zwischen
…..
– nachfolgend „Auftraggeber“ –
und
…..
– nachfolgend „Auftragnehmer“ –
Bitte beachten Sie den Verwendungshinweis am Ende dieses Beitrags.
§ 1 Definitionen:
Unter „DSGVO“ verstehen die Parteien die Verordnung (EU) 2016/679 – auch als Datenschutz-Grundverordnung bekannt.
Für diesen Vertrag werden die Begriffsbestimmungen laut Art. 4 DSGVO zugrunde gelegt, insbesondere hinsichtlich der Begriffe „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) gem. Art. 4 Nr. 2 DSGVO.
Unter „Personenbezogenen Daten“ im Sinne dieses Vertrags verstehen die Parteien diejenigen personenbezogenen Daten, die der Auftragnehmer für den Auftraggeber verarbeitet, wobei es unerheblich ist, ob er diese vom Auftraggeber, von den Betroffenen oder von Dritten erhalten hat und ob die Verarbeitung im Rahmen der Leistungspflichten des Auftragnehmers oder in sonstiger Weise erfolgt, soweit sie aus der Sphäre des Auftraggebers stammen.
Auftraggeber und Auftragnehmer werden im Sinne dieses Vertrags auch als „Partei“ oder zusammen als die „Parteien“ bezeichnet.
§ 2 Gegenstand der Vereinbarung
(1) Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich […] auf Grundlage des Vertrags vom […] („Hauptvertrag“). Er verarbeitet hierbei Personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers i.S.d. Art. 4 Nr. 8 und Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt Verantwortlicher im datenschutzrechtlichen Sinne.
(2) Der vorliegende Vertrag regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung der Personenbezogenen Daten und geht insoweit den Regelungen des Hauptvertrags vor.
§ 3 Gegenstand, Dauer und Ort der Verarbeitung
(1) Der Gegenstand der Verarbeitung, Art und Zweck der Verarbeitung, die Art der Personenbezogenen Daten und die Kategorien betroffener Personen sind in Anlage 1 zu diesem Vertrag festgelegt.
(2) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über Personenbezogene Daten verfügt.
(3) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen dokumentieren Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Soweit der Auftraggeber seine Zustimmung erteilt hat, ist dies in Anlage 2 unter Angabe des Mittels festzuhalten, welches das angemessene Schutzniveau in dem betreffenden Drittland gewährleistet.
(4) Der Auftragnehmer erwirbt an den Personenbezogene Daten keinerlei Rechte und ist auf Verlangen des Auftraggebers jederzeit auf erstes Anfordern zur Herausgabe der Personenbezogene Daten in einer für den Auftraggeber lesbaren und weiterverarbeitbaren Form verpflichtet. Zurückbehaltungsrechte des Auftragnehmers in Bezug auf die Personenbezogene Daten und die dazugehörigen Datenträger sind ausgeschlossen.
§ 4 Angabe der zuständigen Datenschutz-Aufsichtsbehörde, ggf. des Vertreters und der Ansprechpartner
(1) Die zuständigen Aufsichtsbehörden für den Auftraggeber und für den Auftragnehmer, ggf. der Vertreter des Auftragnehmers nach Art. 27 Abs. 1 DS-GVO, der Ansprechpartner auf Seiten des Auftragnehmers für datenschutzrechtliche Fragen und die Kontaktdaten des Datenschutzbeauftragten des Auftragnehmers sind in Anlage 3 genannt.
(2) Der Auftraggeber und der Auftragnehmer und gegebenenfalls der Vertreter arbeiten auf Anfrage mit der(den) Aufsichtsbehörde(n) bei der Erfüllung ihrer Aufgaben zusammen.
(3) Der Auftragnehmer veröffentlicht die Kontaktdaten seines Datenschutzbeauftragten auf seiner Internetseite und teilt sie der Aufsichtsbehörde mit. Veröffentlichung und Mitteilung weist der Auftragnehmer auf Anforderung des Auftraggebers in geeigneter Weise nach.
