Auftragsverarbeitungsvertrag (AVV)

• Allgemeine Geschäftsbedingungen
• Lizenzbedingungen
• Auftragsverarbeitungsvertrag
• Datenschutzbedingungen

Gemäß Art. 28 Abs. 3 DSGVO

Präambel

Dieser Vertrag regelt die datenschutzrechtlichen Pflichten bei der Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO. Er gilt für alle Verarbeitungen personenbezogener Daten im Rahmen eines Auftragsverhältnisses zwischen dem Verantwortlichen (Kunde) und dem Auftragsverarbeiter (Anbieter digitaler Dienstleistungen).

1. Gegenstand und Dauer des Vertrags

1.1 Gegenstand Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten im Rahmen einer Geschäftsbeziehung. Art, Umfang, Zweck und Dauer der Datenverarbeitung ergeben sich aus dem zugrunde liegenden Hauptvertrag.

1.2 Verarbeitete Datenarten

• Bestandsdaten (z. B. Namen, Adressen)
• Kontaktdaten (z. B. E-Mail, Telefonnummern)
• Inhaltsdaten (z. B. Texteingaben, Fotos, Videos)
• Vertragsdaten (z. B. Laufzeit, Vertragsgegenstand)
• Nutzungsdaten (z. B. Webseitenaufrufe, Logdaten)
• Kommunikationsdaten (z. B. IP-Adresse, Geräteinformationen)
• Beschäftigtendaten, Bewerberdaten, Entgeltdaten

1.3 Besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO

• Gesundheitsdaten (z.B. Angaben zu Arbeitsunfähigkeiten)
• Religionszugehörigkeit (z. B. für steuerliche Zwecke)

1.4 Betroffene Personengruppen

• Mitarbeitende
• Bewerbende
• Kund:innen und Nutzer:innen

1.5 Zweck der Verarbeitung

• Software- und Designentwicklung/-beratung oder Pflege.
• Support & Fehlerbehebung zu/von Software.
• Webhosting & Backup.

2. Verantwortlichkeit und Weisungen

2.2. Der Auftragsverarbeiter darf Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Verantwortlichen verarbeiten (was insbesondere auch für deren Berichtigung, Löschung oder Einschränkung der Verarbeitung gilt) und nur insoweit die Verarbeitung hierzu erforderlich ist, außer wenn der Auftragsverarbeiter zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 S. 2 lit. a DSGVO).

2.3. Der Verantwortliche hat das Recht, jederzeit ergänzende Weisungen im Hinblick auf die Verarbeitung der Daten und die Sicherheitsmaßnahmen zu erteilen.

2.4. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Verantwortlichen gegen geltendes Datenschutzrecht verstößt, wird er den Verantwortlichen unverzüglich darauf hinweisen. In diesem Fall ist der Auftragsverarbeiter berechtigt, die Ausführung der Weisung bis zur Bestätigung der Weisung durch den Verantwortlichen auszusetzen und im Fall offensichtlich rechtswidriger Weisungen abzulehnen.

2.5. Gehen ergänzende Weisungen des Verantwortlichen über die Leistungspflicht des Auftragsverarbeiters nach dem Hauptvertrag hinaus und beruhen sie nicht auf einem Fehlverhalten des Auftragsverarbeiters, dann hat der Verantwortliche dem Auftragsverarbeiter den dadurch entstehenden Mehraufwand gesondert zu vergüten.

3. Technische und organisatorische Maßnahmen (TOMs)

3.1. Der Auftragsverarbeiter wird die innerbetriebliche Organisation in seinem Verantwortungsbereich entsprechend den gesetzlichen Anforderungen gestalten und wird insbesondere technische und organisatorische Maßnahmen (nachfolgend bezeichnet als „TOMs“) zur angemessenen Sicherung, insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit von Daten des Verantwortlichen, unter Beachtung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen treffen sowie deren Aufrechterhaltung sicherstellen (Art. 28 Abs. 3 u. 32 - 39 i.V.m. Art 5 DSGVO). Zu den TOMs gehören insbesondere die Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle und die Sicherung der Betroffenenrechte.

3.2. Die diesem AV-Vertrag zugrundeliegenden TOMs ergeben sich aus dem Anhang 1 „Sicherheitskonzept“. Sie dürfen entsprechend dem technischen Fortschritt weiterentwickelt und durch adäquate Schutzmaßnahmen ersetzt werden, sofern sie das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschreiten und wesentliche Änderungen dem Verantwortlichen mitgeteilt werden.

