Auftragsverarbeitungsvertrag
zwischen dem Verantwortlichen – dem bei der die Plattform registrierten Nutzer (nachfolgend „Auftraggeber“) – und dem Auftragsverarbeiter Munich General Insurance Services GmbH, Dingolfinger Str. 15, 81673 München (nachfolgend „Auftragnehmer“) – nachfolgend zusammen „Parteien“.
Präambel
Für diesen Auftragsverarbeitungsvertrag gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 (nachfolgend „DSGVO“), insbesondere des Art. 4 DSGVO.
1. Gegenstand
- Gegenstand dieses Auftragsverarbeitungsvertrags ist die Festlegung des datenschutzrechtlichen Rahmens für die vertraglichen Beziehungen zwischen den Parteien.
- Die Beschreibung des jeweiligen Auftrags mit den Angaben über Gegenstand des Auftrags, Art und Zweck der Datenverarbeitung, Art der personenbezogenen Daten sowie Kategorien der betroffenen Personen befindet sich in der Anlage unter der Ziffer 1.
- Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden oder auf sonstige Weise in dessen Auftrag verarbeitet werden.
2. Ort der Datenverarbeitung
Die vertraglich vereinbarte Verarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, sofern sich aus der Anlage nichts anderes ergibt. Vor Verlagerung der Verarbeitung in ein Drittland informiert der Auftragnehmer den Auftraggeber in Textform (bspw. per E-Mail). Der Auftraggeber kann der Änderung innerhalb von 3 Wochen ab Erhalt der Information begründet widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung als gegeben. Die Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen nach Art. 44 ff. DSGVO erfüllt sind.
3. Laufzeit
- Dieser Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Partei mit einer Frist von drei Monaten gekündigt werden. Soweit im Zeitpunkt der Kündigung noch ein oder mehrere Hauptverträge in Kraft sind, gelten die Bestimmungen dieses Vertrags bis zu deren regulärer Beendigung fort.
- Endet der Hauptvertrag, so endet automatisch auch dieser Auftragsverarbeitungsvertrag, ohne dass es einer gesonderten Kündigung bedarf.
- Der Auftraggeber kann diesen Vertrag ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrags vorliegt. Bei unerheblichen Verstößen kann der Auftraggeber eine angemessene Frist zur Abhilfe setzen; erfolgt die Abhilfe nicht rechtzeitig, ist der Auftraggeber ebenfalls zur außerordentlichen Kündigung berechtigt.
4. Weisung
- Der Auftragnehmer verarbeitet die personenbezogenen Daten nur im Rahmen der vom Auftraggeber erteilten Weisungen, es sei denn, er ist durch das Recht der EU oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
- Ändernde, aufhebende oder ergänzende Weisungen sind nur zulässig, wenn eine entsprechende neue Vereinbarung in schriftlicher Form erfolgt.
- Beide Parteien dokumentieren jede Weisung in Textform und bewahren sie für die Geltungsdauer des Vertrags und anschließend drei Jahre auf.
- Der Auftragnehmer weist den Auftraggeber unverzüglich darauf hin, wenn eine Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt, und ist berechtigt, die Ausführung auszusetzen.
5. Unterstützungspflichten des Auftragnehmers
- Der Auftragnehmer ergreift geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei der Beantwortung von Anträgen betroffener Personen nach Art. 12 bis 22 DSGVO zu unterstützen.
- Er unterstützt den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO (Sicherheit der Verarbeitung, Meldung von Verletzungen, Benachrichtigung Betroffener, Datenschutz-Folgenabschätzung, Konsultation der Aufsichtsbehörde).
- Wendet sich eine betroffene Person oder eine Aufsichtsbehörde direkt an den Auftragnehmer, informiert dieser den Auftraggeber unverzüglich und stimmt die weiteren Schritte ab.
6. Prüfungsrechte des Auftraggebers
- Der Auftragnehmer stellt dem Auftraggeber auf Anfrage alle erforderlichen Informationen zum Nachweis der Pflichten aus diesem Vertrag und Art. 28 DSGVO zur Verfügung.