(4) Ein Wechsel der zuständigen Aufsichtsbehörde, ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten, des Ansprechpartners für den Datenschutz oder des Vertreters ist dem der jeweils anderen Partei in Text- oder Schriftform unverzüglich mitzuteilen.
§ 5 Rechte und Pflichten des Auftraggebers
(1) Weisungsrecht
(i) Der Auftragnehmer wird die Personenbezogenen Daten nur auf dokumentierte Weisung des Auftraggebers – auch in Bezug auf die eventuelle Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation – verarbeiten. Er hat Personenbezogene Daten insbesondere zu berichtigen, zu löschen, sofern nicht nach dem Recht der Europäischen Union oder deren Mitgliedstaaten eine Verpflichtung zur Speicherung besteht, oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt. Auskünfte über Personenbezogene Daten an Dritte oder den Betroffenen darf der Auftragnehmer ebenfalls nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.
(ii) Die vereinbarten Leistungspflichten aus dem Hauptvertrag enthalten regelmäßig Weisungen im Hinblick auf die Verarbeitung der Personenbezogenen Daten, die vom Auftragnehmer in gleicher Weise zu beachten sind, soweit keine anders lautenden Weisungen des Auftraggebers vorliegen.
(iii) Der Auftraggeber ist zur Erteilung entsprechender Weisungen an den Auftragnehmer berechtigt. Alle erteilten Weisungen sind zu dokumentieren, bspw. in Textform, schriftlich oder durch elektronische Protokollierung.
(iv) Ist der Auftragnehmer der Ansicht, dass Weisungen des Auftraggebers oder seine Leistungspflichten gegen datenschutzrechtliche Bestimmungen verstoßen, hat er den Auftraggeber unverzüglich darüber zu informieren.
(v) Die Verpflichtung des Auftraggebers zur Befolgung von Weisungen nach den Ziff. (i) bis (iv) besteht nicht, sofern der Auftragnehmer durch das Recht der Europäischen Union oder deren Mitgliedstaaten, dem der Auftragnehmer unterliegt, anderweitig verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(vi) Der Auftraggeber und/oder der Auftragnehmer können – wie unter § 4 erwähnt – Personen in Anlage 3 zu diesem Vertrag benennen, die berechtigt sind, in im Namen der jeweiligen Partei Weisungen zu erteilen bzw. in Empfang zu nehmen.
(2) Kontrollrechte
(i) Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Er ist berechtigt, die Kontrollen selbst vorzunehmen oder durch einen zur Geheimhaltung verpflichteten Bevollmächtigten oder Sachverständigen vornehmen zu lassen. Der Auftragnehmer ist verpflichtet, Kontrollen eines solchen Bevollmächtigten oder Sachverständigen in derselben Weise zu unterstützen wie Kontrollen durch den Auftraggeber.
(ii) Der Auftraggeber hat den Auftragnehmer über eventuell bei Kontrollen nach Ziff. (i) festgestellte Fehler oder Unregelmäßigkeiten zu informieren.
(iii) Gemäß den anwendbaren Datenschutzbestimmungen unterliegen der Auftraggeber und der Auftragnehmer öffentlichen Kontrollen durch die zuständigen Aufsichtsbehörden. Auf Verlangen des Auftraggebers wird der Auftragnehmer den Auftraggeber im Rahmen von behördlichen Aufsichtsverfahren nach Kräften unterstützen, wenn und soweit die Verarbeitung von Personenbezogenen Daten Gegenstand eines Aufsichtsverfahrens ist. Der Auftragnehmer wird insbesondere auf Verlangen des Auftraggebers ihm selbst oder der Aufsichtsbehörde alle Informationen im Zusammenhang mit diesem Vertrag geben und entsprechende Auskünfte erteilen und der Aufsichtsbehörde die Möglichkeit einräumen, Prüfungen in demselben Umfang durchzuführen, wie sie die Aufsichtsbehörde beim Auftraggeber durchführen darf. Der Auftragnehmer verpflichtet sich, der zuständigen Aufsichtsbehörde in diesem Rahmen alle erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte zu gewähren. Falls die Aufsichtsbehörde beim Auftragnehmer Kontrollen, Ermittlungen oder Maßnahmen durchführt, die die Personenbezogenen Daten betreffen, hat der Auftragnehmer den Auftraggeber darüber so früh wie möglich und in der Regel unverzüglich nach Erhalt der Ankündigung der Aufsichtsmaßnahme durch die Behörde zu informieren.
