Vereinbarung über Auftragsverarbeitung von Daten
nach Art 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO)
Ergänzende Bedingungen zu den AGB
zwischen
dem Kunden bzw. Nutzer der Cloud Software MemoMeister
– im Folgenden „Auftraggeber“ genannt –
und
Freiraum GmbH, Ameisenbergstr. 29, 70188 Stuttgart
– im Folgenden „Auftragsverarbeiter“ genannt –
zusammen auch die „Parteien“ genannt.
Präambel
(A) Der Auftragsverarbeiter, Entwickler und Betreiber der Cloud Software MemoMeister, ist die Freiraum GmbH, Ameisenbergstr. 29, 70188 Stuttgart.
(B) Der Auftraggeber ist der oben genannte Kunde bzw. Nutzer der Cloud Software MemoMeister.
(C) Die Parteien tauschen im Rahmen ihrer rechtmäßigen geschäftlichen Tätigkeit bestimmte personenbezogene Daten im Einklang mit den jeweils geltenden datenschutzrechtlichen Bestimmungen untereinander aus.
(D) Die Parteien stimmen überein, dass der Datenaustausch zwischen den Parteien als Auftragsverarbeitung gemäß Art. 28 Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung „DS-GVO“) zu qualifizieren ist.
(E) Aus diesem Grund haben die Parteien die folgende Vereinbarung („Vereinbarung“) abgeschlossen, um sicherzustellen, dass ihre Geschäftsbeziehung den anwendbaren Datenschutzgesetzen entspricht.
1 Gegenstand und Dauer des Auftrags
1.1 Der Gegenstand des Auftrags ergibt sich aus der Leistungsvereinbarung, der Auftragsverarbeiter bietet seinen Kunden verschiedene Dienstleistungen rund um das Thema digitale Projektakte und datenbankgestützte Verwaltung elektronischer Dokumente aller Art, gemäß des Hauptvertrags (Anlage 1). Diese Vereinbarung konkretisiert die datenschutzrechtlichen Ver-pflichtungen der Vertragsparteien, welche in Zusammenhang mit der Leistungsvereinbarung stehen und bei denen Mitarbeiter des Auftragsverarbeiters oder beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.
1.2 Die Dauer dieses Auftrags entspricht der Laufzeit des der Verarbeitung zugrundeliegenden Auftragsverhältnisses.
1.3 Soweit sich aus anderen Vereinbarungen zwischen Auftraggeber und Auftragsverarbeiter anderweitige Abreden zum Schutz personenbezogener Daten ergeben, soll diese Vereinbarung zur Auftragsverarbeitung vorrangig gelten, es sei denn die Parteien vereinbaren ausdrücklich etwas anderes.
2 Angaben zum Inhalt des Auftrags
2.1 Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Auftraggeber, Gegenstand der Verarbeitung personenbezogener Daten sowie der Kreis der von der Verarbeitung im Rahmen dieses Auftrags betroffener Personen sind konkret in der Leistungsvereinbarung des Hauptvertrags sowie in Anlage 2 beschrieben.
2.2 Der Auftragsverarbeiter kann die vom Auftraggeber zur Verfügung gestellten und im Rahmen seiner Leistungserbringung zusätzlich gewonnenen Daten für rein statistische Zwecke aggregieren und daraus Statistiken ohne Nennung des Auftraggebers und in eigenem Namen veröffentlichen. Dies beschränkt sich auf ausschließlich anonymisierte, aggregierte Daten ohne jeglichen Personenbezug.
3 Weisungsbefugnisse des Auftraggebers, weisungsgebundene Verarbeitung
3.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf Basis dokumentierter Weisungen des Auftraggebers, es sei denn er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform). Die anfänglichen Weisungen des Auftraggebers werden durch diese Vereinbarung festgelegt.
3.2 Die Daten dürfen ausschließlich gemäß den Bestimmungen dieser Vereinbarung und den Weisungen des Auftraggebers verarbeitet werden. Ohne Wissen des Auftraggebers dürfen keine Kopien oder Zweitschriften angefertigt werden. Ausgeschlossen hiervon sind Backup-Kopien, sofern diese zur Gewährleistung der ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie sämtliche zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderliche Daten.
