logo
Funktionen
Lösungen
Pakete
Über uns
Ressourcen
Kunden
Login

Planen Sie Ihre persönliche Web Demo

Mit dem Absenden Ihrer E-Mail-Adresse erklären Sie sich damit einverstanden, gemäß unserer Datenschutzerklärung, Marketingkommunikation zu empfangen. Sie können sich jederzeit abmelden.

errorHmm, da ist wohl etwas schiefgelaufen. Versuchen Sie es später erneut.
Demo vereinbaren

Planen Sie Ihre persönliche Web Demo

Mit dem Absenden Ihrer E-Mail-Adresse erklären Sie sich damit einverstanden, gemäß unserer Datenschutzerklärung, Marketingkommunikation zu empfangen. Sie können sich jederzeit abmelden.

errorHmm, da ist wohl etwas schiefgelaufen. Versuchen Sie es später erneut.
Demo vereinbaren

Anlage 1

Anlage 1: Auftragsdatenverarbeitung

 

PRÄAMBEL

Diese Vertragsanlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Auftragsdatenverarbeitung des Auftragnehmers für den Auftraggeber auf Grundlage des zwischen den Parteien geschlossenen Vertrag (im Folgenden: Hauptvertrag) ergeben.

Die konkretisierten Verpflichtungen finden Anwendung auf alle Tätigkeiten, die mit der Auftragsdatenverarbeitung in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

 

1. Gegenstand des Auftrages und Konkretisierung des Auftragsinhalts durch Weisungen

1.1 Der Auftragnehmer verarbeitet personenbezogene Daten des Auftraggebers. Art und Zweck dieser Datenverarbeitung sowie die Betroffenen dieser Datenverarbeitung einschließlich der betroffenen Datenarten ergeben sich aus Annex 1 zu dieser Vertragsanlage sowie aus dem Hauptvertrag.

1.2 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung der Datenverarbeitung in ein Drittland bedarf der vorherigen Information des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt werden.

1.3 Der Auftraggeber ist berechtigt, dem Auftragnehmer Weisungen hinsichtlich der Datenverarbeitung zu erteilen. Weisungen sind grundsätzlich in Textform zu erteilen. Werden Weisungen ausnahmsweise mündlich erteilt, sind sie unverzüglich nachträglich vom Auftraggeber schriftlich in Textform zu dokumentieren. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen die vertragsgegenständlichen Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

1.4 Bestimmt der Auftragnehmer die Zwecke und Mittel der Verarbeitung unter Verstoß gegen die DSGVO, ist er bezüglich der in diesem Vertrag geregelten Verarbeitung selbst Verantwortlicher und haftet entsprechend gemäß Art. 82 DSGVO.

 

2. Pflichten des Auftragnehmers

2.1 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen.

2.2 Der Auftragnehmer wird bei der Durchführung der Arbeiten nur Mitarbeiter einsetzen, die er mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut gemacht hat und in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).

2.3 Der Auftragnehmer hat die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung hinsichtlich der konkreten Auftragsdurchführung in Annex 3 dokumentiert. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

2.4 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

2.5 Der Auftragnehmer wird den Auftraggeber dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von datenschutzrechtlichen Rechten Betroffener nachzukommen und wird ihn bei der Einhaltung seiner datenschutzrechtlichen Pflichten aus Art. 32-36 der Datenschutzgrundverordnung unterstützen und ihm alle erforderlichen Informationen zur Einhaltung der in Art. 28 Datenschutzgrundverordnung niedergelegten Pflichten zur Verfügung stellen.

2.6 Der Auftragnehmer wird dem Auftraggeber jederzeit auf Anfrage über Person und Kontaktdaten des betrieblichen Datenschutzbeauftragten des Auftragnehmers informieren. Kontaktdaten des betrieblichen Datenschutzbeauftragten des Auftragnehmers sowie des Ansprechpartners in Datenschutzangelegenheiten sind in Annex 1 aufgeführt.

 

3. Kontrollen des Auftraggebers und von Aufsichtsbehörden

3.1 Sollten im Einzelfall Kontrollen der technischen organisatorischen Maßnahmen hinsichtlich der vertragsgegenständlichen Daten durch den Auftraggeber erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach vorheriger Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt.

3.2 Der Auftragnehmer darf die Durchführung von Kontrollen von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen, wenn nicht der Auftraggeber einen von Gesetzes wegen und/oder berufsrechtlich zur Verschwiegenheit verpflichteten Prüfer mit der Durchführung der Kontrolle beauftragt.

3.3 Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.

3.4 Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Kontrolle der vertragsgegenständlichen Datenverarbeitung durchführen wollen, wird der Auftragnehmer den Auftraggeber hierbei unterstützen. Die vorstehenden Absätze gelten entsprechend.

 

4. Berichtigung, Einschränkung und Löschung von Daten

4.1 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nur löschen oder deren Verarbeitung einschränken, wenn dies im Hauptvertrag oder in diesem Vertrag über die Auftragsverarbeitung vorgesehen ist oder der Auftraggeber eine entsprechende Weisung erteilt. Soweit eine betroffene Person sich mit einem Löschbegehren unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

4.2 Der Auftragnehmer wird nach Ende dieses Vertrags alle vertragsgegenständlichen personenbezogenen Daten nach Wahl des Auftraggebers entweder löschen oder zurückgeben, soweit nicht nach dem Unionsrecht oder dem deutschen Datenschutzrecht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

4.3 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

 

5. Unterauftragsverhältnisse

5.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

5.2 Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers oder nach einer Information des Auftraggebers, die den Anforderungen von Art. 28 Abs. 2 S. 2 DSGVO entspricht, beauftragen.

5.3 Der Auftraggeber stimmt den in Annex 2 genannten Unterauftragnehmern mit Vertragsschluss zu.

5.4 Verweigert der Auftraggeber die Zustimmung, so ist der Auftragnehmer berechtigt, den Hauptvertrag vorzeitig mit einer Frist von einem Monat zu kündigen.

 

6. Vergütung

Die Vergütung aller Arbeiten des Auftragnehmers ist nicht Bestandteil dieses Vertrages über die Auftragsverarbeitung, sondern richtet sich allein nach dem Hauptvertrag, soweit nicht Abweichendes bestimmt ist.

 

7. Laufzeit

Dies Auftragsverarbeitung gilt in dieser Form ab Vertragsschluss des Hauptvertrags und endet mit der vollständigen Durchführung der in Annex 1 beschriebenen Maßnahmen, ohne dass es einer Kündigung durch eine der Parteien bedürfte oder mit der Beendigung des diesem Vertrag zugrundeliegenden Hauptvertrags.

 

8. Schlussbestimmungen

8.1 Änderungen und Ergänzungen dieses Vertrages über die Auftragsverarbeitung sowie ein Verzicht auf ein Recht aus diesem Vertrag bedürfen zu ihrer Wirksamkeit der Schrift- oder Textform. Dies gilt auch für den Verzicht auf das Schrift- oder Textformerfordernis.

8.2 Es gilt deutsches Recht unter Ausschluss der Vorschriften des internationalen Privatrechts sowie des UN-Kaufrechts.