Zum Hauptinhalt gehen

d. Auftragsverarbeitungsvertrag (AVV)

Aktualisiert
  1. Gegenstand der Vereinbarung 
  1. Der Auftragsverarbeiter erbringt Leistungen auf der Grundlage des geschlossenen Vertrages (nachfolgend "Hauptvertrag" genannt). Der Auftragsverarbeiter verarbeitet personenbezogene Daten für den Verantwortlichen. Der Rahmen und der Umfang der Datenverarbeitung wird durch den Hauptvertrag bestimmt. Für die Rechtmäßigkeit der Datenverarbeitung ist allein der Verantwortliche verantwortlich. 
  1. Diese Vereinbarung regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der                  Verarbeitung personenbezogener Daten des Verantwortlichen durch den Auftragsverarbeiter in                    Erfüllung des Hauptvertrages.  
  1. Laufzeit und Kündigung dieser Vereinbarung 
  1. Laufzeit und Kündigung dieses Vertrages richten sich nach den Bestimmungen des Hauptvertrages. Die Kündigung des Hauptvertrages führt automatisch zur Beendigung dieser Vereinbarung. Eine isolierte Kündigung dieser Vereinbarung ist ausgeschlossen. 
  1. Art und Zweck der Verarbeitung, Kategorien der personenbezogenen Daten, Kategorien von betroffenen Personen 
  1. Art und Zweck der Verarbeitung, sowie die Kategorien der personenbezogenen Daten und die Kategorien von betroffenen Personen sind in Anhang 1 dieses Vertrages aufgeführt.
  1. Rechte und Pflichten sowie Weisungsbefugnisse des Verantwortlichen 
  1. Die Verarbeitung von Daten des Verantwortlichen durch den Auftragsverarbeiter im Rahmen dieser Vereinbarung erfolgt ausschließlich nach den Weisungen des Verantwortlichen gemäß Artikel 28 Abs. 3 Satz 2 lit. a DSGVO, es sei denn, der Auftragsverarbeiter ist nach dem Recht der Europäischen Union oder dem Recht des Mitgliedstaates, dem er unterliegt, zur Weiterverarbeitung verpflichtet. In einem solchen Fall unterrichtet der Auftragsverarbeiter den Verantwortlichen über diese rechtlichen Anforderungen, es sei denn, das einschlägige Recht verbietet eine solche Unterrichtung aufgrund eines wichtigen öffentlichen Interesses.
  1. Der Verantwortliche hat das Recht im Rahmen der in dieser Vereinbarung geregelten Auftragsverarbeitung Weisungen über Art und Zweck der Datenverarbeitung zu erteilen, die er durch Einzelweisungen konkretisieren kann. Individuelle Weisungen nach Vertragsschluss bedürfen der Textform und sind vom Verantwortlichen zu dokumentieren. Der Auftragsverarbeiter behält sich vor, Weisungen, welche einen deutlichen Mehraufwand zum vereinbarten Leistungsumfang bedeuten dem Verantwortlichen anzubieten, bzw. nur gegen Kostenübernahme umzusetzen. Lehnt der Verantwortliche dies ab, besteht seitens des Auftragsverarbeiters ein Sonderkündigungsrecht, insofern der Verantwortliche auf die Umsetzung dieser Weisung besteht.
  1. Die weisungsberechtigten Personen sind in Anlage 2 aufgeführt. Bei einem Wechsel oder einer längerfristigen Verhinderung der genannten Personen ist dem Vertragspartner unverzüglich der Nachfolger oder Vertreter in Textform zu benennen. 
  1. Der Auftragsverarbeiter ist nicht verpflichtet, die Weisungen des Verantwortlichen rechtlich zu prüfen. Ist der Auftragsverarbeiter jedoch der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, so wird er den für die Verarbeitung Verantwortlichen darauf hinweisen. Der Auftragsverarbeiter ist berechtigt, die Ausführung der betreffenden Weisung auszusetzen, bis die Weisung bestätigt oder geändert worden ist. Wenn der Verantwortliche die Zweifel des Auftragsverarbeiters nicht ausräumt, nachdem er von einer Weisung erfahren hat, die nach Ansicht des Auftragsverarbeiters rechtswidrig ist, kann der Auftragsverarbeiter die Durchführung der betreffenden Weisung verweigern, soweit sie seinen Verantwortungsbereich betrifft. 
  1. Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung von Daten des Verantwortlichen durch den Auftragsverarbeiter oder dessen Weisungen feststellt. 
  1. Rechte und Pflichten des Auftragsverarbeiters
  1. Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
