Vertrag gemäß Artikel 28 DSGVO – Auftragsverarbeitungsvertrag

Zwischen dem „Verantwortlichen“ – und Cross ALM GmbH Helmholtzstraße 2-9 10587 Berlin – nachfolgend „Auftragsverarbeiter“ genannt –

1. Gegenstand und Dauer der Verarbeitung

Dieser Vertrag ist Bestandteil des Vertrags zwischen dem Verantwortlichen und dem Auftragsverarbeiter vom __. __. ____ (Hauptvertrag) und legt die datenschutzrechtlichen Verpflichtungen der Parteien fest, die sich aus der im Hauptvertrag vereinbarten Auftragsverarbeitung ergeben. Er gilt für alle Tätigkeiten im Zusammenhang mit dem Hauptvertrag, bei denen Mitarbeiter des Auftragsverarbeiters oder von ihm beauftragte Personen personenbezogene Daten des Verantwortlichen verarbeiten.

2. Festlegung des Gegenstands der beauftragten Datenverarbeitung

Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten und Kategorien betroffener Personen: Der Gegenstand und Zweck der Verarbeitung sind im Hauptvertrag festgelegt. Die Art der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sind in Anhang 1 zu diesem Vertrag weiter spezifiziert. Dauer der Verarbeitung: Die Dauer dieses Vertrags und die Dauer der Verarbeitung richten sich nach der Laufzeit des Hauptvertrags, es sei denn, die Bestimmungen dieses Vertrags enthalten darüber hinausgehende Verpflichtungen.

3. Umfang und Verantwortung

3.1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dies umfasst die im Hauptvertrag und gegebenenfalls in der Leistungsbeschreibung festgelegten Tätigkeiten. Innerhalb dieser vertraglichen Beziehung ist allein der Verantwortliche für die Einhaltung der gesetzlichen Datenschutzbestimmungen verantwortlich, insbesondere für die Rechtmäßigkeit der Datenübermittlung an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung („Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO). 3.2. Die Weisungen sind zunächst im Hauptvertrag festgelegt und können anschließend vom Verantwortlichen in Textform (z. B. E-Mail, Fax, Brief) an die vom Auftragsverarbeiter benannte Stelle geändert, ergänzt oder ersetzt werden (Einzelweisungen). In dringenden Fällen kann der Verantwortliche Weisungen auch mündlich erteilen. Der Verantwortliche bestätigt mündliche Weisungen unverzüglich in Textform. Weisungen, die über die im Hauptvertrag vereinbarten Leistungen hinausgehen, gelten als Änderungsverlangen. 3.3. Die Bestimmungen dieses Vertrags gelten entsprechend, wenn der Auftragsverarbeiter im Auftrag des Verantwortlichen Tests oder Wartungsarbeiten an automatisierten Verfahren oder Datenverarbeitungssystemen durchführt und ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