§ 6 Rechte und Pflichten des Auftragnehmers
(1) Vertraulichkeit
Der Auftragnehmer ist bei der Verarbeitung von Personenbezogenen Daten zur Wahrung der Vertraulichkeit verpflichtet. Er garantiert, dass er alle Personen, die von ihm mit der Verarbeitung der Personenbezogenen Daten betraut werden oder Zugriff darauf haben (im folgenden Mitarbeiter genannt), in dokumentierter Weise zur Vertraulichkeit verpflichtet (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO). Er hat die Einhaltung dieser Verpflichtungen sicherzustellen. Die Vertraulichkeitsverpflichtungen der Mitarbeiter müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.
(2) Technische und organisatorische Maßnahmen
(i) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten zu unterstützten. Er wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu ergreifen und aufrecht erhalten, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Insbesondere hat der Auftragnehmer mindestens die in Anlage 4 aufgeführten technischen und organisatorischen Maßnahmen zu erfüllen.
(ii) Wesentliche Änderungen dieser Maßnahmen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, hat der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen.
(iii) Der Auftragnehmer hat regelmäßig (mindestens einmal pro Jahr) zu kontrollieren, dass die Verarbeitung der Personenbezogenen Daten mit diesem Vertrag sowie den Weisungen des Auftraggebers in Einklang steht. Er wird insbesondere dokumentieren:
– Einhaltung der technischen und organisatorischen Maßnahmen, insb. derer nach Anlage 4;
– Vorliegen ordnungsgemäßer Vertraulichkeitsverpflichtungen von Personen, die Personenbezogene Daten verarbeiten;
– Vorliegen ordnungsgemäßer Verträge über die Inanspruchnahme weiterer Auftragsverarbeiter und aller Prüfungen weiterer Auftragsverarbeiter im Sinne von § 7 (sofern zutreffend).
(iv) Der Auftragnehmer hat dem Auftraggeber auf Anforderung jederzeit eine aktuelle Fassung der vom ihm getroffenen technischen und organisatorischen Maßnahmen zur Verfügung zu stellen. Auf Verlangen weist der Auftragnehmer dem Auftraggeber ferner die Einhaltung der in Anlage 4 festgelegten technischen und organisatorischen Maßnahmen nach. Dabei kann der Nachweis durch die Vorlage eines aktuellen Testats oder Berichts einer unabhängigen Instanz (wie z.B. eines Wirtschaftsprüfers, Revisors, dem betrieblichen Datenschutzbeauftragten oder einem externen Datenschutzauditor etc.) oder einer geeigneten Zertifizierung (z.B. nach BSI-Grundschutz) erbracht werden. Die Kontrollrechte des Auftraggebers bleiben davon unberührt.
(3) Informationspflichten
(i) Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DSGVO sowie eine Liste der beim Auftragnehmer zugriffsberechtigten Personen jeweils in Bezug auf die Personenbezogenen Daten enthält. Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
(ii) An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
(iii) Bei Störungen, bei Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, bei Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Personenbezogenen Daten wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Die Meldung über eine Verletzung des Schutzes Personenbezogener Daten enthält zumindest folgende Informationen:
a) eine Beschreibung der Art der möglichen oder tatsächlichen Verletzung des Schutzes Personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
b) eine Beschreibung der möglichen Folgen der Verletzung des Schutzes der Personenbezogener Daten;
c) eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der möglichen oder tatsächlichen Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(iv) Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
(v) Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer möglichen oder tatsächlichen Verletzung nach Ziff. (iii) betroffen sind.