3.3. Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung der Daten des Verantwortlichen befugten Personen auf Vertraulichkeit und Verschwiegenheit (Art. 28 Abs. 3 S. 2 lit. b und 29, 32 Abs. 4 DSGVO) verpflichtet und in die Schutzbestimmungen der DSGVO eingewiesen worden sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

3.4. Die im Rahmen des AV-Vertrages überlassenen Daten sowie Datenträger und sämtliche hiervon gefertigten Kopien verbleiben im Eigentum des Verantwortlichen, sind durch den Auftragsverarbeiter sorgfältig zu verwahren, vor Zugang durch unberechtigte Dritte zu schützen und dürfen nur mit Zustimmung des Verantwortlichen, und dann nur datenschutzgerecht, vernichtet werden. Kopien von Daten dürfen nur erstellt werden, wenn sie zur Erfüllung der Leistungshaupt- und Nebenpflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen erforderlich sind (z.B. Backups).

3.5. Sofern durch die DSGVO oder ergänzende, insbesondere nationale Vorschriften, vorgegeben, benennt der Auftragsverarbeiter eine/n den gesetzlichen Vorgaben entsprechende/n Datenschutzbeauftragte/n und informiert den Verantwortlichen entsprechend (Art. 37 bis 39 DSGVO).

4. Informationspflichten und Mitwirkungspflichten

4.1 Betroffenenrechte sind grundsätzlich gegenüber dem Verantwortlichen wahrzunehmen. Der Auftragsverarbeiter unterstützt den Verantwortlichen dabei gemäß Art. 28 Abs. 3 Satz 2 lit. e DSGVO und informiert ihn insbesondere unverzüglich über Anfragen betroffener Personen, die bei ihm eingehen.

4.2 Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn ihm bei der Verarbeitung personenbezogener Daten Fehler oder Unregelmäßigkeiten auffallen, die die Einhaltung dieses Vertrages oder geltender Datenschutzvorschriften betreffen.

4.3 Stellt der Auftragsverarbeiter Tatsachen fest, die auf eine Verletzung des Schutzes personenbezogener Daten schließen lassen, die er im Auftrag des Verantwortlichen verarbeitet, so informiert er den Verantwortlichen unverzüglich und umfassend. Er ergreift sofort alle erforderlichen Schutzmaßnahmen und unterstützt den Verantwortlichen bei der Einhaltung seiner Melde- und Benachrichtigungspflichten gemäß Art. 33 und 34 DSGVO.

4.4 Sollte die Sicherheit der vom Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeiteten Daten durch Maßnahmen Dritter (z. B. Pfändung, Beschlagnahme oder Insolvenzverfahren) gefährdet sein, informiert der Auftragsverarbeiter die Dritten unverzüglich darüber, dass die Daten im Eigentum und unter der Hoheit des Verantwortlichen stehen. Nach Rücksprache mit dem Verantwortlichen trifft der Auftragsverarbeiter gegebenenfalls geeignete Schutzmaßnahmen (z. B. Widerspruch, Anträge etc.).

4.5 Wird eine Aufsichtsbehörde gegenüber dem Auftragsverarbeiter tätig und betreffen deren Maßnahmen die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen, so informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Pflichten gegenüber Aufsichtsbehörden, insbesondere hinsichtlich der Auskunfts- und Duldungspflichten gemäß Art. 31 DSGVO.

4.6 Der Auftragsverarbeiter stellt dem Verantwortlichen Informationen zur Verfügung, die für die Erfüllung gesetzlicher Pflichten erforderlich sind. Dazu zählen insbesondere Informationen zur Beantwortung von Betroffenen- oder Behördenanfragen, zur Einhaltung der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO sowie zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO, sofern der Verantwortliche diese Informationen nicht selbst beschaffen kann. Der Auftragsverarbeiter ist nur zur Bereitstellung von Informationen verpflichtet, die ihm zur Verfügung stehen und nicht von Dritten beschafft werden müssen. Mitarbeiter, Beauftragte und Subunternehmer des Verantwortlichen gelten nicht als Dritte.

4.7 Gehen die Informationsbereitstellung oder Mitwirkungspflichten des Auftragsverarbeiters über die im Hauptvertrag vereinbarte Leistung hinaus und beruhen nicht auf einem Fehlverhalten des Auftragsverarbeiters, ist der daraus entstehende Mehraufwand vom Verantwortlichen gesondert zu vergüten.

5. Kontrollrechte

5.1 Der Verantwortliche ist berechtigt, die Einhaltung der datenschutzrechtlichen Pflichten regelmäßig zu kontrollieren.

5.2 Vor-Ort-Kontrollen sind mit angemessener Frist (mindestens 14 Tage, außer in Notfällen) anzukündigen und durchzuführen.

5.3 Statt der Einsichtnahmen und der Vor-Ort-Kontrollen, darf der Verantwortliche den Auftragsverarbeiter auf eine gleichwertige Kontrolle durch unabhängige Dritte (z.B. neutrale Datenschutzauditoren), Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen. Dies gilt insbesondere dann, wenn Betriebs- und Geschäftsgeheimnisse des Verantwortliches oder personenbezogene Daten Dritter durch die Kontrollen gefährdet wären.