4. Pflichten des Auftragsverarbeiters

4.1. Der Auftragsverarbeiter darf die Daten betroffener Personen nur im Rahmen des Hauptvertrags und der Weisungen des Verantwortlichen verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Artikels 28 Abs. 3 a) DSGVO vor. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder andere Datenschutzvorschriften der EU oder der Mitgliedstaaten verstößt. Der Auftragsverarbeiter darf die Umsetzung einer solchen Weisung aussetzen, bis sie vom Verantwortlichen bestätigt oder geändert wurde. 4.2. Der Auftragsverarbeiter gestaltet seine interne Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er hat technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen implementiert und wird diese aufrechterhalten, die den Anforderungen der DSGVO entsprechen. Diese Maßnahmen müssen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten des Verantwortlichen sicherstellen. Die zu ergreifenden Maßnahmen umfassen insbesondere die in Anhang 2 zu diesem Vertrag genannten Maßnahmen. Der Verantwortliche kennt diese technischen und organisatorischen Maßnahmen und ist dafür verantwortlich, dass sie ein angemessenes Schutzniveau für die zu verarbeitenden Daten gewährleisten. Diese Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter kann alternative Maßnahmen ergreifen, sofern diese mindestens das Sicherheitsniveau der in Anhang 2 vereinbarten Maßnahmen erreichen. 4.3. Auf Anfrage unterstützt der Auftragsverarbeiter den Verantwortlichen dabei, seiner Verpflichtung zur Beantwortung von Anfragen zur Ausübung der Rechte der betroffenen Personen gemäß Kapitel III der DSGVO nachzukommen. Der Auftragsverarbeiter unterstützt den Verantwortlichen auf Anfrage zudem bei der Einhaltung der in den Artikeln 33 bis 36 DSGVO festgelegten Verpflichtungen, soweit dies unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen möglich ist. 4.4. Der Auftragsverarbeiter gewährleistet, dass die mit der Verarbeitung der Daten des Verantwortlichen befassten Mitarbeiter und andere für den Auftragsverarbeiter tätige Personen verpflichtet sind, die Daten nur gemäß den Weisungen des Verantwortlichen zu verarbeiten. Zudem gewährleistet der Auftragsverarbeiter, dass die zur Verarbeitung personenbezogener Daten berechtigten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen. Die Vertraulichkeitsverpflichtung bleibt auch nach Beendigung des Vertrags bestehen. 4.5. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten bekannt wird, die Daten des Verantwortlichen betrifft. In solchen Fällen ergreift der Auftragsverarbeiter die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und stimmt sich mit dem Verantwortlichen ab. 4.6. Der Auftragsverarbeiter verpflichtet sich, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Sicherstellung der Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d) DSGVO umzusetzen. 4.7. Nach Abschluss der Verarbeitungstätigkeiten ist der Auftragsverarbeiter verpflichtet, sämtliche personenbezogenen Daten des Verantwortlichen entweder zu löschen oder nach Wahl des Verantwortlichen zurückzugeben, sofern keine Verpflichtung zur Speicherung der personenbezogenen Daten nach EU- oder nationalem Recht besteht.

5. Pflichten des Verantwortlichen

Hier ist die vollständige Übersetzung des Vertrags mit dem ursprünglichen Code beibehalten: „`html

5. Pflichten des Verantwortlichen

5.1. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich und vollständig, wenn er Fehler oder Unregelmäßigkeiten in den Ergebnissen der Verarbeitung oder bei der Verarbeitung der Daten im Hinblick auf die Datenschutzbestimmungen feststellt. 5.2. Falls ein Betroffener Ansprüche gegen den Auftragsverarbeiter gemäß Art. 82 DSGVO geltend macht, verpflichtet sich der Verantwortliche, den Auftragsverarbeiter im Rahmen seiner Möglichkeiten bei der Abwehr der Ansprüche zu unterstützen. 5.3. Falls ein Dritter, insbesondere eine betroffene Person, wegen der Ausführung einer Weisung des Verantwortlichen gegen den Auftragsverarbeiter Ansprüche erhebt, ist der Verantwortliche verpflichtet, den Auftragsverarbeiter für den dadurch entstandenen Schaden zu entschädigen. 5.4. Der Verantwortliche benennt dem Auftragsverarbeiter eine Kontaktperson für datenschutzrelevante Fragen im Rahmen des Vertrags.

6. Kontaktperson und Datenschutzbeauftragter

Die Kontaktpersonen für Datenschutzfragen, die insbesondere zur Erteilung (seitens des Verantwortlichen) oder zum Empfang (seitens des Auftragsverarbeiters) von Weisungen und Mitteilungen berechtigt und verantwortlich sind: Verantwortlicher: Name E-Mail Auftragsverarbeiter: Ali Hamoudi: Zu verwendende Kommunikationskanäle für Weisungen: Cross ALM – Support und Helpdesk – Jira Service Management Im Falle eines Wechsels oder einer längerfristigen Nichtverfügbarkeit der Kontaktpersonen muss der Vertragspartner unverzüglich und in Textform über Nachfolger oder Vertretungen informiert werden.

