Datenschutz

Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag (Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO, § 28 TDDDG)

Zwischen

der Messtechnik Jakimovski GmbH

Netzestr.31/1, 71638 Ludwigsburg

(im Folgenden „Auftragnehmer“)

und

Name / Unternehmen des Kunden                                                        

Anschrift

(im Folgenden „Auftraggeber“)

wird nachfolgende Vereinbarung zur Auftragsverarbeitung geschlossen:

  •  1 Gegenstand und Dauer der Verarbeitung
  1. Der Auftragnehmer erbringt für den Auftraggeber Dienstleistungen zur Gerätemiete, Garantiewartung, Verbrauchsdatenerfassung, Funk‑Fernablesung, Legionellenprüfung und Funktionsprüfungen der CO- sowie Rauchwarnmelder (§ 12 AGB). Dabei werden personenbezogene Daten im Auftrag verarbeitet.
  2. Die Dauer dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages; sie endet mit dessen Beendigung, ohne dass es einer gesonderten Kündigung bedarf.
  •  2 Art und Zweck der Verarbeitung
  1. Zweck: Erfassung, Übermittlung, Speicherung, Auswertung und Abrechnung von Verbrauchs‑ und Nutzungsdaten zur ordnungsgemäßen Betriebskosten‑ und Verbrauchsabrechnung.
  2. Verarbeitungstätigkeiten:

   * Installation, Wartung und Austausch funkfähiger Messgeräte (inkl. Firmware‑Updates „over‑the‑air“), 

   * Fernablesung und Zwischenspeicherung von Mess‑ und Verbrauchsdaten, CO-melder, Rauchwarnmelder Funktionsprüftung, CO Melder Funktionsprüfung und Legionellenprüfungsergebnisse

   * Plausibilitätsprüfungen, Fehleranalyse, Reporting, 

   * Erstellung der Abrechnungen und Bereitstellung über Kundenportal/E‑Mail. 

  1. Die Verarbeitung umfasst keine automatisierten Entscheidungsfindungen i.S.v. Art. 22 DSGVO.
  •  3 Kategorien betroffener Personen und Datenarten
  1. Mieter/Nutzer von Einheiten

Verbrauchs‑ und Messwerte, Wohnungs‑ und Nutzerdaten (Wohnungs‑ID, Lage, Zimmerzahl), ggf. Name, E‑Mail‑Adresse, Vertrags‑/Nutzerdaten |

  1. Auftraggeber‑Ansprechpartner

Kontaktdaten, Zugriffs‑ und Protokolldaten |

  1. Service‑Techniker (bei OTA‑Log‑Files)

Geräte‑ und Einsatzdaten

Besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO werden nicht verarbeitet.

  •  4 Rechte und Pflichten des Auftraggebers
  1. Der Auftraggeber ist Verantwortlicher (Art. 4 Nr. 7 DSGVO) und trägt die Verantwortung für die Rechtmäßigkeit der Verarbeitung.
  2. Er ist berechtigt, Weisungen (in Textform) bezüglich Umfang, Art und Zweck der Datenverarbeitung zu erteilen.
  3. Er prüft regelmäßig – mindestens alle 12 Monate – die Einhaltung dieser Vereinbarung, insbesondere der in **Anlage 1** beschriebenen Kategorien technischer und organisatorischer Maßnahmen (TOM).
  4. Bei nachvertraglicher Kontrolle (Löschbestätigung etc.) bleibt seine Prüf‑ und Nachweispflicht bestehen.
  •  5 Allgemeine Pflichten des Auftragnehmers
  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers (Art. 28 Abs. 3 lit. a DSGVO).
  2. Er verpflichtet sämtliche mit der Verarbeitung betrauten Personen schriftlich auf Vertraulichkeit (§ 53 BDSG, Art. 28 Abs. 3 lit. b DSGVO).
  3. Er implementiert und erhält geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO sowie § 19 LDSG BW aufrecht (vgl. Anlage 1).
  4. Er unterstützt den Auftraggeber bei dessen Pflichten nach Art. 12–22, 32–36 DSGVO sowie §§ 32, 34, 38 BDSG.
  5. Er führt ein Verarbeitungsverzeichnis nach Art. 30 Abs. 2 DSGVO.
  6. Er benennt eine*n Datenschutzbeauftragte*n (Kontaktdaten siehe Anlage 3).
  7. Er ermöglicht und unterstützt Audits (§ 10).
  8. Wird eine Anfrage einer betroffenen Person direkt an den Auftragnehmer gerichtet, leitet dieser sie unverzüglich, spätestens binnen 48 Stunden, an den Auftraggeber weiter.
  •  6 Technische und organisatorische Maßnahmen (TOM)
  1. Die zur Erfüllung des Auftrags umgesetzten TOM sind in Anlage 1 in Form von Kategorien mit jeweils einem Beispiel beschrieben. Dieses Transparenzniveau genügt der Geeignetheits‑ und Risikoabwägung des Auftraggebers.
  2. Der vollständige Maßnahmenkatalog ist Bestandteil des internen Informationssicherheitskonzepts des Auftragnehmers und wird dem Auftraggeber auf Verlangen und gegen Vertraulichkeitsvereinbarung zur Einsicht bereitgestellt.
  3. Der Auftragnehmer überprüft die Wirksamkeit der TOM regelmäßig, mindestens jedoch einmal innerhalb von zwölf Monaten; bei hohem Schutzbedarf spätestens nach drei Monaten oder ad hoc nach sicherheits­relevanten Änderungen.
  •  7 Unterauftragsverhältnisse
  1. Der Einsatz weiterer Auftragsverarbeiter (Sub‑Prozessoren) ist nur unter Einhaltung der Voraussetzungen des Art. 28 Abs. 2+4 DSGVO zulässig.
  2. Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vorab über Änderungen bei Sub‑Prozessoren.
  3. aktuelle Liste der Sub‑Prozessoren ist in Anlage 2 abrufbar.
  •  8 Betroffenenrechte und Unterstützungspflichten

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Betroffenenrechte (Art. 12–22 DSGVO) binnen 5 Werktagen.

