Auftragsverarbeitungsvertrag

 

1. Präambel

Dieser Auftragsverarbeitungsvertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Auftraggebers und ist Bestandteil des zwischen dem Auftragsverarbeiter und dem Auftraggeber geschlossenen Hauptvertrages. Im Falle eines Widerspruchs zwischen der anwendbaren Vereinbarung und dem Auftragsverarbeitungsvertrag ist der Auftragsverarbeitungsvertrag maßgeblich.

 

2. Definitionen

Aufsichtsbehörde: Eine unabhängige Behörde, zuständig für die Überwachung der Anwendung des Datenschutzrechts.

Anwendbares Recht zum Schutz der Privatsphäre: Bezieht sich auf die europäische Datenschutzgrundverordnung 2016/679 (DSGVO), sowie das Datenschutzgesetz (BDSG).

Personenbezogene Daten: Informationen, die sich auf eine direkt oder indirekt identifizierbare natürliche Person beziehen.

Unterauftragsverarbeiter: Ein vom Auftragsverarbeiter oder ihren verbundenen Unternehmen beauftragter Auftragsverarbeiter zur Unterstützung bei der Erfüllung ihrer Verpflichtungen. Zu den Unterauftragsverarbeitern können auch Dritte oder verbundene Unternehmen des Auftragsverarbeiters gehören.

Verbundenes Unternehmen: Jede juristische Person, die entweder die Kontrolle über den Auftragsverarbeiter ausübt, von dem Auftragsverarbeiter kontrolliert wird, oder die unter gemeinsamer Kontrolle mit dem Auftragsverarbeiter steht. „Kontrolle“ in diesem Zusammenhang bedeutet den direkten oder indirekten Besitz von mehr als 50% der stimmberechtigten Anteile einer juristischen Person oder die Fähigkeit, auf andere Weise maßgeblichen Einfluss auf die Geschäftspolitik oder die Entscheidungen der juristischen Person auszuüben.

Verletzung des Schutzes Personenbezogener Daten: Eine Sicherheitsverletzung, die zu unbeabsichtigter oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten führt, die vom (Unter-)Auftragsverarbeiter übermittelt, gespeichert oder verarbeitet wurden.

Weisungen: Schriftliche Anweisungen des Auftraggebers an den Auftragsverarbeiter für die Verarbeitung personenbezogener Daten, die vorgeben wie personenbezogene Daten zu verarbeiten sind, einschließlich der Übertragung, Art der Verarbeitung, der Dauer, des Zwecks, der Art der personenbezogenen Daten und der Kategorien betroffener Personen. Weisungen müssen im Einklang mit den geltenden Datenschutzgesetzen, insbesondere der DSGVO, stehen und schriftlich oder in einem dokumentierten elektronischen Format erteilt werden. Änderungen oder Ergänzungen dieser Weisungen bedürfen ebenfalls einer dokumentierten Form.

Verantwortlicher, betroffene Person, Auftragsverarbeiter, Verarbeitung: Begriffe mit den Bedeutungen gemäß der DSGVO.

 

3. Anwendungsbereich, Gegenstand, Zweck und Dauer der Verarbeitung
   • Die Vereinbarung findet Anwendung auf die Erhebung, Verarbeitung und Löschung aller personenbezogener Daten, die Gegenstand der Leistungsvereinbarung sind oder im Rahmen von deren Durchführung anfallen oder dem Auftragsverarbeiter bekannt werden.
   • Gegenstand und Dauer der Auftragsverarbeitung sowie Umfang, Art und Zweck der vorgesehenen Verarbeitung von Daten bestimmen sich nach der Leistungsvereinbarung.
   • Folgende Datenarten oder -kategorien sind Gegenstand der Verarbeitung durch den Auftragsverarbeiter:

• Berufliche Kontakt-, bzw. Profildaten (z.B. Vor- und Nachname, E-Mail-Adresse, Position, Abteilung, Standort, sowie weitere erforderliche oder freiwillige Profilinformationen)
• Anmeldedaten (E-Mail-Adresse, Passwort oder per SSO-Verfahren vom Auftraggeber übertragene Daten (Claims)))
• Inhalte (weitere personenbezogene Daten, die von Nutzern des Auftraggebers an den Auftragsverarbeiter übermittelt werden oder in Auftraggeber-Daten enthalten sind)
• Nutzungsdaten (z.B. IP-Adresse, Geräteeigenschaften, Zugriffszeiten, User-ID)
  • Kategorien betroffener Personen:
• Mitarbeiter des Auftraggebers
• Dritte, die vom Auftraggeber autorisiert wurden (z.B. verbundene Unternehmen, Dienstleister, Berater oder Agenturen) oder deren Daten in Inhalten vorhanden sind.