7. Anfragen von betroffenen Personen

Falls eine betroffene Person den Auftragsverarbeiter mit Anfragen zur Berichtigung, Löschung oder Auskunftserteilung kontaktiert, verweist der Auftragsverarbeiter die betroffene Person an den Verantwortlichen, sofern diese als solche identifiziert werden kann. Der Auftragsverarbeiter leitet den Antrag der betroffenen Person unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter unterstützt den Verantwortlichen nach Maßgabe der getroffenen Vereinbarungen. Der Auftragsverarbeiter haftet nicht, wenn die Anfrage einer betroffenen Person vom Verantwortlichen nicht, nicht korrekt oder nicht rechtzeitig beantwortet wird.

8. Überprüfung

8.1. Falls dies durch das geltende Datenschutzrecht erforderlich ist, kann der Verantwortliche während der Laufzeit dieses Vertrags Prüfungen (einschließlich Inspektionen) durchführen, um die Einhaltung der Vertragsbedingungen durch den Auftragsverarbeiter festzustellen. Diese Prüfungen erfolgen während der üblichen Geschäftszeiten, ohne den Betriebsablauf zu beeinträchtigen, und nach vorheriger Ankündigung mit angemessener Vorlaufzeit. Der Auftragsverarbeiter kann dies vom Abschluss einer Vertraulichkeitsvereinbarung abhängig machen. Falls der vom Verantwortlichen beauftragte Prüfer in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht, hat der Auftragsverarbeiter ein Widerspruchsrecht. 8.2. Der Verantwortliche ist verpflichtet, sämtliche im Rahmen der Vertragsbeziehung, insbesondere im Zusammenhang mit durchgeführten Prüfungen, erlangten Kenntnisse über Geschäftsgeheimnisse und Maßnahmen zur Datensicherheit des Auftragsverarbeiters streng vertraulich zu behandeln.

9. Unterauftragsverhältnisse

9.1. Die vertraglich vereinbarten Leistungen oder die nachfolgend beschriebenen Teilleistungen werden unter Einbindung der folgenden Unterauftragsverarbeiter erbracht. Der Verantwortliche erklärt hierzu sein Einverständnis: Data Processing Addendum | Atlassian

Unterauftragsverarbeiter	Adresse und Land	Dienstleistungen	Garantien für Drittlandübertragungen
Atlassian Inc.	350 Bush Street, Floor 13 San Francisco, CA 94104, USA	Bereitstellung von Infrastruktur für die Entwicklung und den Betrieb von Plug-Ins/Apps für Atlassian Cloud-Services (Atlassian Forge Plattform)	EU-U.S. Data Privacy Framework (EU-U.S. DPF)

Vor der Beauftragung weiterer oder dem Austausch der oben genannten Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen in Textform. Der Verantwortliche kann innerhalb von vier Wochen nach Erhalt der Mitteilung aus wichtigen datenschutzrechtlichen Gründen in Textform widersprechen. Falls kein fristgerechter Widerspruch erfolgt, gilt die Zustimmung als erteilt. Der Auftragsverarbeiter weist ausdrücklich auf diese Frist und Form des Widerspruchs in seiner Änderungsmitteilung hin. 9.2. Falls der Auftragsverarbeiter Unteraufträge vergibt, ist er dafür verantwortlich, seine Datenschutzpflichten aus diesem Vertrag auf den Unterauftragsverarbeiter zu übertragen. Der Auftragsverarbeiter ist auf schriftliche Anfrage des Verantwortlichen verpflichtet, Informationen über den wesentlichen Inhalt der Verträge und die Umsetzung der datenschutzrelevanten Verpflichtungen der Unterauftragsverarbeiter bereitzustellen.

