» zur Startseite

Allgemeine Geschäftsbedingungen (AGB) der Instant Service Aktiengesellschaft für Immobilienbesichtigungen

Anlage 2 – Datenschutz

 

1. Gegenstand

Gegenstand der Arbeiten des AN stellt die Verarbeitung personenbezogener und Bankdaten im Auftrag des AG dar. Der AN unterwirft sich bei der Verarbeitung von Daten denselben Anforderungen, die für den AG gelten. Er hat insbesondere die einschlägigen Vorschriften des Bundesdatenschutzgesetzes (BSDG) zu beachten.

2. Rechte des AG

2.1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der AG verantwortlich.

2.2. Der AG hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Er ist jederzeit berechtigt, im Rahmen der Beauftragung Einzelweisungen zum Schutz personenbezogener Daten zu erteilen und die Einhaltung der Vorschriften über den Datenschutz und der von ihm getroffenen Weisungen zu überprüfen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

2.3. Der AG informiert den AN unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

2.4. Der AG ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des AN vertraulich zu behandeln.

2.5. Der AG ist für die Sicherheit der Daten auf dem Transportweg zum AN verantwortlich und bestimmt die Art und den Umfang der technischen und organisatorischen Sicherheitsmaßnahmen (z.B. Verschlüsselung).

2.6. Der AG legt die technischen und organisatorischen Maßnahmen zur Datensicherung im Sinne von § 9 BDSG, die bei der Verarbeitung einzuhalten sind, wie folgt fest:

  • ei der Verarbeitung personenbezogener Daten hat der AN zu gewährleisten, dass Dritte keine Möglichkeit haben, auf Daten zuzugreifen oder Kenntnis zu erlangen. Dritten ist der Zutritt mit geeigneten Maßnahmen zu verwehren (z.B. abschließbares Büro). Arbeitsplätze, an denen personenbezogene Daten verarbeitet werden, sind beim Verlassen aufgeräumt zu hinterlassen, Unterlagen mit personenbezogenen Daten sind zu verschließen.
  • IT-Geräte sind vor der Nutzung durch unbefugte Personen mit einem Passwortschutz auszustatten. Der Anmeldebildschirm muss bei Verlassen des Arbeitsplatzrechners aktiviert werden.
  • Folgende Regeln bei der Erstellung von Passwörtern sind zu beachten: Passwörter sind nirgends zu notieren und niemandem mitzuteilen. Das Passwort darf nur dem Benutzer bekannt sein. Passwörter müssen eine Mindestlänge von 8 Zeichen haben. Das Passwort ist alphanumerisch (Buchstaben und Zahlen/Zeichen mit Sonderzeichen) zu gestalten. Passwörter dürfen nicht leicht zu erraten sein. Vor- und Familiennamen oder Geburtstage sind beispielsweise nicht zur Bildung von Passwörtern geeignet. Es dürfen niemals Trivialpasswörter verwendet werden (z. B. 4711; 12345 oder andere nebeneinanderliegende Tasten). Passwörter sind spätestens alle 60 Tage bzw. bei Verdacht der Aufdeckung unverzüglich zu wechseln.
  • Der AN hat zu gewährleisten, dass Daten während ihres Transports oder der Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Dies gilt insbesondere für mobile Datenträger wie Smartphones, Laptops, Digitalkameras und Speicherkarten. Sofern möglich sind die dort gespeicherten Daten verschlüsselt zu speichern.
  • IT-Geräte sind mit Schutzsoftware zur Abwehr von unbefugten Zugriffen (Personal Firewall) und Angriffen mit Schadsoftware (z.B. Viren und Trojaner) auszustatten.
  • Die Verarbeitung personenbezogener Daten findet ausschließlich unter Einsatz der Anwendung LORA Mobile statt. Dabei können sowohl die Webanwendung als auch die LORA Mobile-App zum Einsatz kommen. Der Einsatz dritter DV-Programme ist nicht gestattet.
  • Für Fotoaufnahmen ist grundsätzlich die Kamerafunktion der LORA Mobile-App zu verwenden. Hierbei ist durch den Anwender sicherzustellen, dass bei erster Inbetriebnahme der LORA Mobile-App die Speicheroption ‚Bilder in AppContainer‘ aktiviert wird. Im Einzelfall ist die Verwendung von Digitalkameras statthaft. In diesen Einzelfällen besteht für den Anwender eine erhöhte Sorgfaltspflicht hinsichtlich der datenschutzkonformen Verarbeitung der Bildaufnahmen.
  • Digital erfasstes Bildmaterial ist unverzüglich in das zentrale Verarbeitungssystem LORA Mobile einzuspielen. Anschließend hat die Löschung etwaiger Zwischenablagen im Rahmen des Erhebungs- und Verarbeitungsprozesses (Kameraspeicher, iPad-Bildablage, Filesystem o.Ä.) gem. 4.3 zu erfolgen.
  • Mit dem Ende der Reklamationsfrist entfällt der Verarbeitungszweck der personenbezogenen Daten. Eine weitere Aufbewahrung von Daten ist somit nicht mehr statthaft. Papierhafte Unterlagen (z.B. Notizen oder Erfassungsbögen), die zum Zweck einer möglichen Reklamationsbearbeitung vorgehalten werden, sind gem. 4.3  physisch zu vernichten.

3. Pflichten des AN

3.1. Der AN verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des AG.

3.2. Der AN sichert die datenschutzkonforme Verarbeitung von personenbezogenen Daten und die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. Er stellt sicher, dass die verarbeiteten Daten von sonstigen Datenbeständen getrennt erstellt werden.

