Auftragsverarbeitung (AV)

ContentPepper Cloud (SaaS)

1.   Allgemeine Hinweise

Im Rahmen unseres Onlineangebotes und der mit ihm verbundenen Webseiten, Funktionen und Inhalte sowie externen Onlinepräsenzen, wie z.B. unser Social Media Profile (nachfolgend gemeinsam bezeichnet als „Onlineangebot“) werden zur Vertragsdurchführung personenbezogenen Daten verarbeitet. Insbesondere Art. 28 DS-GVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende ergänzende Vereinbarung im Rahmen der Beauftragung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist. Im Hinblick auf die verwendeten Begrifflichkeiten, wie z.B. „Verarbeitung“ oder „Verantwortlicher“ verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO).


2. Vertragsgegenstand
Im Rahmen der Leistungserbringung nach dem Einzelvertrag zur Nutzung unseres Onlineangebotes ist es erforderlich, dass der „Auftragnehmer“ mit personenbezogenen Daten umgeht, für die der „Auftraggeber“ als Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der „Vertragsparteien“ im Zusammenhang mit dem Umgang des „Auftragnehmers“ mit „Auftraggeber-Daten“ zur Durchführung der Leistungen.


3. Art, Umfang, Zweck und Laufzeit der Auftragsverarbeitung

  1. Der „Auftragnehmer“ erhebt, verarbeitet und nutzt die „Auftraggeber-Daten“ im Auftrag und nach Weisung des „Auftraggebers“ i. S. v. Art. 28 DSGVO (Auftragsverarbeitung). Der „Auftraggeber“ bleibt im datenschutzrechtlichen Sinn Verantwortlicher („Herr der Daten“).

  2. Die Verarbeitung der „Auftraggeber-Daten“ im Rahmen der Auftragsverarbeitung erfolgt entsprechend den in AVV Anlage 1 zu dem jeweiligen „Einzelvertrag“ enthaltenen Festlegungen zu Art, Umfang und Zweck der Datenverarbeitung. Sie bezieht sich auf die in AVV Anlage 1 des jeweiligen „Einzelvertrags“ festgelegte Art der „Auftraggeber-Daten“ und die dort bestimmten Kategorien betroffener Personen.

  3. Der „Auftragnehmer“ darf die „Auftraggeber-Daten“ anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen, insbesondere für statistische Zwecke.

  4. Die Verarbeitung der „Auftraggeber-Daten“ findet überwiegend im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Wir verwenden unter anderem auch Tools von Unternehmen mit Sitz in den USA. Hierbei handelt es sich insb. um die Tools zur Veröffentlichung und Analyse von Daten auf Social Media Netzwerken wie Facebook und Twitter. Wenn diese Tools aktiv sind, können Ihre personenbezogene Daten in diese Drittstaaten übertragen und dort verarbeitet werden. Wir weisen darauf hin, dass in diesen Ländern kein mit der EU vergleichbares Datenschutzniveau garantiert werden kann. Beispielsweise sind US-Unternehmen dazu verpflichtet, personenbezogene Daten an Sicherheitsbehörden herauszugeben, ohne dass Sie als Betroffener hiergegen gerichtlich vorgehen könnten. Es kann daher nicht ausgeschlossen werden, dass US-Behörden (z.B. Geheimdienste) Ihre auf US-Servern befindlichen Daten zu Überwachungszwecken verarbeiten, auswerten und dauerhaft speichern. Wir haben auf diese Verarbeitungstätigkeiten keinen Einfluss.
    Die Verarbeitung von „Auftraggeber-Daten“ außerhalb des EWR ist dem „Auftragnehmer“ nur in den Fällen gestattet, bei denen der Auftraggeber diese ausdrücklich im Rahmen seiner Leistungserbringung genannt hat und entsprechende Verträge abgeschlossen worden sind.

  5. Der „Auftraggeber“ erteilt hiermit aufgrund der in AVV Anlage 2 zu dem jeweiligen „Einzelvertrag“ nachgewiesenen Sicherheitsmaßnahmen seine Zustimmung zu der Übermittlung in die dort genannten Länder.

  6. Die Laufzeit und Kündigung dieses „AV-Vertrags“ richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des „Einzelvertrags“. Eine Kündigung des „Einzelvertrags“ bewirkt automatisch auch eine Kündigung dieses „AV-Vertrags“. Eine isolierte Kündigung dieses „AV-Vertrags“ ist ausgeschlossen.