  1. Der Auftragsverarbeiter hat die zur Verarbeitung von Daten des Verantwortlichen gemäß Art. 28 Abs. 3 lit. b DSGVO befugten Personen schriftlich zur Vertraulichkeit zu verpflichten, sofern sie nicht bereits einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.
  1. Der Auftragsverarbeiter stellt sicher, dass die Verarbeitung im Rahmen der Erfüllung des Hauptvertrages in seinem Verantwortungsbereich, zu dem auch die Unterauftragsverarbeiter gehören, gemäß den Bestimmungen dieses Vertrages erfolgt. 
  1. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen auf Verlangen die erforderlichen Informationen, einschließlich Nachweisen, zur Verfügung zu stellen, die als Nachweis für die Einhaltung der in diesem Vertrag festgelegten Verpflichtungen dienen.
  1. Der Auftragsverarbeiter hat ein Verzeichnis, der im Auftrag des Verantwortlichen durchgeführten Verarbeitungstätigkeiten zu führen, dass alle Informationen gemäß Art. 30 Abs. 2 DSGVO enthält. Diese Verpflichtung entfällt, wenn die Voraussetzungen des Art. 30 Abs. 5 DSGVO erfüllt sind.
  1. Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen im Rahmen des Zumutbaren und Erforderlichen bei der Erfüllung seiner Pflichten nach den Artikeln 12 bis 22 und 32 bis 36 DSGVO zu unterstützen. Die Unterstützung erfolgt unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen sowie, soweit möglich, mithilfe geeigneter technischer und organisatorischer Maßnahmen, insbesondere bei der Beantwortung von Anfragen zur Ausübung der in den Artikeln 12 bis 22 DSGVO genannten Rechte der betroffenen Person.
  1. Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragsverarbeiter die Verantwortlichen bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. 
  1. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Zustimmung durch die Verantwortliche erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Verantwortlichen weiterleiten.
  1. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU bzw. des EWR. Es ist jedoch zu beachten, dass Dienste im Rahmen der Auftragsverarbeitung, sowie das Hosting, von Unternehmen aus Drittländern erbracht werden, bei denen nicht abschließend sichergestellt werden kann, dass keine Drittlandübermittlung stattfindet. Diese sind in Anhang 4 aufgeführt.
  1. Jegliche weitere Verlagerung in ein Drittland wird dem Verantwortlichen rechtzeitig mitgeteilt und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen. 
  1. Technische und organisatorische Maßnahmen 
  1. Der Auftragsverarbeiter hat alle erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen, um die Daten des Verantwortlichen gemäß Art. 32 DSGVO angemessen zu schützen, insbesondere die in Anlage 3 aufgeführten Maßnahmen. 
  1. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Entwicklung unterliegen, ist es dem Auftragsverarbeiter gestattet, alternative und angemessene Maßnahmen zu ergreifen, sofern diese nicht unter das Sicherheitsniveau der in Anlage 3 genannten Maßnahmen fallen. Der Auftragsverarbeiter hat solche Änderungen zu dokumentieren. Wesentliche Änderungen an den Maßnahmen bedürfen der vorherigen Zustimmung des Verantwortlichen. 
  1. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Verantwortlichen nicht oder nicht mehr genügen, benachrichtigt der Auftragsverarbeiter die Verantwortlichen unverzüglich.
  1. Der Auftragsverarbeiter sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
  1. Kopien oder Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
  1. Meldepflichten des Auftragsverarbeiters und Verhalten im Falle von Verstößen  
  1. Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung erfolgt sobald der Auftragnehmer Kenntnis davon erlangt an eine vom Auftraggeber benannte Adresse sowie an die in Anlage 2 aufgeführten E-Mail-Adressen zu erfolgen. 
  1. Der Auftragsverarbeiter hat unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen zu ergreifen, den Verantwortlichen hierüber zu informieren und weitere Weisungen einzuholen.
  1. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.  
  1. Kontroll- und Inspektionsrechte des Verantwortlichen