10. Drittlandübermittlungen

Die Parteien vereinbaren, dass der Auftragsverarbeiter, wenn er personenbezogene Daten an einen Unterauftragsverarbeiter in einem Drittland überträgt, die Anforderungen der Art. 44 ff. DSGVO einhalten muss.

11. Kostenerstattung

11.1. Soweit die Verpflichtungen aus diesem Vertrag lediglich die bereits im Hauptvertrag festgelegten Pflichten des Auftragsverarbeiters konkretisieren (z. B. Bereitstellung bestimmter technischer und organisatorischer Maßnahmen), stellt der Auftragsverarbeiter diese Leistungen kostenlos bereit. 11.2. Alle darüber hinausgehenden Aufwände des Auftragsverarbeiters im Zusammenhang mit diesem Vertrag werden vom Verantwortlichen auf Basis eines Stundensatzes von 175 EUR erstattet, insbesondere alle Aufwände im Zusammenhang mit den Verpflichtungen gemäß Abschnitt 7 dieses Vertrags. 11.3. Die Bestimmungen des Hauptvertrags gelten entsprechend für Rechnungsstellung und Zahlung.

12. Allgemeine Bestimmungen

12.1. Änderungen und Ergänzungen dieses Vertrags oder seiner Bedingungen bedürfen der Textform und eines ausdrücklichen Hinweises auf die Änderung oder Ergänzung, um wirksam zu sein. Dies gilt auch für die Aufhebung der Textformerfordernis. 12.2. Falls eine Bestimmung dieses Vertrags oder seiner Bedingungen ganz oder teilweise unwirksam ist oder der Vertrag eine unbeabsichtigte Lücke enthält, bleibt die Gültigkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Bestimmung vereinbaren die Vertragsparteien eine Regelung, die dem wirtschaftlichen Zweck der ursprünglichen Bestimmung möglichst nahekommt. 12.3. Erfüllungsort ist der Sitz des Auftragsverarbeiters. 12.4. Ist der Verantwortliche Kaufmann, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, ist der Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag Berlin. Unterschrift

• Verantwortlicher
• Auftragsverarbeiter

Anhang 1: Art der Verarbeitung, Kategorien betroffener Personen und Art der personenbezogenen Daten

