Vereinbarung zur Auftragsverarbeitung 

nach Art. 28 Datenschutz-Grundverordnung (DSGVO) 

Diese Vereinbarung über eine Verarbeitung im Auftrag nach Art. 28 DSGVO (nachfolgend Vereinbarung) regelt die Verarbeitung personenbezogener Daten durch die objego GmbH, Luxemburger Straße 1, 45131 Essen (nachfolgend objego“) im Auftrag von Ihnen als Kunde und Auftraggeber (nachfolgend Auftraggeberim Rahmen des zwischen objego und dem Auftraggeber abgeschlossenen Hauptvertrages über die Nutzung des browserbasierten Vermieterportals (nachfolgend Hauptvertrag“). 

1. Konkretisierung der Verarbeitung im Auftrag 

    1. Art, Zweck und Gegenstand der Verarbeitung ist die Erbringung der Leistungen gemäß den Angaben im Hauptvertrag.
    2. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages. 
    3. Die Verarbeitungstätigkeiten lauten wie folgt: Kombinieren, Kopieren, Löschen, Ausblenden, Verbinden, Analysieren, Lesen, Empfangen, Senden, Freigeben, Speichern, Transformieren, Überführen, Aktualisieren
    4. In der folgenden Liste ist festgelegt, welche Kategorien betroffener Personen von der Verarbeitung betroffen sind: Mieter des Auftraggebers (falls natürliche Personen); Mietinteressenten des Auftraggebers (falls natürliche Personen); Mitarbeiter des Auftraggebers; Mitarbeiter der (potenziellen) Mieter des Auftraggebers;  Lieferanten und Geschäftspartner des Auftraggebers (falls natürliche Personen); Mitarbeiter der Lieferanten und Geschäftspartner des Auftraggebers 
    5. In der folgenden Liste ist festgelegt, welche Arten personenbezogener Daten des Auftraggebers verarbeitet werden: Personenstammnummer (Mieternummer); Name, Vorname, Kontaktdaten (z.B. Telefon-Nr., E-Mail-Adresse); Anschrift der Mieter; Geburtsdatum der Mieter ; Vertragsstammdaten der Mieter;  Vertragsabrechnungs- und Zahlungsdaten (z.B. Umlageschlüssel, Verbrauchsdaten);  Daten zu Bankkonten und Zahlungen der Mieter 

2. Weisungsrecht des Auftraggebers

  1. objego verarbeitet die personenbezogenen Daten des Auftraggebers nur nach den dokumentierten Weisungen des Auftraggebers. Dies gilt nicht, soweit objego durch zwingendes Recht zu einer anderweitigen Verarbeitung verpflichtet ist; in einem solchen Fall teilt objego dem Auftraggeber diese rechtliche Pflicht vor der Verarbeitung mit, sofern dies nicht gesetzlich verboten ist.
  2. Der Umfang der Weisungen des Auftraggebers wird durch diese Vereinbarung und den Hauptvertrag festgelegt. Der Auftraggeber kann darüber hinaus jederzeit Einzelweisungen erteilen. Soweit diese Einzelweisung über die vereinbarten Leistungen des Hauptvertrages hinausgeht, kann objego für die Umsetzung dieser Einzelweisungen eine angemessene Vergütung verlangen. Sollte objego dem Auftraggeber mitteilen, dass einer Einzelweisung, auch gegen gesonderte Vergütung nicht entsprochen werden kann, kann der Auftraggeber den Hauptvertrag und diese Vereinbarung mit einer Frist von sieben Werktagen zum Monatsende kündigen.
  3. Ist objego der Auffassung, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen verstößt, wird objego den Auftraggeber unverzüglich informieren. objego kann die Erfüllung einer solchen Weisung aussetzen, bis der Auftraggeber die Rechtmäßigkeit bestätigt oder die Weisung ändert.

