Standard-Vereinbarung zum Datenschutz zur Auftragsverarbeitung
der
MAAS Holding GmbH
Egartenstraße 7/1
70794 Filderstadt
Deutschland
Präambel
Diese Vereinbarung ist Bestandteil der Allgemeinen Geschäftsbedingungen der MAAS Holding GmbH und seiner Tochterunternehmen („MAAS“) mit dem Kunden („Kunde“). Der Kunde hat MAAS mit den in dem in der Beauftragung näher erläuterten Dienstleistungen beauftragt („Auftrag“). Im Rahmen dieses Auftrags hat MAAS im Rahmen einer Auftragsverarbeitung auch Zugang zu personenbezogenen Daten des Kunden. Insbesondere stellt Artikel 28 der EU-Datenschutz-Grundverordnung (DS-GVO) konkrete Anforderungen an die Auftragsverarbeitung. Zur Wahrung dieser Anforderungen gilt die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird.
§ 1 Definitionen
(1) Personenbezogene Daten: Personenbezogene Daten sind alle Informationen, die sich auf eine
identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen;
als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere
mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortda-
ten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Aus-
druck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen
oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
(2) Personenbezogene Daten des Kunden: Personenbezogene Daten des Kunden sind personen-
bezogene Daten, die MAAS für den Kunden erhoben hat oder die der Kunde MAAS bereitgestellt
hat.
(3) Datenverarbeitung oder das Verarbeiten von Daten: Datenverarbeitung oder das Verarbeiten von
Daten bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang o-
der jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erhe-
ben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Verän-
derung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Ver-
breitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Ein-
schränkung, das Löschen oder die Vernichtung.
(4) Datenverarbeitung im Auftrag: Datenverarbeitung im Auftrag ist Datenverarbeitung durch MAAS
im Auftrag des Kunden (im Folgenden „Auftragsverarbeitung”).
(5) Weisung: Eine Weisung erfolgt einerseits durch die Leistungsbeschreibung im Auftrag. Diese ur-
sprüngliche Weisung durch den Auftrag kann durch den Kunden durch zusätzliche schriftliche
Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Alle Weisungen sind von
MAAS zu dokumentieren.
(6) Datenschutzvorschriften: Datenschutzvorschriften meint alle gesetzlichen Akten der Europäi-
schen Union und/oder ihrer Mitgliedstaaten (insbesondere Gesetze, Richtlinien und Verordnun-
gen) zum Schutz personenbezogener Daten.
(7) EU: Mitgliedstaaten der Europäischen Union.
§ 2 Umfang und Dauer der Verarbeitung personenbezogener Daten
(1) MAAS verarbeitet personenbezogene Daten des Kunden im Auftrag des Kundens. MAAS verar- beitet dabei personenbezogene Daten für den Kunden gemäß den folgenden Bestimmungen und gemäß Artikel 28 Absatz 3 der DS-GVO. Die Parteien können die im Auftrag festgelegten folgen- den Beschreibungen jederzeit ändern, wenn sie dies nach vernünftigem Ermessen für erforder- lich halten, um die jeweiligen Anforderungen an die DS-GVO zu erfüllen. a. Gegenstand und Dauer der Verarbeitung personenbezogener Daten sind im Auftrag fest- gelegt. b. Art und Zweck der Verarbeitung personenbezogener Daten sind im Auftrag festgelegt. c. Die Arten der zu verarbeitenden personenbezogenen Daten sind im Auftrag, gemäß der Definition der Datenkategorien in Anlage 1, festgelegt. d. Die betroffenen Personen, auf die sich die zu verarbeitenden personenbezogenen Da- ten beziehen sind im Auftrag, gemäß der Definition der Betroffenenkategorien in Anlage 2, festgelegt. (2) MAAS verarbeitet die personenbezogenen Daten des Kunden nur zum Zwecke der Erfüllung sei- ner Verpflichtungen aus dem Auftrag. (3) Wenn MAAS der Ansicht ist, das eine Anweisung des Kunden gegen die Bestimmungen des Auf- trags oder gegen die DS-GVO oder andere geltende Datenschutzbestimmungen verstößt, muss der Kunde unverzüglich informiert werden. In diesen Fällen ist MAAS berechtigt, die Ausführung der Anweisung zu unterlassen, bis sie vom Kunden geändert oder zwischen den Parteien einver- nehmlich vereinbart wurde.
