KUHN IT GmbH

Schwabäcker 36, 73642 Welzheim

1 Vertragsdaten
2 Prüfung & Abschluss

Auftragsverarbeitungsvertrag

Bei Fragen wenden Sie sich bitte an den Auftragsverarbeiter.


Kontaktdaten des Auftraggebers
Bitte auswählen
Belgien
Bulgarien
Dänemark
Deutschland
Estland
Finnland
Frankreich
Griechenland
Irland
Island
Italien
Kroatien
Lettland
Liechtenstein
Litauen
Luxemburg
Malta
Niederlande
Norwegen
Österreich
Polen
Portugal
Rumänien
Schweden
Schweiz
Slowakei
Slowenien
Spanien
Tschechische Republik
Ungarn
Zypern
Format: ?????. Platzhalter: ? = Ziffer (0-9), # = Buchstabe (A-Z)
Vertragstext

Auftragsverarbeitung i. S. d. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)



zwischen

[[Firma]]
[[Strasse]]
[[PLZ]] [[Ort]]

- nachfolgend Auftraggeber genannt -

und

KUHN IT GmbH
Schwabäcker 36
73642 Welzheim
- nachfolgend Auftragnehmer genannt –

1. Gegenstand der Vereinbarung

(1) Der Auftragnehmer erbringt Dienstleistungen im Bereich IT (Erbringung von ASP- Dienstleistungen, Wartung und Pflege von IT-Systemen, IT-Consulting). Der genaue Umfang der Dienstleistungen für den Auftraggeber ist im entsprechenden Hauptvertrag beschrieben und vertraglich festgelegt.

(2) Diese Vereinbarung findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (»Daten«) des Auftraggebers verarbeiten.

2. Dauer und Laufzeit der Vereinbarung

(1) Die Vereinbarung ist anwendbar ab Beginn des Hauptvertrages und gilt auf unbestimmte Zeit und ersetzt alle vorherigen Vereinbarungen der Vertragsparteien zur Auftragsverarbeitung gemäß Artikel 28 DSGVO.

(2) Eine Kündigung des Hauptvertrages bewirkt automatisch eine Kündigung dieses Vertrages. Eine isolierte Kündigung dieses Vertrages ist ausgeschlossen.

3. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

Zweck der Datenverarbeitung:
Erfüllung der „IT“ Verträge und / oder Wartungs- und Instandhaltungsarbeiten an IT-Systemen und -Netzwerken, die Lieferung von für den Betrieb notwendigen Geräten, Ersatzteilen usw. sowie die Installation und Wartung von Hard- und Softwarelösungen

Art der Daten:
Jegliche Art von Bestandsdaten des Auftraggebers, die auf IT/TK-Systemen im Rahmen der Auftragsverarbeitung zugänglich sind.

Kategorien betroffener Personen
Jegliche Kategorien betroffener Personen, z.B. Kunden, Lieferanten, Interessenten, Dienstleister, Geschäftspartner, Behörden, Beschäftigte, Auszubildende, Praktikanten, Bewerber, Sonstige Dritte

Art der Datenverarbeitungen
Personenbezogene Daten können je nach Arbeitsschritt und Leistungsumfang erhoben, erfasst, organisiert / geordnet, gespeichert, angepasst/verändert, ausgelesen, abgefragt, verwendet, offengelegt, abgeglichen, verknüpft, eingeschränkt, gelöscht und vernichtet werden.

4. Anwendungsbereich und Verantwortlichkeit

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag und in seiner Leistungsbeschreibung konkretisiert sind. Der Auftraggeber legt alleine die Zwecke der Verarbeitung und die Mittel zur Verarbeitung fest. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO).

