Vorlage Auftragsverarbeitung (AV)  

Herunterladen Vertrag


Vertrag über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO

zwischen

Auftraggeber Name
Adresse

Postleitzahl Stadt
Handelsregisternummer , Amtsgericht Stadt
Geschäftsführung
– nachfolgend „Auftraggeber“ –

und der

Contentpepper GmbH,
Vogelwarte 14, 42799 Leichlingen
Amtsgericht Köln, Registernummer: HRB 81737

vertreten durch
Marc Czieslick, Jochen Lohmann, Alexander Hummelt 


– nachfolgend der „Auftragnehmer“ –

– „Auftragnehmer“ und der „Auftraggeber” werden nachfolgend auch als die „Vertragsparteien“ bezeichnet –

 

§ 1 Vertragsgegenstand

  1. Im Rahmen der Leistungserbringung nach dem Vertrag (Auftrag zur Nutzung der Contentpepper Marketing Plattform) ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend “Auftraggeber-Daten” genannt). Dieser Vertrag (nachfolgend “AV-Vertrag”) konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Vertrags .
  2. Sofern in diesem Vertrag der Begriff “Datenverarbeitung“ oder “Verarbeitung“ (von Daten) benutzt wird, wird die Definition der “Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.


§ 2 Art, Umfang, Zweck und Laufzeit der Auftragsverarbeitung

  1. Der Auftragnehmer erhebt, verarbeitet und nutzt die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers i. S. v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn Verantwortlicher („Herr der Daten“).
  2. Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 zu diesem Vertrag festgelegt.
  3. Der Auftragnehmer darf die Kunden-Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten, wenn eine gesetzliche Erlaubnisvorschrift oder eine Einwilligungserklärung der betroffenen Person das gestattet. Auf solche Datenverarbeitungen findet dieser AV-Vertrag keine Anwendung. In jedem Fall darf der Auftragnehmer die Kunden-Daten anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen, insbesondere für statistische Zwecke.
  4. Die Verarbeitung der Kunden-Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Eine Verarbeitung der personenbezogenen Daten in einem Drittland bedarf der vorherigen Zustimmung des Kunden, die zumindest in Textform (z.B. E-Mail) erfolgen muss. Eine Zustimmung des Kunden kommt nur dann in Betracht, wenn gewährleistet ist, dass die jeweils nach den Art. 44 – 49 DSGVO einzuhaltenden Rechtsvorschriften eingehalten werden, um ein angemessenes Schutzniveau für den Schutz der personenbezogenen Daten zu gewährleisten.
  5. Die Laufzeit und Kündigung dieses AV-Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Vertrags. Eine Kündigung des Vertrags bewirkt automatisch auch eine Kündigung dieses AV-Vertrags. Eine isolierte Kündigung dieses AV-Vertrags ist ausgeschlossen.


§ 3 Weisungsbefugnisse des Auftraggebers

  1. Der Auftragnehmer verwendet die Auftraggeber-Daten ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieses AV-Vertrags Ausdruck finden. Einzelweisungen, die von den Festlegungen dieses AV-Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Vertrag festgelegten Änderungsverfahrens, in dem auch die Übernahme etwa dadurch bedingter Mehrkosten des Auftragnehmers durch den Auftraggeber geregelt ist.
  2. Einzelweisungen des Auftraggebers sind grundsätzlich schriftlich oder zumindest in Textform durch die hierzu gemäß den Absprachen befugten Personen des Auftraggebers zu erteilen. Mündliche Einzelweisungen bedürfen der Wirksamkeit der unverzüglichen schriftlichen oder in Textform erteilten Bestätigung durch den Auftraggeber.
  3. Ist der Auftragnehmer der Ansicht, dass eine zulässige Einzelweisung gegen geltendes Datenschutzrecht verstößt, wird er den Auftraggeber möglichst zeitnah darauf hinweisen. Außerdem ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen.


§ 4 Pflichten des Auftraggebers

  1. Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der betroffenen Personen verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeber-Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen, wenn und soweit der Auftragnehmer nicht schuldhaft ist.
  2. Der Auftraggeber ist Eigentümer der Auftraggeber-Daten und Inhaber aller etwaigen Rechte, die die Auftraggeber-Daten betreffen.
  3. Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Vertrag zur Verfügung zu stellen, und er ist verantwortlich für die Qualität der Auftraggeber-Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen

§ 5 Pflichten des Auftragnehmers

  1. Der Auftragnehmer stellt sicher und kontrolliert regelmäßig, dass die Datenverarbeitung im Rahmen der Leistungserbringung nach dem Vertrag in seinem Verantwortungsbereich, der Unterauftragnehmer nach § 9 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrags erfolgt.
  2. Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Vertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  3. Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen.
  4. Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung von dessen Verpflichtungen gemäß Art. 32 bis 36 DSGVO, insbesondere bei einer Datenschutz-Folgenabschätzung des Auftraggebers inklusive einer etwa notwendigen vorherigen Konsultation der zuständigen Aufsichtsbehörde. Hierzu wird der Auftragnehmer dem Auftraggeber im Rahmen des Zumutbaren Informationen zu den technischen und organisatorischen Maßnahmen sowie den von der Auftragsverarbeitung umfassten Datenverarbeitungsvorgängen zur Verfügung stellen. Die Erbringung von Unterstützungsleistungen bedarf der ausdrücklichen Vereinbarung der Vertragsparteien und ist gemäß der AVV Anlage Preisliste abzurechnen. Sofern individualisierte Leistungen erbracht werden, kann es sein, dass die Preise für die Erbringung dieser Leistungen erst nach Abschluss einer Planungsphase ausgewiesen werden können. 
  5. Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen gemäß Art. 28 Abs. 3 lit. b) DSGVO schriftlich zur Vertraulichkeit zu verpflichten.
  6. Der Auftragnehmer ist verpflichtet, einen fachkundigen und zuverlässigen betrieblichen Datenschutzbeauftragten zu benennen, sofern und solange die gesetzlichen Voraussetzungen für eine Benennungspflicht


§ 6 „Home-Office“- Regelung

  1. Die Beschäftigten des Auftragnehmers, die mit der Verarbeitung von personenbezogenen Daten für den Auftraggeber auch in Privatwohnungen („Home-Office“) beauftragt sind, werden durch den Auftragnehmer geschult. Es besteht eine Richtlinie für die Gewährleistung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen auch im Home-Office der Beschäftigten.
  2. Der Auftragnehmer trägt insbesondere Sorge dafür, dass bei einer Verarbeitung von personenbezogenen Daten im Home-Office die Speicherorte so konfiguriert werden, dass eine lokale Speicherung von Daten auf IT-Systemen, die im Home-Office verwendet werden, ausgeschlossen ist. Sollte dies nicht möglich sein, hat der Auftragnehmer Sorge dafür zu tragen, dass die lokale Speicherung ausschließlich verschlüsselt erfolgt und andere im Haushalt befindliche Personen keinen Zugriff auf diese Daten erhalten.
  3. Der Auftragnehmer ist verpflichtet, Sorge dafür zu tragen, dass eine wirksame Kontrolle der Verarbeitung personenbezogener Daten im Auftrag im Home-Office durch den Kunden möglich ist. Dabei sind die Persönlichkeitsrechte der Beschäftigten sowie der weiteren im jeweiligen Haushalt lebenden Personen angemessen zu berücksichtigen.
  4. Sofern auch bei Unterauftragnehmern Beschäftigte im Home-Office eingesetzt werden sollen, gelten die Regelungen der Absätze 1 bis 4 entsprechend.


§ 7 Technische und organisatorische Maßnahmen

  1. Der Auftragnehmer hat vor Beginn der Verarbeitung der Auftraggeber-Daten die in AVV Anlage 2 zu dem jeweiligen Vertrag aufgelisteten technischen und organisatorischen Maßnahmen zu implementieren und während des AV-Vertrags aufrechtzuerhalten. Hierbei handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.
  2. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in AVV Anlage 2 zu dem jeweiligen Vertrag festgelegten Maßnahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen.


§ 8 Meldepflichten des Auftragnehmers

  1. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers verarbeitet.
  2. Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.
  3. Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht im Falle von Datenschutzverletzungen nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird den Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung des Auftragnehmer an den Auftraggeber muss insbesondere folgende Informationen beinhalten:
    1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    2. eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen


§ 9 Kontrollrecht des Auftraggebers

  1. Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 9:00 bis 17:00 Uhr) auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen Auftraggeber-Daten verarbeitet werden, zu betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß AVV Anlage 2 zu dem jeweiligen Vertrag zu überzeugen.
  2. Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung der Kontrollen nach § 8 Abs. 1 erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.
  3. Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind, oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten – es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.
  4. Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen.
  5. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers bei dem Auftragnehmer entstehen, bleiben unberührt.
  6. Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von § 8 dieses AV-Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.
  7. Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß AVV Anlage 2 zu dem jeweiligen Vertrag anstatt durch eine Vor-Ort-Kontrolle auch durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO sowie die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z. B. nach BSI-Grundschutz – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß AVV Anlage 2 zu dem jeweiligen Vertrag zu überzeugen.
  8. Die Parteien sind sich darüber einig, dass die Kontrollmaßnahmen bei einer Verarbeitung von personenbezogenen Daten im Home-Office zur Wahrung der Persönlichkeitsrechte von Beschäftigten des Auftragnehmers und etwaiger weiterer Personen im jeweiligen Haushalt primär durch eine Kontrolle der Sicherstellung der von dem Auftragnehmer nach § 6 Abs. 2 und 3 zu treffenden Maßnahmen erfolgt. Anlassbezogen ist dem Auftraggeber auch eine Kontrolle im Home-Office von Beschäftigten durch den Auftragnehmer zu ermöglichen.