3. Technische und organisatorische Maßnahmen

  1. objego und der Auftraggeber vereinbaren, dass objego die unter Anlage 1 genannten technischen und organisatorischen Maßnahmen implementieren und aufrechterhalten wird, um ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten des Auftraggebers zu gewährleisten. Der Auftraggeber bestätigt, dass diese technischen und organisatorischen Maßnahmen unter Berücksichtigung der Risiken der Verarbeitung für seine personenbezogenen Daten ein angemessenes Schutzniveau bieten.
  2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dementsprechend ist objego berechtigt, die technischen und organisatorischen Maßnahmen zu ändern, sofern dabei die Funktionalität der Leistungen und das Sicherheitsniveau durch eine solche Änderung nicht unterschritten wird.

4. Zulässigkeit der Datenverarbeitung und Betroffenenrechte

  1. Der Auftraggeber ist und bleibt für die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten (einschließlich etwaig notwendiger Einwilligungen) sowie die Wahrung der Rechte der Betroffenen (einschließlich der Informationspflichten nach Art. 13 f. DSGVO) verantwortlich.
  2. Soweit sich betroffene Personen mit Anträgen auf Betroffenenrechte (z.B. Berichtigung, Löschung, Einschränkung von personenbezogenen Daten) unmittelbar an objego wenden sollten, wird objego dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
  3. objego unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten nach Maßgabe von Ziff. 6.

5. Vertraulichkeit und Offenlegung gegenüber Dritten

  1. objego gewährleistet, dass die zur Verarbeitung der personenbezogenen Daten befugten Mitarbeiter und sonstigen Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Gleiches gilt im Hinblick auf die Verpflichtung, personenbezogene Daten des Auftraggebers ausschließlich auf dessen Weisung zu verarbeiten, es sei denn, dass objego nach zwingendem Recht zur Verarbeitung verpflichtet ist.
  2. objego verpflichtet sich, personenbezogene Daten des Auftraggebers nicht gegenüber Dritten offenzulegen, es sei denn, der Auftraggeber hat dies gestattet oder es ist gesetzlich erforderlich. Sollte eine Behörde Zugriff auf personenbezogene Daten des Auftraggebers anfordern, wird objego den Auftraggeber vor der Offenlegung entsprechend informieren, sofern dies nicht gesetzlich verboten ist.

6. Unterstützungspflichten

  1. objego unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der objego zur Verfügung stehenden Informationen bei
    1. der Sicherheit der Verarbeitung nach Art. 32 DSGVO;
    2. der Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art. 33 DSGVO;
    3. der Pflicht zur Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen nach Art. 34 DSGVO;
    4. der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, die der Auftraggeber durchführen muss. Soweit aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, gehört hierzu auch die Pflicht zur Unterstützung des Auftraggebers bei durch Durchführung einer vorherigen Konsultation der Aufsichtsbehörden nach Art. 36 DSGVO;
    5. der Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person;
  2. Für die Erbringung der unter Ziff. 6.1 genannten Unterstützungspflichten – mit Ausnahme der Pflicht zur Meldung von Datenschutzverletzungen nach Ziff. 6.1.2 und 6.1.3 – kann objego eine angemessene Vergütung verlangen.
  3. objego wird den Auftraggeber unverzüglich im Sinne von Art. 33 Abs. 2 DSGVO informieren, wenn objego Kenntnis von einer Verletzung des Schutzes personenbezogener Daten in Bezug auf die von objego vorgenommene Verarbeitung erlangt. objego wird die Verletzung des Schutzes personenbezogener Daten unverzüglich untersuchen, in Abstimmung mit dem Auftraggeber die notwendigen Abhilfemaßnahmen treffen und alle Informationen dokumentieren, sofern sich die Datenschutzverletzung im Verantwortungsbereich von objego ereignet.