(2) Während der Ausführung der in der Leistungsvereinbarung genannten Installations- und Wartungsarbeiten kann es vorkommen, dass der Auftragnehmer, dessen Mitarbeiter und / oder Unterauftragnehmer Zugriff auf personenbezogene Daten erhalten, die mit dem betroffenen Gerät / den betroffenen Geräten, der betroffenen Software und / oder dem betroffenen Server / den betroffenen Servern verarbeitet werden. Die Verarbeitung dieser Daten ist auf das zur Ausführung der Arbeiten notwendige Maß beschränkt. Der Auftraggeber hat Sorge zu tragen, dass der Auftragnehmer, dessen Mitarbeiter und / oder Unterauftragnehmer bei Ausführung dieser Arbeiten keinen Zugriff auf personenbezogene Daten erhalten, sofern dies nicht für die Ausführung der Arbeiten erforderlich ist.

(3) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt.

Für Weisung zu nutzende Kommunikationskanäle sind Brief, das Ticketsystem des Auftragnehmers oder E-Mail. Mündliche Weisungen sind für ihre Wirksamkeit unverzüglich schriftlich oder in Textform zu bestätigen. In Anlage A zum Vertrag sind die befugten Personen zu Herausgabe und Empfang von Weisungen benannt

5. Pflichten des Auftragnehmers

(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3a DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Die technischen und organisatorische Maßnahmen sind in der Anlage B aufgelistet.

(3) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.

(4) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

(5) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

(6) Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen (Anlage A).

(7) Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

(8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer separaten, kostenpflichtigen Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.

In besonderen vom Auftraggeber zu bestimmenden Fällen erfolgt eine Aufbewahrung. Die spätere Übergabe und die Aufbewahrungsdauer, die zum Schutz der Daten seitens des Auftragsnehmers zu treffenden Schutzmaßnahmen sowie die anfallende Vergütung für die Aufbewahrung werden gesondert vereinbart, sofern sie nicht im Hauptvertrag bereits geregelt wurden.  

(9) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen.

Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber. Der Auftraggeber erhält in diesem Fall vorab ein entsprechendes Angebot.

(10) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

6. Pflichten des Auftraggebers

(1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

(2) Der Auftragnehmer handelt ausschließlich weisungsbezogen im Rahmen der DSGVO, Mittel und Zweck der Datenverarbeitung personenbezogener Daten werden ausschließlich durch den Auftraggeber festgelegt.

(3) Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt §5 Abs. 10 entsprechend.

(4) Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen (Anlage A).

7. Anfragen betroffener Personen

(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung des Auftraggebers. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

8. Prüf- und Kontrollrechte, Nachweismöglichkeiten

(1) Der Auftraggeber darf beim Auftragnehmer Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten einholen und zu diesem Zwecke Überprüfungen beim Auftragnehmer durchführen. Derartige Überprüfungen erfolgen regelmäßig durch Einholung einer Selbstauskunft beim Auftragnehmer.

(2) Der Auftragnehmer kann dem Auftraggeber die Einhaltung des Datenschutzes neben einer Selbstauskunft mittels einem vom Auftraggeber übermittelten Fragebogens auch durch Übersendung einer von einer externen Stelle (z.B. externen Datenschutzbeauftragten) testierten Konformitätsbestätigung gemäß Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO nachweisen, sofern diese nicht älter als achtzehn Monate ist. Testate bzw. Zertifizierungen müssen sich auf die technischen und organisatorischen Maßnahmen beziehen, die in dem zum Zeitpunkt der Überprüfung, durch den Auftraggeber in den jeweils aktuellen technischen und organisatorischen Maßnahmen, enthalten sind.

(3) Vor-Ort Prüf-, Zutritts- und Auskunftsrechte im Rahmen der in Art. 28 DSGVO niedergelegten Pflichten kann nur der Auftraggeber selbst durch eigene Arbeitnehmer oder durch von ihm auf eigene Kosten zu beauftragende externe Prüfer wahrnehmen. Die konkrete Person ist vorab namentlich anzukündigen. Zusätzlich ist vor der Prüfung die Unterzeichnung einer Verschwiegenheitsverpflichtung hinsichtlich der Daten anderer Kunden obligatorisch. Eine Anmeldung des externen Prüfers hat ebenfalls rechtzeitig (mindestens mit einer Vorlaufzeit von 14 Tagen) und im Rahmen ähnlicher Bürozeiten in den Betriebsräumen des Auftragnehmers ohne wesentliche Störung des Betriebsablaufs zu erfolgen.