 

4. Verantwortlichkeit und Weisungsbefugnis
   • Die Vertragsparteien stellen die Einhaltung der datenschutzrechtlichen Bestimmungen sicher. Die Parteien verstehen und vereinbaren, dass in Bezug auf die Verarbeitung personenbezogener Daten der Auftraggeber der Verantwortliche und der Auftragnehmer der Auftragsverarbeiter ist. Der Verantwortliche kann jederzeit die Herausgabe, Berichtigung, Anpassung, Löschung und Einschränkung der Verarbeitung der Daten verlangen.
   • Zur Gewährleistung des Schutzes der Rechte der betroffenen Personen unterstützt der Auftragsverarbeiter den Verantwortlichen angemessen, insbesondere durch die Gewährleistung geeigneter technischer und organisatorischer Maßnahmen.
   • Soweit sich eine betroffene Person zwecks Geltendmachung eines Betroffenenrechts unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
   • Der Auftragsverarbeiter darf Daten ausschließlich im Rahmen der Weisungen des Verantwortlichen verarbeiten, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder des Mitgliedstaates, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
   • Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie von Seiten des Verantwortlichen bestätigt oder geändert wird. Die weisungsberechtigten Personen auf Seiten des Verantwortlichen sowie die zum Empfang der Weisungen berechtigten Personen auf Seiten des Auftragsverarbeiters sowie die vorgesehenen Informationswege sind in Anlage 1: Liste der weisungsbefugten Personen Sind keine weisungsbefugten Personen in Anlage 1 hinterlegt, wird der Zeichner der Orderform als weisungsbefugte Person bestimmt.
   • Änderungen des Verarbeitungsgegenstandes mit Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder die betroffene Person darf der Auftragsverarbeiter nur nach vorheriger ausdrücklicher schriftlicher Zustimmung durch den Verantwortlichen erteilen. Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Außerhalb notwendiger Sicherheitskopien (Backups) werden Kopien und Duplikate ohne Wissen des Verantwortlichen nicht erstellt.
   • Der Verantwortliche führt das Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 DSGVO. Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Wunsch Informationen zur Aufnahme in das Verzeichnis zur Verfügung. Der Auftragsverarbeiter führt entsprechend den Vorgaben des Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.
   • Die Verarbeitung der Daten im Auftrag des Verantwortlichen findet ausschließlich auf dem Gebiet der der Europäischen Union statt. Eine Verarbeitung in einem Staat außerhalb des in Satz 1 genannten Territoriums ist nur zulässig wenn sichergestellt ist, dass unter Berücksichtigung der Voraussetzungen des Kapitels V der DSGVO das durch die DSGVO gewährleistete Schutzniveau nicht unterlaufen wird und bedarf der vorherigen Zustimmung des Verantwortlichen. Die Zustimmung gilt als erteilt, wenn der Auftragsverarbeiter den Verantwortlichen vorab mit einer Frist von 8 Wochen über die Maßnahme informiert und der Verantwortliche nicht innerhalb dieser Frist aus wichtigem Grunde widerspricht. Im Falle des Widerspruchs kann der Auftragsverarbeiter das Vertragsverhältnis mit einer Frist von 3 Monaten kündigen. Die grundlegenden Voraussetzungen für die Rechtmäßigkeit der Verarbeitung bleiben unberührt.
   • Der Auftragsverarbeiter stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten. Der Verantwortliche erteilt dem Auftragsverarbeiter anhand der in Anlage 3: Technische und organisatorische Maßnahmen festgestellten Verarbeitungssituation, die Zustimmung zur Verarbeitung von Daten außerhalb der Betriebsräume des Auftragsverarbeiters (z.B. Home Office, mobiles Arbeiten).