§ 3 Technisch organisatorische Maßnahmen
(1) MAAS wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten
der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau ge-
währleisten. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integ-
rität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Um-
fang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete tech-
nische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.
(2) MAAS sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der allgemeinen
und technischen und organisatorischen Maßnahmen zu, die erforderlich sind, um ein den jeweils
geltenden Datenschutzvorschriften entsprechendes Datenschutzniveau bzw. Datensicherheit zu
gewährleisten. Insbesondere wird MAAS seine innerbetriebliche Organisation so gestalten, dass
sie den besonderen Anforderungen der jeweils geltenden Datenschutzvorschriften gerecht wird.
Dies beinhaltet insbesondere folgende Maßnahmen:
a. Zutrittskontrolle: Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die per-
sonenbezogenen Daten des Auftraggebers verarbeitet werden, zu verwehren.
• MAAS nutzt ausschließlich Rechenzentren und Cloud-Infrastrukturen branchenführender
Anbieter (Systemanbieter). Eigene Datenverarbeitungssysteme, außer den Arbeits-
platzsystemen, sind bei MAAS nicht installiert.
• Der Zugang zu den jeweiligen Systemanbietern unterliegt strengsten Kontrollen. Alle
Systemanbieter sind mit Überwachungs- und biometrischen Zugangskontrollsystemen
ausgestattet.
• Die Systemanbieter sind mit einer N+1-Redundanz für Strom, Netzwerk und Kühlungsinf-
rastruktur ausgestattet.
• Alle Systemanbieter sind entweder mit SOC Typ II und/oder ISO 27001 zertifiziert.
b. Zugangskontrolle: Verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt
werden können.
• Die Zugangsberechtigung zu den Datenverarbeitungsanlagen richtet sich nach dem Auf-
gabengebiet und der jeweiligen Zuständigkeit der MAAS-Mitarbeiter.
• Jeder Mitarbeiter hat einen eineindeutigen Benutzernamen, der nicht auf andere Perso-
nen übertragen werden darf.
c. Zugriffskontrolle: Dafür Sorge tragen, dass die zur Benutzung eines Datenverarbeitungs-
systems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden perso-
nenbezogenen Daten des Kunden zugreifen können, und dass personenbezogene Daten
des Kunden bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gele-
sen, kopiert, verändert oder entfernt werden können.
• MAAS nutzt die Passwortverwaltungssysteme der jeweiligen Systemanbieter. Die jeweili-
gen verwendeten Passwörter müssen dabei eine Mindestlänge, eine Mindestkomplexität
und einen Ablaufzeitraum haben und lassen keine Passwort-Wiederholungen zu.
• Die Systemanbieter haben, aufgrund ihrer Zertifizierungen, alle notwendigen Sicherheits-
vorkehrungen für einen unbefugten Zugriff im Einsatz.
d. Weitergabekontrolle: Dafür Sorge tragen, dass personenbezogene Daten des Kunden bei
der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf
Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und
dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personen-
bezogener Daten des Kunden durch Einrichtungen zur Datenübertragung vorgesehen ist.
• Die Systemanbieter haben, aufgrund ihrer Zertifizierungen, alle notwendigen Verfahren
im Einsatz um eine unbefugte Manipulation von Daten während der Übertragung oder
des Transports verhindert wird.
e. Eingabekontrolle: Dafür Sorge tragen, dass nachträglich geprüft und festgestellt werden
kann, ob und von wem personenbezogene Daten des Kunden in Datenverarbeitungssys-
teme eingegeben, verändert oder entfernt worden sind.
• Die Systemanbieter haben, aufgrund ihrer Zertifizierungen, alle notwendigen Protokoll-
verfahren im Einsatz.