4. Weisungsbefugnisse des „Auftraggebers“

  1. Der „Auftragnehmer“ verwendet die „Auftraggeber-Daten“ ausschließlich in Übereinstimmung mit den Weisungen des „Auftraggebers“, wie sie abschließend in den Bestimmungen dieses „AV-Vertrags“ Ausdruck finden. Einzelweisungen, die von den Festlegungen dieses „AV-Vertrags“ abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des „Auftragnehmers“ und erfolgen nach Maßgabe des im „Einzelvertrag“ festgelegten Änderungsverfahrens, in dem auch die Übernahme etwa dadurch bedingter Mehrkosten des „Auftragnehmers“ durch den „Auftraggeber“ geregelt ist.

  2. Einzelweisungen des „Auftraggebers“ sind grundsätzlich schriftlich oder zumindest in Textform durch die hierzu gemäß den nach den Absprachen befugten Personen des „Auftraggebers“ zu erteilen. Mündliche Einzelweisungen bedürfen zu ihrer Wirksamkeit der unverzüglichen schriftlichen oder in Textform erteilten Bestätigung durch den „Auftraggeber“.

  3. Ist der „Auftragnehmer“ der Ansicht, dass eine zulässige Einzelweisung gegen geltendes Datenschutzrecht verstößt, wird er den „Auftraggeber“ möglichst zeitnah darauf hinweisen. Außerdem ist der „Auftragnehmer“ berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den „Auftraggeber“ auszusetzen.


5. Pflichten des „Auftraggebers“

  1. Der „Auftraggeber“ ist für die Rechtmäßigkeit der Verarbeitung der „Auftraggeber-Daten“ sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich. Sollten Dritte gegen den „Auftragnehmer“ aufgrund der Verarbeitung von „Auftraggeber-Daten“ Ansprüche geltend machen, wird der „Auftraggeber“ den „Auftragnehmer“ von allen solchen Ansprüchen auf erstes Anfordern freistellen, wenn und soweit den „Auftragnehmer“ nicht eine eigene durch Gesetze begründete Haftung trifft.

  2. Der „Auftraggeber“ ist Eigentümer der „Auftraggeber-Daten“ und Inhaber aller etwaigen Rechte, die die „Auftraggeber-Daten“ betreffen.

  3. Dem „Auftraggeber“ obliegt es, dem „Auftragnehmer“ die „Auftraggeber-Daten“ rechtzeitig zur Leistungserbringung nach dem „Einzelvertrag“ zur Verfügung zu stellen, und er ist verantwortlich für die Qualität der „Auftraggeber-Daten“. Der „Auftraggeber“ hat den „Auftragnehmer“ unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des „Auftragnehmers“ Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.


6. Pflichten des „Auftragnehmers“

  1. Der „Auftragnehmer“ stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung im Rahmen der Leistungserbringung nach dem „Einzelvertrag“ in seinem Verantwortungsbereich, der Unterauftragnehmer nach § 9 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrags erfolgt.

  2. Der „Auftragnehmer“ darf ohne vorherige Zustimmung durch den „Auftraggeber“ im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der „Auftraggeber-Daten“ anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem „Einzelvertrag“ (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

  3. Der „Auftragnehmer“ unterstützt den „Auftraggeber“ bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den „Auftragnehmer“ betreffen.

  4. Der „Auftragnehmer“ unterstützt den „Auftraggeber“ bei der Einhaltung von dessen Verpflichtungen gemäß Art. 32 bis 36 DSGVO, insbesondere bei einer Datenschutz-Folgenabschätzung des „Auftraggebers“ inklusive einer etwa notwendigen vorherigen Konsultation der zuständigen Aufsichtsbehörde. Hierzu wird der „Auftragnehmer“ dem „Auftraggeber“ im Rahmen des Zumutbaren Informationen zu den technischen und organisatorischen Maßnahmen sowie den von der Auftragsverarbeitung umfassten Datenverarbeitungsvorgängen zur Verfügung stellen. Die Erbringung von Unterstützungsleistungen bedarf der ausdrücklichen Vereinbarung der „Vertragsparteien“ und ist separat abzurechnen. Sofern individualisierte Leistungen erbracht werden, kann es sein, dass die Preise für die Erbringung dieser Leistungen erst nach Abschluss einer Planungsphase ausgewiesen werden können.

  5. Der „Auftragnehmer“ hat die bei der Verarbeitung von „Auftraggeber-Daten“ beschäftigten Personen gemäß Art. 28 Abs. 3 lit. b) DSGVO schriftlich zur Vertraulichkeit zu verpflichten.