3.3. Der AN erklärt sich damit einverstanden, dass der AG jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten (insbesondere Bildmaterial).

3.4. Der AN sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der vereinbarten allgemeinen und technischen und organisatorischen Maßnahmen zu. Insbesondere wird der AN seine (innerbetriebliche) Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

3.5. Der AN unterrichtet den AG unverzüglich bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf Datenschutzverletzungen (z.B. nach § 42a BDSG), bei Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen oder sonstigen Daten des AG. Der Pflicht zur Information gegenüber der Aufsichtsbehörde und den Betroffenen nach § 42a BDSG kommt ausschließlich der AG bzw. dessen AG nach.

3.6. Der AN gewährleistet eine Protokollierung, wenn Dritte z.B. über Fernwartung auf das System des AN zugegriffen haben. Bei Störungen im Betriebsablauf, etwa bei Hard- und Softwareaustausch, hat der Auftragnehmer zu gewährleisten, dass keine Daten des AG an Dritte weitergegeben werden.

3.7. Sicherungsmaßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.

3.8. Der AN ist verpflichtet bei der Wahrung des Auskunftsrechts eines Betroffenen im Sinne des AG mitzuwirken  (Unterstützung des Auftraggebers).

3.9. Sollte der Schutz personenbezogener Daten durch Maßnahmen Dritter, etwa durch Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der AN den AG unverzüglich vor Eintritt dieser Maßnahme zu verständigen. Das Eigentum des AG (z. B. Datenträger, Arbeitskopien, Behältnisse) ist rechtzeitig zu kennzeichnen.

4. Verpflichtung zur Geheimhaltung, Zweckbindung und Löschung

4.1. Der AN ist verpflichtet, über sämtliche Tatsachen und Informationen, die er aufgrund seiner Tätigkeit für den AG erfährt, Stillschweigen zu bewahren. Das gilt insbesondere auch für Angaben von Kunden des AG, Umstände am Erfüllungsort, Betriebs- und Geschäftsgeheimnisse des AG oder seiner Kunden (z.B. Bankgeheimnis), sowie alle Informationen, die der AG als vertraulich deklariert.

4.2. Der AN und etwaige Mitarbeiter oder Subunternehmer beachten die Richtlinien des Bundesdatenschutzgesetzes (BDSG) und anderer Datenschutzvorschriften (z.B. Bankgeheimnis) und verpflichten sich und ihre Mitarbeiter gemäß § 5 BDSG. Die Verpflichtung dieser Personen auf die Wahrung des Datengeheimnisses und des Bankgeheimnisses muss vor der erstmaligen Aufnahme ihrer Tätigkeit für den AG vorgenommen sein und ist dem AG auf Verlangen mittels unterschriebenen Erklärungsformulars nachzuweisen.

4.3. Ziffer 4.2 gilt für den AG entsprechend. Vom AG dem AN zur Verfügung gestellte personenbezogene Daten werden ausschließlich zum Zwecke der ordnungsgemäßen Vertragserfüllung sowie zur Abwicklung zugrunde liegender jeweiliger Verträge genutzt. Gleiches gilt für das Erheben von Daten im Auftrag des AG. Die Verarbeitung oder Nutzung von vom AG überlassenen oder für den AG bzw. seiner Kunden erhobenen Daten zu eigenen Zwecken des AN ist in jedem Fall ausgeschlossen. Der AG unterliegt diesbezüglich den nationalen und europäischen Bestimmungen des Datenschutzes. Dies betrifft insbesondere die Einhaltung gesetzlicher Sicherheitsanforderungen zum Schutz der Daten, Nutzung der Daten im Rahmen der Zweckbestimmung sowie Löschung der Daten nach Wegfall der Zweckbestimmung. Erfolgt eine Datenlöschung beim AN hat der AN sämtliche löschbaren elektronischen Datenträger, die Daten des AG oder seiner Kunden enthalten, datenschutzgerecht und nicht wieder herstellbar zu löschen. Daten in Datenbanksystemen sind so aus der logischen Struktur zu löschen, dass die Löschung nicht rückgängig gemacht werden kann. Der AN ist verpflichtet technisch oder organisatorisch sicherzustellen, dass die Daten auch tatsächlich gelöscht werden. Papierhafte Dokumentationsunterlagen sind mindestens nach Sicherheitsstufe 3 gem. DIN 32757-1 (Streifen 2 mm oder schmaler; Partikel 4 mm x 80 mm und kleiner oder Teilchenflächen bis max. 320 mm²) vorzunehmen.

4.4. Der AN darf alle der Verschwiegenheit unterliegenden Informationen nicht ohne vorherige Zustimmung des AG speichern, zu anderen als den vereinbarten Zwecken verwenden oder Dritten zugänglich machen. Der AN gibt solche Informationen nur in dem Umfang an seine Mitarbeiter weiter, der erforderlich ist, um seine vertraglichen Verpflichtungen gegenüber dem AG zu erfüllen. Eine Weitergabe darf nur an solche Mitarbeiter erfolgen, die eine gleichlautende Geheimhaltungsverpflichtung gegenüber dem AN übernommen haben.

4.5. Diese Geheimhaltungsverpflichtung des AN endet nicht mit Beendigung der Zusammenarbeit, sondern ist zeitlich unbeschränkt.

 

Stand: 11/2016