• Die Protokolle sind jeweils zentral gespeichert und mit Zeitstempeln und Benutzer indi-
ziert, sodass jederzeit jegliche Datenänderung festgestellt werden kann.
f. Auftragskontrolle: Dafür Sorge tragen, dass personenbezogene Daten des Kunden, die im
Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet
werden können.
• MAAS sichert durch organisatorische Maßnahmen zu, dass personenbezogene Daten
nur entsprechend den Weisungen des Kunden verarbeitet werden.
g. Verfügbarkeitskontrolle: Dafür Sorge tragen, dass personenbezogene Daten des Kunden
gegen zufällige Zerstörung oder Verlust geschützt sind.
• Die Systemanbieter haben, aufgrund ihrer Zertifizierungen, alle notwendigen Sicherheits-
vorkehrungen im Einsatz, die im größten Maß eine zufällige Zerstörung oder den Verlust
von Daten absichern.
• Kundendaten werden mindestens einmal täglich verschlüsselt gesichert.
h. Trennbarkeit: Dafür Sorge tragen, dass zu unterschiedlichen Zwecken erhobene, personen-
bezogene Daten des Kunden getrennt verarbeitet werden können.
• MAAS gewährleistet die Datentrennung durch jeweils kundenspezifische Installationen
auf separaten VM-Servern oder als Kunden-Mandant innerhalb eines von mehreren Kun-
den genutzten Software-Systems bei den Systemanbietern (Kundenumgebung).
• Kundenumgebungen sind von anderen Kundenumgebungen zu jeder Zeit mindestens
logisch getrennt. Kunden haben keinen Zugang auf Daten anderer Kunden.
(3) Die oben beschriebenen technischen und organisatorischen Maßnahmen stellen, passend zum
ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik, die vorlie-
gende Situation bei MAAS dar.
(4) Zur Gewährleistung der datenschutzkonformen Verarbeitung werden entsprechend der Sensibili-
tät der zu schützenden Daten die technischen und organisatorischen Maßnahmen einer regelmä-
ßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit als verbindlich festgelegt.
§ 4 Rechte und Pflichten sowie Weisungsbefugnisse des Kunden
(1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die
Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der
Kunde verantwortlich. Gleichwohl ist MAAS verpflichtet, alle solche Anfragen, sofern sie erkenn-
bar ausschließlich an den Kunden gerichtet sind, unverzüglich an diesen weiterzuleiten.
(2) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwi-
schen Kunde und MAAS abzustimmen und schriftlich oder in einem dokumentierten elektroni-
schen Format festzulegen.
(3) Der Kunde erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem
dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder
in einem dokumentierten elektronischen Format zu bestätigen.
(4) Der Kunde ist berechtigt, sich vor Beginn der Verarbeitung, und sodann regelmäßig in angemes-
sener Weise, von der Einhaltung der bei MAAS getroffenen technischen und organisatorischen
Maßnahmen sowie der in dieser Vereinbarung festgelegten Verpflichtungen zu überzeugen.
(5) Der Kunde informiert MAAS unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prü-
fung der Auftragsergebnisse feststellt.
(6) Der Kunde ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von
Geschäftsgeheimnissen und Datensicherheitsmaßnahmen von MAAS vertraulich zu behandeln.
Diese Verpflichtung bleibt auch nach Beendigung des Auftrags bestehen.
§ 5 Weisungsberechtigte des Kunden, Weisungsempfänger von MAAS
(1) Der Kunde hat das Recht, entsprechend der Durchführung zur jeweiligen Leistungsvereinbarung
gemäß § 2 Abs. (1) Weisungen gegenüber MAAS zu erteilen.
(2) Mündlich erteilte Weisungen sind unverzüglich in schriftlicher Form nachzubringen. Die Weisun-
gen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewah-
ren.
(3) Weisungsberechtigte des Kunden sind im Auftrag vereinbart. Änderungen von Weisungsberech-
tigten sind MAAS unverzüglich und schriftlich mitzuteilen.
(4) Weisungsempfänger von MAAS ist ausschließlich die Geschäftsleitung von MAAS, soweit im
Auftrag keine weiteren Weisungsberechtigte vereinbart wurden.