3.3 Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Auftraggebers gegen gesetzliche Datenschutzbestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Er kann die Ausführung der betreffenden Weisung dann so lange aussetzen, bis sie vom Vertreter des Auftraggebers bestätigt oder geändert wurde.
4 Rechte und Pflichten des Auftraggebers
4.1 Der Auftraggeber ist nach außen, insbesondere gegenüber Dritten und betroffenen Personen, allein verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung personenbezogener Daten gem. Art. 6 Abs. 1 DS-GVO und für die Wahrung der Rechte der betroffenen Personen nach den Art. 12-22 DS-GVO. Der Auftragsverarbeiter ist gleichwohl, soweit gesetzlich zulässig, dazu verpflichtet, alle Anfragen durch betroffene Personen, sofern sie sich erkennbar an den Auftraggeber richten, an diesen weiterzuleiten. Der Auftragsverarbeiter unterstützt den Auftraggeber in angemessenem Umfang bei der Beantwortung von Anträgen von betroffenen Personen (z.B. Berichtigung, Löschung und Sperrung von Daten).
4.2 Der Auftraggeber ist Eigentümer der Auftraggeber-Daten und im Verhältnis der Parteien zueinander Inhaber aller etwaigen Rechte an den Auftraggeber-Daten.
4.3 Dem Auftraggeber obliegt es, dem Auftragsverarbeiter die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen. Ferner ist der Auftraggeber für die Qualität sowie die rechtmäßige Erhebung der Auftraggeber-Daten verantwortlich. Der Auftraggeber hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragsverarbeiters Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
4.4 Für den Fall, dass ein Dritter oder eine betroffene Person aufgrund von Verletzungen der Betroffenenrechte und/oder damit zusammenhängenden Ansprüchen einen Anspruch direkt gegenüber dem Auftragsverarbeiter geltend macht, verpflichtet sich der Auftraggeber, den Auftragsverarbeiter für sämtliche Schäden, Kosten/Gebühren, einschließlich Anwaltskosten, oder sonstige Aufwendungen oder Verlusten, die sich aus dem Anspruch ergeben, freizustellen, sofern und soweit der Auftragsverarbeiter den Auftraggeber über die Geltendmachung des Anspruchs informiert hat und ihm die Möglichkeit gegeben hat, im Rahmen der Abwehr des Anspruchs mit dem Auftragsverarbeiter zusammenzuarbeiten.
5 Kontrolle und andere Pflichten des Auftragsverarbeiters
5.1 Der Auftragsverarbeiter hat, zusätzlich zu der Einhaltung der Regelungen dieser Vereinbarung, eigene gesetzliche Pflichten gemäß der DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
a) Schriftliche Benennung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Der Auftragsverarbeiter trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragsverarbeiters leicht zugänglich hinterlegt.
b) Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten des Auftraggebers hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in dieser Vereinbarung eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
c) Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Personen ein, die auf Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
d) Der Auftraggeber und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
e) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
f) Der Auftragsverarbeiter unterstützt den Auftraggeber, soweit der Auftraggeber einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist.
g) Der Auftragsverarbeiter kontrolliert regelmäßig seine internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
h) Der Auftragsverarbeiter weist die getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziff. 9 dieser Vereinbarung nach.
i) Für die Unterstützungshandlungen ist der Auftragsverarbeiter berechtigt, eine angemessene Entschädigung in Rechnung zu stellen.
5.2 Diese Vereinbarung entbindet den Auftragsverarbeiter nicht von der Einhaltung anderer Vorgaben der DS-GVO.
6 Technische und organisatorische Maßnahmen
6.1 Der Auftragsverarbeiter muss die in Anlage 3 dieser Vereinbarung beschriebenen technischen und organisatorischen Maßnahmen im Vorfeld des Auftrags vor Beginn der Datenverarbeitung umsetzen. Änderungen, die infolge einer Prüfung oder eines Audit durch den Auftraggeber erforderlich werden, sind einvernehmlich vorzunehmen.
6.2 Der Auftragsverarbeiter hat die Sicherheit der Datenverarbeitung gemäß den gesetzlichen Vorgaben herzustellen. Bei den hierbei zu treffenden Maßnahmen handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.
