ALLGEMEINE NUTZUNGSBEDINGUNGEN DATENSCHUTZ

Allgemeine Geschäftsbedingungen Datenschutz zur Auftragsverarbeitung
gemäß Art. 28 DS-GVO

 

der

ACTIWARE Infosystems GmbH
Sebrathweg 5
44149 Dortmund

– nachstehend Auftragnehmer genannt –

Als – Auftraggeber – im Rahmen dieser Vereinbarung wird der Kunde bezeichnet, der einen individuellen Kundenvertrag mit dem Auftragnehmer geschlossen hat.

 

1. Gegenstand der ANB

Gegenstand dieser ANB ist die schriftliche Vereinbarung von Datenschutzangelegenheiten beim Auftragnehmer. Sie findet Anwendung auf alle Tätigkeiten, die mit dem individuellen Kundenvertrag / Leistungsvereinbarung / Aufträge des Kunden – im Weiteren »Auftrag« genannt – in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (»Daten«) des Auftraggebers verarbeiten (»Auftragsverarbeitung«).

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich nach Maßgabe des individuellen Kundenvertrages, nach Maßgabe dieser allgemeinen Nutzungsbedingungen sowie im Rahmen von Weisungen des Auftraggebers.

 

2. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

1. Gegenstand und Dauer des Auftrags ergeben sich aus dem individuellen Dienstleistungsvertrag mit dem Kunden. Die Laufzeit dieser ANB richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieser ANB nicht darüberhinausgehende Verpflichtungen ergeben.

2. Art und Zweck der Verarbeitung ergeben sich aus dem Leistungsumfang des Kunden. Dieser umfasst den Betrieb und die Wartung für ein ganzheitliches Informations- und Handlungsmanagement, insbesondere die Bereiche Dokumentenmanagement (DMS), Enterprise Content Management (ECM), Enterprise Information Management (EIM), Enterprise-Ressource-Planning (ERP), Business Intelligence (BI), Portale. Die Pflege und Wartung der Software oder technische Support-Leistungen kann der Auftragnehmer auch per Fernzugriff erbringen. Einzelheiten zur Nutzung des Fernwartungstools sind in Anlage 3: Regelungen zur Fernwartung geregelt.

3. Welcher Kreis von Personen durch die Datenverarbeitung betroffen ist, ergibt sich aus der Vorgabe des Auftraggebers bzw. aus dem Nutzungsumfang des Auftraggebers. In der Regel sind folgende Betroffenengruppen aufzuzeigen:

a. Mitarbeiter des Auftraggebers
b. Bewerber
c. Kunden des Auftraggebers
d. Lieferanten
e. Geschäftspartner

4. Die im Rahmen der Datenverarbeitung verarbeiteten Kategorien personenbezogener Daten werden durch den Kunden bestimmt und vorgegeben. Regelmäßig umfasst die Datenverarbeitung die folgenden Kategorien personenbezogener Daten:

a. Mitarbeiterstammdaten
b. Kundenstammdaten
c. Geschäftsinformationen

5. Ort der Auftragsverarbeitung: Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jegliche Verlagerung in ein Drittland bedarf der Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.

3. Anwendungsbereich und Verantwortlichkeit

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Auftrag konkretisiert und individuell festgelegt sind.

Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO).

 

4. Verpflichtung auf die Vertraulichkeit

1. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er verpflichtet sich, sicherzustellen, dass bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz eingehalten werden. Er verpflichtet sich ferner, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen.

2. Der Auftragnehmer sichert zu, dass er bei der Verarbeitung die Vertraulichkeit streng wahren wird und die bei der auftragsgemäßen Datenverarbeitung beschäftigten Mitarbeiter schriftlich auf Vertraulichkeit verpflichtet und sie mit den für sie maßgeblichen datenschutzrechtlichen Vorschriften vertraut gemacht hat. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.

3. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

4. Der Auftragnehmer verpflichtet sich und seine Mitarbeiter, über nicht allgemein bekannte, geschäftlich relevante und bedeutsame Angelegenheiten des Auftraggebers (Geschäfts-geheimnisse) Verschwiegenheit zu wahren.

5. Der Auftraggeber verpflichtet sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datengeheimnissen des Auftragnehmers vertraulich zu behandeln.