7. Kontrollbefugnisse des Auftraggebers 

  1. objego stellt dem Auftraggeber auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser Vereinbarung niedergelegten Pflichten zur Verfügung. Ein solcher Nachweis kann beispielsweise erfolgen durch Vorlage von aktuellen Testaten oder Berichten unabhängiger Instanzen (z.B. Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren) oder eine geeignete Zertifizierung (z.B. ISO 27001, ISO 27017, SOC-Reports, Zertifizierungen nach Art. 42 DSGVO).
  2. Der Auftraggeber ist darüber hinaus berechtigt, sich selbst oder durch beauftragte Prüfer vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der bei objego getroffenen technischen und organisatorischen Maßnahmen und der in dieser Vereinbarung getroffenen Festlegungen, auch vor Ort, zu überzeugen, soweit dies erforderlich ist und Nachweise nach Ziff. 7.1 nicht ausreichen. Der Auftraggeber wird bei Vor-Ort-Kontrollen auf die betrieblichen Abläufe von objego Rücksicht nehmen und diese mit angemessener Vorlaufzeit von 20 Werktagen vorher anmelden. Sofern der Auftraggeber einen anderen Prüfer beauftragt, darf dieser Prüfer kein direkter Wettbewerber des Auftragsverarbeiters in Bezug auf die erbrachten Leistungen sein und muss einer Vertraulichkeitsverpflichtung unterliegen. objego ist verpflichtet, den Auftraggeber bei der Durchführung der Kontrollen in angemessenem Umfang zu unterstützen.
  3. Kontrollen bei Unterauftragsverarbeitern werden in der Kette durch objego oder durch von objego oder den Unterauftragsverarbeitern beauftragten externen Prüfern nach eigenem Ermessen wahrgenommen. Prüfberichte über diese Kontrollen werden dem Auftraggeber auf Verlangen vorgelegt, soweit sie objego vorliegen.
  4. Für die mit der Erfüllung der Pflichten aus Ziff. 7.2. und 7.3 verbundenen Kosten und Aufwände kann objego eine angemessene Vergütung verlangen.

8. Unterauftragsverarbeiter

  1. Der Auftraggeber erteilt objego die allgemeine Genehmigung, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten des Auftraggebers zu beauftragen (nachfolgend „Unterauftragsverarbeiter). Eine Liste der aktuellen Unterauftragsverarbeiter ist unter https://objego.de/unterauftragsverarbeiter/ enthalten. objego informiert den Auftraggeber über jede beabsichtigte Änderung von Unterauftragsverarbeitern bevor dieser mit der Verarbeitung personenbezogener Daten beauftragt wird. Hierzu wird die Webseite entsprechend aktualisiert; der Auftraggeber hat zudem die Möglichkeit, sich unter https://objego.de/unterauftragsverarbeiter/ per Email über geplante Veränderungen informieren zu lassen. Innerhalb eines Zeitraums von 30 Tagen nach der Information durch objego über eine beabsichtigte Änderung kann der Auftraggeber gegen die Aufnahme des neuen Unterauftragsverarbeiters Einspruch erheben. Der Einspruch des Auftraggebers darf nur aus wichtigem Grund erfolgen und muss die speziellen Gründe des Auftraggebers für den Einspruch enthalten. Falls der Auftraggeber den Unterauftragsverarbeiter innerhalb dieses Zeitraums nicht ablehnt, kann dieser mit der Verarbeitung personenbezogener Daten des Auftraggebers beauftragt werden. 
  2. Eine weitere Auslagerung durch den Unterauftragsverarbeiter (Microsoft) ist gestattet, soweit Microsoft den Auftragsverarbeiter mindestens 30 Tage vor dem geplanten Einsatz des Unter-Unterauftragsverarbeiters hierüber informiert und der Auftragsverarbeiter diesem Einsatz nicht vor Ablauf der 30 Tage widerspricht.
  3. Soweit der Auftraggeber der Beauftragung von Unterauftragnehmern zustimmt, muss objego diesem Unterauftragsverarbeiter im Wege eines Vertrages Datenschutzpflichten auferlegen, die denen in dieser Vereinbarung entsprechen. 
  4. objego haftet gegenüber dem Auftraggeber für die Einhaltung der Pflichten durch die Unterauftragsverarbeiter. 