6.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
7 Berichtigung, Löschung und Sperrung von Daten
7.1 Der Auftragsverarbeiter darf die im Auftrag des Auftraggebers verarbeiteten Daten nur nach Weisung des Auftraggebers berichtigen, löschen oder sperren.
7.2 Soweit sich eine betroffene Person zwecks Berichtigung oder Löschung seiner personenbezogenen Daten unmittelbar an den Auftragsverarbeiter wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen an den Auftraggeber weiterleiten.
7.3 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
8 Unterauftragsverhältnisse
8.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. in Form von Telekommunikationsleistungen, Post-/Transportdienstleistungen oder die Entsorgung von Datenträgern in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
8.2 Der Auftragsverarbeiter ist berechtigt, zur Durchführung des Auftrags die in Anlage 4 aufgeführten Unterauftragsverarbeiter zur Verarbeitung von personenbezogenen Daten einzusetzen. Die Beauftragung weiterer oder anderer Unterauftragsverarbeiter zur Verarbeitung der personenbezogenen Daten des Auftraggebers ist nur nach vorheriger schriftlicher Information des Auftraggebers über die Identität des Unterauftragsverarbeiters und den Gegenstand des Unterauftrags zulässig, sofern der Auftraggeber dieser Änderung nicht innerhalb einer angemessenen Frist von mindestens 14 Werktagen widerspricht. Im Übrigen gilt folgendes:
a) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauf-tragsverarbeiter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
b) Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung mit Zustimmung des Auftraggebers außerhalb der EU/des EWR, stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit nach Maßgabe der für die Durchführung des Auftrags geltenden datenschutzrechtlichen Vorschriften sicher. Gleiches gilt, wenn Dienstleister im Sinne von Ziff. 8.1 Satz 2 eingesetzt werden sollen.
c) Dem Unterauftragsverarbeiter sind im Wege eines Vertrags dieselben Datenschutzpflichten aufzuerlegen, die in dieser Vereinbarung festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den gesetzlichen Anforderungen erfolgt.
9 Kontrollrechte des Auftraggebers
9.1 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende, zur Berufsverschwiegenheit verpflichtete Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.
9.2 Der Auftragsverarbeiter stellt sicher, dass sich der Auftraggeber von der Einhaltung der gesetzlichen und vertraglichen Pflichten des Auftragsverarbeiters überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
9.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren), geeignete Zertifizierungen (IT-Sicherheits- oder Datenschutzaudit, z.B. nach BSI-Grundschutz) oder sonstige gesetzlich vorgesehene Maßnahmen.
10 Unterstützung des Auftraggebers, Mitteilung bei Verstößen des Auftragsverarbeiters
10.1 Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung seiner gesetzlich vorgesehenen Pflichten zum Schutz und der Sicherheit personenbezogener Daten und dokumentiert dies in geeigneter Weise. Hierzu gehören:
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, welche die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,
b) die Verpflichtung, Verletzungen des Schutzes personenbezogener Daten zu dokumentieren und unverzüglich an den Auftraggeber zu melden. Der Auftragsverarbeiter hat im Einvernehmen mit dem Auftraggeber geeignete Maßnahmen zur Sicherung der Daten und zur Minimierung potentiell nachteiliger Auswirkung auf die betroffenen Personen zu ergreifen,
c) die Verpflichtung, den Auftraggeber durch geeignete Maßnahmen zu unterstützen, soweit der Auftraggeber die zuständige Aufsichtsbehörde oder die betroffene Person über die Verletzung des Schutzes personenbezogener Daten zu unterrichten hat,
d) die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber der betroffenen Person zu unterstützen und ihm in diesem Zusammenhang auf Anfrage sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen.
11 Haftung
11.1 Die Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen für schuldhafte Verletzungen dieses Vertrags regelt sich nach den gesetzlichen Bestimmungen. Der Auftragsverarbeiter haftet nicht, wenn er bei der Erhebung bzw. Verarbeitung der Daten die Regelungen dieses Vertrags beachtet hat und insbesondere die technischen und organisatorischen Sicherheitsmaßnahmen wie vereinbart umgesetzt hat.
