Vorbemerkung: Für den Fall, dass Sie z.B. für ein Ensemble, als Chorleiter oder Vorstand eines Musikvereins auf den Webdiensten der BlankMusic GmbH (z.B. der Ensemblehomepage, Verwaltung und Terminabstimmung) Daten von Dritten (z.B. den Mitgliedern in Ihrem Ensemble, Chor, Verein etc.) speichern und verarbeiten (z.B. in Form einer Mitgliederliste), so benötigen Sie von uns, der BlankMusic GmbH die Zusicherung, dass wir mit diesen Daten in Ihrem Auftrag nach den Vorgaben der Datenschutz-Grundverordnung verfahren. Insbesondere brauchen Sie damit die Zusage, wie wir diese Daten erheben, speichern, nutzen und absichern müssen. Daher haben wir diese Auftragsverarbeitungsvereinbarung.


Auftragsverarbeitungsvereinbarung

(Version vom 25.05.2018)


BlankMusic GmbH, Wallstraße 11, 55122 Mainz (im Folgenden “Auftragnehmer”) und der – gemäß allgemeiner Geschäftsbedingungen auf www.blankmusic.org, www.blankchoir.org, www.blankjazz.org (“AGB”) beschriebene – Nutzer (wenn zutreffend ________ im Folgenden “Auftraggeber”) haben gemäß AGB einen Vertrag über die Nutzung des Portals blankmusic.org und der Subportale geschlossen. Die Parteien beabsichtigen mit dieser Auftragsverarbeitungsvereinbarung geschlossen am ________ um ________ eine Konkretisierung der gegenseitigen Verpflichtungen zur Beachtung des Datenschutzes.

  1. 1. Anwendungsbereich, Einzelheiten der Verarbeitung

    1. Diese Auftragsverarbeitungsvereinbarung findet Anwendung, soweit eine Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers erfolgt, also insbesondere bei der Inanspruchnahme einer eigenen Webpräsenz durch den Nutzer gemäß AGB.
    2. Gegenstand, Art und Zweck der vorgesehenen Verarbeitung ergeben sich aus dem zwischen den Parteien unter Einschluss der AGB geschlossenen Vertrag, bei der Zurverfügungstellung einer Webpräsenz konkretisiert durch die entsprechenden Funktionen und die – an den Auftraggeber übermittelte – Vorlage der Datenschutzerklärung für die Webpräsenz (“Nutzungsvertrag”). Die Dauer des Auftrags entspricht der Laufzeit des Nutzungsvertrages.
    3. Die Kategorie betroffener Personen ist in dem Nutzungsvertrag festgelegt und besteht insbesondere in den Besuchern und Nutzern der Webpräsenz des Auftraggebers sowie in den durch den Auftraggeber angelegten Mitgliedern eines Chors/Ensembles.
    4. Die Art der personenbezogenen Daten ist in dem Nutzungsvertrag festgelegt und betrifft insbesondere (a) Nutzungsdaten der Besucher der Webpräsenz wie etwa IP-Adressen, besuchte Seiten, Cookies oder an den Auftraggeber gesendete Nachrichten über ein Kontaktformular sowie (b) Daten über durch den Auftraggeber angelegte Mitglieder eines Chors/Ensembles zur Organisation und Öffentlichkeitsarbeit des Chors/Ensembles.

  2. 2. Technische und organisatorische Maßnahmen

    1. Der Auftragnehmer wird die innerbetriebliche Organisation in seinem Verantwortungsbereich derart ausgestalten, dass sie den besonderen Anforderungen des geltenden Datenschutzes gerecht wird. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
    2. Die Parteien vereinbaren die in der Anlage A festgelegten technischen und organisatorischen Maßnahmen. Dem Auftraggeber sind die vom Auftragnehmer eingerichteten Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der Rechte und Freiheiten der betroffenen Personen ein angemessenes Schutzniveau bieten.
    3. Der Auftraggeber hat und wird sich regelmäßig im Einverständnis mit dem Auftragnehmer von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen, z.B. durch Anforderung der Dokumentation des Auftragnehmers über die Maßnahmen nach Anlage A. Das Ergebnis ist zu dokumentieren. Der Auftraggeber hat weiter das Recht, eine jederzeitige Überprüfung der eingerichteten technischen und organisatorischen Maßnahmen und damit das Schutzniveau zu überprüfen, außer zur Unzeit; er wird den Auftragnehmer über diese Prüfung mit einem angemessenen zeitlichen Vorlauf informieren. Der Auftragnehmer kann dem Auftraggeber hierzu eine entsprechende Dokumentation übermitteln.
    4. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit und auf Anforderung bei der Einhaltung seiner Pflichten als Verantwortlicher zur Beantwortung von Anträgen nach Kapitel III und gemäß Art. 32 – 36 der DS-GVO. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen, die vom Auftraggeber oder einem von diesem beauftragten Prüfer durchgeführt werden.
    5. Der Auftragnehmer setzt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der eingerichteten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der mit dem Auftraggeber vereinbarten Datenverarbeitung ein.
    6. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Die Möglichkeit an den vereinbarten technischen und organisatorischen Maßnahmen Änderungen vorzunehmen, bleibt dem Auftragnehmer vorbehalten; insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Er verpflichtet sich, das vertraglich vereinbarte Schutzniveau jederzeit zu gewährleisten.

  3. 3. Berichtigung, Löschung und Einschränkung der Verarbeitung von Daten

    Der Auftragnehmer handelt hinsichtlich der Berichtigung, Löschung oder Einschränkung der Verarbeitung der im Auftrag verarbeiteten personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers. Ersuchen von Betroffenen an den Auftragnehmer z.B. zwecks Auskunft, Berichtigung oder Löschung seiner Daten, leitet der Auftragnehmer an den Auftraggeber weiter.