5. Pflichten des Auftraggebers

1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

2. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.

3. Der Auftraggeber benennt dem Auftragnehmer

a. den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen,
b. die weisungsberechtigten Personen, sowie
c. den Umfang, in dem diese Personen nach b) weisungsberechtigt sind.

6. Pflichten des Auftragnehmers

1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

2. Die Weisungen werden anfänglich durch eine Anlage zum Auftrag und die bestehende Praxis festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die in dem Auftrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

3. Die Weisungsempfänger des Auftragnehmers sind in der Anlage 2 zu dieser Vereinbarung definiert.

4. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

a. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
b. Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO, die er im Auftrag eines Verantwortlichen durchführt.
c. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

Eine Änderung, Weiterentwicklung oder Anpassung der getroffenen Sicherheitsmaßnahmen an den technischen Fortschritt bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert und die Dokumentation dem Auftraggeber unaufgefordert zur Verfügung gestellt.

5. Sollten die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht mehr genügen, benachrichtigt er den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.

6. Der Auftragnehmer verwendet die vom Auftraggeber überlassenen Daten zu keinem anderen Zweck als im Dienstvertrag oder dieser ANB festgelegt. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.

7. Die Datenträger, die von Auftraggeber zur Verfügung gestellt bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden – automatisierten – Verwaltung. Eingang und Ausgang werden dokumentiert.

8. Der Auftragnehmer unterstützt, soweit vereinbart, den Auftraggeber im Rahmen seiner Möglichkeiten bei der Bearbeitung der Anfragen betroffener Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten. Für Unterstützungsleistungen, die nicht im Auftrag enthalten oder auf ein Fehlverhalten des Auftraggebers zurückzuführen sind, kann der Auftragnehmer eine Vergütung verlangen.

9. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- / Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

10. Prüfungs- und Wartungsarbeiten von mobilen Arbeitsplätzen sind unter folgenden ergänzenden Bedingungen gestattet: Der Mitarbeiter des Auftraggebers wird diese von geeigneten Standorten aus durchführen. Dabei sind immer die Aspekte der IT-Sicherheit (Technische und organisatorische
Maßnahmen – Datenschutz (TOM)) zu beachten.

11. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

7. Datenschutzbeauftrage(r) des Auftragnehmers

Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen ist:

Herr Dipl. Inform. Olaf Tenti
GDI Gesellschaft für Datenschutz und Informationssicherheit mbH
als externer Datenschutzbeauftragter
Körnerstraße 45
58095 Hagen
Tel: +49 (0) 2331 / 35 68 32-0
Fax: +49 (0) 2331 / 35 68 32-1
E-Mail: datenschutz@gdi-mbh.eu
Internet: http://gdi-mbh.eu/

Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt.

8. Anfragen betroffener Personen

1. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 23 sowie 32 bis 36 DS-GVO.

2. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet
dessen Weisungen ab.

9. Nachweismöglichkeiten der Verpflichtungen

1. Der Auftragnehmer weist dem Auftraggeber auf Verlangen die Einhaltung der in diesem Vertrag niedergelegten Pflichten, insbesondere der Einhaltung der technischen und organisatorischen Maßnahmen mit geeigneten Mitteln nach. Der Nachweis über die Umsetzung der technischen und
organisatorischen Maßnahmen kann erfolgen durch:

a. Zertifikat zum Datenschutz
b. aktuelle Berichte des Datenschutzbeauftragten

2. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber oder ein von diesem beauftragter Prüfer jederzeit nach Absprache und mindestens 21-tägiger Voranmeldung berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und Datenverarbeitungsprogramme sowie Betreten und Besichtigung der Räumlichkeiten des Auftragnehmers, welche die Leistungserbringung für den Auftraggeber betreffen. Der Auftragnehmer verpflichtet sich insoweit, dem Auftraggeber oder einem von diesem beauftragten Dritten zu diesem Zwecke Zugang zu den Firmenräumen zu gewähren.

3. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.

4. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

5. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

10. Subunternehmer (weitere Auftragsverarbeiter)

1. Mit Unterzeichnung dieses Vertrages stimmt der Auftraggeber zu, dass der Auftragnehmer Subunternehmer hinzuzieht (allgemeine schriftliche Genehmigung gem. Art. 28 Abs. 2 DS-GVO).