12 Sonstiges und Schlussbestimmungen
12.1 Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags. Die Regelungen zur ordentlichen Kündigung des Hauptvertrags gelten entsprechend. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieser Vereinbarung. Eine isolierte Kündigung dieser Vereinbarung ist ausgeschlossen.
12.2 Sollte eine gegenwärtige oder zukünftige Bestimmung der Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, oder sollte sich in dieser Vereinbarung eine Regelungslücke befinden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen oder undurchführbaren Bestimmung gilt diejenige wirksame Bestimmung als vereinbart, die dem wirtschaftlichen Sinn und Zweck der unwirksamen oder undurchführbaren Bestimmung am nächsten kommt. Im Falle einer Regelungslücke gilt diejenige Bestimmung als vereinbart, die dem entspricht, was nach wirtschaftlichem Sinn und Zweck dieser Vereinbarung vereinbart worden wäre, hätten die Parteien die Regelungslücke von vornherein bedacht.
12.3 Diese Vereinbarung unterliegt dem materiellen Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist, soweit rechtlich zulässig, Stuttgart.
12.4 Die Parteien verpflichten sich, diese Vereinbarung auf Verlangen einer Vertragspartei zu ändern und/oder zu ergänzen, wenn dies aufgrund einer Änderung der für die Parteien geltenden Datenschutzgesetze oder deshalb erforderlich wird, weil die Europäische Kommission und/oder die für die Parteien zuständigen Aufsichtsbehörden durch allgemeine Stellungnahmen oder Veröffentlichungen (z.B. durch die Bereitstellung von Standardvertragsklauseln gemäß Art. 28 Abs. 7, Abs. 8 DS-GVO) oder in Form von Erklärungen oder Anordnungen im Einzelfall zu erkennen geben, dass die vorliegende Vereinbarung in ihrer bestehenden Form nicht den Anforderungen der geltenden Datenschutzgesetze genügt.
Freiraum GmbH - zuletzt aktualisiert am 17.11.2021
Ergänzende Bedingungen zu den AGB
zwischen
dem Kunden bzw. Nutzer der Cloud Software MemoMeister
– im Folgenden „Auftraggeber“ genannt –
und
Freiraum GmbH, Ameisenbergstr. 29, 70188 Stuttgart
– im Folgenden „Auftragsverarbeiter“ genannt –
zusammen auch die „Parteien“ genannt.
Präambel
(A) Der Auftragsverarbeiter, Entwickler und Betreiber der Cloud Software MemoMeister, ist die Freiraum GmbH, Ameisenbergstr. 29, 70188 Stuttgart.
(B) Der Auftraggeber ist der oben genannte Kunde bzw. Nutzer der Cloud Software MemoMeister.
(C) Die Parteien tauschen im Rahmen ihrer rechtmäßigen geschäftlichen Tätigkeit bestimmte personenbezogene Daten im Einklang mit den jeweils geltenden datenschutzrechtlichen Bestimmungen untereinander aus.
(D) Die Parteien stimmen überein, dass der Datenaustausch zwischen den Parteien als Auftragsverarbeitung gemäß Art. 28 Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung „DS-GVO“) zu qualifizieren ist.
(E) Aus diesem Grund haben die Parteien die folgende Vereinbarung („Vereinbarung“) abgeschlossen, um sicherzustellen, dass ihre Geschäftsbeziehung den anwendbaren Datenschutzgesetzen entspricht.
1 Gegenstand und Dauer des Auftrags
1.1 Der Gegenstand des Auftrags ergibt sich aus der Leistungsvereinbarung, der Auftragsverarbeiter bietet seinen Kunden verschiedene Dienstleistungen rund um das Thema digitale Projektakte und datenbankgestützte Verwaltung elektronischer Dokumente aller Art, gemäß des Hauptvertrags (Anlage 1). Diese Vereinbarung konkretisiert die datenschutzrechtlichen Ver-pflichtungen der Vertragsparteien, welche in Zusammenhang mit der Leistungsvereinbarung stehen und bei denen Mitarbeiter des Auftragsverarbeiters oder beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.