§ 6 Pflichten von MAAS
(1) MAAS verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Verein-
barungen und nach Weisungen des Kunden, sofern er nicht zu einer anderen Verarbeitung durch
das Recht der Europäischen Union oder der Mitgliedstaaten, dem MAAS unterliegt, hierzu ver-
pflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem sol-
chen Fall teilt MAAS dem Verantwortlichen des Kunden diese rechtlichen Anforderungen vor der
Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichti-
gen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).
(2) MAAS verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine ande-
ren, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Da-
ten werden ohne Wissen des Kunden nicht erstellt.
(3) MAAS sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die
vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den
Kunden verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
(4) Datenträger, die vom Kunden stammen bzw. für den Kunden genutzt werden, werden besonders
gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.
(5) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den
Kunden, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderli-
chen Datenschutz-Folgeabschätzungen des Kunden hat MAAS im notwendigen Umfang mitzu-
wirken und den Kunden soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e
und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Kunden
weiterzuleiten.
(6) MAAS wird den Kunden unverzüglich darauf aufmerksam machen, wenn eine vom Kunden er-
teilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz
3 DS-GVO). MAAS ist berechtigt, die Durchführung der entsprechenden Weisung solange aus-
zusetzen, bis sie durch den Verantwortlichen beim Kunden nach Überprüfung bestätigt oder ge-
ändert wird.
(7) MAAS hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder
deren Verarbeitung einzuschränken, wenn der Kunde dies mittels einer Weisung verlangt und
berechtigte Interessen von MAAS dem nicht entgegenstehen.
(8) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Be-
troffenen darf MAAS nur nach vorheriger Weisung oder Zustimmung durch den Kunden erteilen.
(9) MAAS erklärt sich damit einverstanden, dass der Kunde grundsätzlich nach Terminvereinbarung
berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der
vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch
vom Kunden beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünf-
ten und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme
sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).
(10) MAAS sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.
(11) MAAS bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen
Vorschriften der DS-GVO bekannt sind.
(12) Er verpflichtet sich, auch folgende für den Auftrag relevanten Geheimnisschutzregeln zu beach-
ten, die dem Kunden obliegen:
a. Fernmeldegeheimnis
b. Sozialgeheimnis
c. Berufsgeheimnisse nach § 203 StGB
(13) MAAS verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten
des Kunden die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Auftrags
fort.
(14) MAAS sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor
Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut
macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnis-
ses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29
DS-GVO). MAAS überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem
Betrieb.
(15) Der Datenschutzbeauftragte von MAAS ist:
Ralf Bergmeir
BeratungsBüro Bergmeir GbR
Am Meerbach 10
73035 Göppingen
E-Mail: ralf@bergmeir.com
Telefon: 07161-5078566
(16) Ändert sich die Bestellpflicht oder der Datenschutzbeauftragte bei MAAS, so ist dies dem Kun-
den unverzüglich und schriftlich mitzuteilen.
§ 7 Mitteilungspflichten von MAAS bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten
(1) MAAS teilt dem Kunden unverzüglich Störungen, Verstöße von MAAS oder der bei ihm beschäf-
tigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen
Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei
der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventu-
elle Melde- und Benachrichtigungspflichten des Kunden nach Art. 33 und Art. 34 DS-GVO.
(2) MAAS sichert zu, den Kunden erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-
GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33
oder 34 DS-GVO darf MAAS für den Kunden nur nach vorheriger Weisung gemäß § 6 dieser
Vereinbarung durchführen.
§ 8 Unterauftragsverhältnisse von MAAS mit Subunternehmern
(1) Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Kunden ist MAAS nach
Art. 28 Abs. 2 DS-GVO gestattet. Anderweitige Vereinbarungen sind im Auftrag geregelt.
(2) Eine Beauftragung von Subunternehmern in Drittstaaten darf von MAAS nur erfolgen, wenn die
besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbe-
schluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
(3) MAAS hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Kunde und
MAAS auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind
die Angaben so konkret festzulegen, dass die Verantwortlichkeiten von MAAS und die des Sub-
unternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer ein-
gesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbe-
sondere muss der Kunde, oder durch von ihm beauftragte Dritte, berechtigt sein, im Bedarfsfall
angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzufüh-
ren.
