Nutzer der OpenProject Enterprise Cloud müssen einen Vertrag zur Auftragsverarbeitung abschließen. Das erfolgt bequem in der Administration -> DS-GVO.

Vertrag zur Auftragsverarbeitung

Stand: 08.01.2021

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO zwischen

NAME
ORGANIZATION
STREET
POST CODE/CITY
COUNTRY

- Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO, nachstehend Auftraggeber genannt -

und

OpenProject GmbH
Karl-Liebknecht-Str. 5
D-10178 Berlin
Germany

- Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DS-GVO, nachstehend Auftragnehmer genannt -

Präambel

Diese Vereinbarung zur Auftragsverarbeitung regelt die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem Leistungsvertrag nebst Produktbeschreibungen ergeben.

Produkt: OpenProject Enterprise Cloud
Kundennummer: ____
Vertragsnummer: ____
URL: ____
Vertragsdatum: ____

Sie findet Anwendung auf alle Tätigkeiten des Auftragnehmers, durch die er personenbezogene Daten im Auftrag des Auftraggebers verarbeitet. Grundsätzlich bezieht sich das auf die Bereitstellung des Produkts OpenProject Enterprise Cloud als Software-as-a-Service. Die Verarbeitung personenbezogener Daten umfasst zum einen die Daten der Benutzer von OpenProject und zum anderen die personenbezogenen Daten, die von den Benutzern in OpenProject gespeichert werden (z. B. Kommentare zu Arbeitspaketen).

Mit Abschluss dieser Vereinbarung werden alle, soweit vorhanden, zuvor geschlossenen AV-Verträge hinfällig.

§ 1 Anwendungsbereich und Verantwortlichkeit

  1. Der Gegenstand, Art und Zweck des Auftrags sind Tätigkeiten, deren Konkretisierung sich aus dem oben bezeichneten Leistungsvertrag und den zugehörigen Produktbeschreibungen ergeben.
  2. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien und/oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  3. Der Auftraggeber ist allein verantwortlich für die Beurteilung der rechtlichen Zulässigkeit der im Rahmen des Auftragsverhältnisses durchgeführten Verarbeitungen personenbezogener Daten durch den Auftragnehmer im Hinblick auf die Regelungen der Europäischen Datenschutzgrundverordnung (DS-GVO) und anderer einschlägiger Vorschriften über den Datenschutz.

§ 2 Ort der vorgesehenen Verarbeitung von Daten

Der Auftragnehmer verarbeitet durch eigenes Personal Daten nur innerhalb des EWR. Eine Verarbeitung in Drittstaaten erfolgt nur, wenn Unterauftragnehmer des Auftragnehmers eingebunden sind, die ihrerseits die ihnen zugänglich gemachte Daten außerhalb des EWR verarbeiten. Die Übersicht der Unterauftragnehmer informiert, in welchen Fällen Daten in Drittstaaten verarbeitet werden und welche Voraussetzungen nach Art. 44 ff. DS-GVO den Drittstaatentransfer legitimieren.

§ 3 Art der Daten und Kreis der Betroffenen

  1. Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien):

    • Name
    • Email-Adresse
    • Profilbild (Avatar-Bild)
    • Mobilfunknummer (optional im Falle der Nutzung der Zweifaktor-Authentifizierung)
  2. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

    • Benutzer der Anwendung
    • Personen, zu denen Benutzer Daten in der Anwendung speichern, z. B. Kunden, Mitarbeiter oder Dienstleister des Auftraggebers

§ 4 Technisch-organisatorische Maßnahmen

  1. Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Die vom Auftragnehmer ergriffenen Maßnahmen sind in der Übersicht über die technischen und organisatorischen Maßnahmen aufgeführt.
  2. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden.

§ 5 Berichtigung, Einschränkung und Löschung von Daten

  1. Der Auftragnehmer wird die Daten, die im Auftrag verarbeitet werden, nur nach Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten.
  2. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen. Das gleiche gilt auch für Test- und Ausschussmaterial. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt.

§ 6 Rechte und Pflichten des Auftraggebers

  1. Der Auftraggeber ist für alle Daten, automatisierte Verfahren und Datenverarbeitungsanlagen in seinem Zuständigkeitsbereich sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich.
  2. Der Auftraggeber hat das Recht die vom Auftragnehmer zur Verfügung gestellten technischen und organisatorischen Maßnahmen dahingehend zu überprüfen, ob diese für seine Datenverarbeitungen angemessen sind. Darüber hinausgehende Maßnahmen sind vom Auftraggeber festzulegen. Die Kosten solcher technischen und organisatorischen Maßnahmen, die aufgrund einer besonderen Anforderung des Auftraggebers im Betrieb des Auftragnehmers implementiert werden müssen, trägt der Auftraggeber.
  3. Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Ablauf der Arbeiten zu erteilen; sie sind schriftlich zu fassen. Mündliche Weisungen hat der Auftraggeber unverzüglich schriftlich zu bestätigen.

§ 7 Pflichten des Auftragnehmers

  1. Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieser Vereinbarung die gesetzlichen Pflichten gemäß Art. 28 bis 33 DS-GVO zu erfüllen; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
  2. Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten des Auftraggebers haben, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in dieser Vereinbarung zur Auftragsverarbeitung eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
  3. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO.
  4. Die Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf das zugrundeliegende Auftragsverhältnis beziehen.
  5. Auskünfte gegenüber betroffenen Personen oder Dritten, das zugrundeliegende Auftragsverhältnis betreffend, darf der Auftragnehmer nur mit Zustimmung des Auftraggebers erteilen, es sei denn er ist gesetzlich dazu verpflichtet.