  6. Der „Auftragnehmer“ ist verpflichtet, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten zu benennen, sofern und solange die gesetzlichen Voraussetzungen für eine Benennungspflicht gegeben sind.

  7. Der „Auftragnehmer“ unterliegt der behördlichen Aufsicht sowie den Bußgeld- und Strafvorschriften in Art. 82 bis 84 DSGVO sowie in §§ 41 bis 43 BDSG 2018.


7. Technische und organisatorische Maßnahmen

  1. Der „Auftragnehmer“ hat vor Beginn der Verarbeitung die technischen und organisatorischen Maßnahmen zu implementieren und während des „AV-Vertrags“ aufrechtzuerhalten. Hierbei handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

  2. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem „Auftragnehmer“ gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in AVV Anlage 2 festgelegten Maßnahmen nicht unterschritten wird. Der „Auftragnehmer“ wird solche Änderungen dokumentieren.


8. Mitzuteilende Verstöße des „Auftragnehmers“

  1. Der „Auftragnehmer“ informiert den „Auftraggeber“ unverzüglich, wenn er eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit diesem „AV-Vertrag“ feststellt.

  2. Soweit den „Auftraggeber“ aufgrund eines Vorkommnisses nach § 7 Abs. 1 gesetzliche Informationspflichten wegen eines Risikos für die Rechte und Freiheiten natürlicher Personen (insbesondere nach Art. 33 DSGVO) treffen, hat der „Auftragnehmer“ den „Auftraggeber“ bei der Erfüllung der Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem „Auftragnehmer“ hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen.


9. Kontrollrecht des „Auftraggebers“

  1. Der „Auftraggeber“ ist berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 9:00 bis 17:00 Uhr) auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des „Auftragnehmers“ die Geschäftsräume des „Auftragnehmers“, in denen „Auftraggeber-Daten“ verarbeitet werden, zu betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß AVV Anlage 2 zu dem jeweiligen „Einzelvertrag“ zu überzeugen.

  2. Der „Auftragnehmer“ gewährt dem „Auftraggeber“ die zur Durchführung der Kontrollen nach § 8 Abs. 1 erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.

  3. Der „Auftragnehmer“ ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des „Auftraggebers“, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des „Auftragnehmers“ sind, oder wenn der „Auftragnehmer“ durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der „Auftraggeber“ ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des „Auftragnehmers“, zu Informationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des „Auftragnehmers“, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.

  4. Der „Auftraggeber“ hat den „Auftragnehmer“ rechtzeitig (in der Regel mindestens 12 Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der „Auftraggeber“ darf in der Regel eine Kontrolle pro Kalenderjahr durchführen.

  5. Der „Auftragnehmer“ erhält vom „Auftraggeber“ eine pauschale Aufwandsentschädigung für seinen im Rahmen dieser Kontrollen anfallenden Aufwand in Höhe von 2000,- Euro pro Kontrolle.

  6. Beauftragt der „Auftraggeber“ einen Dritten mit der Durchführung der Kontrolle, hat der „Auftraggeber“ den Dritten schriftlich ebenso zu verpflichten, wie auch der „Auftraggeber“ aufgrund von § 8 dieses „AV-Vertrags“ gegenüber dem „Auftragnehmer“ verpflichtet ist. Zudem hat der „Auftraggeber“ den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des „Auftragnehmers“ hat der „Auftraggeber“ diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der „Auftraggeber“ darf keinen Konkurrenten des „Auftragnehmers“ mit der Kontrolle beauftragen.

  7. Nach Wahl des „Auftragnehmers“ kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß AVV Anlage 2 anstatt durch eine Vor-Ort-Kontrolle auch durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO sowie die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z. B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem „Auftraggeber“ in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß AVV Anlage 2 zu überzeugen.


10. Unterauftragsverhältnisse

  1. Der „Auftragnehmer“ darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung oder Nutzung von „Auftraggeber-Daten“ nur nach vorheriger schriftlicher Zustimmung des „Auftraggebers“ begründen. Eine solche vorherige Zustimmung darf vom „Auftraggeber“ nur aus wichtigem, dem „Auftragnehmer“ nachzuweisenden Grund verweigert werden. Im Fall der Einschaltung eines nach §§ 15 ff. AktG mit dem „Auftragnehmer“ verbundenen Unternehmens als Unterauftragnehmer erteilt der „Auftraggeber“ hiermit ausdrücklich seine Zustimmung.

