Aus Gründen der Vereinfachung wird in dieser Vereinbarung unabhängig vom Geschlecht die ursprüngliche Formulierungsform gewählt. Selbstverständlich wird aber jedes Geschlecht ausdrücklich einbezogen.
Diese Vereinbarung wird unter Beachtung des Bundesdatenschutzgesetzes (BDSG) und der ab 25.05.2018 geltenden EU Datenschutzgrundverordnung (DS-GVO) sowie aller sonstigen einschlägigen datenschutzrechtlichen Vorschriften geschlossen. Für diese Vereinbarung gelten die jeweils in Kraft stehenden Gesetzesvorschriften in ihrer jeweils aktuellen Fassung.
Diese Vereinbarung betrifft die Erhebung, Verarbeitung und Nutzung personenbezogener Daten i.S.d. BDSG und DS-GVO durch den Auftragnehmer im Auftrag des Auftraggebers („Auftragsverarbeitung“).
Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person („Betroffener“). Die Vereinbarung hat die Auftragsverarbeitung von personenbezogenen Daten zum Gegenstand („Auftragsdaten“).
1.1. Der Gegenstand ergibt sich aus dem Hauptvertrag und dessen Leistungsbeschreibung.
1.2. Die Dauer des Auftrags entspricht der Laufzeit des Hauptvertrags.
2.1. Art, Zweck und Umgang der Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten sind im Hauptauftrag beschrieben.
3.1. Gegenstand der Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten sind folgende Kategorien:
4.1. Der Kreis der betroffenen Personen umfasst in der Regel folgende Personengruppen:
5.1. Der Auftragnehmer wird in seinem Verantwortungsbereich die betriebliche Organisation so gestalten, dass sie den Anforderungen des Datenschutzes gerecht wird.
5.2. Der Auftragnehmer wird die technischen Maßnahmen zur Sicherung der personenbezogenen Daten des Auftraggebers vor Verlust und Missbrauch treffen, die den Anforderungen der Datenschutzgrundverordnung entsprechen. Das umfasst folgende Maßnahmen, soweit dies angemessen ist:
5.4. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
6.1. Der Auftragnehmer benennt einen Datenschutzbeauftragten - soweit es gesetzlich vorgeschrieben ist - der seine Tätigkeit gemäß DS-GVO ausüben kann. Dessen Kontaktdaten werden dem Auftraggeber zur Kontaktaufnahme mitgeteilt.
6.2. Der Auftragnehmer gewährleistet die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, Art. 29 und Art. 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht wurden. Er und jede ihm unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese ausschließlich auf Weisung des Auftraggebers – einschließlich der in diesem Vertrag eingeräumten Befugnisse – verarbeiten, es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet.
6.3. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
6.4. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
6.5. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
6.6. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
6.7. Der Auftragnehmer wird nach den Weisungen des Auftraggebers angemessene Maßnahmen ergreifen, um weitere unrechtmäßige Kenntnisnahmen durch Dritte auszuschließen und/oder weitere Beeinträchtigungen von den Betroffenen abzuwenden. Bis zu etwaigen Weisungen des Auftraggebers wird der Auftragnehmer alle zur Datensicherung und Schadensminimierung erforderlichen Maßnahmen ergreifen.
6.8. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung seiner gesetzlichen Pflichten, insbesondere Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Informationspflichten gegenüber Betroffenen und Aufsichtsbehörden, Datenschutz-Folgeabschätzungen und vorherigen Konsultationen. Dasselbe gilt auch dann, wenn der Auftraggeber einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung ausgesetzt ist. Der Auftragnehmer wird dem Auftraggeber auf Anfrage das von ihm nach Maßgabe der einschlägigen Gesetzesvorschriften zu erstellende Verzeichnis aller Verarbeitungstätigkeiten in kopierter Form zur Verfügung stellen.
6.9. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
6.10. Der Auftragnehmer darf die Auftragsdaten nicht eigenmächtig, sondern nur nach schriftlicher Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Der Auftragnehmer wird den Auftraggeber über sämtliche Anfragen und Beanstandungen der Betroffenen unverzüglich schriftlich unterrichten sowie den Auftraggeber bei Wahrung der Rechte der Betroffenen unterstützen, wie z.B. durch Benachrichtigung, Auskunftserteilung oder Berichtigung, Sperrung und Löschung von Auftragsdaten.
7.1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
7.2. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
7.3. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen. Dabei werden insbesondere geeignete Garantien gemäß Art. 46 DS-GVO eingesetzt (z. B. EU-Standardvertragsklauseln oder ein Angemessenheitsbeschluss der EU-Kommission).
8.1. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
8.2. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
8.3. Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen angemessenen Vergütungsanspruch für die entstandenen Aufwände geltend machen.
9.1. Die Entscheidungs- bzw. Weisungsbefugnis für die Auftragsverarbeitung hat allein der Auftraggeber. Der Auftragnehmer wird allein im Auftrag und im Interesse des Auftraggebers tätig. Die Verantwortung für die Einhaltung des Datenschutzrechts und die Rechtmäßigkeit der Auftragsverarbeitung sowie für die Wahrung der Rechte der Betroffenen liegt beim Auftraggeber.
9.2. Der Auftragnehmer führt die Auftragsverarbeitung ausschließlich im Rahmen der Vereinbarung und nach schriftlichen Weisungen des Auftraggebers durch, wobei die Weisungen vorrangig gelten, oder wenn eine gesetzliche Verpflichtung zur Verarbeitung besteht. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich bestätigen. Der Auftragnehmer ist nicht berechtigt, ohne vorherige schriftliche Zustimmung durch den Auftraggeber Erklärungen gegenüber den Betroffenen abzugeben. Im Falle einer gesetzlichen Verpflichtung teilt der Auftragnehmer dem Auftraggeber diese Verpflichtung vor der Verarbeitung mit.
9.3. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich nach schriftlicher Weisung des Auftraggebers. Der Auftragnehmer wird den Auftraggeber über Anfragen betroffener Personen unverzüglich informieren.
9.4. Die Parteien beachten im Rahmen der Auftragsverarbeitung die einschlägigen datenschutzrechtlichen Vorschriften. Hält der Auftragnehmer eine Weisung des Auftraggebers für datenschutzrechtlich unzulässig, informiert er diesen unverzüglich in Textform. Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung solange auszusetzen, bis sie vom Auftraggeber ausdrücklich bestätigt oder angepasst wird.
9.5. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
9.6. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
10.1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
10.2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber - spätestens mit Beendigung der Leistungsvereinbarung - hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu vernichten.
10.3. Der Auftraggeber und der Auftragnehmer vereinbaren einen Ausschluss des zivilrechtlichen Zurückbehaltungsrechts nach § 273 BGB zum Ausschluss der Zurückhaltung von verarbeiteten personenbezogenen Daten und Datenträgern im Falle von Vertrags-/Leistungsstörungen. Unberührt bleibt das Recht des Auftragnehmers, etwaige Zahlungsansprüche auf anderem Wege geltend zu machen.
11.1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlicher im Sinne der Datenschutz-Grundverordnung liegen.
11.2. Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
11.3. Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
11.4. Es gilt deutsches Recht.