§ 8 Unterauftragnehmer

  1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt z.B. als Telekommunikations-, Post- oder Transportdienstleistungen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Sicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu ergreifen.

  2. Der Auftraggeber stimmt den Unterauftragnehmern zu, die zum Zeitpunkt des Vertragsschlusses genannt sind. Der Auftragnehmer sichert zu, dass mit allen genannten Unterauftragnehmern eine Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO abgeschlossen wurde.

  3. Der Auftraggeber gestattet, dass der Auftragnehmer weitere Unterauftragnehmer beauftragen oder bisherige Unterauftragnehmer auswechseln darf, soweit:

    • der Auftragnehmer eine solche neue Unterbeauftragung dem Auftraggeber vor Beginn der Verarbeitung durch den Unterauftragnehmer in Textform, z.B. per E-Mail, anzeigt und der Auftraggeber der Unterbeauftragung nicht innerhalb von zwei Wochen in Textform widerspricht. Nach Ablauf der Widerspruchsfrist gilt die Abänderung im Sinne des Art. 28 Abs. 2 DSGVO als genehmigt.
    • Der Auftragnehmer mit dem Unterauftragnehmer eine Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO schließt.
  4. Soll ein Unterauftragnehmer in Anspruch genommen werden, der personenbezogene Daten des Auftraggebers außerhalb des Europäischen Wirtschaftsraums verarbeitet, ist das nur gestattet, wenn die Vorgaben zum internationalen Datentransfer nach Art. 44 ff. DS-GVO eingehalten werden. Das ist insbesondere der Fall, wenn die Verarbeitung in einem Land erfolgt, dessen Datenschutzniveau von der EU-Kommission nach Art. 45 DS-GVO als angemessen anerkannt worden ist. Außerdem ist ein Datentransfer rechtmäßig, wenn mit dem Empfänger EU-Standarddatenschutzklauseln abgeschlossen wurden.

  5. Der Auftragnehmer wird die Einhaltung der datenschutzrechtlichen Anforderungen beim Unterauftragnehmer regelmäßig überprüfen. Es ist vertraglich zu regeln, dass der Unterauftragsverarbeiter diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat. Der Auftraggeber ist berechtigt, auf Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.

  6. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer ist erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

§ 9 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber hat das Recht nach angemessener Vorankündigung Überprüfungen durchführen zu lassen. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer wird dem Auftraggeber nach vorheriger Terminvereinbarung Zugang zu Grundstücken und Geschäftsräumen des Auftragnehmers während der vor Ort üblichen Betriebs- und Geschäftszeiten gewähren. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
  2. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO; die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO; aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter); eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. nach BSI-Grundschutz).

§ 10 Mitteilung bei Verstößen des Auftragnehmers

  1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten, Störungen, Verstöße des Auftragnehmers oder der bei ihm Beschäftigten oder von ihm beauftragten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen, mit. Dies gilt vor allem auch im Hinblick auf eventuelle gesetzliche Informationspflichten des Auftraggebers gegenüber betroffenen Personen oder Aufsichtsbehörden.

  2. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 30 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen nach Möglichkeit. Hierzu gehören insbesondere:

    • die Verpflichtung, Verletzungen personenbezogener Daten an den Auftraggeber zu melden;
    • die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber den betroffenen Personen zu unterstützen;
    • die Unterstützung des Auftraggebers bei dessen Pflichten zur Durchführung von Datenschutz-Folgenabschätzungen;
    • die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.
  3. Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33 DSGVO bestehen kann, die eine erste Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei entsprechenden Meldepflichten angemessen und fristgerecht unterstützen.

§ 11 Dauer des Auftrags

  1. Die Gültigkeit dieser Vereinbarung zur Auftragsverarbeitung (Laufzeit) entspricht der Laufzeit des Leistungsvertrages gemäß § 1. Die Geheimhaltungspflicht reicht über das Vertragsende hinaus.
  2. Die Verletzung von gesetzlichen oder vertraglichen Datenschutzbestimmungen durch den Auftragnehmer ist ein wichtiger Grund für den Auftraggeber, das in den vertraglichen Vereinbarungen des unter § 1 genannten Leistungsvertrages vorbehaltene Recht zur außerordentlichen Kündigung auszuüben.

§ 12 Salvatorische Klausel

Sollten einzelne oder mehrere Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden, so wird hierdurch die Gültigkeit der übrigen Regelungen dieser Vereinbarung nicht berührt.

§ 13 Schlussbestimmungen

  1. Änderungen oder Ergänzungen zu dieser Vereinbarung bedürfen der Schriftform.
  2. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
  3. Es gilt ausschließlich das Recht der Bundesrepublik Deutschland. Gerichtsstand für alle Streitigkeiten aus diesem oder im Zusammenhang mit diesem Vertrag ist Berlin.

§ 14 Inkrafttreten

Diese Vereinbarung tritt über das Setzen des entsprechenden Zustimmungshakens im Kundenkonto in Kraft.

Signature

Niels Lindenthal - OpenProject GmbH

Berlin, YYYY-MM-DD