2. Die von dem Auftragnehmer hinzugezogenen Subunternehmer laut Anhang 1 (mit Vertragsgrundlage) zu diesen ANB gelten mit Vertragsunterzeichnung als genehmigt.

3. Änderungen (Hinzuziehung oder Ersetzung) der Subunternehmer werden durch Veröffentlichung mitgeteilt. Der Auftragnehmer kann innerhalb von 14 Tagen nach Veröffentlichung der Änderung aus wichtigem Grund widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung
zur Änderung als gegeben. Die Auftragserteilung an den Subunternehmer erfolgt erst nach Ablauf der Frist.

4. Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus dem Dienstleistungsvertrag und diesen ANB dem Subunternehmer zu übertragen. Der Auftragnehmer überzeugt sich von der Einhaltung der vertraglich zugesicherten Sicherheitsmaßnahmen nachweislich und gewissenhaft.

5. Nicht als Untervertragsverhältnisse im Sinne dieser ANB sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt (z.B. Telekommunikationsdienstleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern). Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

6. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis der EU Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.

11. Informationspflichten, Schriftformklausel, Zurückbehaltungsrecht, Rechtswahl

1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher« im Sinne der Datenschutz-Grundverordnung liegen.

2. Für Nebenabreden ist die Schriftform erforderlich.

3. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

4. Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.

5. Es gilt deutsches Recht.

12. Berichtigung, Löschung, Sperrung und Rückgabe der personenbezogenen Daten

1. Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist, und führt über die Löschung oder Berichtigung ein Protokoll.

2. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich,

a. übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien aufgrund einer Einzelbeauftragung durch den Auftraggeber oder
b. gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.

3. Sollten dem Auftragnehmer durch die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien Kosten entstehen, die der Auftragnehmer nicht zu verantworten hat, kann er eine Vergütung verlangen.

4. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart.

5. Nach Auftragsende werden auf Anforderung des Kunden sämtliche Daten, Datenträger sowie sämtliche sonstige Materialien inklusive erstellter Verarbeitungs- und Nutzungsergebnisse entweder herausgegeben oder physisch gelöscht. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber. Die Löschung bzw. Vernichtung ist zu dokumentieren.

13. Vergütung für den Auftrag im Allgemeinen

Die Vergütung wird durch den individuellen Auftrag festgelegt.

 

14. Haftung und Schadensersatz

Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

 

15. Technische und organisatorische Maßnahmen – Datenschutz (TOM)

Technische und organisatorische Maßnahmen – Datenschutz (TOM) sind in einem separaten Dokument beschrieben.

 

16. Anlage 1: Subunternehmer des Auftragnehmers

 

Name/Firma Adresse Art der Verarbeitung Kontaktdaten
Salutec GmbH Allendorfer Straße 56
35708 Haiger
Wartung der IT-Infrastruktur ms@salutec.de
ACTIWARE GmbH In der Werr 11
35719 Angelburg
Unterstützung bei Problemen michael.bender@actiware.de
jens.feuring@actiware.de
hubert.wagner@actiware.de
ACTIWARE Development GmbH

Sebrathweg 5

44149 Dortmund

Unterstützung bei Problemen mathias.herhold@actiware-development.com
ACTIWARE Schweiz GmbH

Richtistrasse 7

CH-8304 Wallisellen

Unterstützung bei Problemen heiko.schaffner@actiware.ch
ELO Digital Office GmbH

Tübinger Str. 43

70178 Stuttgart

Unterstützung bei Problemen elo-ticketsystem@elo.com
KAROS Consulting GmbH

Dresdner Straße 68/2/3/4

AT-1200 Wien

Unterstützung bei Problemen m.krausch@karos-consulting.at
Microsoft

Walter-Gropius-Straße 5

80807 München

Unterstützung bei Problemen

Betrieb Infrastruktur / O365

info@microsoft.com
free-com solutions GmbH

Brahmsplatz 7/4

A – 1040 Wien

Unterstützung bei Problemen und in Projekten office@free-com.at

Stand auf der Auflistung: 01.09.2022

 

17. Anlage 2: Weisungsempfänger beim Auftragnehmer

 