- Der Auftraggeber oder von ihm beauftragte Dritte sind – grundsätzlich nach Terminvereinbarung – berechtigt, die Einhaltung der Pflichten zu überprüfen und Inspektionen vor Ort durchzuführen, in der Regel nicht häufiger als alle 12 Monate.
- Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit.
- Kontrollen werden nur im erforderlichen Umfang durchgeführt.
- Der Auftraggeber vergütet dem Auftragnehmer den angemessenen Aufwand.
- Der Nachweis kann auch durch Dokumente, Zertifikate, genehmigte Verhaltensregeln (Art. 40 DSGVO) oder Zertifizierungsverfahren (Art. 42 DSGVO) erbracht werden.
7. Datenschutzbeauftragter des Auftragnehmers
Der Datenschutzbeauftragte des Auftragnehmers ist in der Anlage unter Ziffer 2 angeführt.
8. Vertraulichkeit
- Der Auftragnehmer wahrt bei der Verarbeitung der personenbezogenen Daten die Vertraulichkeit; diese Pflicht besteht auch nach Beendigung des Vertragsverhältnisses fort.
- Der Auftragnehmer verpflichtet die eingesetzten Mitarbeiter zur Vertraulichkeit und überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.
- Auskünfte an Dritte oder Betroffene erteilt der Auftragnehmer nur nach vorheriger Zustimmung des Auftraggebers.
9. Technische und organisatorische Maßnahmen
- Der Auftragnehmer führt geeignete technische und organisatorische Maßnahmen durch, sodass die Verarbeitung im Einklang mit der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist (insb. Vertraulichkeit, Verfügbarkeit, Integrität, Belastbarkeit).
- Die in Ziffer 5 der Anlage aufgeführten Maßnahmen werden als verbindlich festgelegt.
- Die Maßnahmen können der technischen Weiterentwicklung angepasst werden, müssen aber mindestens dem vereinbarten Sicherheitsniveau entsprechen.
10. Informationspflichten und Verletzung des Schutzes personenbezogener Daten
- Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche (vermutete) Verstöße gegen diesen Vertrag oder den Schutz personenbezogener Daten.
- Er unterstützt den Auftraggeber bei Untersuchung, Schadensbegrenzung und Behebung.
- Werden die Daten durch Pfändung, Beschlagnahme, Insolvenz o. Ä. gefährdet, informiert der Auftragnehmer den Auftraggeber unverzüglich.
- Ergebnisse behördlicher Prüfungen, die diese Verarbeitung betreffen, gibt der Auftragnehmer dem Auftraggeber bekannt und stellt Mängel unverzüglich ab.
- Diese Ziffer gilt entsprechend für Unterauftragnehmer.
11. Unterauftragnehmer
- Vor Hinzuziehung oder Ersetzung von Unterauftragnehmern informiert der Auftragnehmer den Auftraggeber in Textform; dieser kann innerhalb von 3 Wochen begründet widersprechen, andernfalls gilt die Zustimmung als erteilt.
- Der Auftragnehmer stellt vertraglich sicher, dass die Regelungen dieses Vertrags auch gegenüber Unterauftragnehmern gelten.
- Eine Beauftragung in Drittstaaten erfolgt nur bei Erfüllung der Art. 44 ff. DSGVO.
- Der Auftraggeber stimmt der Beauftragung der in der Anlage unter Ziffer 3 aufgeführten Unterauftragnehmer zu.
- Der Auftragnehmer haftet gegenüber dem Auftraggeber für die Einhaltung der Pflichten der Unterauftragnehmer.
12. Löschung und Rückgabe personenbezogener Daten
- Nach Abschluss der Verarbeitungsleistungen gibt der Auftragnehmer nach Wahl des Auftraggebers alle personenbezogenen Daten zurück oder löscht sie, sofern keine gesetzliche Speicherpflicht besteht.
- Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind.
- Der Auftragnehmer bestätigt die ordnungsgemäße Vernichtung unter Datumsangabe in dokumentierter Form.
13. Haftung
- Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen für Schäden infolge schuldhaften Verhaltens gegen Datenschutzbestimmungen oder diese Vereinbarung, ebenso für seine Unterauftragnehmer.
- Die Parteien stellen sich jeweils frei, wenn eine Partei nachweist, dass sie nicht verantwortlich ist; bei Geldbußen erfolgt die Freistellung entsprechend dem jeweiligen Verantwortungsanteil.
14. Schlussbestimmungen
- Die Einrede des Zurückbehaltungsrechts (§ 273 BGB) wird hinsichtlich der verarbeiteten Daten ausgeschlossen.
- Die Anlage(n) zu diesem Vertrag sind wesentlicher Bestandteil desselben.
- Für Änderungen oder Nebenabreden ist Schriftform oder ein elektronisches Format erforderlich.
- Die Unwirksamkeit einer Bestimmung berührt die übrigen Bestimmungen nicht.
- Gerichtsstand für Streitigkeiten aus dieser Vereinbarung ist Berlin.
Anlage zum Auftragsverarbeitungsvertrag
Diese Anlage und der Auftragsverarbeitungsvertrag korrespondieren mit dem Hauptvertrag zwischen den Parteien.
1.1 Gegenstand des Auftrags: Der Auftraggeber ist gegenüber privaten und institutionellen Kunden als Versicherungsmakler tätig. die Plattform ist eine web-basierte Plattform der Munich General Insurance Services GmbH zur Digitalisierung des Vermittlungsprozesses von Versicherungen. Der Auftragnehmer übernimmt die Datenverarbeitung im Rahmen von Neuabschlüssen, Änderungen und Beendigung von Verträgen und ihrer Verwaltung sowie für die Angebotserstellung.
1.2 Art und Zweck der Datenverarbeitung:
- Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung
- Auslesen, Abfragen, Verwendung
- Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung
- Abgleich oder Verknüpfung
- Einschränkung, Löschen oder Vernichtung von Daten
Zwecke: Unterstützung bei Durchführung von Verträgen/Aufträgen; Vertrieb/Versand bzw. Erbringung von Leistungen; Betreuung von Kunden und Geschäftspartnern; ordnungsmäßige Buchführung; Rechnungsstellung; Pflege und Verwaltung von Kunden- bzw. Beschäftigtendaten; Dokumentation von Verarbeitungsschritten und Terminen; Kontaktmanagement; Kommunikation über elektronische Medien; Überwachung technischer Systeme; Einhaltung von Aufbewahrungs-/Löschfristen; Verwaltung von Berechtigungen und Lizenzen; Qualitätssicherung.
1.3 Art der Daten:
- Stammdaten: Name, Vorname, Geschlecht, Anschrift, E-Mail-Adresse, Telefon-/Mobiltelefonnummer, Personalnummern, Anwesenheit
- Daten zu beruflichen Verhältnissen: Berufsbezeichnung, beruflicher Werdegang, Betriebszugehörigkeit, Aufgaben, Tätigkeiten, Qualifikationen, Tarifgruppe
- Personal- und andere Identifikationsnummern: Personalnummer, User-ID
- Vertragsdaten: Abgeschlossene Verträge, Datum Vertragsschluss, Vertragsleistungen/Preise
- Kundenverhaltensdaten: Abgeschlossene Verträge, Nutzung der Applikationen, Geräteinformationen, IP-Adresse
- Nutzerkennungen und Zugangsdaten: Benutzername, Firmierung, Passwort, E-Mail-Adresse
1.4 Kreis der Betroffenen: Kunden und Interessenten des Auftraggebers/Verantwortlichen; Lieferanten/Dienstleister; Geschäftspartner; Gesellschafter und Organe der Gesellschaft; externe Mitarbeiter und Berater; Beschäftigte; Auszubildende und Praktikanten.
