müssen. Durch die Verwendung eines personengebundenen Tokens wird das Risiko einer fehlerhaften Zuordnung bei der Übermittlung minimiert.

Trennungskontrolle / Pseudonymisierung

Der Auftragnehmer legt für den Auftraggeber eine Benutzergruppe und für jeden Mitarbeiter ein Benutzerkonto an, das dieser Benutzergruppe zugeordnet ist. Das System stellt sicher, dass Daten eines Benutzers bzw. einer Benutzergruppe von anderen Benutzern und Gruppen anderer Auftraggeber getrennt erhoben, verarbeitet und gespeichert werden und Daten nicht zwischen unterschiedlichen Benutzern verschiedener Benutzergruppen unberechtigt übertragen werden können.

Darüber hinaus werden produktive System von Systemtest- bzw. Test- und Entwicklungssystemen physikalisch getrennt betrieben. Es ist sichergestellt, dass keine Übertragung von produktiven Daten in nicht-produktive Systeme erfolgen kann. Auf Systemtest-, Test- und Entwicklungsumgebungen werden nur Testdaten verarbeitet, die entweder eigens hierfür erstellt werden oder nach einer Pseudonymisierung im Sinne des Artikels 32 Abs. 1 lit. a DS-GVO bzw. Artikel 25 Abs. 1 DS-GDVO aus der produktiven Umgebung stammen, aber nicht ohne Hinzuziehung zusätzlicher Informationen spezifischen betroffenen Personen zugeordnet werden können.

Weitergabekontrolle

Alle Daten werden direkt oder indirekt verschlüsselt auf Festplatten gespeichert und sind nur über fest definierte, verschlüsselte Netzwerkverbindungen für berechtigte Benutzerzugänge erreichbar.

Eingabekontrolle

Alle Eingaben können nur durch berechtigte Benutzer des Systems und fest definierte Benutzerschnittstellen (Benutzeroberflächen, Sprachdienste oder Programmierschnittstellen) nach erfolgreicher Anmeldung vorgenommen werden. Jede Eingabe wird eindeutig und nachvollziehbar dem Benutzer zugeordnet, der sie vorgenommen hat.

Verfügbarkeitskontrolle

Alle Daten sind redundant auf mindestens zwei voneinander getrennten Rechnern in unterschiedlichen Netzwerksegmenten und verschiedenen Standorten auf jeweils mindestens zweifach gespiegelten Festplattensystemen gespeichert. Im Falle eines Rechnerausfalls übernehmen die nicht ausgefallenen Rechner unmittelbar den Betrieb. Sollten mehrere Rechner zeitgleich ausfallen, beträgt die Wiederanlauffrist des Gesamtsystems maximal 24 Stunden. Das Ausfallrisiko wird durch entsprechende Hardware-Maßnahmen wie Klimaanlagen, RAID-Systeme, Brand-, Überspannungsschutz- und automatische Löschvorrichtungen sowie USV-Anlagen minimiert. Alle Daten werden zusätzlich regelmäßig gesichert, wobei die Sicherung auf einem Backup-Server verschlüsselt abgelegt wird.

Auftragskontrolle

Alle Pflichten des Auftragnehmers sind in seinen Nutzungsbedingungen, der Datenschutzerklärung und der Vereinbarung zur Auftragsverarbeitung geregelt. Bezüglich der personenbezogenen Daten kann nur der Geschäftsführer bzw. Inhaber des Auftraggebers dem Auftragnehmer Weisungen erteilen. Der Auftraggeber kann sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden:

ER Secure GmbH
In der Knackenau 4
82031 Grünwald
Deutschland

Diese Vereinbarung und jegliche Streitigkeiten aus oder im Zusammenhang mit ihr unterliegen deutschem Recht unter Ausschluss des UN-Kaufrechts. Der ausschließliche Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist Düsseldorf.

4. Berichtigung, Einschränkung und Löschung von Daten

Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

5. Unterauftragsverhältnisse

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit (1) der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und (2) der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und (3) eine vertragliche Vereinbarung nach Maßgabe des Artikel 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.

Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU bzw. des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Eine weitere Auslagerung durch den Unterauftragnehmer ist gestattet, sofern sämtliche vertraglichen Regelungen in der Vertragskette auch dem weiteren Unterauftragnehmer auferlegt werden.

6. Kontrollbefugnisse

Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen wie z.B. dem Datenschutzbeauftragten erfolgen.

Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

7. Mitteilung bei Verstößen

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

• die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,
• die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden,
• die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen,
• die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung,
• die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

Für Unterstützungsleistungen, die nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

8. Weisungsbefugnis des Auftraggebers

Der Auftraggeber ist im Sinne DS-GVO der für die Verarbeitung von personenbezogenen Daten im Auftrag durch den Auftragnehmer verantwortlich. Für die Beurteilung der Zulässigkeit der Erhebung, Verarbeitung und Nutzung der Daten sowie für die Wahrung der Belange der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.

Der Auftraggeber erteilt alle Aufträge oder Teilaufträge textlich (E-Mail). Mündliche Weisungen sind unverzüglich textlich zu bestätigen. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

9. Löschung und Rückgabe von Daten

Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens jedoch mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.