Der Auftragnehmer verarbeitet im Auftrag des Auftraggebers personenbezogene Daten i.S.v. Art. 4 Nr.1 DSGVO. Dieser Vertrag stellt die nach Art. 28 Abs.3 DSGVO und § 62 Abs.5 BDSG n.F. erforderliche Grundlage für diese Auftragsverarbeitung dar und regelt die Rechte und Pflichten der Parteien im Zusammenhang mit dieser Datenverarbeitung. „Verarbeitung“ bzw. „Datenverarbeitung“ meint gem. Art. 4 Nr.2 DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.
Der Auftrag des Auftraggebers an den Auftragnehmer umfasst die folgenden Arbeiten und/oder Leistungen:
3.1 Der Auftraggeber ist und bleibt als „Verantwortlicher“ i.S.d. Art. 4 Nr.7 DSGVO sowohl für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer als auch für die Durchsetzung Betroffenenrechte verantwortlich.
3.2. Der Auftraggeber hat im Vorwege der Auftragsverarbeitung durch den Auftragnehmer und auch während der laufenden Auftragsverarbeitung regelmäßig die Einhaltung der technischen und organisatorischen Maßnahmen (nachfolgend „TOMs“ genannt) beim Auftragnehmer zu prüfen und das Ergebnis dieser Überprüfung in geeigneter Form zu dokumentieren.
3.3. Der Auftraggeber hat jederzeit das Recht gegenüber dem Auftraggeber ergänzende Weisungen über Art, Umfang und Verfahren der Auftragsverarbeitung zu erteilen. Diese Weisungen können schriftlich, per E-Mail oder auch mündlich erteilt werden, wobei mündliche Weisungen unverzüglich gegenüber dem Auftragnehmer in Textform (z.B. per E-Mail) zu bestätigen sind. Regelungen über die Vergütung von Mehraufwänden, die ggf. durch ergänzende Weisungen auf Seiten des Auftragnehmers entstehen, bleiben hiervon unberührt.
3.4. Der Aufraggeber hat den Auftragnehmer unverzüglich darüber zu informieren, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Auftragsverarbeitung durch den Auftragnehmer feststellt.
3.5. Die Verantwortlichkeit für die Wahrung der Informationspflichten nach Art. 33, 34 DSGVO bzw. der sonstigen gesetzlichen Meldepflichten liegt allein beim Auftraggeber.
4.1. Allgemeine Rechte und Pflichten:
4.1.1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers ausschließlich nach Maßgabe dieser Vereinbarung und/oder unter Einhaltung der ggf. vom Auftraggeber erteilten ergänzenden Weisungen, soweit dem keine anderweitigen gesetzlichen Regelungen entgegenstehen. Abweichungen hiervon bedürfen der schriftlichen Zustimmung des Auftraggebers.
4.1.2. Der Auftragnehmer verpflichtet sich, die Auftragsverarbeitung nur in den Mitgliedsstaaten der Europäischen Union (nachfolgend „EU“ genannt) oder im Europäischen Wirtschaftsraum
(nachfolgend „EWR“ genannt) durchzuführen. Abweichungen hiervon bedürfen der schriftlichen Zustimmung des Auftraggebers.
4.1.3. Der Auftragnehmer verpflichtet sich zur vertragsgemäßen Durchführung sämtlicher vereinbarter Maßnahmen, die im Zusammenhang mit der Auftragsverarbeitung personenbezogener Daten stehen.
4.1.4. Der Auftragnehmer verpflichtet sich, sein Unternehmen und die internen Betriebsabläufe derart zu gestalten, dass die im Auftrag verarbeiteten Daten im jeweils erforderlichen Maß gesichert und vor unbefugter Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer ist verpflichtet, Änderungen in der Organisation und Struktur seines Bestriebs, die für die Sicherheit der im Auftrag verarbeiteten Daten erheblich sind, im Vorwege mit dem Auftraggeber abzustimmen.
4.1.5. Der Auftragnehmer verpflichtet sich, vor Verarbeitung von Daten im Auftrag des Auftraggebers außerhalb der Betriebsstätten des Auftragnehmers oder etwaiger Unterauftragsnehmer (z.B. in Privatwohnungen) die schriftliche Zustimmung des Auftraggebers einzuholen.
4.1.6. Der Auftragnehmer verpflichtet sich, die im Auftrag des Auftraggebers verarbeiteten Daten, getrennt von anderen Daten zu verarbeiten, wobei eine physische Trennung der Daten nicht zwingend erforderlich ist.