 

 

 

5. Beachtung zwingender gesetzlicher Pflichten durch den Auftragsverarbeiter
   • Der Auftragsverarbeiter stellt sicher, dass sich die zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und weist dies dem Verantwortlichen auf Wunsch nach. Dies umfasst auch die Belehrung über die in diesem Auftragsverarbeitungsverhältnis bestehende Weisungs- und Zweckbindung.
   • Die Vertragsparteien unterstützen sich gegenseitig beim Nachweis und der Dokumentation der ihnen obliegenden Rechenschaftspflicht im Hinblick auf die Grundsätze ordnungsgemäßer Datenverarbeitung einschließlich der Umsetzung der notwendigen technischen und organisatorischen Maßnahmen (Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Der Auftragsverarbeiter stellt dem Verantwortlichen hierzu bei Bedarf entsprechende Informationen zur Verfügung.
   • Der Auftragsverarbeiter hat einen Datenschutzbeauftragten zu benennen, der seine Tätigkeit entsprechend den gesetzlichen Vorschriften ausübt. Die Kontaktdaten des Datenschutzbeauftragten sind heyData GmbH, Schützenstr. 5, 10117 Berlin, datenschutz@heydata.eu.
   • Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden oder falls eine Aufsichtsbehörde im Rahmen ihrer Zuständigkeit bei dem Auftragsverarbeiter anfragt, ermittelt oder sonstige Erkundigungen einzieht, insofern Daten des Verantwortlichen von dieser Maßnahme betroffen sind.

 

6. Sicherstellung der technischen und organisatorischen Maßnahmen
   • Die Vertragsparteien vereinbaren die in der Anlage 3: Technische und organisatorische Maßnahmen zu dieser Vereinbarung niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen. Der Anhang ist Gegenstand dieser Vereinbarung.
   • Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in der Anlage 3: Technische und organisatorische Maßnahmen festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
   • Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der in dieser Vereinbarung getroffenen und der gesetzlichen Vorgaben erforderlich sind. Er wird insbesondere Überprüfungen/Inspektionen, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und deren Durchführung unterstützen. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann dabei auch durch Vorlage eines aktuellen Testats, von Berichten hinreichend qualifizierter und unabhängiger Instanzen (z.B. Wirtschaftsprüfer, unabhängige Datenschutzauditoren), durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO, einer Zertifizierung nach Art. 42 DSGVO oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz, ISO 27001) erbracht werden. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über den Ausschluss von genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 und jede andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise unverzüglich zu unterrichten.
   • Der Verantwortliche kann sich mit einer Frist von 2 Wochen angekündigt zu Prüfzwecken in den Betriebsstätten des Auftragsverarbeiters zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs von der Angemessenheit der Maßnahmen zur Einhaltung der gesetzlichen Vorgaben oder der zur Durchführung dieses Vertrages erforderlichen technischen und organisatorischen Erfordernisse überzeugen. Die Pflicht zur fristgerechten Ankündigung entfällt bei Vorliegen eines wichtigen Grundes, der eine unmittelbare Überprüfung erforderlich macht.
   • Der Auftragsverarbeiter stellt dem Verantwortlichen darüber hinaus alle erforderlichen Informationen zur Verfügung, die er für die Prüfungen nach Absatz 4 sowie für eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der Daten (Datenschutz-Folgenabschätzung i.S.d. Art. 35 DSGVO) benötigt.
   • Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Stands der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.
   • Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen im Rahmen einer vorherigen Konsultation i.S.d. Art. 36 DSGVO.
   • Eine Weitergabe personenbezogener Daten in ein Drittland (außerhalb des EWR) darf unter den Voraussetzungen der Art. 44 ff. DSGVO stattfinden.

 

7. Mitteilung von Verstößen durch den Auftragsverarbeiter

Der Auftragsverarbeiter unterrichtet den Verantwortlichen bezüglich der Verarbeitung der Daten des Verantwortlichen umgehend bei schwerwiegenden Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen diese Vereinbarung sowie gesetzliche Datenschutzbestimmungen, bei Verstößen gegen solche Bestimmungen oder anderen Unregelmäßigkeiten. Dies gilt insbesondere im Hinblick auf die Meldepflicht nach Art. 33 Abs. 2 DSGVO sowie auf korrespondierende Pflichten des Verantwortlichen nach Art. 33 und Art. 34 DSGVO. Der Auftragsverarbeiter sichert zu, den Verantwortlichen erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Verantwortlichen darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. Abschnitt 4 dieses Vertrages durchführen.