  •  9 Meldung von Datenschutzverletzungen
  1. Der Auftragnehmer meldet dem Auftraggeber jede Verletzung unverzüglich (spätestens 24 Stunden).
  2. Die Meldung enthält alle in Art. 33 Abs. 3 DSGVO genannten Informationen.
  •  10 Nachweispflichten und Audits
  1. Der Auftragnehmer stellt dem Auftraggeber alle zur Prüfung erforderlichen Informationen zur Verfügung.
  2. Audit‑Fenster: werktags 10:00 Uhr – 13:00 Uhr. Erkenntnisse werden dokumentiert.
  •  11 Löschung und Rückgabe von Daten
  1. Nach Abschluss der Leistungen löscht oder gibt der Auftragnehmer alle Daten zurück, sofern keine Aufbewahrungspflicht besteht.
  2. Die Löschung ist in Textform (§ 126b BGB) nachweisbar zu bestätigen (z. B. per E-Mail, PDF-Report oder Portal-Log).
  •  12 Geheimhaltung

Der Auftragnehmer wahrt Vertraulichkeit über alle Daten. Diese Pflicht besteht fort, solange ein Personenbezug existiert.

  •  13 Haftung und Schadensersatz

Die Haftung richtet sich nach Art. 82 DSGVO und § 83 BDSG.

  •  14 Gerichtsstand und anwendbares Recht
  1. Auf diesen Vertrag findet deutsches Recht Anwendung. Zwingende Verbraucherschutzvorschriften des Staates, in dem der Auftraggeber seinen gewöhnlichen Aufenthalt hat, bleiben hiervon unberührt.
  1. Ist der Auftraggeber Verbraucher, kann er Klagen aus oder im Zusammenhang mit dieser Vereinbarung wahlweise vor den Gerichten seines Wohnsitzes oder vor den Gerichten am Sitz des Auftragnehmers erheben. Der Auftragnehmer darf den Verbraucher nur an dessen Wohnsitz gerichtlich in Anspruch nehmen.
  2. Ist der Auftraggeber Unternehmer, gilt: Ausschließlicher Gerichtsstand für alle Streitigkeiten ist Stuttgart, soweit gesetzlich zulässig.
  •  15 Schlussbestimmungen
  1. Form – Änderungen oder Ergänzungen dieses Vertrages einschließlich dieser Klausel bedürfen der Textform (§ 126b BGB).
  2. Rangfolge – Bei Widersprüchen zwischen dieser Vereinbarung, den AGB des Auftragnehmers und dem Hauptvertrag hat diese Vereinbarung Vorrang.
  3. Fortgeltung – Verpflichtungen aus § 12 (Geheimhaltung), § 11 (Löschung), § 13 (Haftung) gelten auch nach Beendigung des Vertrages fort, solange ein Personenbezug bestehen kann bzw. gesetzliche Ansprüche nicht verjährt sind.
  4. Abtretung / Rechtsnachfolge – Eine Übertragung der Rechte und Pflichten aus diesem Vertrag ist nur mit vorheriger Zustimmung der jeweils anderen Partei zulässig; hiervon ausgenommen sind konzerninterne Umstrukturierungen, sofern das Datenschutzniveau gewahrt bleibt.
  5. Kosten – Unterstützungsleistungen des Auftragnehmers, die den vertraglichen Leistungsumfang überschreiten, werden nach tatsächlich angefallenem Aufwand gemäß der jeweils gültigen Preisliste vergütet, sofern der Auftraggeber sie beauftragt hat.
  6. Salvatorische Klausel – Sollte eine Bestimmung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt; an Stelle der unwirksamen Bestimmung tritt eine Regelung, die dem wirtschaftlichen Zweck am nächsten kommt.

Anlage 1: Kategorien technischer und organisatorischer Maßnahmen (TOM)

  1. Zutritts‑ & Zugangskontrolle | Elektronische Ausweiskarten; MFA für Systemzugriff |
  2. Zugriffskontrolle | Rollenbasiertes RBAC; Least‑Privilege‑Prinzip |
  3. Weitergabe‑ & Transportkontrolle | TLS 1.3; VPN‑Tunnel |
  4. Eingabe‑ & Protokollkontrolle | Immutable Logs; SIEM‑Monitoring |
  5. Verfügbarkeits‑ & Resilienzkontrolle | Georedundantes Backup; RTO ≤ 4 h |
  6. Trennungsgebot/Mandantenfähigkeit | VLAN‑Segregation |
  7. Kryptografische Schutzmaßnahmen | AES‑256‑at‑rest |
  8. Prüfung & Bewertung | Jährlicher Pen‑Test; ISO 27001‑Audit |

Anlage 2: SubProzessoren (Stand: 01/2026)

Keine Sub-Prozessoren

Anlage 3: Ansprechpartner / Datenschutzbeauftragte

  1. Datenschutzbeauftragter Auftragnehmer | Sascha Jakimovski
    E-Mail:  jakimosvki@messtechnik-jakimovski.de Tel: 07141 68928-0
  1. Technische Kontaktstelle | Team Datenschutz |
    E-Mail: Kontakt@messtechni-jakimovski.de |
  1. Datenschutzvertreter Auftragnehmer | Dean Jakimovski|
    E-Mail: jaki@messtechnik-jakimovski.de, Tel: 07141 68928-0