VEREINBARUNG ZUR AUFTRAGSVERARBEITUNG (AVV)
NACH ART. 28 ABS. 3 DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO)
1. Gegenstand und Dauer der Verarbeitung
1.1 Gegenstand der Vereinbarung sind die Rechte und Pflichten der Parteien im Rahmen der Leistungserbringung gemäß Leistungsbeschreibung und AGB (nachfolgend Hauptvertrag), soweit eine Verarbeitung von personen- bezogenen Daten durch D-Controlling (nachfolgend Auftragnehmer) als Auf- tragsverarbeiter für den Kunden als Verantwortlicher (nachfolgend Auftrag- geber) gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer zur Erfüllung des Auftrags erbringt und die eine Auftragsver- arbeitung darstellen. Dies gilt auch, sofern der Auftrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
1.2 Die Dauer der Verarbeitung richtet sich nach der tatsächlichen Verar- beitung personenbezogener Daten des Auftraggebers durch den Auftrag- nehmer.
2. Art und Zweck der Verarbeitung
2.1 Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO zur Erfüllung des Auftrags.
2.2 Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich verein- barten Leistung (siehe hierzu auch Anlage 1 Leistungsbeschreibung), insbe- sondere im Bereich Cloud-Dienstleistungen, Software as a Service (Saas) und IT-Support, erforderlichen Zwecke.
3. Art der personenbezogenen Daten und Kategorien von Betroffenen
3.1 Die Art der verarbeiteten Daten bestimmt der Auftraggeber durch die Wahl des Abonnements, die Nutzung der Dienste und die Übermittlung von Daten (siehe Anlage 1 Leistungsbeschreibung).
3.2 Die Kategorien von Betroffenen bestimmt der Auftraggeber durch die Wahl des Abonnements, die Nutzung der Dienste und die Übermittlung von Daten (siehe Anlage 1 Leistungsbeschreibung).
4. Verantwortlichkeit und Verarbeitung auf dokumentierte Weisungen
4.1 Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (“Verantwortli- cher” im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung.
4.2 Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elek- tronischen Format (Textform) durch einzelne Weisungen geändert werden (Einzelweisung). Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Bei Änderungsvorschlägen teilt der Auftragneh- mer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist dem Auftragnehmer die Umsetzung der Wei- sung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden und den Vertrag außerordentlich zu kündigen. Die Entgelt- pflicht des Auftraggebers entfällt mit der Einstellung der Leistung durch den Auftragnehmer. Eine Unzumutbarkeit liegt insbesondere vor, wenn die Leistungen in einer Infrastruktur erbracht werden, die von mehreren Auf- traggebern / Kunden des Auftragnehmers genutzt wird (Shared Services), und eine Änderung der Verarbeitung für einzelne Auftraggeber nicht möglich oder nicht zumutbar ist.
4.3 Die vertraglich vereinbarte Datenverarbeitung findet in einem Mitglied- staat der Europäischen Union oder in einem anderen Vertragsstaat des Ab- kommens über den Europäischen Wirtschaftsraum statt.
5. Rechte des Auftraggebers, Pflichten des Auftragnehmers
5.1 Der Auftragnehmer darf Daten von betroffenen Personen nur aufgrund dokumentierter Weisungen des Auftraggebers verarbeiten. Die Weisungen werden zu Beginn durch den Vertrag festgelegt. Keine Weisungsbindung liegt jedoch vor, wenn ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO gegeben ist (Verpflichtung nach dem Recht der Europäischen Union oder eines Mitgliedstaates). Dies bezieht sich auch auf Übermittlungen von personenbezogenen Daten an Drittländer oder internationale Organisa- tionen. Besteht eine Verarbeitungspflicht entgegen einer Weisung, so in- formiert der Auftragnehmer vor der Verarbeitung den Auftraggeber über die entsprechende rechtliche Anforderung. Es sei denn, das betreffende Recht verbietet eine solche Information wegen eines wichtigen öffentlichen Interesses. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aus- setzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde. Die Wei- sungen sind durch den Auftraggeber zu dokumentieren und mindestens für die Dauer des Auftragsverhältnisses aufzubewahren.
5.2 Der Auftragnehmer unterstützt angesichts der Art der Verarbeitung nach Möglichkeit den Auftraggeber mit geeigneten technischen und organisato- rischen Maßnahmen bei der Erfüllung der Ansprüche der betroffenen Perso- nen nach Kapitel III der DSGVO. Der Auftragnehmer ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftraggeber zu verlangen, soweit die Unterstützung nicht aufgrund eines Gesetzes- oder Vertragsver- stoßes durch den Auftragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
5.3 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informa- tionen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Der Auftragnehmer ist berechtigt, für diese Leistungen eine ange- messene Vergütung vom Auftraggeber zu verlangen, soweit die Unterstüt- zung nicht aufgrund eines Gesetzes- oder Vertragsverstoßes durch den Auf- tragnehmer erforderlich wurde. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
5.4 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und anderen für den Auftrag- nehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Ver- traulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Ver- schwiegenheitspflicht unterliegen. Gleiches gilt für das Sozialgeheimnis, das Fernmeldegeheimnis nach § 3 TTDSG und – in Kenntnis der Straf barkeit – für die Wahrung von Geheimnissen der Berufsgeheimnisträger nach § 203 StGB. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
5.5 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftragge- bers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnah- men zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.
