Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

OVERVIEW GmbH
Nachtigallenweg 29
50259 Pulheim

(nachfolgend auch „Auftragnehmer")

Der vorliegende Auftragsverarbeitungsvertrag gilt für die Verarbeitungsmaßnahmen personenbezogener Daten durch den Auftragnehmer, die gegenüber Kunden (nachfolgend „Auftraggeber") in Erfüllung des Hauptvertrages erbracht werden.

Präambel

Der Auftragnehmer erbringt für den Auftraggeber Leistungen gemäß dem zwischen ihnen geschlossenen Partnervertrag (im Folgenden: „Hauptvertrag"). Teil der Durchführung des Hauptvertrags ist die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung („DSGVO"). Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien den nachfolgenden Auftragsverarbeitungsvertrag (auch „Vertrag"), der mit Unterzeichnung bzw. Wirksamwerden des Hauptvertrages zustande kommt.

1. Gegenstand/Umfang der Beauftragung

(1) Im Rahmen der Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages hat der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend „Auftraggeberdaten"). Diese Auftraggeberdaten verarbeitet der Auftragnehmer im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO.

(2) Klarstellung: „Auftraggeberdaten" im Sinne dieses Vertrages sind alle personenbezogenen Daten, die der Auftragnehmer im Rahmen der Leistungserbringung für den Auftraggeber verarbeitet (einschließlich der Inhalte, die der Auftraggeber oder dessen Endnutzer in die Systeme des Auftragnehmers eingeben, sowie daraus generierter personenbezogener Ausgaben/Reports). Nicht als „Auftraggeberdaten" gelten (i) rein technische Betriebs- und Sicherheitsprotokolle (z. B. System- und Zugriffsdaten), die der Auftragnehmer zur Gewährleistung der Informationssicherheit, zur Fehleranalyse und zur Stabilität des Dienstes verarbeitet, soweit diese Datenverarbeitung für die sichere Bereitstellung der Leistung erforderlich ist, sowie (ii) aggregierte, anonymisierte Statistiken ohne Personenbezug. Soweit Betriebs-/Sicherheitsprotokolle ausnahmsweise personenbezogene Daten enthalten, verarbeitet der Auftragnehmer diese ausschließlich zu den vorgenannten Zwecken und unter Anwendung angemessener Schutzmaßnahmen.

(3) Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer erfolgt in der in den Anlagen beschriebenen Art sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen Personen wird dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

(4) Ob die Leistungen des Auftragnehmers für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO geeignet sind, bedarf einer Risikobewertung durch den Auftraggeber. Soweit der Auftraggeber dem Auftragnehmer besondere Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO zur Verarbeitung überlässt oder deren Verarbeitung im Rahmen der beauftragten Leistungen erfolgt, gilt: Die Verarbeitung erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers und nur im in diesem Vertrag sowie seinen Anlagen beschriebenen Umfang. Der Auftragnehmer wendet hierfür ein dem Risiko angemessenes, erhöhtes Schutzniveau an (insbesondere restriktive Berechtigungskonzepte/Need-to-know, Verschlüsselung bei Übertragung, Mandantentrennung, Protokollierung privilegierter Zugriffe und Maßnahmen zur Sicherstellung der Vertraulichkeit). Der Auftragnehmer unterstützt den Auftraggeber nach Maßgabe dieses Vertrages bei der Durchführung einer ggf. erforderlichen Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und bei der Dokumentation der hierfür erforderlichen Informationen.

(5) Dem Auftragnehmer ist eine von den in den Anlagen genannten Verarbeitungen abweichende Verarbeitung von Auftraggeberdaten untersagt.

(6) Die Verarbeitung der Auftraggeberdaten findet grds. im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

(7) Eine Verarbeitung oder sonstige Übermittlung von Auftraggeberdaten in einem Drittland (außerhalb EU/EWR) oder eine Zugriffsmöglichkeit aus einem Drittland (z. B. Support/Administration) erfolgt nur mit vorheriger Zustimmung des Auftraggebers und nur unter Einhaltung der Anforderungen der Art. 44 bis 49 DSGVO.

(8) Soweit kein Angemessenheitsbeschluss einschlägig ist, vereinbaren die Parteien geeignete Garantien, insbesondere die Standardvertragsklauseln gemäß Durchführungsbeschluss (EU) 2021/914. Soweit ein Angemessenheitsbeschluss genutzt wird (z. B. EU‑US Data Privacy Framework), darf sich der Auftragnehmer hierauf nur stützen, wenn der jeweilige Datenimporteur für den einschlägigen Mechanismus gültig zertifiziert/gelistet ist.