1.2 Die Dauer dieses Auftrags entspricht der Laufzeit des der Verarbeitung zugrundeliegenden Auftragsverhältnisses.
1.3 Soweit sich aus anderen Vereinbarungen zwischen Auftraggeber und Auftragsverarbeiter anderweitige Abreden zum Schutz personenbezogener Daten ergeben, soll diese Vereinbarung zur Auftragsverarbeitung vorrangig gelten, es sei denn die Parteien vereinbaren ausdrücklich etwas anderes.
2 Angaben zum Inhalt des Auftrags
2.1 Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Auftraggeber, Gegenstand der Verarbeitung personenbezogener Daten sowie der Kreis der von der Verarbeitung im Rahmen dieses Auftrags betroffener Personen sind konkret in der Leistungsvereinbarung des Hauptvertrags sowie in Anlage 2 beschrieben.
2.2 Der Auftragsverarbeiter kann die vom Auftraggeber zur Verfügung gestellten und im Rahmen seiner Leistungserbringung zusätzlich gewonnenen Daten für rein statistische Zwecke aggregieren und daraus Statistiken ohne Nennung des Auftraggebers und in eigenem Namen veröffentlichen. Dies beschränkt sich auf ausschließlich anonymisierte, aggregierte Daten ohne jeglichen Personenbezug.
3 Weisungsbefugnisse des Auftraggebers, weisungsgebundene Verarbeitung
3.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf Basis dokumentierter Weisungen des Auftraggebers, es sei denn er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform). Die anfänglichen Weisungen des Auftraggebers werden durch diese Vereinbarung festgelegt.
3.2 Die Daten dürfen ausschließlich gemäß den Bestimmungen dieser Vereinbarung und den Weisungen des Auftraggebers verarbeitet werden. Ohne Wissen des Auftraggebers dürfen keine Kopien oder Zweitschriften angefertigt werden. Ausgeschlossen hiervon sind Backup-Kopien, sofern diese zur Gewährleistung der ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie sämtliche zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderliche Daten.
3.3 Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Auftraggebers gegen gesetzliche Datenschutzbestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Er kann die Ausführung der betreffenden Weisung dann so lange aussetzen, bis sie vom Vertreter des Auftraggebers bestätigt oder geändert wurde.
4 Rechte und Pflichten des Auftraggebers
4.1 Der Auftraggeber ist nach außen, insbesondere gegenüber Dritten und betroffenen Personen, allein verantwortlich für die Beurteilung der Zulässigkeit der Verarbeitung personenbezogener Daten gem. Art. 6 Abs. 1 DS-GVO und für die Wahrung der Rechte der betroffenen Personen nach den Art. 12-22 DS-GVO. Der Auftragsverarbeiter ist gleichwohl, soweit gesetzlich zulässig, dazu verpflichtet, alle Anfragen durch betroffene Personen, sofern sie sich erkennbar an den Auftraggeber richten, an diesen weiterzuleiten. Der Auftragsverarbeiter unterstützt den Auftraggeber in angemessenem Umfang bei der Beantwortung von Anträgen von betroffenen Personen (z.B. Berichtigung, Löschung und Sperrung von Daten).
4.2 Der Auftraggeber ist Eigentümer der Auftraggeber-Daten und im Verhältnis der Parteien zueinander Inhaber aller etwaigen Rechte an den Auftraggeber-Daten.
4.3 Dem Auftraggeber obliegt es, dem Auftragsverarbeiter die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen. Ferner ist der Auftraggeber für die Qualität sowie die rechtmäßige Erhebung der Auftraggeber-Daten verantwortlich. Der Auftraggeber hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragsverarbeiters Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
4.4 Für den Fall, dass ein Dritter oder eine betroffene Person aufgrund von Verletzungen der Betroffenenrechte und/oder damit zusammenhängenden Ansprüchen einen Anspruch direkt gegenüber dem Auftragsverarbeiter geltend macht, verpflichtet sich der Auftraggeber, den Auftragsverarbeiter für sämtliche Schäden, Kosten/Gebühren, einschließlich Anwaltskosten, oder sonstige Aufwendungen oder Verlusten, die sich aus dem Anspruch ergeben, freizustellen, sofern und soweit der Auftragsverarbeiter den Auftraggeber über die Geltendmachung des Anspruchs informiert hat und ihm die Möglichkeit gegeben hat, im Rahmen der Abwehr des Anspruchs mit dem Auftragsverarbeiter zusammenzuarbeiten.
