Kostenlos starten

Nutzungsbedingungen & rechtliche Informationen

Auftragsverarbeitungsvertrag (AVV)

1.        Regelungsgegenstand

1.1.  Die nachfolgenden Bestimmungen dieser Anlage konkretisieren die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Auftragsverarbeitung des Anbieters als Auftragsverarbeiter (im Folgenden: Auftragsverarbeiter) für den Kunden als Verantwortlichen (im Folgenden: Verantwortlichen) auf Grundlage des zwischen den Parteien geschlossenen Vertrags ergeben.

1.2.  Die konkretisierten Verpflichtungen finden Anwendung auf alle Tätigkeiten, die mit der Auftragsverarbeitung in Zusammenhang stehen und bei denen Mitarbeiter des Auftragsverarbeiters oder durch den Auftragsverarbeiter beauftragte Dritte mit personenbezogenen Daten des Verantwortlichen in Berührung kommen können.

2.        Gegenstand des Auftrages und Konkretisierung des Auftragsinhalts durch Weisungen

2.1.  Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Art und Zweck dieser Datenverarbeitung sowie die Betroffenen dieser Datenverarbeitung einschließlich der betroffenen Datenarten ergeben sich aus Anhang 1 zu dieser Vereinbarung sowie aus dem Vertrag.

2.2.  Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union (EU), in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) oder in einem Drittland mit Angemessenheitsbeschluss statt. Jede Verlagerung der Datenverarbeitung in ein Drittland ohne Angemessenheitsbeschluss bedarf der vorherigen Information des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt werden.

2.3.  Der Verantwortliche ist berechtigt, dem Auftragsverarbeiter Weisungen hinsichtlich der Datenverarbeitung zu erteilen. Weisungen sind grundsätzlich in Textform zu erteilen. Werden Weisungen ausnahmsweise mündlich erteilt, sind sie unverzüglich nachträglich vom Verantwortlichen schriftlich in Textform zu dokumentieren. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen die vertragsgegenständlichen Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in dieser Vereinbarung eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

2.4.  Bestimmt der Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung unter Verstoß gegen die DSGVO, ist er bezüglich der in dieser Vereinbarung geregelten Verarbeitung selbst Verantwortlicher und haftet entsprechend gemäß Art. 82 DSGVO.

3.        Pflichten des Auftragsverarbeiters

3.1.  Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen treffen, die den Anforderungen der Datenschutz-Grundverordnung insbesondere Art. 32 DSGVO genügen.

3.2.  Der Auftragsverarbeiter wird bei der Durchführung der Arbeiten nur Mitarbeiter einsetzen, die er mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut gemacht hat und in geeigneter Weise zur Verschwiegenheit verpflichtet hat (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).

3.3.  Der Auftragsverarbeiter hat die Umsetzung der erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung hinsichtlich der konkreten Auftragsdurchführung in Anhang 2 dokumentiert. Dem Verantwortlichen sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

3.4.  Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

3.5.  Der Auftragsverarbeiter wird den Verantwortlichen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von datenschutzrechtlichen Rechten Betroffener nachzukommen und wird ihn bei der Einhaltung seiner datenschutzrechtlichen Pflichten aus Art. 32-36 DSGVO unterstützen und ihm alle erforderlichen Informationen zur Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellen.

3.6.  Der Auftragsverarbeiter wird den Verantwortlichen jederzeit auf Anfrage über Person und Kontaktdaten des betrieblichen Datenschutzbeauftragten des Auftragsverarbeiters oder des Ansprechpartners in Datenschutzangelegenheiten informieren.

4.        Kontrollen des Verantwortlichen und von Aufsichtsbehörden

4.1.  Sollten im Einzelfall Kontrollen der technischen organisatorischen Maßnahmen hinsichtlich der vertragsgegenständlichen Daten durch den Verantwortlichen erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach vorheriger Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt.

4.2.  Der Auftragsverarbeiter darf die Durchführung von Kontrollen von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen, wenn nicht der Verantwortliche einen von Gesetzes wegen und/oder berufsrechtlich zur Verschwiegenheit verpflichteten Prüfer mit der Durchführung der Kontrolle beauftragt.

4.3.  Sollte der durch den Verantwortlichen beauftragte Prüfer in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen, hat der Auftragsverarbeiter gegen diesen ein Einspruchsrecht.

4.4.  Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Verantwortlichen eine Kontrolle der vertragsgegenständlichen Datenverarbeitung durchführen wollen, wird der Auftragsverarbeiter den Verantwortlichen hierbei unterstützen. Die vorstehenden Absätze gelten entsprechend.

 

5.        Berichtigung, Einschränkung und Löschung von Daten

5.1.  Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nur löschen oder deren Verarbeitung einschränken, wenn dies im Vertrag oder in dieser Vereinbarung über die Auftragsverarbeitung vorgesehen ist oder der Verantwortliche eine entsprechende Weisung erteilt. Soweit eine betroffene Person sich mit einem Löschbegehren unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

5.2.  Der Auftragsverarbeiter wird nach Ende dieser Vereinbarung alle vertragsgegenständlichen personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, soweit nicht nach dem Unionsrecht oder dem deutschen Datenschutzrecht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

5.3.  Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

6.        Unterauftragsverhältnisse

6.1.  Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

6.2.  Der Auftragsverarbeiter darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Verantwortlichen oder nach einer Information des Verantwortlichen, die den Anforderungen von Art. 28 Abs. 2 S. 2 DSGVO entspricht, beauftragen.

6.3.  Eine Beauftragung von Unterauftragnehmern in Drittländern ohne Angemessenheitsbeschluss darf nur erfolgen, wenn zusätzlich die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

6.4.  Der Verantwortliche stimmt den in Anhang 3 genannten Unterauftragnehmern mit Vertragsschluss zu.

6.5.  Verweigert der Verantwortliche die Zustimmung oder widerspricht er der Beauftragung des Unterauftragnehmers, so ist der Auftragsverarbeiter berechtigt, den Vertrag vorzeitig mit einer Frist von einem (1) Monat zu kündigen.

7.        Laufzeit

Diese Vereinbarung gilt ab Vertragsschluss und endet mit der vollständigen Durchführung der in Anhang 1 beschriebenen Maßnahmen, ohne dass es einer Kündigung durch eine der Parteien bedürfte oder mit der Beendigung des dieser Vereinbarung zugrundeliegenden Vertrags.

Deine Browsersprache ist Deutsch, möchtest Du zu der deutschen Website wechseln?
Would you like to view this website in English?

Entschuldigung

Ihr Webbrowser ist nicht mehr aktuell. Aktualisieren Sie Ihren Browser für mehr Sicherheit, Geschwindigkeit und die beste Erfahrung auf dieser Website.

Jetzt updaten