(4) Auftraggeber hat die von ihm vorgenommene Kontrolle vor Ort und ihre Ergebnisse zeitnah (14 Tage) zu dokumentieren und die Dokumentation unverzüglich nach Erstellung dem Auftragnehmer vollständig in Kopie zu überlassen.

(5) Für die Unterstützung bei der Durchführung einer Inspektion auf Wunsch des Auftraggebers darf der Auftragsnehmer eine Vergütung verlangen. Der Aufwand einer solchen Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

(6) Der Auftragnehmer ermöglicht eine ordnungsgemäße Datenschutzkontrolle und Aufsicht durch die zuständige Aufsichtsbehörde. Insbesondere erteilt er der Aufsichtsbehörde richtig, vollständig und rechtzeitig Auskunft, duldet Prüfungen und Kontrollmaßnahmen und vollzieht Anordnungen (der Aufsichtsbehörde). Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, falls sich die Aufsichtsbehörde im Rahmen ihrer Datenschutzkontrolle und Aufsicht unmittelbar an den Auftragsverarbeiter wenden sollte.

(7) Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder, wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber erhält keinen Zugang zu Daten, Räumlichkeiten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags- Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Überprüfungszwecke sind.

9. Subunternehmer (weitere Auftragsverarbeiter)

(1) Der Auftraggeber stimmt zu, dass der Auftragnehmer Subunternehmer hinzuziehen darf. Eine Liste aller für den Auftraggeber eingesetzten Subunternehmer befindet sich in der Anlage A.

(2) Im Rahmen der Hinzuziehung neuer Subunternehmern oder bei Ersetzung bestehender Subunternehmern informiert der Auftragnehmer den Auftraggeber entsprechend. Der Auftraggeber kann der Änderung aus wichtigem Grund innerhalb von 14 Tagen gegenüber der vom Auftraggeber bezeichneten Stelle widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird dem Auftraggeber und dem Auftragnehmer ein Sonderkündigungsrecht eingeräumt.

(3) Ein zustimmungspflichtiges Subunternehmerverhältnis gemäß Absatz 2 liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten und datenschutzrechtliche Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.

10. Datenverarbeitung innerhalb der NOBIX Gruppe

(1) Der Auftragnehmer gehört zur NOBIX Systemhaus Firmengruppe der NOBIX Group GmbH, Industriestraße 18, 89423 Gundelfingen a. d. Donau, Internet: www.nobix-group.de, E-Mail: info@nobix-group.de, Tel.: +49 9073 83 800. Der Auftragnehmer ist ein von der Nobix Group GmbH direkt oder indirekt beherrschtes Unternehmen im Sinne von § 15 ff. des deutschen Aktiengesetzes.

(2) Zur Sicherstellung eines optimalen Kundenservice und einer leistungsfähigen Auftragsabwicklung setzt der Auftragnehmer im Rahmen der Leistungserbringung zentralisierte Dienste der NOBIX Firmengruppe ein. Gemäß Erwägungsgrund 48 DSGVO sind Gruppen-IT-Dienste durch eine gruppenweite Datenorganisation für eine Unternehmensgruppe von berechtigtem Interesse im Sinne von Art. 6 Abs 1 lit f DSGVO. In Übereinstimmung mit Erwägungsgrund 48 der DSGVO haben die Parteien ein berechtigtes (gemeinsames) Interesse an einer konzernweiten Datenorganisation und -verwaltung sowie am Austausch personenbezogener Daten innerhalb der Unternehmensgruppe insbesondere für interne Verwaltungs-, Service- und Kundenbetreuungszwecke.

(3) Die Unternehmen der NOBIX Firmengruppe haben einen umfassenden Gruppendatenverarbeitungsvertrag abgeschlossen, der den Schutz und die gesetzeskonforme Verarbeitung personenbezogener Daten innerhalb der Firmengruppe definiert und sicher stellt. Informationen zu den Datenverarbeitungen und dem Datenschutz innerhalb der NOBIX Systemhaus Firmengruppe sind abrufbar unter https://nobix-group.de/datenschutz/firmengruppe.