(iv) Sollten die Personenbezogenen Daten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber liegen.
(4) Mitwirkungspflichten
(i) Der Auftragnehmer wird den Auftraggeber mit geeigneten Maßnahmen dabei unterstützen, seinen Pflichten, die Rechte der Betroffenen nach Art. 12-23 DSGVO zu wahren, nachzukommen. Der Auftragnehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden. Soweit eine Mitwirkung des Auftragnehmers insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung, hinsichtlich seiner personenbezogenen Daten unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
(ii) Der Auftragnehmer stellt sicher, dass er auf Einzelweisung des Auftraggebers aus den Personenbezogenen Daten den gesamten zu einer betroffenen Person gespeicherten Datensatz in einem strukturierten, gängigen und maschinenlesbaren Format an den Auftraggeber übergeben kann und wird.
§ 7 Einsatz von Subunternehmern
(1) Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der in Anlage 5 genannten Subunternehmer durchgeführt. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) nur befugt, soweit er den Auftraggeber hiervon vorab in Kenntnis setzt und dieser der Beauftragung des Subunternehmers vorab schriftlich oder in Textform zugestimmt hat. Der Auftragnehmer ist unbeschadet einer Zustimmung durch den Auftraggeber verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist. Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
(2) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
§ 8 Abgeltung
Regelungen über eine etwaige Vergütung von Leistungen, Aufwänden oder Kosten, die durch Pflichten des Auftragnehmers nach diesem Vertrag einschließlich ergänzender Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt. Soweit aber keine ausdrücklichen Vereinbarungen hierüber in Text- oder Schriftform getroffen worden sind, sind alle Leistungen, Aufwendungen oder Kosten des Auftragnehmers nach diesem Vertrag mit der eventuell nach dem Hauptvertrag zu zahlenden Vergütung abgegolten.
§ 9 Außerordentliches Kündigungsrecht
Der Auftraggeber ist zu einer außerordentlichen fristlosen Kündigung dieses Vertrags aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt für den Auftraggeber insbesondere vor, wenn
– der Auftragnehmer gegen eine oder mehrere wesentlichen Pflichten aus diesem Vertrag verstößt,
– der Auftragnehmer die Personenbezogene Daten für andere als die vertraglich zugelassenen Zwecke verwendet,
– der Auftragnehmer eine Weisung des Auftraggebers nicht ausführt,
– der Auftragnehmer einer Meldepflicht nicht nachkommt,
– der Auftragnehmer die Ausübung der Kontrollrechte des Auftraggebers verweigert oder nicht nur unerheblich behindert oder
– der Auftragnehmer einen weiteren Auftragsverarbeiter ohne vorherige schriftliche Zustimmung des Auftraggebers einschaltet.
Das gesetzliche Erfordernis einer Fristsetzung zur Abhilfe oder einer Abmahnung bleibt hiervon unberührt (§ 314 Abs. 2 BGB).
§ 10 Beendigung des Hauptvertrags
(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags alle ihm überlassenen Unterlagen, Personenbezogenen Daten und Datenträger auf Anforderung des Auftraggebers zurückgeben. Sofern danach noch Unterlagen, Personenbezogenen Daten und Datenträger beim Auftragnehmer vorhanden sind, wird der Auftragnehmer diese löschen. Die Pflicht zu Löschung betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach mind. DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind mind. nach DIN 66399 zu vernichten. Vor der Löschung hat der Auftragnehmer den Auftraggeber mit einer Frist von einer Woche über die bevorstehende Löschung in Schrift- oder Textform zu informieren und ggf. anderweitige Weisungen des Auftraggebers, die innerhalb der Wochenfrist eingehen, zu beachten.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.