  1. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der Nachweis kann wahlweise auch in Form von relevanten Zertifizierungen oder Auditberichten erfolgen.
  1. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt.
  1. Unterauftragsverarbeiter
  1. Der Auftragsverarbeiter ist berechtigt, weitere Unterauftragsverarbeiter unter der Voraussetzung einer vertraglichen Vereinbarung gemäß Art. 28 Abs. 1 bis 4 DSGVO zu beauftragen. Unterauftragsverarbeiter im Sinne dieser Vorschrift sind diejenigen Dienstleister, die unmittelbar mit der Erbringung der vertraglichen Hauptleistung beauftragt wurden. Der Auftragsverarbeiter ist verpflichtet, angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen und geeignete Kontrollmaßnahmen zu ergreifen, die den Datenschutz und die Datensicherheit für die Daten des Verantwortlichen auch im Hinblick auf die beauftragten Nebendienstleistungen gewährleisten.
  1. Der Verantwortliche stimmt der Beauftragung der in Anlage 4 aufgeführten Unterauftragsverarbeiter ausdrücklich zu.
  1. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich über jede beabsichtigte Änderung hinsichtlich der Beauftragung weiterer Unterauftragsverarbeiter informieren. Der Verantwortliche kann solchen Änderungen aus sachlichen, gegenüber dem Auftragsverarbeiter nachzuweisenden Gründen widersprechen. Der Widerspruch muss innerhalb einer Frist von vier Wochen ab Zugang einer entsprechenden Mitteilung des Auftragsverarbeiters schriftlich erfolgen.
  1. Bei der Beauftragung von Unterauftragsverarbeitern in einem Drittland hat der Auftragsverarbeiter sicherzustellen, dass der Unterauftragsverarbeiter Garantien für ein angemessenes Datenschutzniveau bietet (z.B. durch Abschluss einer Vereinbarung auf der Grundlage von EU-Standarddatenschutzklauseln).
  1. Haftung
  1. Der Auftragsverarbeiter haftet nur für durch die Verarbeitung verursachten Schaden, wenn er seinen speziellen Pflichten nach der DSGVO im Rahmen dieser Vereinbarung nicht nachgekommen ist, oder unter Missachtung einer rechtmäßig erteilten Weisung des Verantwortlichen oder entgegen einer rechtmäßig erteilten Weisung gehandelt hat. 
  1. Beendigung 
  1. Der Auftragsverarbeiter wird nach Beendigung des Vertrages (insbesondere bei Kündigung oder sonstiger Beendigung des Hauptvertrages) oder auf Verlangen des Verantwortlichen alle Daten des Verantwortlichen zurückgeben oder löschen und vorhandene Kopien nach Wahl des Verantwortlichen vernichten, soweit er nicht nach Unionsrecht oder dem Recht der Mitgliedstaaten zur Aufbewahrung der Daten verpflichtet ist. 
  1. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.
  1. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung gemäß den Weisungen oder gesetzlichen Aufbewahrungsfristen dienen, sind vom Auftragsverarbeiter über das Vertragsende hinaus gemäß den jeweiligen Aufbewahrungsfristen aufzubewahren.
  1. Der Verantwortliche kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragsverarbeiter eine rechtmäßige Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Verantwortlichen vertragswidrig verweigert. 
  1. Bei unerheblichen Verstößen setzt der Verantwortliche dem Auftragsverarbeiter eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Verantwortliche zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.
  1. Bei Inanspruchnahme des Sonderkündigungsrechtes steht dem Verantwortlichen keine Rückvergütung für bereits erbrachte Leistungen oder bereits gezahlte Leistungen zu.
  1. Sonstiges
  1. Der Verantwortliche und der Auftragsverarbeiter sowie ggf. deren Vertreter arbeiten bei der Erfüllung ihrer Aufgaben und Anforderungen zusammen, wenn dies von der Aufsichtsbehörde verlangt wird.
  1. Soweit in dieser Vereinbarung keine besonderen Bestimmungen enthalten sind, gelten die im Hauptvertrag enthaltenen Regelungen. Bei Widersprüchen zwischen dieser Vereinbarung und den in anderen Vereinbarungen, insbesondere dem Hauptvertrag, enthaltenen Bestimmungen haben die Bestimmungen dieser Vereinbarung Vorrang.
 
 

Verwandte Beiträge

Powered by Zendesk