4.2. Der Auftragnehmer verpflichtet sich, nicht mehr benötigte Unterlagen, die im Zusammenhang mit der Auftragsverarbeitung stehen und die personenbezogene Daten enthalten, erst nach Zustimmung des Auftraggebers in datenschutzkonformer Weise zu vernichten.
4.2.1. Der Auftragnehmer hat das Recht, den Auftraggeber auf, seiner Auffassung nach, rechtswidrige Datenverarbeitungen hinzuweisen. Soweit der Auftragnehmer glaubhaft darlegen kann, dass eine Datenverarbeitung nach den Weisungen des Auftraggebers zu einer Haftung des Auftragnehmers nach Maßgabe des Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht zu, die weitere Verarbeitungstätigkeit bis zu einer abschließenden Klärung der Haftungsfrage zwischen den Parteien auszusetzen.
4.3. Meldepflichten:
4.3.1. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jeglichen Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers verarbeiten.
4.3.2. Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.
4.3.3. Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich darüber zu informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Auffassung nach gegen zwingende gesetzliche Bestimmungen verstößt. Der Auftragnehmer ist ferner berechtigt, die Durchführung einer betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber entweder bestätigt oder geändert wird. Soweit der Auftragnehmer glaubhaft darlegen kann, dass eine Datenverarbeitung nach den Weisungen des Auftraggebers zu einer Haftung des Auftragnehmers nach Maßgabe des Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht zu, die weitere Verarbeitungstätigkeit bis zur abschließenden Klärung der Haftungsfrage zwischen den Parteien auszusetzen.
4.3.4. Der Auftragnehmer verpflichtet sich, den Auftraggeber bei der Umsetzung der Meldepflichten nach Art. 33, 34 DSGVO zu unterstützen und ihm insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens binnen 48 Stunden ab Kenntnisnahme des Zugriffs mitzuteilen.
4.4. Datenschutzbeauftragter:
4.4.1. Der Auftragnehmer verpflichtet sich, gegenüber dem Auftraggeber zu bestätigen, dass er einen Datenschutzbeauftragten i.S.d. Art. 37 DSGVO benannt hat und wird ihm dessen Kontaktdaten gesondert in Textform mitteilen. Der Auftragnehmer ist dafür verantwortlich, dass der von ihm benannte Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt.
4.4.2. Es liegt im Ermessen des Auftraggebers den Auftragnehmer von der vorgenannten Pflicht zu entbinden. Voraussetzung hierfür ist, dass der Auftragnehmer den Nachweis darüber führt, dass er kraft Gesetzes nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist. Ferner muss der Auftragnehmer gegenüber dem Auftraggeber nachweisen, dass betriebsintern Regelungen bestehen, die eine datenschutzkonforme Datenverarbeitung unter Einhaltung geltenden Rechts, der Regelungen dieses Vertrages und etwaiger ergänzender Weisungen des Auftraggebers gewährleisten.
4.5. Mitwirkungspflichten:
4.5.1. Der Auftragnehmer verpflichtet sich, den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten zu unterstützen.
4.5.2. Der Auftragnehmer verpflichtet sich, den Auftraggeber bei der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten zu unterstützen. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
4.5.3. Der Auftragnehmer verpflichtet sich, den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten zu unterstützen.
5.1. Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
5.2. Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle erforderlich ist.
5.3. Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den Auftraggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
5.4. Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören.
5.5. Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Auftraggeber ist über entsprechende geplante Maßnahmen vom Auftragnehmer zu informieren.
Die Beauftragung von Unterauftragnehmers durch den Auftragnehmer ist nur mit schriftlicher Zustimmung der Auftraggebers zulässig. Der Auftragnehmer wird alle zum Zeitpunkt des Vertragsabschlusses bereits bestehenden Unterauftragsverhältnisse angeben.
6.2. Der Auftragnehmer ist verpflichtet, den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen dem Auftraggeber und dem Auftragnehmer
getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen TOMs zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auftraggeber zu übermitteln.
6.3. Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer schriftlich bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten i.S.d. Art. 37 DSGVO benannt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Unterauftragnehmer benannt worden ist, hat der Auftragnehmer den Auftraggeber hierauf hinzuweisen und Nachweis darüber zu führen, dass der Unterauftragnehmer kraft Gesetzes nicht verpflichtet ist, einen Datenschutzbeauftragten zu benennen.
6.4. Der Auftragnehmer ist verpflichtet sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzenden Weisungen auch gegenüber den Unterauftragnehmern gelten.