(3) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Personenbezogenen Daten vertraulich zu behandeln.
(4) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Personenbezogenen Daten dienen – einschließlich deren Löschung -, sind durch den Auftragnehmer für eine Dauer von zehn Jahren nach Vertragsende aufzubewahren und dem Auftraggeber auch nach Vertragsende auf Verlangen zur Verfügung zu stellen.
§ 11 Haftung
(1) Für Schäden durch schuldhafte Verstöße gegen diesen Vertrag sowie gegen die gesetzlichen Datenschutzverpflichtungen haftet die Parteien einander entsprechend den gesetzlichen Haftungsregelungen. Etwaige anderweitig zwischen den Parteien vereinbarte Haftungsbegrenzungen (z.B. aus dem Hauptvertrag) finden diesbezüglich keine Anwendung.
(2) Soweit Dritte Ansprüche gegen den Auftraggeber geltend machen, die ihre Ursache allein in einem schuldhaften Verstoß des Auftragnehmers gegen diesen Vertrag oder gegen eine ihn unmittelbar treffende gesetzliche Datenschutzverpflichtung haben, stellt der Auftragnehmer den Auftraggeber von diesen Ansprüchen frei.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schrift- oder Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(2) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 28 DSGVO am besten gerecht wird.
(3) Diese Vereinbarung unterliegt deutschem Recht unter Ausschluss der kollisionsrechtlichen Bestimmungen des deutschen Rechts. Gerichtsstand ist …………………………………….. Der Auftraggeber ist jedoch berechtigt, am Sitz des Auftragnehmer Klage zu erheben.
……………….., den …………………………… ……………….., den ……………………………
……………………………………………………….. ………………………………………………………..
[Auftraggeber] [Auftragnehmer]
Anlage 1
Gegenstand, Art und Zweck der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):
Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-
GVO):
Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):
…
Anlage 2
Der Auftraggeber stimmt eine Verarbeitung der Personenbezogenen Daten im folgenden Land/in der folgenden Region zu:
………………….
Das angemessene Schutzniveau dort
- ist festgestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DS-GVO);
- wird hergestellt durch verbindliche interne Datenschutzvorschriften (Artt. 46 Abs. 2 lit. b i.V.m. 47 DS-GVO);
- wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 litt. c und d DS-GVO);
- wird hergestellt durch genehmigte Verhaltensregeln (Artt 46 Abs. 2 lit. e i.V.m. 40 DS-GVO);
- wird hergestellt durch einen genehmigten Zertifizierungsmechanismus (Artt. 46 Abs. 2 lit. f i.V.m. 42 DS-GVO).
- wird hergestellt durch sonstige Maßnahmen: ……………………………. (Art. 46 Abs 2 lit. a, Abs. 3 litt. a und b DS-GVO)
Anlage 3
Aufsichtsbehörde Auftraggeber:
Aufsichtsbehörde Auftragnehmer:
Vertreter Auftragnehmer:
Weisungsberechtigte Personen des Auftraggebers:
Weisungsempfangsberechtigte Personen des Auftragnehmers:
Anlage 4
Beschreibung der Mindeststandards der technischen und organisatorischen Maßnahmen
Anlage 5
genehmigte Subunternehmer des Auftragnehmers
Verwendungshinweis:
Dieses Vertragsmuster dient als Beitrag zur Auseinandersetzung mit dem Thema Auftragsverarbeitung. Es ersetzt nicht eine auf den jeweiligen Fall zugeschnittene Bearbeitung bzw. einzelvertragliche Regelung und stellt ausdrücklich keine Rechtsberatung für den Einzelfall dar.
Kommentaren und Anregungen unter law@naumann-ra.de sehen wir gern entgegen.