§ 10 Unterauftragsverhältnisse

  1. Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist nur mit Zustimmung des Auftraggebers in Textform zulässig. Der Auftragnehmer wird alle bereits zum Vertragsschluss bestehenden Unterauftragsverhältnisse in der Anlage 2 zu diesem Vertrag angeben.
  2. Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen dem Auftraggeber und dem Auftragnehmer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist von dem Auftragnehmer zu dokumentieren und auf Anfrage dem Auftraggeber zu übermitteln.
  3. Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen Datenschutzbeauftragten gemäß Art. 37 DSGVO benannt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Unterauftragnehmer benannt worden ist, hat der Auftragnehmer den Auftraggeber hierauf hinzuweisen.
  4. Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten.
  5. Der Auftragnehmer hat mit dem Unterauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Darüber hinaus hat der Auftragnehmer dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind. Dem Auftraggeber ist der Auftragsdatenverarbeitungsvertrag auf Anfrage in Kopie zu übermitteln.
  6. Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff. 9 dieses Vertrages) des Auftraggebers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte vom Auftraggeber und Aufsichtsbehörden vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.
  7. Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragnehmer ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Die Wartung und Pflege von IT-Systemen oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.
  8. Die Regelungen in diesem § 10 gelten auch, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird. Der Auftragnehmer hat bei Verwendung der Standardvertragsklauseln das Schutzniveau im betreffenden Drittland zu prüfen, um festzustellen, ob die dadurch gebotenen Garantien in der Praxis eingehalten werden können. Dabei ist zu prüfen, ob zusätzliche Maßnahmen zu ergreifen sind, um ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU zu gewährleisten, und ob das Recht des Drittlandes diese zusätzlichen Maßnahmen nicht beeinträchtigt, um ihre Wirksamkeit zu verhindern. Auf § 2 Abs. 4 wird verwiesen.


§ 11 Vertraulichkeitsverpflichtung

  1. Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln mitzuteilen.
  2. Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer sichert ferner zu, dass er seine Beschäftigten mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut und zur Vertraulichkeit verpflichtet hat. Der Auftragnehmer sichert ferner zu, dass er insbesondere die bei der Durchführung der Arbeiten tätigen Beschäftigten zur Vertraulichkeit verpflichtet hat und diese über die Weisungen des Auftraggeber informiert hat. 
  3. Die Verpflichtung der Beschäftigten nach Absatz 2 ist dem Auftraggeber auf Anfrage nachzuweisen.


§ 12 Rechte betroffener Personen

  1. Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen.
  2. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Ausübung der ihr nach den Art. 15 ff. DSGVO zukommenden Rechte wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
  3. Für den Fall, dass eine betroffene Person die ihr nach den Art. 15 ff. DSGVO zukommenden Rechte geltend macht, hat der Auftragnehmer den Auftraggeber bei der Erfüllung dieser Ansprüche in angemessenem und für den Auftraggeber erforderlichen Umfang gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen, sofern der Auftraggeber die Ansprüche nicht ohne Mitwirkung des Auftragnehmers erfüllen kann. Einzelheiten ergeben sich aus der AVV Anlage Preisliste
  4. Der Auftragnehmer wird es dem Auftraggeber ermöglichen, Auftraggeber-Daten zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken oder die personenbezogenen Daten an die betroffene Person oder einen von dieser benannten Dritten herauszugeben oder auf Verlangen des Auftraggebers die Berichtigung, Löschung, Einschränkung der Verarbeitung oder Datenübertragung gegen Erstattung der dem Auftragnehmer hierdurch entstehenden, nachzuweisenden Aufwände und Kosten zu unterstützen bzw. selbst vorzunehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.


§ 13 Rückgabe und Löschung überlassener Daten und Datenträger

  1. Der Auftragnehmer hat sämtliche Auftraggeber-Daten nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des Vertrags zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch Auftraggeber-Daten enthalten, an den Auftraggeber zurückzugeben.
  2. Über eine Löschung bzw. Vernichtung von Auftraggeber-Daten hat der Auftragnehmer ein Protokoll zu erstellen, das dem Auftraggeber auf Anforderung vorzulegen ist.
  3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.


§ 14 Verhältnis zum Vertrag

Soweit in diesem AV-Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Vertrags. Im Fall von Widersprüchen zwischen diesem AV-Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Vertrag, gehen die Regelungen aus diesem AV-Vertrag vor.


§ 15 Angabe der zuständigen Datenschutz-Aufsichtsbehörde

Die zuständige Aufsichtsbehörde für den Auftragnehmer und Auftraggeber ist die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen, Bettina Gayk, Postfach 20 04 44, 40102 Düsseldorf.

Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Der Nutzer versichert mit der Anmeldung ausdrücklich, dass es sich bei ihm nicht um einen Verbraucher im Sinne des § 13 BGB handelt.






_________________________________                                                                                                                                                             ______________________________                                 

(Ort, Datum)                                                                                                                                                                                                    (Ort, Datum)





_________________________________                                                                                                                                                             _________________________________

(Auftragnehmer)                                                                                                                                                                                            (Auftragnehmer)

 



Referenzierte Anlagen des jeweiligen „Einzelvertrags“:

AVV Anlage 1: Zweck, Art und Umfang der Auftragsverarbeitung, Art der Daten und Kategorien betroffener Personen

AVV Anlage 2: Technische und organisatorische Maßnahmen

AVV Anlage 3: Unterauftragnehmer / Dienstleister

AVV Anlage 4: Preisliste

AVV Anlage 5: Befugte Personen