11. Haftung und Schadensersatz

Auftraggeber und Auftragnehmer haften im Außenverhältnis nach Artikel 82 Abs 1 DSGVO für materielle und immaterielle Schäden, die eine Person wegen eines Verstoßes gegen die DSGVO erleidet. Sind sowohl der Auftraggeber als auch der Auftragnehmer für einen solchen Schaden gemäss Art 82. Abs. 2 DSGVO verantwortlich, haften die Parteien im Innenverhältnis für diese Schäden entsprechend ihres Anteils an der Verantwortung. Nimmt eine Person in einem solchen Fall eine Partei ganz oder überwiegend auf Schadenersatz in Anspruch, so kann diese von der jeweils anderen Partei Freistellung oder Schadloshaltung verlangen, soweit dies ihrem Anteil an der Verantwortung entspricht.

12. Verpflichtung zur Geheimhaltung von Berufsgeheimnissen (§ 203 StGB)

(1) Gehört der Auftraggeber zu einer Gruppe, die einem Berufsgeheimnis unterliegen, so gelten zusätzlich die Bestimmungen diese Paragraphen.

(2) Dem Auftragnehmer ist in diesem Fall bewußt, dass sich Personen, die an der beruflichen Tätigkeit eines Berufsgeheimnisträgers mitwirken und unbefugt ein fremdes Geheimnis von ihm offenbaren, das ihnen bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt geworden ist, nach § 203 Abs. 4 lit 1 StGB strafbar machen.

(3) Der Auftragnehmer verpflichtet sich, über Berufsgeheimnisse des Auftraggebers Stillschweigen zu bewahren und sich nur insoweit Kenntnis von diesen Daten zu verschaffen, wie dies zur Erfüllung der ihm zugewiesenen Aufgaben erforderlich ist. Der Auftraggeber stellt sicher, dass durch die Organisation seiner Berufsgeheimnisse die mögliche Kenntnisnahme auf das Maß beschränkt wird, welches zur Erfüllung der Aufgaben des Auftragnehmers notwendig ist.

(4) Dem Auftragnehmer ist bekannt, dass er sich gemäß § 203 Abs. 4 lit 2 StGB strafbar macht, sollte er sich einer weiteren mitwirkenden Person bedienen, die ihrerseits unbefugt ein fremdes, ihr bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenes Geheimnis offenbart, und nicht dafür Sorge getragen hat, dass diese zur Geheimhaltung verpflichtet wurde.

(5) Der Auftragnehmer stellt sicher, dass alle mit der Verarbeitung von dem Berufsgeheimnis unterliegenden Daten des Auftraggebers befassten Beschäftigten und andere für den Auftragnehmer tätigen Personen (z.B. Subunternehmer), die damit befasst sind, sich in Textform dazu verpflichtet haben, die ihnen bei der Ausübung oder bei Gelegenheit ihrer Tätigkeit bekannt gewordenen Berufsgeheimnisse nicht unbefugt zu offenbaren und sie über die mögliche Strafbarkeit nach § 203 Abs. 4 StGB belehrt wurden.

13. Informationspflichten, Schriftformklausel, Rechtswahl

(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher « im Sinne der Datenschutz-Grundverordnung liegen.

(2) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3) Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.

(4) Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung
sowie datenschutzrelevante Streitigkeiten ist der Sitz des Auftragnehmers.

(5) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.


[[Ort]], 09.07.2026
gez. [[Name]] (Vertretungsberechtigter des Auftraggebers)

Welzheim, 09.07.2026
gez. Julian Kraft (Geschäftsführer, KUHN IT GmbH)