5 Kontrolle und andere Pflichten des Auftragsverarbeiters
5.1 Der Auftragsverarbeiter hat, zusätzlich zu der Einhaltung der Regelungen dieser Vereinbarung, eigene gesetzliche Pflichten gemäß der DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
a) Schriftliche Benennung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Der Auftragsverarbeiter trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragsverarbeiters leicht zugänglich hinterlegt.
b) Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten des Auftraggebers hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in dieser Vereinbarung eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
c) Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Personen ein, die auf Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.
d) Der Auftraggeber und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
e) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.
f) Der Auftragsverarbeiter unterstützt den Auftraggeber, soweit der Auftraggeber einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist.
g) Der Auftragsverarbeiter kontrolliert regelmäßig seine internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
h) Der Auftragsverarbeiter weist die getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziff. 9 dieser Vereinbarung nach.
i) Für die Unterstützungshandlungen ist der Auftragsverarbeiter berechtigt, eine angemessene Entschädigung in Rechnung zu stellen.
5.2 Diese Vereinbarung entbindet den Auftragsverarbeiter nicht von der Einhaltung anderer Vorgaben der DS-GVO.
6 Technische und organisatorische Maßnahmen
6.1 Der Auftragsverarbeiter muss die in Anlage 3 dieser Vereinbarung beschriebenen technischen und organisatorischen Maßnahmen im Vorfeld des Auftrags vor Beginn der Datenverarbeitung umsetzen. Änderungen, die infolge einer Prüfung oder eines Audit durch den Auftraggeber erforderlich werden, sind einvernehmlich vorzunehmen.
6.2 Der Auftragsverarbeiter hat die Sicherheit der Datenverarbeitung gemäß den gesetzlichen Vorgaben herzustellen. Bei den hierbei zu treffenden Maßnahmen handelt es sich um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.
6.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
7 Berichtigung, Löschung und Sperrung von Daten
7.1 Der Auftragsverarbeiter darf die im Auftrag des Auftraggebers verarbeiteten Daten nur nach Weisung des Auftraggebers berichtigen, löschen oder sperren.
7.2 Soweit sich eine betroffene Person zwecks Berichtigung oder Löschung seiner personenbezogenen Daten unmittelbar an den Auftragsverarbeiter wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen an den Auftraggeber weiterleiten.
7.3 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
8 Unterauftragsverhältnisse
8.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. in Form von Telekommunikationsleistungen, Post-/Transportdienstleistungen oder die Entsorgung von Datenträgern in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
8.2 Der Auftragsverarbeiter ist berechtigt, zur Durchführung des Auftrags die in Anlage 4 aufgeführten Unterauftragsverarbeiter zur Verarbeitung von personenbezogenen Daten einzusetzen. Die Beauftragung weiterer oder anderer Unterauftragsverarbeiter zur Verarbeitung der personenbezogenen Daten des Auftraggebers ist nur nach vorheriger schriftlicher Information des Auftraggebers über die Identität des Unterauftragsverarbeiters und den Gegenstand des Unterauftrags zulässig, sofern der Auftraggeber dieser Änderung nicht innerhalb einer angemessenen Frist von mindestens 14 Werktagen widerspricht. Im Übrigen gilt folgendes:
a) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauf-tragsverarbeiter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
b) Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung mit Zustimmung des Auftraggebers außerhalb der EU/des EWR, stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit nach Maßgabe der für die Durchführung des Auftrags geltenden datenschutzrechtlichen Vorschriften sicher. Gleiches gilt, wenn Dienstleister im Sinne von Ziff. 8.1 Satz 2 eingesetzt werden sollen.
c) Dem Unterauftragsverarbeiter sind im Wege eines Vertrags dieselben Datenschutzpflichten aufzuerlegen, die in dieser Vereinbarung festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den gesetzlichen Anforderungen erfolgt.
9 Kontrollrechte des Auftraggebers
9.1 Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende, zur Berufsverschwiegenheit verpflichtete Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.
9.2 Der Auftragsverarbeiter stellt sicher, dass sich der Auftraggeber von der Einhaltung der gesetzlichen und vertraglichen Pflichten des Auftragsverarbeiters überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
9.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren), geeignete Zertifizierungen (IT-Sicherheits- oder Datenschutzaudit, z.B. nach BSI-Grundschutz) oder sonstige gesetzlich vorgesehene Maßnahmen.