9. Unterauftragsverarbeiter außerhalb der EU und des EWR 

  1. Falls ein Unterauftragsverarbeiter in einem Land außerhalb des Europäischen Wirtschaftsraums (EWR) ansässig ist und dieses Land nach Ansicht der Europäischen Kommission nicht über ein angemessenes Datenschutzniveau verfügt (Drittland), werden der Auftraggeber und objego zusammenarbeiten, um ein angemessenes Datenschutzniveau sicherzustellen, bevor personenbezogene Daten durch den Auftragsverarbeiter verarbeitet werden.  
  2. objego ist zur Datenverarbeitung in jedem Drittland berechtigtsofern die Voraussetzungen von Kapitel 5 der DSGVO erfüllt sind. objego darf einen Unterauftragsverarbeiter in einem Drittland aber in jedem Fall erst dann einsetzen, wenn die Voraussetzungen von Kapitel 5 der DSGVO erfüllt sind. Hierzu wird objego mit dem Unterauftragsverarbeiter ggf. EU-Standardvertragsklauseln abschließen, wie sie von der Europäischen Kommission veröffentlicht wurden. Der Auftraggeber erteilt hierzu objego seine Vollmacht, die EU-Standardvertragsklauseln in seinem Namen und Auftrag mit dem jeweiligen Unterauftragsverarbeiter abzuschließen. 

10. Rückgabe und Löschung  

Nach Kündigung oder Ablauf des Hauptvertrages oder der Verarbeitungsleistungen wird der objego alle personenbezogenen Daten nach Wahl des Auftragsgebers entweder löschen oder zurückgeben, sofern nicht durch zwingende Rechtsvorschriften etwas anderes vorgesehen ist. Hierzu vereinbaren die Parteien, dass der Auftraggeber wahlweise die Betriebskostenabrechnungen durch die PDF-Exportfunktion innerhalb der objego-App bis zum Ablauf der Laufzeit des Hauptvertrages herunterladen kann. Objego wird die personenbezogenen Daten im Übrigen drei Monate nach Ablauf des Hauptvertrages löschen. Objego wird die personenbezogenen Daten in den drei Monaten nach Ablauf des Hauptvertrages ausschließlich aufbewahren, um dem Auftraggeber eine Reaktivierung des Zugriffs auf seine personenbezogenen Daten zu ermöglichen.

11. Schlussbestimmungen 

  1. objego hat einen Datenschutzbeauftragten bestellt, der unter datenschutz@objego.de kontaktiert werden kann. Der Auftraggeber wird objego auf Anfrage jederzeit Namen und Kontaktdaten seines Datenschutzbeauftragten mitteilen. 
  2. Soweit bereits Regelungen zur Datenverarbeitung im Auftrag zwischen den Parteien bestehen, werden diese durch diese Vereinbarung ersetzt. 
  3. Im Übrigen gelten die Regelungen des Hauptvertrages, einschließlich Bestimmungen zur HaftungsbegrenzungIm Fall von Widersprüchen gehen die Regelungen dieser Vereinbarung den Regelungen im Hauptvertrag vor. 

Essen, den 10. Juli 2020

Anlage 1 – Technisch-organisatorische Maßnahmen

Vertraulichkeit (Art. 32 Abs. 1lit. b DSGVO)

Zutrittskontrollmaßnahmen

Physische Zugangsbeschränkungen für Unbefugte zu den Rechenzentren sowie den Servern in den Niederlassungen
Berechtigungsprüfung des Zutritts zu sensiblen Bereichen der Rechenzentren durch Ausweiskontrolle und Abgleich mit Listen von autorisierten Personen
Physische und organisatorische Sicherheitsmaßnahmen (Chipkartenlesegeräte, Empfang zur Registrierung) sind für nicht-öffentliche Bereiche implementiert
Besucher der Firmenzentrale erhalten sichtbar zu tragende Besucherausweise und dürfen die nicht-öffentlichen Bereiche nur in Begleitung betreten
Führen eines Schlüsselverzeichnisses für die Firmenzentrale

Implementierte Einbruchschutzmaßnahmen (Videoüberwachung, Türsicherungen, Alarmanlage mit Sicherheitsdienst)
Protokollierung der Besuche in der Firmenzentrale und in den Niederlassungen

Zugangskontrollmaßnahmen

Der Zugang zu Systemen ist nur mit individuellen Benutzernamen und Kennwörtern möglich
Der Zugang zu den Systemen ist nur einem definierten Kreis von Zugangsberechtigten möglich

Die Vergabe von Zugangsrechten erfolgt nach einem definierten Freigabeprozess
Es erfolgt eine Protokollierung der Benutzeranmeldungen und der jeweiligen Zeitpunkte