[Dieser Vertrag ist auch ohne Unterschrift gültig]
Anlage A: Details zum Auftrag
1. Liste der Befugnisse zur Erteilung und zum Empfang von Weisungen
Seitens des Auftragnehmers dürfen folgende Personen vom Auftraggeber in Bezug auf die Inhalte dieses Vertrages Weisungen entgegennehmen: Kuhn, Thilo, Geschäftsführer, +49 7182 51601 10, kuhn@kuhnit.de Kohnle, Tim, Bereichsleiter, +49 7182 51601 20, kohnle@kuhnit.de Kraft, Julian, Bereichsleiter, +49 71825 51601 21, kraft@kuhnit.de Seitens des Auftraggebers sind folgende Personen dem Auftragnehmer gegenüber in Bezug auf die Inhalte dieses Vertrages weisungsbefugt:
2. Kontaktpersonen für Datenschutzfragen
Für den Auftragnehmer: Bosch, Bernd, Externer Datenschutzbeauftragter, DATEV eG +49 (0) 172 8809561, bernd.bosch@datev.de Für den Auftraggeber:
3. Liste der Subunternehmer
Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung folgender Subunternehmer durchgeführt:
salesforce.com Germany GmbH Erika-Mann-Str. 31, 80636 München Verwaltung der Kundendaten und Kundenhistorie, Dokumentation der Vertragsanbahnung, Steuerung der Vertragsabwicklung und Kundenbetreuung (Teil der zentralisierten Dienste der NOBIX Systemhaus Firmengruppe; siehe Punkt 10 dieser Vereinbarung) NOBIX Group GmbH Industriestraße 18, 89423 Gundelfingen a. d. Donau Zentralisierte Dienste der NOBIX Systemhaus Firmengruppe siehe Punkt 10 dieser Vereinbarung. Firmengruppenweite Dienstleistungen im Rahmen interner Verwaltungs-, Service-, Kundenbetreuung- und Kommunikationszwecke. DATEV eG 90429 Nürnberg, Paumgartnerstr. 6 - 14 Rechenzentrumsdienstleistungen, Hosting, Fehleranalyse TeamViewer Germany GmbH Bahnhofsplatz 2, 73033 Göppingen Fernwartung des Kunden-Desktop zu Support-Zwecken. Hostname und IP-Adresse des Kundencomputers. Es werden darüber hinaus keine personenbezogenen Daten verarbeitet. Citrix Systems UK Ltd Chalfont Park, Building 3, SL9 OBG, Gerrards Cross, GB Rechenzentrumsleistungen, Fehleranalyse Microsoft Corporation One Microsoft Way, Redmond, WA 98052-6399 USA Rechenzentrumsleistungen, Fehleranalyse SentinelOne 444 Castro Street Suite 400, Mountain View, CA 94041 Antivirus inkl. 24h SOC-Team
Anlage B: Beim Auftragsverarbeiter umgesetzte Maßnahmen