5.6 Der Auftragnehmer gewährleistet die schriftliche Bestellung eines Da- tenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Eine Kontaktmöglichkeit wird auf der Webseite des Auftragnehmers veröffentlicht.
5.7 Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragnehmer nach Wahl des Auftraggebers entweder alle personenbe- zogenen Daten oder gibt sie dem Auftraggeber zurück, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Macht der Auftraggeber von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als vereinbart. Wählt der Auftraggeber die Rückgabe, kann der Auftragnehmer eine angemessene Vergütung verlangen. Der Auftragnehmer wird dem Auftraggeber vorab eine Kosteninformation zukommen lassen.
5.8 Machen betroffene Person Schadensersatzansprüche nach Art. 82 DSGVO geltend, unterstützt der Auftragnehmer den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten. Der Auftragnehmer kann hierfür eine angemessene Vergütung verlangen, soweit die Schadenser- satzansprüche nicht auf einem Gesetzes- oder Vertragsverstoßes durch den Auftragnehmer beruhen.
6. Pflichten des Auftraggebers
6.1 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Durchführung des Auftrags Fehler oder Unre- gelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
6.2 Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
6.3 Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in Datenschutzangelegenheiten
7. Anfragen betroffener Personen
Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Auftraggeber dazu ermächtigt. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragneh- mer den Auftraggeber bei der Erfüllung von dessen Pflicht, Anträge betrof- fener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten befolgt der Auftragnehmer die Weisungen des Auftraggebers. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
8. Maßnahmen zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO
8.1 Der Auftragnehmer ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische Maßnahmen, um sicherzustellen, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Der Auf- traggeber ergreift in seinem Verantwortungsbereich gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die Vertraulich- keit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
8.2 Die aktuellen technischen und organisatorischen Maßnahmen des Auf- tragnehmers sind in Anlage 2 Sicherheitsmaßnahmen einsehbar. Der Auf- tragnehmer stellt klar, dass es sich bei den dort aufgeführten technischen und organisatorischen Maßnahmen lediglich um Beschreibungen techni- scher Art handelt, welche nicht als Bestandteil dieser Vereinbarung anzuse- hen sind.
8.4 Der Auftragnehmer passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim Stand der Technik und die Risikolage an. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.
9. Subunternehmer (weitere Auftragsverarbeiter)
9.1 Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmi- gung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Ver- tragserfüllung einzusetzen.
9.2 Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen. Der Auf- tragnehmer stellt insbesondere durch regelmäßige Überprüfungen sicher, dass die weiteren Auftragsverarbeiter die technischen und organisato- rischen Maßnahmen einhalten.
10. Haftung und Schadensersatz
10.1 Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
10.2 Die zwischen den Parteien im Hauptvertrag zur Leistungserbringung vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieser Verein- barung zur Auftragsverarbeitung und im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art 82 DSGVO, außer soweit ausdrück- lich etwas anderes vereinbart ist.
11. Vertragslaufzeit, Sonstiges
11.1 Die Vereinbarung beginnt mit dem Abschluss durch den Auftraggeber. Sie endet mit Ende des letzten Vertrages unter der jeweiligen Kundennummer. Sollte eine Auftragsverarbeitung noch nach Beendigung dieses Vertrages stattfinden, gelten die Regelungen dieser Vereinbarungen bis zum tatsäch- lichen Ende der Verarbeitung.
11.2 Der Auftragnehmer kann die Vereinbarung nach billigem Ermessen mit angemessener Ankündigungsfrist ändern. Insbesondere behält er sich ausdrücklich vor, die vorliegende Vereinbarung einseitig zu ändern, sofern sich wesentliche rechtliche Änderungen im Bezug auf diese Vereinbarung ergeben. Der Auftragnehmer wird den Auftraggeber über die Bedeutung der geplanten Änderung gesondert hinweisen und darüber hinaus dem Auftrag- geber eine angemessene Frist zur Erklärung eines Widerspruchs einräumen. Der Auftragnehmer weist den Auftraggeber in der Änderungs-Ankündigung darauf hin, dass die Änderung wirksam wird, wenn er nicht binnen der ge- setzten Frist widerspricht. Im Falle eines Widerspruchs durch den Auftrag- geber steht dem Auftragnehmer ein außerordentliches Kündigungsrecht zu.
11.3 Der Auftraggeber erkennt diese Vereinbarung als Teil der AGB über das/ die von ihm gebuchte/n Produkt/e an. Sollten einzelne Teile dieser Verein- barung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarungen im Übrigen nicht.
11.4 Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusam- menhang mit diesem Vertrag ist der Sitz des Auftragnehmers. Dieser gilt vorbehaltlich eines etwaigen ausschließlich gesetzlichen Gerichtsstandes. Dieser Vertrag unterliegt den gesetzlichen Bestimmungen der Bundesrepub- lik Deutschland.
11.5 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfän- dung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu infor- mieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verant- wortlichen unverzüglich darüber informieren, dass die Hoheit und das Ei- gentum an den Daten ausschließlich beim Auftraggeber als “Verantwortli- cher” im Sinne der DSGVO liegen.