10 Unterstützung des Auftraggebers, Mitteilung bei Verstößen des Auftragsverarbeiters
10.1 Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Einhaltung seiner gesetzlich vorgesehenen Pflichten zum Schutz und der Sicherheit personenbezogener Daten und dokumentiert dies in geeigneter Weise. Hierzu gehören:
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, welche die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,
b) die Verpflichtung, Verletzungen des Schutzes personenbezogener Daten zu dokumentieren und unverzüglich an den Auftraggeber zu melden. Der Auftragsverarbeiter hat im Einvernehmen mit dem Auftraggeber geeignete Maßnahmen zur Sicherung der Daten und zur Minimierung potentiell nachteiliger Auswirkung auf die betroffenen Personen zu ergreifen,
c) die Verpflichtung, den Auftraggeber durch geeignete Maßnahmen zu unterstützen, soweit der Auftraggeber die zuständige Aufsichtsbehörde oder die betroffene Person über die Verletzung des Schutzes personenbezogener Daten zu unterrichten hat,
d) die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber der betroffenen Person zu unterstützen und ihm in diesem Zusammenhang auf Anfrage sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen.
11 Haftung
11.1 Die Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen für schuldhafte Verletzungen dieses Vertrags regelt sich nach den gesetzlichen Bestimmungen. Der Auftragsverarbeiter haftet nicht, wenn er bei der Erhebung bzw. Verarbeitung der Daten die Regelungen dieses Vertrags beachtet hat und insbesondere die technischen und organisatorischen Sicherheitsmaßnahmen wie vereinbart umgesetzt hat.
12 Sonstiges und Schlussbestimmungen
12.1 Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Hauptvertrags. Die Regelungen zur ordentlichen Kündigung des Hauptvertrags gelten entsprechend. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieser Vereinbarung. Eine isolierte Kündigung dieser Vereinbarung ist ausgeschlossen.
12.2 Sollte eine gegenwärtige oder zukünftige Bestimmung der Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, oder sollte sich in dieser Vereinbarung eine Regelungslücke befinden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Anstelle der unwirksamen oder undurchführbaren Bestimmung gilt diejenige wirksame Bestimmung als vereinbart, die dem wirtschaftlichen Sinn und Zweck der unwirksamen oder undurchführbaren Bestimmung am nächsten kommt. Im Falle einer Regelungslücke gilt diejenige Bestimmung als vereinbart, die dem entspricht, was nach wirtschaftlichem Sinn und Zweck dieser Vereinbarung vereinbart worden wäre, hätten die Parteien die Regelungslücke von vornherein bedacht.
12.3 Diese Vereinbarung unterliegt dem materiellen Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist, soweit rechtlich zulässig, Stuttgart.
12.4 Die Parteien verpflichten sich, diese Vereinbarung auf Verlangen einer Vertragspartei zu ändern und/oder zu ergänzen, wenn dies aufgrund einer Änderung der für die Parteien geltenden Datenschutzgesetze oder deshalb erforderlich wird, weil die Europäische Kommission und/oder die für die Parteien zuständigen Aufsichtsbehörden durch allgemeine Stellungnahmen oder Veröffentlichungen (z.B. durch die Bereitstellung von Standardvertragsklauseln gemäß Art. 28 Abs. 7, Abs. 8 DS-GVO) oder in Form von Erklärungen oder Anordnungen im Einzelfall zu erkennen geben, dass die vorliegende Vereinbarung in ihrer bestehenden Form nicht den Anforderungen der geltenden Datenschutzgesetze genügt.
Freiraum GmbH - zuletzt aktualisiert am 17.11.2021
PDF-Version der VereinbarungAnlagen
Anlage 1: Hauptvertrag (AGB)
Anlage 2: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen
Anlage 3: Technische und Organisatorische Maßnahmen
Anlage 4: Unterauftragsverarbeiter, denen zugestimmt wird
Anlage 2: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen
Anlage 3: Technische und Organisatorische Maßnahmen
Anlage 4: Unterauftragsverarbeiter, denen zugestimmt wird