(4) Verträge mit Subunternehmern müssen schriftlich abgefasst sein, was auch in einem elektroni-
schen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).
(5) Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer
die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten er-
füllt hat.
(6) MAAS haftet gegenüber dem Kunden dafür, dass der Subunternehmer den Datenschutzpflichten
nachkommt, die ihm durch die vorliegende Vereinbarung auferlegt wurde.
(7) Dieser Abschnitt gilt nicht für folgende Nebendienstleistungen: Telekommunikationsdienste,
Post- und Transportdienste sowie Wartungsdienste. MAAS ist jedoch verpflichtet, angemessene
und rechtsverbindliche Vereinbarungen mit solchen Nebendienstleistern zu treffen und geeignete
Kontrollmaßnahmen zu ergreifen, um den Datenschutz und die Datensicherheit der Kundendaten
auch für diese ausgelagerten Nebendienstleistungen zu gewähren.
§ 9 Verpflichtungen von MAAS nach Beendigung des Auftrags
(1) Gemäß Art. 28 Abs. 3 Satz 2 lit. g DS-GVO hat MAAS nach Abschluss der vertraglichen Arbeiten
sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte
Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis ste-
hen, dem Kunden auszuhändigen oder datenschutzgerecht zu löschen bzw. zu vernichten oder
vernichten zu lassen.
(2) MAAS und seine beauftragten Sublieferanten können elektronisch angefertigte Kopien von Da-
ten, auch personenbezogenen Daten, aufbewahren, die gemäß automatischer Archivierungs-
oder Sicherungsverfahren erstellt wurden und nicht isoliert gelöscht werden können. In diesen
Fällen stellt MAAS sicher, dass die personenbezogenen Daten des Kunden nicht mehr verarbei-
tet werden.
(3) Die Löschung bzw. Vernichtung sind dem Kunden mit Datumsangabe schriftlich oder in einem
dokumentierten elektronischen Format zu bestätigen.
§ 10 Haftung
(1) Grundsätzlich gelten die Bestimmungen der Haftung und das Recht auf Schadenersatz nach Art.
82 DS-GVO.
(2) MAAS haftet dem Kunden für Schäden, die MAAS, seine Mitarbeiter bzw. die von ihm mit der
Auftragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft ver-
ursachen.
(3) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach der DS-GVO oder anderen
Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen
des Auftragsverhältnisses erleidet, ist der Kunde gegenüber dem Betroffenen verantwortlich. So-
weit der Kunde zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der
Rückgriff bei MAAS vorbehalten.
§ 11 Zuständige Datenschutz Aufsichtsbehörde
(1) Die zuständige Aufsichtsbehörde für den Datenschutz von MAAS ist der Landesbeauftragte für
den Datenschutz und die Informationsfreiheit des Landes Baden-Württemberg.
Königstraße 10 a
70173 Stuttgart
Tel.: 0711/615541-0
Fax: 0711/615541-15
E-Mail: poststelle@lfdi.bwl.de
§ 12 Schlussbestimmungen
(1) Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prü-
fungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungs-
dauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.
(2) Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches For-
mat erforderlich.
(3) Sofern eine Vertragspartei weiteren Geheimnisschutzregeln unterliegt und sie dies der anderen
Vertragspartei zu Vertragsbeginn schriftlich mitteilt, ist auch diese Vertragspartei verpflichtet
diese Geheimnisschutzregeln zu beachten.
(4) Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Kunden bei
MAAS durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insol-
venz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat MAAS
den Kunden unverzüglich zu verständigen.
(5) Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Kunden
verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
(6) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der
Vereinbarung im Übrigen nicht.
Filderstadt im Mai 2021
Anlagen:
Anlage 1: Beschreibung der Datenkategorien
Anlage 2: Beschreibung der Betroffenenkategorien
Beschreibung der Datenkategorien
Beschreibung der Betroffenenkategorien