Name Kontaktdaten Position
Mathias Herhold mathias.herhold@actiware-development.com
Tel. +49 (231) 5347 250
Geschäftsführer
Sebastian Krumm sebastian.krumm@actiware-infosystems.com
Tel. +49 (6464) 9131-0
Geschäftsführer
Sascha Lindenborn sascha.lindenborn@actiware-infosystems.com
Tel. +49 (6464) 9131-0
Geschäftsführer

18. Anlage 3: Grundsätzliche Regelungen zum Fernzugriff

Beim Zugang und Zugriff mit dem Fernwartungstool auf die IT-Verarbeitungssysteme des Auftraggebers gelten folgende Vereinbarungen:

1. Der Auftraggeber und der Auftragnehmer vereinbaren, dass zur Fernwartung das vom Auftragnehmer empfohlene Fernwartungstool „TeamViewer“ genutzt wird, soweit nicht abweichende Vereinbarungen zur Fernwartung getroffen werden.

2. Die Uhrzeiten aller beteiligten Systeme (beim Auftraggeber sowie beim Auftragnehmer) sind per ntp-Protokoll (NTP=Network Time Protocol) synchronisiert.

3. Die Fernwartungs-Sitzung wird ausschließlich vom Auftraggeber initiiert.

4. Die Fernwartungs-Sitzung wird durch den Auftragnehmer protokolliert. Das Protokoll ist Bestandteil der Leistungsabrechnung.

5. Fernwartungen werden i.d.R. aus den Betriebsräumen des Auftragnehmers durchgeführt.

6. Prüfungs- und Wartungsarbeiten von mobilen Arbeitsplätzen aus sind unter folgenden ergänzenden Bedingungen gestattet:
Der Mitarbeiter des Auftragnehmers wird diese von geeigneten Standorten aus durchführen. Dabei sind immer die Aspekte der IT-Sicherheit zu beachten.

7. Jede Fernwartungs-Sitzung erfolgt verschlüsselt und mit einem Passwort. Die bei der Verschlüsselung eingesetzten Verfahren entsprechen dem Stand der Technik.

8. Dem Auftraggeber wird die Beobachtung der Fernwartungs-Sitzung ermöglicht. Wenn erforderlich, gewährt der Auftraggeber während der Fernwartungs-Sitzung weitere Zugänge oder Zugriffe auf seine IT-Systeme. Der Auftragnehmer trägt Sorge, dass der Auftraggeber die Sitzung jederzeit beenden kann.

9. Die Beschäftigten des Auftragnehmers, die die Fernwartung durchführen, sind nachweislich auf die Verschwiegenheit sowie den Datenschutz verpflichtet.

10. Daten, die dem Auftragnehmer bei der Fernwartung zur Kenntnis gelangen, werden nicht an Dritte weitergegeben. Ist eine Weitergabe erforderlich, holt der Auftragnehmer vor Weitergabe die schriftliche Freigabe des Auftraggebers ein.

11. Funktionen, die eine automatisierte Offenlegung von Daten des Auftraggebers ermöglichen, kommen nicht zum Einsatz.

12. ACTIWARE stellt Kunden für verschiedene Einsatzszenarien vorkonfigurierte Anwendungsprofile für TeamViewer, sofern verfügbar, bereit. Die Anwendungsprofile sind als Vorschläge zu verstehen, die nach bestem Wissen und Gewissen von ACTIWARE in enger Abstimmung mit dem Hersteller der TeamViewer Software erzeugt wurden.

13. Der Kunde verpflichtet sich, die Einstellungen gewissenhaft zu prüfen und die Einstellungen im Bedarfsfall anzupassen.

14. Der Kunde trägt die Verantwortung für den Schutz seiner Systeme.

15. Um die sichere Nutzung der Programme des Herstellers TeamViewer durch die Mitarbeiter der ACTIWARE zu gewährleisten, werden Richtlinien von ACTIWARE eingehalten, die die Nutzung von Sicherheitsregeln nach dem aktuellen Stand der Technik vorschreiben. Diese sind z.B. die Zwei-Faktor-Authentifizierung für die Benutzeranmeldung am jeweiligen TeamViewer Konto des Mitarbeiters.

 Stand: November 2024