Art der Verarbeitung	Speicherung von Daten in der Cloud Übertragung von Daten über das Internet Anzeigen oder Herunterladen von Daten auf Endgeräten der Geschäftspartner des Kunden
Von Apps verarbeitete Daten	1. Benutzer-Daten: Informationen wie Konto-IDs, E-Mail-Adressen und Benutzerberechtigungen. 2. Vorgangs-Daten: Details zu Jira-Vorgängen, einschließlich Zusammenfassungen, Beschreibungen, Status und benutzerdefinierten Feldern. 3. Projekt-Daten: Informationen zu Jira-Projekten, einschließlich Projektname und -schlüssel. 4. Anhang-Daten: Dateien und Dokumente, die Jira-Vorgängen angehängt sind. 5. Kommentar-Daten: Benutzerkommentare zu Jira-Vorgängen. 6. Transportanforderungs-Daten: Transport-ID, Transportbeschreibung. 7. App-Konfigurationsdaten: Zielsystem-URL, Synchronisations-Benutzeranmeldedaten.
Von Apps gespeicherte Daten Diese Daten werden in der „Forge Storage“ gespeichert und sind nur für unsere App zugänglich. Diese Daten sind nur sichtbar, wenn sie explizit freigegeben wurden (siehe unten).	App-Konfigurationsdaten: Descriptor Jira-Projekt Optional: Middleware-Pfade SAP-System-URL, SAP-System-ID, SAP-Client Synchronisations-Benutzeranmeldedaten Zugeordnete Felder, Status und Vorgangstypen Logs: Gesamtprotokoll aller von der App durchgeführten Aktionen Ein Log-Eintrag für jedes Ticket und alle für dieses Ticket ausgeführten Aktionen Individuelle Ticket-Daten: CC4 Verknüpfte SAP-Ticket-GUID Verknüpfte SAP-Ticket-ID Verknüpfte SAP-Ticket-URL CC5 Verknüpfte SAP-Transport-GUIDs Verknüpfte SAP-Transport-IDs
Daten, die für Endbenutzer sichtbar sind	Nur für Administratoren App-Konfigurationsdaten: Descriptor Jira-Projekt Optional: Middleware-Pfade SAP-System-URL, SAP-System-ID, SAP-Client Synchronisations-Benutzeranmeldedaten (nur Benutzername, Passwort wird als Geheimnis gespeichert) Zugeordnete Felder, Status und Vorgangstypen Logs: Gesamtprotokoll aller von der App durchgeführten Aktionen Für alle Nutzer der App Logs: Ein Log-Eintrag für jedes Ticket und alle für dieses Ticket ausgeführten Aktionen Individuelle Ticket-Daten: CC4 Verknüpfte SAP-Ticket-ID Verknüpfte SAP-Ticket-URL CC5 Verknüpfte SAP-Transport-IDs
Log-Attribute in der Entwicklerkonsole Atlassian bietet Entwicklern Optionen zur Überwachung von Verarbeitungsdetails bei der Nutzung der Cloud-Version der App. Vollständige Details: Entwicklerkonsole	Level: Gibt die Schwere des Log-Eintrags an (z. B. Info, Warnung, Fehler). Datum/Zeit (UTC): Der Zeitpunkt, zu dem das Log erstellt wurde. Details: Der Inhalt der Log-Nachricht. Aufruf-ID: Eine eindeutige Kennung für die spezifische App-Aufrufinstanz, die das Log generiert hat. Trace-ID: Eine Anforderungskennung zur Verfolgung von Log-Einträgen über verschiedene Forge-Aufrufe und entfernte API-Aufrufe hinweg. Modul: Der Name des Moduls, in dem das Log generiert wurde. Funktion: Der Name der Funktion, in der das Log generiert wurde. Version: Die auf der Site installierte App-Version. Site: Der Name der Site, auf der die App aufgerufen wurde.

 

Anhang 2: Technische und organisatorische Maßnahmen

Dieser Anhang beschreibt die technischen und organisatorischen Sicherheitsmaßnahmen des Verantwortlichen und des Rechenzentrumsbetreibers.

1. Vertraulichkeit

• Zutrittskontrolle

Maßnahmen zur Verhinderung des unbefugten Zugriffs auf Datenverarbeitungssysteme – Zugang zu den Büroräumen des Verantwortlichen nur mit Schlüssel (Sicherheitsschlösser) für berechtigte Mitarbeiter. – Die Büroräume des Verantwortlichen sind durch eine Alarmanlage und eine 24/7-Überwachung mit dem Sicherheitsdienst gesichert. – Videoüberwachung an Eingängen, Sicherheitsschleusen und Serverräumen im Rechenzentrum.

• Zugangskontrolle

Maßnahmen zur Verhinderung der Nutzung von Datenverarbeitungssystemen durch Unbefugte – Passwortverfahren: Jede Benutzerkennung besitzt ein eigenes Passwort. – Systeme sind durch Passwörter vor unbefugtem Zugriff geschützt. – Strenge Verfahren zur Zurücksetzung vergessener Passwörter. – Arbeitsplätze/Notebooks der Mitarbeiter haben Benutzerkonten mit Passwortschutz.

• Zugriffskontrolle

Maßnahmen zur Sicherstellung, dass nur befugte Personen Zugriff auf personenbezogene Daten haben – Rollenbasiertes Berechtigungskonzept. – Sicherheitsupdates zur Verhinderung unbefugter Zugriffe. – SSL-Verschlüsselung für Kommunikationskanäle.

• Trennungskontrolle

Maßnahmen zur getrennten Verarbeitung unterschiedlicher Datensätze – Separate Verarbeitung von Daten nach Zweckbestimmung.