2. Datenschutzbeauftragter
PROLIANCE GmbH, www.datenschutzexperte.de, Leopoldstr. 21, 80802 München, +49 89 250039222, datenschutzbeauftragter@datenschutzexperte.de
3. Unterauftragnehmer – Zum Kreis der genehmigten Unterauftragnehmer gehören:
- 01 Zoho Corporation – Beneluxlaan 48, 3527 HT Utrecht, Niederlande; Tel.: +31 85 066 6700; CRM-System für Nutzer der Plattform; Ort der Datenverarbeitung: EU/EWR
- 02 Microsoft Ireland Limited – One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland; Tel.: +353 (1) 706-3117; Hosting von Datenbanken in der Cloud; Bereitstellung von KI-Services (Microsoft Foundry); Ort der Datenverarbeitung: EU/EWR und USA
- 03 Amazon Web Services EMEA SARL – 38 avenue John F. Kennedy, L-1855, Luxemburg; Tel.: +352 2789 0057; Hosting von Datenbanken in der Cloud; Bereitstellung von KI-Services (Amazon Bedrock); Ort der Datenverarbeitung: EU/EWR
- 04 Smart InsurTech AG – Heidestraße 8, 10557 Berlin; Tel.: +49 30 233 23 70; Online-Vergleichs- und Antragssystem für Versicherungspolicen; Ort der Datenverarbeitung: EU/EWR
- 05 NAFI GmbH – Lütmarser Straße 60, 37671 Höxter; Tel.: +49 5271 931-444; Online-Vergleichs- und Antragssystem; Ort der Datenverarbeitung: EU/EWR
- 06 Morgen & Morgen GmbH – Wickerer Weg 13, 65719 Hofheim am Taunus; Tel.: +49 6192 9962 650; Online-Vergleichs- und Antragssystem; Ort der Datenverarbeitung: EU/EWR
- 07 Thinksurance GmbH – Stephanstraße 14-16, 60313 Frankfurt am Main; Tel.: +49 69 2043695 379; Online-Vergleichs- und Antragssystem; Ort der Datenverarbeitung: EU/EWR
- 08 nepatec GmbH – Seelhorststraße 44, 30175 Hannover; Tel.: +49 511 935 946 51; Partner für rechtskonforme BiPRO-Prozesse und -Schnittstellen; Ort der Datenverarbeitung: EU/EWR
- 09 European Broker Systems GmbH – Robert-Bosch-Straße 17a, 63477 Maintal; Tel.: +49 6181 3699 326; Informationsmanagement und Prozessautomatisierung; Ort der Datenverarbeitung: EU/EWR
- 10 fb research GmbH – Prinzenstraße 16, 30159 Hannover; Tel.: +49 511 367 389-0; Online-Vergleichs- und Antragssystem; Ort der Datenverarbeitung: EU/EWR
- 11 mv-Services GmbH – Beethovenstraße 43, 60325 Frankfurt am Main; Tel.: +49 176 81119357; Service-Anbieter für Plattformen; Ort der Datenverarbeitung: EU/EWR
- 12 Mistral AI SAS – 15 rue des Halles, 75001 Paris, Frankreich; E-Mail: contact@mistral.ai; Bereitstellung von KI-Services; Ort der Datenverarbeitung: EU/EWR
- 13 Anthropic Ireland, Limited – 6th Floor, South Bank House, Barrow Street, Dublin 4, D04 TR29, Irland; E-Mail: privacy@anthropic.com; Bereitstellung von KI-Services; Ort der Datenverarbeitung: EU/EWR und USA
- 14 Qwist GmbH – Hohe Bleichen 22, 20354 Hamburg; PSD2-Schnittstelle für den Abruf von Kontodaten; Ort der Datenverarbeitung: EU/EWR
- 15 SepaHeld der d-automation gmbh – Am Erlenbuck 17, 79379 Müllheim; E-Mail: info@d-automation.de; Lastschrift-Service zur Automatisierung von SEPA-Lastschriften; Ort der Datenverarbeitung: EU/EWR
- 16 GoCardless GmbH – c/o Mindspace, Herzogspitalstraße 24, 80331 München; Service für den direkten Bankeinzug von SEPA-Lastschriften; Ort der Datenverarbeitung: EU/EWR
4. Technische und organisatorische Maßnahmen – Zur Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen werden folgende Maßnahmen verbindlich festgelegt:
5.1 Zutrittskontrolle – Pforte/Empfang; abschließbare Räume; Zutritt für Mitarbeiter mit Schlüssel (Standort Berlin mit Sicherheitsschlüssel); kontrollierte Schlüsselvergabe; begleiteter Besucherempfang; ausgelagerter Serverbetrieb bei Microsoft Azure und Amazon AWS mit überprüften Sicherheitsbestimmungen; Sicherung aller Serververbindungen über Firewalls; Wegschließen nicht genutzter Hardware und Papierakten.