Zugriffskontrollmaßnahmen

Berechtigungsprüfungen erfolgen auf Basis eines Berechtigungskonzepts
Die Berechtigungsvergabe basiert auf dem Prinzip des „need-to-know“

Personenbezogene Daten können nur im Rahmen des Berechtigungskonzepts gelesen, kopiert, verändert oder entfernt werden
Eine Verwendung fortlaufend aktualisierter Virenschutzsoftware ist technisch sichergestellt
Eingehender E-Mail-Verkehr wird durch ein zentrales Virenschutz- und Spamfiltersystem auf Viren und Spam überprüft
Schutz der IT-Infrastruktur durch Firewalls
Passwortschutz (mindestens acht Stellen, Kombination von Buchstaben, Zahlen und Sonderzeichen, erzwungener Wechsel nach 90 Tagen)

Eine im Berechtigungskonzept umgesetzte Trennung von Abrechnungs- und Kundenstammdaten
Protokollierung von Datenänderungen

Maßnahmen zur Trennungskontrolle

Test- und Freigabeverfahren für Softwareprodukte
Trennung der Produktiv- von der Test- und Entwicklungsumgebung

Logische Trennung der Dreisystemlandschaft gemäß Berechtigungskonzept
Änderungsmanagement mit differenziertem Freigabeverfahren

Maßnahmen zur Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten erfolgt in einer Weise, dass die Daten in den unterschiedlichen Systemen nicht ohne Hinzuziehung zusätzlicher Informationen einer spezifischen betroffenen Person zugeordnet werden kön-nen, sofern dies möglich und sinnvoll ist.

Integrität (Art. 32 Abs. 1lit. b DSGVO)

Maßnahmen zur Weitergabekontrolle

Verschlüsselung/Nutzung von VPN-Tunneln bei Übertragungen
SSL-Verschlüsselung bei Web-Access
Regelung des Systemkommunikationsverkehrs (zentrale Firewall, exklusive WAN-Verbindungen mit Zugriffskontrollen), Protokollierung (Userauthentifizierung, Zeitpunkt)

Maßnahmen zur Eingabekontrolle

Systemseitig umgesetzte Plausibilitätskontrollen
Es kann nachträglich festgestellt werden, ob und von wem Kundenstammdaten in DV-Systeme eingegeben, verändert oder entfernt worden sind (Protokollierung)
Berechtigungskonzept

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1lit. b, c DSGVO)

Personenbezogene Daten sind ständig verfügbar und durch regelmäßige Datensicherungen gegen zufällige Zerstörung oder Verlust geschützt

Datensicherungskonzept (regelmäßige Back-ups: täglich, wöchentlich, monatlich), Aufbewahrungsmodalitäten der Back-ups (Safe, getrennte Brandabschnitte)
Besonders geschützte Rechenzentrumsabschnitte (bauliche Trennung, getrennte Zutrittskontrollsysteme, Brandschutzwände für alle RZ-Bereiche, Stromversorgung über zwei geographisch getrennte Anbindungen, zwei getrennte Brandfrühwarnsysteme mit Anbindung an Feuerwehrleitstelle)
Brandschutzvorrichtungen in der Firmenzentrale und in den Niederlassungen
Unterbrechungsfreie Stromversorgung
Redundante Stromzuführungen

Überwachungs- und Meldesysteme

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

Datenschutz-/Datensicherheitskonzept
Incident-Response-Management
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Auftragskontrolle

Verarbeitung nur entsprechend den dokumentierten Weisungen des Auftraggebers
Weisungen erfolgen zwischen dafür ausdrücklich bestimmten Kontaktpersonen
Konkrete Vorgaben für die Verpackung und den Versand von Dokumenten/ Gegenständen, die relevante Daten enthalten
Eingesetzte Personen sind über datenschutzrechtliche Anforderungen informiert und schriftlich auf die Vertraulichkeit nach Artt. 24, 29 und 32 Abs. 4 DSGVO verpflichtet

Unterauftragnehmer werden sorgfältig im Hinblick auf die Eignung zur Einhaltung der maßgeblichen Sicherungsvorkehrungen geprüft und schriftlich zur Einhaltung der jeweils anzuwendenden datenschutzrechtlichen Vorgaben verpflichtet.