Standardmaßnahmen

Massnahme Schutzziel Beschreibung
Zutrittskontrolle
Alarmanlage C Einsatz einer Alarmanlage
Bewegungsmelder C Bewegungsmelder
Chipkarten C Transponder-Schließsystem
Das Verhalten gegenüber Fremdpersonen ist fester Bestandteil der jährlich stattfindenden Datenschutzschulung. Bei dieser handelt es sich um eine Pflichtveranstaltung; ein Fernbleiben ist zu begründen und wird nur bei Vorliegen eines wichtigen Grundes akze C
Empfang C Besucherkontrolle am Empfang
Schließanlage C Einsatz einer Schließanlage
Schlüsselverwaltung C Schlüsselregelung mit Dokumentation der Schlüssel
Videoüberwachung C Videoüberwachung der Zugänge
Zugangskontrolle
Authentifikation mit Benutzer + Passwort C Authentifikation mit Benutzer + Passwort sowie 2-Faktor-Authentifizierung
Benutzerberechtigungen C Benbutzer sind unterschiedlichen Berechtigungsgruppen zugeordnet. Es gibt interne sowie administrative Unterteilungen.
Firewall C Einsatz von Firewalls zum Schutz des Netzwerkes
MDM C Einsatz von Mobile Device Management
Sorgfältige Personalauswahl C Sorgfältige Auswahl von Reinigungspersonal und Sicherheitspersonal
Sperren von externen Schnittstellen C Sperren von externen Schnittstellen (z.B. USB-Anschlüsse, Laufwerke, Datenträger)
Verschlüsselung von Datenträgern C Verschlüsselung von Datenträgern mit dem Stand der Technik entsprechenden Verfahren
Vorgaben zur Komplexität, Länge, Lebensdauer und Historie eines Kennwortes werden durchgesetzt. Der Benutzer wird zudem nach einer bestimmten Anzahl von Falscheingaben automatisch gesperrt. Kennwörter dürfen ferner weder den ganzen noch Teile des Kontonam C
Zugriffskontrolle
Berechtigungskonzept C Erstellen und einsatz eines Berechtigungskonzepts
Datenlöschung C Sichere Löschung von Datenträgern vor deren Wiederverwendung (z.B. durch mehrfaches Überschreiben)
Einsatz von Dienstleistern C Einsatz von Dienstleistern zur Akten- und Datenvernichtung
Passwortlichtlinien C Passwortrichtlinie inkl. Länge, Komplexität und Wechselhäufigkeit
Sichere Aufbewahrung C Sichere Aufbewahrung von Datenträgern
Verschlüsselung von Datenträgern C Verschlüsselung von Datenträgern mit dem Stand der Technik entsprechenden Verfahren
Verschlüsselung von Smartphones C Verschlüsselung von Smartphones mit dem Stand der Technik entsprechenden Verfahren
Zugriffsbefugnisse werden festgelegt und kontrolliert; dabei wird nach Daten, Programmen und Zugriffsart differenziert. Die zugreifenden Nutzer werden identifiziert. Zugriffe sowie Missbrauchsversuche werden auf einer hohen Gliederungsebene protokolliert. C
Weitergabekontrolle
Die KUHN IT GmbH inventarisiert und verschlüsselt Wechseldatenträger (z.B. USB-Sticks, externe Festplatten) . Das Unternehmen bringt die seitens der DATEV angebotene E-Mail-Verschlüsselung zum Einsatz. Die Transportwege der DATEV sind zertifikatsbasiert v C
E-Mail-Verschlüsselung C E-Mail-Verschlüsselung mit S/MIME oder PGP Verfahren (oder anderen, dem Stand der Technik entsprechenden Verfahren)
Sichere Transportbehälter C Sichere Transportbehälter und -verpackungen
SSL / TLS Verschlüsselung C Einsatz von SSL-/TLS-Verschlüsselung bei der Datenübertragung im Internet
VPN-Tunnel C Einrichtungen von VPN-Tunneln zur Einwahl ins Netzwerk von außen
Eingabekontrolle
Auftragnehmers technisch umsetzbar und angemessen ist sowie vom jeweiligen I
Personalisierte Benutzernamen I Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
Protokollierung I Protokollierung der Eingabe, Änderung und Löschung von Daten
Rechteänderungsprotokolle werden geführt, sofern und insoweit dies seitens des I
Softwarehersteller unterstützt wird. Diese Protokolldaten werden gegen Verlust oder Veränderung geschützt, sofern und insoweit dies seitens des Auftragnehmers technisch umsetzbar und angemessen ist sowie vom jeweiligen Softwarehersteller unterstützt wird. I
Zugriffsrechte I Personenbezogene Zugriffsrechte zur Nachvollziehbarkeit der Zugriffe.
Auftragskontrolle
Audits C, I, A Regelmäßige Datenschutzaudits des betrieblichen Datenschutzbeauftragten
Auswahl C, I, A Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
AV-Vertrag C, I, A Abschluss einer Vereinbarung zur Auftragsverarbeitung gem. Art. 28 DS-GVO.