(9) Der Auftragnehmer unterstützt den Auftraggeber bei der Durchführung und Dokumentation der für Drittlandübermittlungen erforderlichen Bewertung (Transfer-Assessment) durch Bereitstellung der hierfür notwendigen Informationen (insbesondere zu Datenkategorien, Empfängern, Subunternehmerkette, Speicher-/Zugriffsorten, technischen und organisatorischen Maßnahmen). Erforderliche ergänzende Maßnahmen zur Absicherung der Übermittlung werden nach Maßgabe der EDPB‑Empfehlungen zu ergänzenden Maßnahmen umgesetzt.

(10) Weiterübermittlungen (Onward Transfers) in weitere Drittländer sind nur zulässig, wenn auch hierfür die Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind und der jeweilige Empfänger mindestens gleichwertige Verpflichtungen (insbesondere nach SCC oder Angemessenheitsbeschluss) übernimmt. Der Auftragnehmer dokumentiert Weiterübermittlungen in geeigneter Weise.

(11) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen. Gleiches gilt für alle Tätigkeiten, bei denen der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit Auftraggeberdaten in Berührung kommen.

2. Weisungsbefugnisse des Auftraggebers

(1) Der Auftragnehmer verarbeitet die Auftraggeberdaten im Rahmen der Beauftragung und im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber hat das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch "Weisungsrecht"). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

(2) Weisungen werden vom Auftraggeber grundsätzlich schriftlich oder in elektronischer Form (E-Mail ausreichend) erteilt; mündlich erteilte Weisungen sind vom Auftragnehmer in elektronischer Form zu bestätigen.

(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

3. Schutzmaßnahmen des Auftragnehmers

(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

(2) Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden "Mitarbeiter" genannt), zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO). Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Verpflichtung der Mitarbeiter schriftlich oder in elektronischer Form nachweisen.

(3) Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gem. Art. 32 DSGVO, insbesondere die in Anlage 2 zu diesem Vertrag aufgeführten Maßnahmen, zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrecht zu erhalten.

(4) Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(5) Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung der technischen und organisatorischen Maßnahmen nachweisen.

(6) Der Auftragnehmer und die bei oder für ihn Beschäftigten ist berechtigt, die gem. des Hauptvertrags zu erbringenden Leistungen und damit auch die Verarbeitung personenbezogenen Daten aus seiner Hauptverwaltung, seinen Betriebstätten, Niederlassungen oder aus dem Home- und Mobile-Office heraus erbringen zu lassen, sofern sichergestellt ist, dass die Schutzmaßnahmen, die in diesem Vertrag definiert werden, hierbei eingehalten werden.

4. Informations- und Unterstützungspflichten des Auftragnehmers

(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten informiert der Auftragnehmer den Auftraggeber unverzüglich nach Bekanntwerden.

(2) Die Information erfolgt als Erstmeldung unverzüglich, in der Regel binnen 24 Stunden, mindestens mit den zu diesem Zeitpunkt verfügbaren Kerninformationen (Art des Vorfalls, betroffene Systeme/Datenkategorien, erste Einschätzung der möglichen Auswirkungen, eingeleitete Sofortmaßnahmen, Kontaktstelle). Soweit nicht alle Angaben vollständig vorliegen, ergänzt der Auftragnehmer die Informationen ohne schuldhaftes Zögern in angemessenen Abständen (Updates), bis die Meldung vollständig ist.

(3) Dasselbe gilt für Prüfungen des Auftragnehmers durch Datenschutz-Aufsichtsbehörden, soweit rechtlich zulässig.

5. Sonstige Verpflichtungen des Auftragnehmers

(1) Der Auftragnehmer ist, sofern die Voraussetzungen des Art. 30 DSGVO auf ihn zutreffen, verpflichtet, ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Absatz 2 DSGVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

(4) Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO zu unterstützen.

(5) Der Auftragnehmer bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat.

(6) Sollten die Auftraggeberdaten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem" im Sinne der DSGVO liegt.

6. Subunternehmerverhältnisse

(1) Der Auftragnehmer darf die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere Auftragsverarbeiter (nachfolgend auch „Unterauftragnehmer" oder „Subunternehmen") erbringen lassen.

