Datenauftragsverarbeitung#

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO

Gegenstand und Dauer des Auftrags#

  1. Der Gegenstand des Auftrags ergibt sich aus dem Hauptvertrag. Die Dauer dieses Auftrags entspricht der Laufzeit des Hauptvertrags.

Konkretisierung des Auftragsinhalts#

  1. Umfang, Art und Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Hersteller für den Kunden sind konkret im Hauptvertrag beschrieben. Der Hersteller hat keinen Einfluss auf die Art der Daten und den Kreis der Betroffenen.

Technisch-organisatorische Maßnahmen#

  1. Der Hersteller gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den Anforderungen des Datenschutzes gerecht wird. Er trifft dabei technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten vor Missbrauch und Verlust, um den Anforderungen der DSGVO zu entsprechen.

  2. Die Parteien sind sich einig, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Insoweit ist es dem Hersteller gestattet, alternative adäquate Maßnahmen umzusetzen. Er muss den Kunden hierüber auf Anfrage informieren und sicherstellen, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird. Der Hersteller hat die Sicherheit gem. Art. 28 Abs. 3 c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Wesentliche Änderungen sind zu dokumentieren.

Berichtigung, Sperrung und Löschung von Daten#

  1. Der Hersteller hat nur nach Weisung des Kunden die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Hersteller zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Hersteller dieses Ersuchen unverzüglich an den Kunden weiterleiten.

Pflichten des Herstellers#

  1. Der Hersteller bestellt - soweit gesetzlich vorgeschrieben - eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 37, 38 DSGVO ausüben kann. Dessen Kontaktdaten werden dem Kunden zum Zweck der direkten Kontaktaufnahme mitgeteilt.

  2. Der Hersteller stellt die Wahrung der Vertraulichkeit entsprechend Art. 28 Abs. 3 S. 2 b, 29, 32 Abs. 4 DSGVO sicher. Alle Personen, die auftragsgemäß auf die unter Punkt 2 aufgeführten Daten des Kunden zugreifen könnten, müssen auf die Vertraulichkeit verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.

  3. Der Hersteller stellt die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32 DSGVO sicher.

  4. Der Hersteller wird dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in den Art. 24-36 DSGVO niedergelegten Pflichten auf Anfrage zur Verfügung stellen und Überprüfungen – einschließlich Inspektionen – die vom Kunden oder einem von diesem beauftragten Prüfer ermöglichen und dazu beitragen.

  5. Bei der Fernwartung bzw. der Einschaltung von Subunternehmern sind geeignete Maßnahmen zum Schutz personenbezogener Daten zwischen den Parteien in einem gesonderten Vertrag zur Auftragsverarbeitung zu vereinbaren.

Unterauftragsverhältnisse#

  1. Der Kunde ist damit einverstanden, dass der Hersteller zur Erfüllung seiner vertraglich vereinbarten Leistungen, insbesondere, aber nicht ausschließlich, für die Bereiche Wartung und Installation der Rechenzentrumsinfrastruktur, Telekommunikationsdienstleistungen, Hosting und Benutzerservice, verbundene Unternehmen des Herstellers zur Leistungserfüllung heranzieht bzw. andere qualifizierte Unternehmen mit Leistungen unterbeauftragt.

  2. Erteilt der Hersteller Aufträge an Dienstleister, so obliegt es dem Hersteller, seine Pflichten aus diesem Vertrag zur Auftragsverarbeitung dem Dienstleister zu übertragen.

  3. Die Hersteller trägt dafür Sorge, dass dem Kunden eine aktuelle Liste der eingesetzten Dienstleister auf Anfrage zur Verfügung steht. Bei Änderung dieser Liste in Bezug auf die Hinzuziehung oder Ersetzung von weiteren Dienstleistern ergeht hierüber eine Information an den Kunden.

  4. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Hersteller bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Hersteller ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Kunden auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

Rechte und Pflichten des Kunden#

  1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Kunde verantwortlich.

  2. Im Hinblick auf die Kontrollverpflichtungen des Kunden nach Art. 28 Abs. 1 DSGVO vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Hersteller sicher, dass sich der Kunde von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen auf Anfrage überzeugen kann.

  3. Der Kunden hat das Recht, die Auftragskontrolle im Benehmen mit dem Hersteller durchzuführen oder durch im Einzelfall zu benennenden Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, nach rechtzeitiger vorheriger Anmeldung (3 Wochen) zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in seinem Geschäftsbetrieb zu überzeugen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Kosten, die dem Auftragsverarbeiter durch seine Unterstützungshandlung entstehen, sind ihm im angemessenen Umfang zu erstatten ( Auditkosten).

Mitteilungspflichten#

  1. Der Hersteller erstattet in allen Fällen dem Kunden eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Kunden oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind. Die Meldung hat nach Möglichkeit innerhalb von 72 Stunden ab Kenntnis des Herstellers vom relevanten Ereignis an eine vom Kunden benannte Adresse zu erfolgen. Die Meldepflicht entfällt, wenn es unwahrscheinlich ist, dass die Verletzung personenbezogener Daten zu einem Risiko für Rechte und Freiheit von betroffenen Personen führt.

  2. Der Hersteller sichert zu, den Kunden bei dessen Pflichten nach Art. 33 und Art. 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

Weisungsbefugnis des Kunden#

  1. Der Kunde behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, welches er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Hersteller nur nach vorheriger schriftlicher Zustimmung durch den Kunden erteilen.

  2. Mündliche Weisungen wird der Kunde unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Der Hersteller verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Kunden nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

  3. Der Hersteller hat den Kunden unverzüglich entsprechend zu informieren, wenn er der Meinung ist, eine Weisung verstöße gegen datenschutzrechtliche Vorschriften. Der Hersteller ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Kunden bestätigt oder geändert wird.

Löschung von Daten und Rückgabe von Datenträgern#

  1. Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Kunden – spätestens mit Beendigung des Hauptvertrages – hat der Hersteller die im Auftrag verarbeiteten Daten nach Wahl des Kunden entweder zu vernichten oder an den Kunden zu übergeben. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Hersteller entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Kunden übergeben.