Die zur Verarbeitung eingereichten Daten werden entsprechend den gesetzlichen C, I, A
DSB C, I, A Benennung eines Datenschutzbeauftragten
Eine flächendeckende Auftragskontrolle ist eingerichtet. Die konkreten Maßnahmen zur Auftragskontrolle beinhalten eine einheitliche und eindeutige Vertragsgestaltung, eine formalisierte Auftragserteilung mit Auftragsformular und die Kontrolle der Vertrags C, I, A
Laufende Überprüfung C, I, A Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten
Schulung C, I, A Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen.
Verpflichtung C, I, A Verpflichtung auf die Vertraulichkeit gem. Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO
Vorschriften nur im Rahmen der Weisungen des jeweiligen Auftraggebers verarbeitet und insbesondere auch nicht an unbefugte Dritte weitergegeben. Der Weisungsrahmen ist insbesondere durch den schriftlich geschlossenen Vertrag zur Datenverarbeitung im Auftr C, I, A
Verfügbarkeitskontrolle
Antivirensoftware A Einsatz von Antivirensoftware zum Schutz vor Malware
Auslagerung Datensicherung A Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
Backup- und Recoverykonzept A Erstellen eines Backup- & Recoverykonzepts
der Systemumgebung und dem vorhandenen Datenvolumen variieren. Aufgrund einer Lastverteilung kann eine Aussage, wann die Datensicherung im Einzelnen beginnt und endet, im Vorfeld nicht getroffen werden. Art und Weise sowie technische Realisierung der Date A
Die Datensicherung umfasst die von der KUHN IT GmbH genutzten Daten-Server und die dort abgelegten Daten. Zudem werden zusätzliche Server erfasst, die zum A
Feuerlöschgeräte A CO2 Feuerlöschgeräte in Serverräumen
Hosting weiterer Funktionen (z.B. CTI) notwendig sind. Die Datensicherung wird 3x täglich zu festen Zeiten durchgeführt. Das Zeitfenster der Datensicherung kann je nach Veränderungen der Daten oder Veränderungen im System bzw. A
IT-Notfallplan A Erstellung und Anwendung von IT-Notfallplänen
Redundante Datenhaltung A Redundante Datenhaltung (z.B. gespiegelte Festplatten, RAID 1 oder höher, gespiegelter Serverraum)
Schutzsteckdosenleisten A Schutzsteckdosenleisten in Serverräumen
Unterbrechungsfreie Stromversorgung A (USV) Unterbrechungsfreie Stromversorgung
Trennungsgebot
Die Maßnahmen der KUHN IT GmbH zur Trennungskontrolle gewährleisten C
eine getrennte Verarbeitung der zu unterschiedlichen Zwecken erhobenen Daten. Hierzu erfolgen eine Trennung nach unterschiedlichen Sachgebieten und eine logische Trennung von Daten (unternehmensinterne Daten, Kundendaten, sonstige Daten). Die verantwortli C
Logische Mandantentrennung C Logische Mandantentrennung (softwareseitig)
Physikalische Trennung der Daten C Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
Produktiv- und Testsystem C Trennung von Produktiv- und Testsystem
Pseudonymisierung
Trennung Kontaktdaten C Trennung von Kontaktdaten und anderen Daten
Trennung Stammdaten C Trennung von Kundenstammdaten und Auftragsdaten
Verschlüsselung
Speicherung C besonders Schützenswerte Daten (Passwörter, Zugangsdaten, Zertifikate) werden im aktuellen Sicherheitsstandard verschlüsselt abgespeichert.
Übertragung C Verschlüsselte Datenübertragung (E-Mailverschlüsselung nach S/Mime, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL)
Wiederherstellbarkeit
Datenwiederherstellungen A Regelmäßige und dokumentierte Datenwiederherstellungen
Notfallpläne A IT-Notfallpläne und Wiederanlaufpläne sind vorhanden
Managementsystem
Audits C, I, A Durchführung regelmäßiger interner Audits
Incident-Response-System C, I, A Incident-Response-System zur Nachvollziehbarkeit von Sicherheitsverstößen und Problemen
Managementsystem Datenschutz C, I, A Managementsystem zum Datenschutz
Softwaregestützte Tools C, I, A Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen (audatis MANAGER)
Software Voreinstellungen C, I, A Einsatz von Software mit datenschutzfreundlichen Voreinstellungen gem. (Art. 25 Abs. 2 DS-GVO)
Wir nutzen ein Datenschutzmanagementsystem (DSMS), in dem alle Maßnahmen, Verfahren, Tätigkeiten etc. im Bereich Datenschutz abgebildet werden. Das DSMS beinhaltet die wichtigsten datenschutzrechtlichen Vorgaben und eine umfassende Struktur zur Abbildung C, I, A
Unterzeichner

Unterzeichner 1

Zurück