5.4 Der Mehraufwand durch Prüfungen ist vom Verantwortlichen zu tragen, sofern kein Fehlverhalten festgestellt wird.

6. Unterauftragsverhältnisse

6.1 Nimmt der Verantwortliche die Dienste eines Unterauftragsverarbeiters (d. h. Unterauftragnehmers oder Subunternehmers) in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftragsverarbeiters auszuführen, so hat er dem Unterauftragsverarbeiter im Wege eines Vertrags oder eines nach der DSGVO zulässigen anderen Rechtsinstruments dieselben Datenschutzpflichten aufzuerlegen, zu denen sich der Verantwortliche in diesem Vertrag verpflichtet hat. Dies betrifft insbesondere die Einhaltung von Weisungen, technischen und organisatorischen Maßnahmen, Informationspflichten und die Duldung von Kontrollen. Der Verantwortliche wählt Unterauftragsverarbeiter mit der gebotenen Sorgfalt aus, prüft deren Zuverlässigkeit und überwacht die Einhaltung der vertraglichen sowie gesetzlichen Vorgaben (Art. 28 Abs. 2 und 4 DSGVO). Eine Beauftragung darf nur mit schriftlicher Zustimmung des Auftragsverarbeiters erfolgen.

6.2 Die zum Zeitpunkt des Vertragsabschlusses bereits bestehenden Unterauftragsverhältnisse sind im Anhang 2 („Unterauftragsverhältnisse“) aufgelistet und gelten mit Vertragsunterzeichnung als genehmigt.

6.3 Der Verantwortliche informiert den Auftragsverarbeiter über geplante Änderungen bei den Unterauftragsverarbeitern, die für die Auftragsverarbeitung relevant sind. Der Auftragsverarbeiter kann Einspruch gegen die Änderungen oder neuen Unterauftragsverarbeiter erheben, wobei dieser Einspruch unter Beachtung der Grundsätze von Treu und Glauben sowie unter Berücksichtigung von Angemessenheit und Zumutbarkeit zu erfolgen hat.

6.4 Vertragsverhältnisse, bei denen der Verantwortliche Dienstleistungen Dritter lediglich als Nebenleistung zur Ausübung seiner Geschäftstätigkeit in Anspruch nimmt (z. B. Reinigungs-, Bewachungs- oder Transportleistungen), gelten nicht als Unterauftragsverarbeitung im Sinne dieser Regelung. Der Verantwortliche stellt jedoch sicher – etwa durch vertragliche Regelungen, Hinweise oder Anweisungen –, dass hierbei die Sicherheit der Daten gewahrt bleibt und die Vorgaben dieses Vertrags sowie geltender Datenschutzvorschriften eingehalten werden.

7. Drittlandübermittlung

7.1. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt.

7.2. Die Auftragsverarbeitung in einem Drittland, auch durch Unterauftragsverarbeiter, bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, außer wenn der Auftragsverarbeiter zu der Verarbeitung im Drittland durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 S. 2 lit. a DSGVO).

7.3. Die Zustimmung des Verantwortlichen zur Verarbeitung im Drittland gilt im Hinblick auf die im Anhang 2 „Unterauftragsverhältnisse“ genannten Verarbeitungen als erteilt.

8. Vertragsdauer und Datenlöschung

8.1 Der Vertrag tritt mit Abschluss in Kraft und gilt für die Dauer des Hauptvertrages.

8.2 Nach Beendigung des Vertragsverhältnisses hat der Auftragsverarbeiter sämtliche personenbezogenen Daten zu löschen.

8.3 Eine gesetzliche Aufbewahrungspflicht bleibt unberührt.

9. Haftung

9.1 Für den Ersatz von Schäden, die eine betroffene Person infolge einer unzulässigen oder unrichtigen Verarbeitung personenbezogener Daten im Rahmen der Auftragsverarbeitung nach den geltenden Datenschutzgesetzen erleidet, ist im Innenverhältnis zwischen den Vertragsparteien ausschließlich der Verantwortliche gegenüber der betroffenen Person haftbar.

9.2 Die Vertragsparteien haften im Außenverhältnis gemäß den gesetzlichen Bestimmungen. Im Innenverhältnis stellen sie sich jeweils von der Haftung frei, sofern die jeweils andere Vertragspartei nachweist, dass sie für den Umstand, durch den der Schaden bei der betroffenen Person eingetreten ist, in keinerlei Hinsicht verantwortlich ist.