5.2 Zugangs- und Zugriffskontrolle – dokumentierte Hardwareausgabe; Rollen- und Berechtigungskonzept; personalisierte Nutzerkonten; bedarfsgerechte Zugangsrechte; begrenzte Administratorenzahl; Login mit Benutzerkennung und Passwort; 2-Faktor-Authentifizierung; Passwortrichtlinie (mind. 14 Zeichen, Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen); automatische Bildschirmsperre nach 15 Minuten; Firewall/Virenschutz mit automatischen Updates; Freigabe nur benötigter Ports; Clean-Desk-Policy.
5.3 Eingabekontrolle – revisionssichere Protokollierung der Aktivitäten von IT-Systemen, Administratoren und Benutzern samt Kontrolle; regelmäßige Löschung der Protokolle; keine Adminrechte für Mitarbeiter; ausschließlich überlassene Datenträger mit Schadsoftwarecheck.
5.4 Auftragskontrolle – eindeutige Vertragsgestaltung und schriftliche Weisungen; Auswahl der Auftragsverarbeiter nach DSGVO-Konformität; vorherige Kontrolle der TOM; Vorbehalt von Vor-Ort-Kontrollen; zentrale Dokumentation aller AV-Verträge; Anforderung einer Löschbestätigung nach Auftragsende.
5.5 Trennungskontrolle – mandantenfähige Accounts; detaillierte Zugriffskonzepte; Trennung von Daten verschiedener Auftraggeber und Zwecke; Einhaltung von Löschfristen; Pseudonymisierung.
5.6 Weitergabekontrolle – WLAN mit WPA2 und Gäste-WLAN; TLS-Verschlüsselung von Datenübertragung und E-Mail-Kommunikation; keine Weitergabe auf physischem Weg; Datenträgervernichtung durch Dienstleister; Aktenvernichter an allen Standorten.
5.7 Verfügbarkeit und Belastbarkeit – regelmäßige Backups; Notfallplan für Datenschutzverletzungen; klare Meldewege; automatische Benachrichtigung der IT-Administratoren bei Störungen.
5.8 Organisationskontrolle – bestellter Datenschutzbeauftragter; Auditierung interner Prozesse; Vertraulichkeitsverpflichtung und Schulung aller Mitarbeiter; dokumentiertes Risikomanagement; Arbeitsanweisungen (Homeoffice, Internet-/E-Mail-Nutzung, Betroffenenanfragen, Datenträger, Umgang mit Datenschutzverletzungen u. a.).
5.9 Privacy by Default und Privacy by Design – Berücksichtigung datenschutzkonformer Gestaltung beim Software-Einkauf und in der Entwicklung; datenschutzfreundliche Voreinstellungen; transparente Information der Betroffenen.
5.10 Wirksamkeitskontrolle – regelmäßige Kontrolle der Wirksamkeit der TOM, der Anti-Viren-Software und der Firewall; Penetrationstests.