(2) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Bewachungsdienste, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

(3) Der Auftragnehmer wird mit dem Unterauftragnehmer die in diesem Vertrag getroffenen Regelungen inhaltsgleich vereinbaren. Insbesondere müssen die mit dem Unterauftragnehmer zu vereinbarenden TOM ein gleichwertiges Schutzniveau aufweisen.

(4) Der Auftragnehmer hat mit den in Anlage 1 genannten Unternehmen Subunternehmerverhältnisse begründet, denen der Auftraggeber mit Abschluss dieses Auftragsverarbeitungsvertrages zustimmt. Die in der Anlage 1 genannten Unternehmen können durch den Auftragnehmer ergänzt oder verringert werden. Sollte der Auftragnehmer einen weiteren Unterauftragnehmer hinzufügen, so fügt er diese in die Anlage 1 ein und informiert den Auftraggeber hierüber spätestens 4 Wochen vor dem beabsichtigten Einsatz des Unterauftragnehmers. Sollte der Auftraggeber nicht mit der Hinzufügung des weiteren Unterauftragnehmers einverstanden sein, so hat er die Möglichkeit, innerhalb von 4 Wochen nach Zufügung gegenüber dem Auftragnehmer zu widersprechen. Widerspricht der Auftraggeber der Hinzufügung des weiteren Unterauftragnehmers, so hat der Auftragnehmer das Recht den Hauptvertrag inkl. sämtlicher Anlagen innerhalb von 2 Wochen zu kündigen, sollte keine alternative Lösung zur weiteren Zusammenarbeit gefunden werden und sollte die Hinzufügung des weiteren Unterauftragnehmers für das Unternehmen des Auftragnehmers von besonderer Wichtigkeit sein.

(5) Der Auftragnehmer schließt mit jedem Unterauftragnehmer vor dessen Einsatz einen Vertrag ab, der die Anforderungen des Art. 28 Abs. 3 und Abs. 4 DSGVO inhaltlich abbildet und ein gleichwertiges Schutzniveau (insbesondere hinsichtlich technischer und organisatorischer Maßnahmen) sicherstellt. Mit Wirksamwerden dieses Vertrages genehmigt der Auftraggeber die in diesem Vertrag sowie dessen Anlagen genannten Unterauftragnehmer. Der Auftragnehmer bleibt gegenüber dem Auftraggeber für die Erfüllung sämtlicher Pflichten aus diesem AVV auch bei Einsatz von Unterauftragnehmern voll verantwortlich.

(6) Bestandteil der Auftragsverarbeitungsverträge mit den Unterauftragnehmern ist insbesondere auch, dass die Unterauftragnehmer sicherstellen, ihrerseits angemessene und geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO wegen der von ihnen im Auftrag durchgeführten Verarbeitungen personenbezogener Daten getroffen zu haben.

7. Kontrollrechte

(1) Der Auftraggeber ist berechtigt, die Einhaltung der Regelungen dieses Vertrages in angemessenem Umfang zu überprüfen. Der Auftragnehmer unterstützt Überprüfungen, indem er dem Auftraggeber auf Anfrage geeignete Nachweise zur Verfügung stellt (z. B. aktuelle TOM-Dokumentation, Zusammenfassungen von Prüfberichten, Zertifizierungen/Testate, soweit vorhanden) und angemessene Auskünfte erteilt.

(2) Überprüfungen erfolgen vorrangig als Remote-Audit (Dokumentenprüfung, Fragebogen, Videotermin). Vor-Ort-Inspektionen kommen nur in Betracht, wenn (i) ein Remote-Audit nicht ausreicht, (ii) ein konkreter Anlass besteht (z. B. schwerwiegender Sicherheitsvorfall) oder (iii) eine Aufsichtsbehörde dies verlangt, und sofern keine überwiegenden Geheimhaltungs- oder Sicherheitsinteressen entgegenstehen.

(3) Der Auftraggeber kündigt Vor-Ort-Inspektionen mit angemessener Frist (in der Regel mindestens 30 Kalendertage) an und berücksichtigt die Betriebsabläufe des Auftragnehmers. Inspektionen werden zu üblichen Geschäftszeiten durchgeführt. Der vom Auftraggeber beauftragte Prüfer darf nicht in einem Wettbewerbsverhältnis zum Auftragnehmer stehen und ist vorab schriftlich zur Vertraulichkeit zu verpflichten.