  4. 4. Pflichten des Auftragnehmers

    Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags nach dem geltenden Datenschutzrecht folgende Pflichten:

    1. Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers nach Ziffer 8 verarbeiten. Der Auftragnehmer verwendet die überlassenen personenbezogenen Daten für keine anderen Zwecke als die mit dem Nutzungsvertrag zwischen den Parteien vereinbarten.
    2. Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugte Personen auf die Vertraulichkeit nach Art. 28 Abs. 3 S. 2 lit. b DSGVO verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

  5. 5. Berechtigung zur Begründung von Unterauftragsverhältnissen

    1. Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung zum Einsatz von weiteren Auftragsverarbeitern. Eine Liste der eingesetzten Auftragsverarbeiter kann der Auftraggeber bei dem Auftragnehmer erfragen. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Der Auftragnehmer wird Subunternehmer sorgfältig auswählen.
    2. Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer gemäß den gesetzlichen Bestimmungen, seine Pflichten aus diesem Vertrag gemäß Art. 28 Abs. 3 DS-GVO dem Subunternehmer zu übertragen, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der Datenschutz-Grundverordnung erfolgt. Insoweit verantwortet der Auftragnehmer den Einsatz weiterer Auftragsverarbeiter.

  6. 6. Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten des Auftragnehmers

    1. Der Auftraggeber hat das Recht, die in der Anlage A vorgesehenen Maßnahmen gemäß Ziffer 2 zu kontrollieren.
    2. Der Auftragnehmer stellt durch entsprechende Dokumentation sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen nach Ziffer 2 jederzeit überzeugen kann.

  7. 7. Mitzuteilende Verstöße

    Der Auftragnehmer meldet dem Auftraggeber alle bekannten Verletzungen des Schutzes der personenbezogenen Daten.

  8. 8. Umfang der Weisungsbefugnisse

    1. Der Auftragnehmer verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Die Weisungen des Auftraggebers ergeben sich aus dem Nutzungsvertrag.
    2. Der Auftragnehmer verwendet die personenbezogenen Daten nur gemäß den Weisungen. Vervielfältigungen werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind etwaige Backups sowie die Speicherung von Daten in Erfüllung gesetzlicher Aufbewahrungspflichten.
    3. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

  9. 9. Löschung gespeicherter Daten nach Beendigung des Auftrags

    Nach Beendigung des Nutzungsvertrages oder nach Aufforderung durch den Auftraggeber hat der Auftragnehmer die personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder dem Auftraggeber zu übergeben. Dies gilt nicht, sofern nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

Anlage A zur Auftragsverarbeitungsvereinbarung

Technische & organisatorische Maßnahmen


Der Auftragnehmer nimmt folgende technische und organisatorische Maßnahmen zum Schutz der von ihm im Auftrag verarbeiteten personenbezogenen Daten vor:

  1. Zutrittskontrolle: Unbefugten den körperlichen Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren durch eine entsprechende Schlüsselregelung für die Geschäftsräume des Auftragnehmers zugunsten der befugten Mitarbeiter.
  2. Zugangskontrolle: zu verhindern, dass die Datenverarbeitungssysteme von Unbefugten genutzt werden können durch Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren und Vergabe von Passwörtern für die befugten Mitarbeiter.
  3. Zugriffskontrolle: zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können durch Rechteverwaltung für die Mitarbeiter und Protokollierung der Systemnutzung nebst Protokollauswertung.
  4. Weitergabekontrolle: zu gewährleisten, dass die personenbezogenen Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist – nach Möglichkeit – durch Verwendung von HTTPS (TLS- Verschlüsselung), validiert von der Zertifizierungsstelle „Let’s Encrypt“ für alle zwischen den Nutzern und dem System im Browser übertragenen Daten.
  5. Eingabekontrolle: zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem die personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind durch Verarbeitungsprotokolle und Log-Speicherung.
  6. Auftragskontrolle: zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können durch entsprechende Information und Weitergabe der Weisungen an die befugten Mitarbeiter.
  7. Verfügbarkeitskontrolle: zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind durch Beauftragung zuverlässiger Partner für das Hosting der Daten. Eine vollständige Sicherheit ist technisch unmöglich.
  8. Trennungsgebot: zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können durch softwareseitige Mandantentrennung (eigene Serverstruktur).
  9. Pseudonymisierung: Die Verarbeitung personenbezogener Daten wird in Teilen durch Verschlüsselung und zudem durch Anonymisierung der Dateinamen von Einzeldateien (bei Videos und Bildern) gesichert, sodass relevante Daten ohne Entschlüsselung und/oder Hinzuziehung zusätzlicher Informationen nicht mehr über den Dateinamen einer spezifischen betroffenen Person zugeordnet werden können. Die Verschlüsselung und Teile der Verlinkung der Dateien sind durch entsprechende technische und organisatorische Maßnahmen geschützt.
  10. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung: Alle Datenschutz-Maßnahmen werden durch ein internes Datenschutz-Management regelmäßig kontrolliert und angepasst. Ein gesondertes Incident-Response-Management erlaubt die direkte Reaktion auf alle entdeckten Probleme in Datenhaltung und Sicherung.

Bei Fragen zur Auftragsverarbeitungsvereinbarung bzw. zu den Möglichkeiten und rechtlichen Rahmenbedingungen der Nutzung der Dienste der BlankMusic GmbH wenden Sie sich gerne an unseren Service über kontakt@blankmusic.org, Tel. 06131 - 636 919 56, oder bei Fragen zu Ihren Daten und zur Datensicherheit an unseren Datenschutzbeauftragten unter datenschutz@blankmusic.org.