8. Löschung und Rückgabe von Daten
   • Überlassene Datenträger und Datensätze verbleiben im Eigentum des Verantwortlichen.
   • Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch den Verantwortlichen, jedoch spätestens mit Beendigung der Leistungsvereinbarung, hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigte Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen datenschutzgerecht zu vernichten. Ein Löschungsprotokoll ist dem Verantwortlichen auf Anforderung vorzulegen. Die Rückgabe von Datenbeständen erfolgt durch bereitgestellte Exportschnittstellen, die es dem Verantwortlichen ermöglichen die Daten entsprechend zu sichern. Der Verantwortliche stellt sicher bei Bedarf die Datensätze vor Ende des Leistungszeitraums zu sichern, da ein späterer Zugriff aufgrund implementierter automatisierter Löschprozesse nicht mehr möglich ist. Sicherungskopien (Backups) werden spätestens nach 90 Tagen nach Beendigung der Leistungsvereinbarung datenschutzgerecht vernichtet.
   • Der Auftragsverarbeiter kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen bis zu deren Ende auch über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben. Für die nach Satz 1 aufbewahrten Daten gelten nach Ende der Aufbewahrungsfrist die Pflichten nach Absatz 2.

 

9. Unterauftragnehmer
   • Der Auftragsverarbeiter darf weitere Auftragsverarbeiter (Subunternehmen) in Anspruch nehmen. Die grundlegenden Voraussetzungen für die Rechtmäßigkeit der Verarbeitung bleiben unberührt. Die zur Erfüllung dieses Vertrages hinzugezogenen Subunternehmen sind in der Anlage 2: Liste der Unterauftragnehmer im Einzelnen bezeichnet. Mit deren Beauftragung erklärt sich der Verantwortliche einverstanden. Da es sich um eine allgemeine schriftliche Genehmigung handelt, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, jedoch mindestens mit einer Frist von 4  Wochen vor der beabsichtigten Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Subunternehmen. Der Verantwortliche kann derartigen Änderungen aus wichtigem Grunde innerhalb dieser Frist widersprechen. Im Falle des Widerspruchs kann der Auftragsverarbeiter das Vertragsverhältnis mit einer Frist von 3 Monaten kündigen. Nicht als Leistungen von Subunternehmen im Sinne dieser Regelung gelten Dienstleistungen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nimmt, beispielsweise Telekommunikationsdienstleistungen. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
   • Wenn Subunternehmen durch den Auftragsverarbeiter eingeschaltet werden, hat der Auftragsverarbeiter sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Subunternehmen so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter entspricht und alle vertraglichen und gesetzlichen Vorgaben beachtet werden; dies gilt insbesondere auch im Hinblick auf den Einsatz geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus der Verarbeitung.
   • Der Verantwortlichen ist berechtigt, auf schriftliche Anforderung vom Auftragsverarbeiter Auskunft über den Inhalt des mit dem Subunternehmen geschlossenen Vertrages bezüglich der darin enthaltene Umsetzung der datenschutzrelevanten Verpflichtungen des Subunternehmens zu erhalten.
   • Kommt das Subunternehmen seinen datenschutzrechtlichen Verpflichtungen nicht nach, so haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten des Subunternehmens. Der Auftragsverarbeiter hat in diesem Falle auf Verlangen des Verantwortlichen die Beschäftigung des Subunternehmens ganz oder teilweise zu beenden oder das Vertragsverhältnis mit dem Subunternehmen zu lösen, wenn und soweit dies nicht unverhältnismäßig ist.

 

10. Schlussbestimmungen
    • Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile bedürfen einer Vereinbarung in gleicher Form und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
    • Verlangt diese Vereinbarung die Schriftform, so wird dieses Erfordernis durch elektronische Formate erfüllt.
    • Auf den Vertrag ist das Recht der Bundesrepublik Deutschland anzuwenden. Die Sprache des
      Verfahrens ist Deutsch. Der Gerichtsstand ist Koblenz.
    • Jegliches Zurückbehaltungsrecht des Auftragsverarbeiters hinsichtlich der im Auftrag verarbeiteter personenbezogener Daten und der dazugehörigen Datenträger, sofern sie sich im Eigentum des Verantwortlichen befinden, ist ausgeschlossen.
    • Sollten einzelne Regelungen dieser Vereinbarung unwirksam oder undurchführbar sein, wird davon die Wirksamkeit der übrigen Regelungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Regelung tritt diejenige wirksame und durchführbare Regelung, deren Wirkungen der Zielsetzung am nächsten kommt, die die Vertragsparteien mit der unwirksamen oder undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich die Vereinbarung als lückenhaft erweist.