  2. Keiner Zustimmung bedarf die Einschaltung von Subunternehmern, bei denen der Subunternehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung in Anspruch nimmt, auch wenn dabei ein Zugriff auf die „Auftraggeber-Daten“ nicht ausgeschlossen werden kann. Der „Auftragnehmer“ wird mit solchen Subunternehmern branchenübliche Geheimhaltungsvereinbarungen treffen.

  3. Zur Prüfung einer nach § 9 Abs. 1 erforderlichen Zustimmung hat der „Auftragnehmer“ dem „Auftraggeber“ eine Kopie der Vereinbarung zur Unterauftragsverarbeitung zur Verfügung zu stellen. Der Unterauftragsverarbeitungsvertrag muss ein adäquates Schutzniveau aufweisen, welches demjenigen dieses „AV-Vertrags“ vergleichbar ist. Dem „Auftraggeber“ sind in dem Unterauftragsverarbeitungsvertrag gegenüber dem Unterauftragnehmer eigene Kontrollrechte nach § 8 dieses „AV-Vertrags“ einzuräumen.

  4. Die Regelungen in diesem § 9 gelten auch, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird. Der „Auftraggeber“ bevollmächtigt den „Auftragnehmer“ hiermit, in Vertretung des „Auftraggebers“ mit einem Unterauftragnehmer, der „Auftraggeber-Daten“ außerhalb des EWR verarbeitet oder nutzt, einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 05.02.2010 oder ggf. später von der EU-Kommission oder der zuständigen Aufsichtsbehörde erlassenen Standarddatenschutzklauseln zu schließen. Der „Auftraggeber“ erklärt sich bereit, an der Erfüllung der Voraussetzungen nach Art. 46 DSGVO im erforderlichen Maße mitzuwirken.


11. Rechte betroffener Personen

  1. Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem „Auftraggeber“ geltend zu machen.

  2. Soweit eine betroffene Person sich unmittelbar an den „Auftragnehmer“ zwecks Ausübung der ihr nach den Art. 15 ff. DSGVO zukommenden Rechte wenden sollte, wird der „Auftragnehmer“ dieses Ersuchen unverzüglich an den „Auftraggeber“ weiterleiten.

  3. Für den Fall, dass eine betroffene Person die ihr nach den Art. 15 ff. DSGVO zukommenden Rechte geltend macht, hat der „Auftragnehmer“ den „Auftraggeber“ bei der Erfüllung dieser Ansprüche in angemessenem und für den „Auftraggeber“ erforderlichen Umfang gegen Erstattung der dem „Auftragnehmer“ hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen, sofern der „Auftraggeber“ die Ansprüche nicht ohne Mitwirkung des „Auftragnehmers“ erfüllen kann.

  4. Der „Auftragnehmer“ wird es dem „Auftraggeber“ ermöglichen, „Auftraggeber-Daten“ zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken oder die personenbezogenen Daten an die betroffene Person oder einen von dieser benannten Dritten herauszugeben oder auf Verlangen des „Auftraggebers“ die Berichtigung, Löschung, Einschränkung der Verarbeitung oder Datenübertragung gegen Erstattung der dem „Auftragnehmer“ hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen bzw. selbst vorzunehmen, wenn und soweit das dem „Auftraggeber“ selbst unmöglich ist.


12. Rückgabe und Löschung überlassener Daten und Datenträger

  1. Der „Auftragnehmer“ hat sämtliche „Auftraggeber-Daten“ nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des „Einzelvertrags“) zu löschen und von dem „Auftraggeber“ erhaltene Datenträger, die zu diesem Zeitpunkt noch „Auftraggeber-Daten“ enthalten, an den „Auftraggeber“ zurückzugeben.

  2. Über eine Löschung bzw. Vernichtung von „Auftraggeber-Daten“ hat der „Auftragnehmer“ ein Protokoll zu erstellen, das dem „Auftraggeber“ auf Anforderung vorzulegen ist.

  3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind durch den „Auftragnehmer“ entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.


13. Angabe der zuständigen Datenschutz-Aufsichtsbehörde

Die zuständige Aufsichtsbehörde für den Auftragnehmer und Auftraggeber ist die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen, Roul Tiaden, Postfach 20 04 44, 40102 Düsseldorf.

Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Der Nutzer versichert mit der Anmeldung ausdrücklich, dass es sich bei ihm nicht um einen Verbraucher im Sinne des § 13 BGB handelt.


Verlinken zu

AVV Anlage 1: Zweck, Art und Umfang der Auftragsverarbeitung, Art der Daten und Kategorien betroffener Personen

AVV Anlage 2: Technische und organisatorische Maßnahmen

AVV Anlage 3: Unterauftragnehmer / Dienstleister