10. Schlussbestimmungen

10.1 Änderungen, Nebenabreden und Ergänzungen dieses AV-Vertrages sowie seiner Anhänge bedürfen der Textform (z. B. per E-Mail) und sind ausdrücklich als solche zu kennzeichnen. Der Auftragsverarbeiter stellt sicher, dass die jeweils gültige Fassung dieses Vertrages online für den Verantwortlichen abrufbar ist.

10.2 Dieser AV-Vertrag verpflichtet den Auftragsverarbeiter nur insoweit, wie es zur Erfüllung der gesetzlichen Pflichten, insbesondere gemäß Art. 28 ff. DSGVO, erforderlich ist, und begründet darüber hinaus keine weitergehenden Verpflichtungen für den Auftragsverarbeiter.

10.3 Vorbehaltlich einer Schriftformverpflichtung gemäß diesem AV-Vertrag oder dem Hauptvertrag erfolgt die Kommunikation zwischen Verantwortlichem und Auftragsverarbeiter im Rahmen dieses Vertrages – insbesondere in Bezug auf Weisungen und die Erteilung von Informationen – mindestens in Textform (z. B. per E-Mail). In Ausnahmefällen kann eine mündliche Kommunikation zulässig sein (z. B. in Notfällen), muss jedoch unverzüglich in Textform bestätigt werden. Sofern Schriftform verlangt wird, ist darunter die Schriftform im Sinne der DSGVO zu verstehen.

10.4 Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AV-Vertrag ist – sofern der Verantwortliche Kaufmann, eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen ist oder keinen Gerichtsstand in der Bundesrepublik Deutschland hat – der Sitz des Auftragsverarbeiters. Der Auftragsverarbeiter behält sich jedoch vor, seine Ansprüche auch am gesetzlichen Gerichtsstand geltend zu machen.

Anhänge & Ergänzungen

Anhang 1 – Sicherheitskonzept

Technische und Organisatorische Maßnahmen gem. Art. 32 DSGVO

Grundsätzliche Maßnahmen, die der Wahrung der Betroffenenrechte, unverzüglichen Reaktion in Notfällen, den Vorgaben der Technikgestaltung und dem Datenschutz auf Mitarbeiterebene dienen:

• Es besteht ein betriebsinternes Datenschutz-Management, dessen Einhaltung ständig überwacht wird sowie anlassbezogen und mindestens halbjährlich evaluiert wird.
• Es besteht ein Konzept, welches die Wahrung der Rechte der Betroffenen (Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datentransfer, Widerrufe & Widersprüche) innerhalb der gesetzlichen Fristen gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen.
• Es besteht ein Konzept, das eine unverzügliche und den gesetzlichen Anforderungen entsprechende Reaktion auf Verletzungen des Schutzes personenbezogener Daten (Prüfung, Dokumentation, Meldung) gewährleistet. Es umfasst Formulare, Anleitungen und eingerichtete Umsetzungsverfahren sowie die Benennung der für die Umsetzung zuständigen Personen
• Der Schutz von personenbezogenen Daten wird unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen bereits bei der Entwicklung, bzw. Auswahl von Hardware, Software sowie Verfahren, entsprechend dem Prinzip des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen berücksichtigt (Art. 25 DSGVO).
• Die eingesetzte Software wird stets auf dem aktuell verfügbaren Stand gehalten, ebenso wie Virenscanner und Firewalls.
• Mitarbeiter werden im Hinblick auf den Datenschutz auf Verschwiegenheit verpflichtet, belehrt und instruiert, als auch auf mögliche Haftungsfolgen hingewiesen. Sofern Mitarbeiter außerhalb betriebsinterner Räumlichkeiten tätig werden oder Privatgeräte für betriebliche Tätigkeiten einsetzen, existieren spezielle Regelungen zum Schutz der Daten in diesen Konstellationen und der Sicherung der Rechte von Auftraggebern einer Auftragsverarbeitung.
• Die an Mitarbeiter ausgegebenen Schlüssel, Zugangskarten oder Codes sowie im Hinblick auf die Verarbeitung personenbezogener Daten erteilten Berechtigungen, werden nach deren Ausscheiden aus dem Unternehmen, bzw. Wechsel der Zuständigkeiten eingezogen, bzw. entzogen.
• Das Reinigungspersonal, Wachpersonal und übrige Dienstleister, die zur Erfüllung nebengeschäftlicher Aufgaben herangezogen werden, werden sorgfältig ausgesucht und es wird sichergestellt, dass sie den Schutz personenbezogener Daten beachten.

Anhang 2 - Unterauftragsverhältnisse

ALL-INKL.COM – Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68
02742 Friedersdorf
Zweck: Webhosting

Hostinger International Ltd.
61 Lordou Vironos Street
6023 Larnaca
Zypern
Zweck: Webhosting

Download