6.5. Der Auftragnehmer ist verpflichtet, mit dem Unterauftragnehmer einen AV-Vertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Darüber hinaus hat der Auftragnehmer dem Unterauftragnehmer dieselben datenschutzrechtlichen Verpflichtungen aufzuerlegen, die zwischen Auftraggeber und Auftragnehmer festgelegt sind. Dem Auftraggeber ist der zwischen dem Auftragnehmer und dem Unterauftragnehmer geschlossene AV-Vertrag auf Anfrage in Kopie zu übermitteln.
6.6. Der Auftragnehmer ist verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse des Auftraggebers und der Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.
6.7. Nicht als Unterauftragsverhältnisse sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben (z.B. Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zur Leistung, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste etc.). Der Auftragnehmer ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen sowie technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Die Parteien sind sich darüber einig, dass vorgenannte Wartungs- und Prüfleistungen eine „Auftragsverarbeitung“ i.S.d. Art. 28 DSGVO darstellen.
7.1. Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln mitzuteilen.
7.2. Der Auftragnehmer wird alle Beschäftigten, die Leistungen im Zusammenhang mit dem Auftrag des Auftraggebers erbringen, in schriftlicher Form verpflichten, alle Daten des Auftraggebers, insbesondere die für den Auftraggeber verarbeiteten personenbezogenen Daten vertraulich zu behandeln. Dieses Verpflichtung der Beschäftigten ist auf Anfrage dem Auftraggeber nachzuweisen.
8.1. Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragnehmer verpflichtet sich, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützen. Der Auftragnehmer hat dafür Sorge zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit diese insbesondere seinen Pflichten aus Art. 12 Abs.3 DSGVO nachkommen kann.
8.2. Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Sperrung und Löschung – durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.
8.3. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit der Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber beim Auftragnehmer entstehen, bleiben unberührt.
8.4. Für den Fall, dass ein Betroffener seine Rechte nach Art. 12-23 DSGVO beim Auftragnehmer geltend macht, obwohl dies offensichtlich eine Verarbeitung personenbezogener Daten betrifft, für die der Auftraggeber verantwortlich ist, ist der Auftragnehmer berechtigt, dem Betroffenen mitzuteilen, dass der Auftraggeber der Verantwortliche für die Datenverarbeitung ist. Der Auftragnehmer darf dem Betroffenen in diesem Zusammenhang die Kontaktdaten der Verantwortlichen mitteilen.
9.1. Beiden Parteien sind verpflichtet, sämtliche Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
9.2. Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
Die Vergütung des Auftragnehmers wird gesondert vereinbart.
11.1. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
11.2. Der Auftragnehmer verpflichtet sich, die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und anlassbezogen auf ihre Wirksamkeit hin zu kontrollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird der Auftragnehmer den Auftraggeber hierüber informieren.
12.1. Der Vertrag wird auf unbestimmte Zeit geschlossen.
12.2. Für den Beginn der Vertragslaufzeit ist der Zeitpunkt des Vertragsabschlusses maßgeblicher Zeitpunkt.
12.3. Der Vertrag ist mit einer Frist von drei Monaten zum
12.4. Der Auftraggeber hat das Recht, den Vertrag jederzeit ohne Einhaltung einer Frist zu kündigen, wenn seitens des Auftragnehmers ein schwerwiegender Verstoß gegen die anzuwendenden datenschutzrechtlichen Vorschriften oder gegen Pflichten aus diesem aus diesem Vertrag vorliegt. Einem Pflichtverstoß steht es gleich, wenn der Auftragnehmer dem Auftraggeber oder der zuständigen Aufsichtsbehörde den Zutritt zu seiner Betriebsstätte verweigert.
13.1. Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten sowie sämtliche erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Weise zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt.
13.2. Der Auftraggeber hat das Recht, die Rückgabe und Löschung der Daten zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragnehmers erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch den Auftraggeber angekündigt werden.
13.3. Der Auftragnehmer darf personenbezogene Daten, die im Zusammenhang mit dem Auftrag verarbeitet worden sind, über die Beendigung des Vertrages hinaus speichern, wenn und soweit den Auftragnehmer eine gesetzliche Pflicht zur Aufbewahrung trifft. In diesen Fällen dürfen die Daten nur für Zwecke der Umsetzung der jeweiligen gesetzlichen Aufbewahrungspflichten verarbeitet werden. Nach Ablauf der Aufbewahrungspflicht sind die Daten unverzüglich zu löschen.
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.
15.1. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
15.2. Für Nebenabreden ist die Schriftform erforderlich.
15.3. Sollten einzelne Bestimmungen dieses Vertrages einschließlich dieser Bestimmung ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Regelungen hiervon unberührt. Anstelle der unwirksamen oder fehlenden Bestimmungen treten die jeweiligen gesetzlichen Regelungen.
15.4. Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist der Geschäftssitz des Auftraggebers.