(4) Soweit der Auftraggeber wiederkehrende Routine-Audits ohne besonderen Anlass durchführt, sind diese auf höchstens ein Audit pro Kalenderjahr beschränkt. Weitergehende Audits bleiben bei Vorliegen eines Anlasses oder bei behördlicher Anforderung zulässig.

(5) Etwaige Kostenregelungen für Audits (insbesondere Vor-Ort-Inspektionen) werden transparent vereinbart; die Parteien berücksichtigen hierbei, dass Audit- und Nachweispflichten Teil der gesetzlich vorgesehenen Zusammenarbeit nach Art. 28 Abs. 3 lit. h DSGVO sind.

8. Rechte Betroffener

(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO. Der Auftragnehmer stellt dem Auftraggeber die hierfür erforderlichen Informationen unverzüglich, spätestens binnen 5 Werktagen zur Verfügung, soweit der Auftraggeber nicht selbst über die entsprechenden Informationen verfügt. In dringenden Fällen (insbesondere bei drohendem Fristablauf oder behördlichen Anfragen) bearbeitet der Auftragnehmer das Ersuchen vorrangig und stellt die verfügbaren Informationen so schnell wie möglich bereit.

(2) Soweit der Auftraggeber den Auftragnehmer anweist, Auftraggeberdaten zu berichtigen, zu löschen oder die Verarbeitung einzuschränken, setzt der Auftragnehmer die Weisung unverzüglich um; die Umsetzung erfolgt spätestens binnen 5 Werktagen, soweit nicht aufgrund der technischen Ausgestaltung (z. B. Backup-/Restore-Prozesse) eine längere, sachlich erforderliche Frist notwendig ist. In diesem Fall teilt der Auftragnehmer dem Auftraggeber die Gründe und die voraussichtliche Umsetzungsfrist unverzüglich mit.

(3) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht mit der betroffenen Person in Kontakt treten.

9. Laufzeit und Kündigung

Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet damit automatisch mit Beendigung des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung für diesen Vertrag entsprechend. Sollte der Auftragnehmer vor Ablauf des Hauptvertrages keine Auftraggeberdaten mehr verarbeiten, endet dieser Vertrag ebenfalls automatisch.

10. Löschung und Rückgabe nach Vertragsende

(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Solche Dokumentationen sind vom Auftragsnehmer für eine Dauer von 6 Monaten aufzubewahren und auf Verlangen an den Auftragsgeber herauszugeben.

(2) Der Auftragnehmer bestätigt dem Auftraggeber die Löschung/Rückgabe in Textform („Löschbestätigung"). Die Löschbestätigung enthält mindestens: (i) Datum der Löschung/Rückgabe, (ii) Beschreibung der betroffenen Datenkategorien und Systeme/Speicherorte, (iii) Aussage, ob und in welchem Umfang Daten in Backups/Archiven enthalten sind, sowie (iv) die Frist und das Verfahren, nach dem Backups/Archive turnusmäßig überschrieben oder gelöscht werden.

(3) Soweit eine sofortige Löschung aus technischen Gründen in Backups/Archiven nicht möglich ist, stellt der Auftragnehmer sicher, dass die Daten bis zur endgültigen Löschung nicht produktiv wiederhergestellt oder anderweitig genutzt werden, es sei denn, dies ist zur Störungsbeseitigung zwingend erforderlich; in diesem Fall erfolgt eine Wiederherstellung nur unter kontrollierten Bedingungen und dokumentiert.

(4) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.

11. Haftung

(1) Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt.

(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Dies gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

12. Vertraulichkeit & Datengeheimnis

(1) Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen.

(2) Es besteht eine Verschwiegenheitspflicht für die Mitarbeiter des Auftragnehmers und durch ihn beauftragte Dritte. Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeberdaten beschäftigten Personen gemäß Art. 28 Abs. 3 lit. b DSGVO schriftlich auf die Vertraulichkeit zu verpflichten. Dies ist nicht erforderlich, wenn die beschäftigten Personen bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer wird die in dieser Ziffer niedergelegte Verpflichtung schriftlich dokumentieren und sie auf Verlangen des Auftraggebers diesem vorlegen.

(3) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und er diese auf die Einhaltung der geltenden Datenschutzvorschriften zu verpflichten. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.

(4) Diese in dieser Ziffer geregelten Verschwiegenheitspflichten besteht auch nach der Beendigung des Vertragsverhältnisses fort.

(5) Darüber hinaus ist der Auftragnehmer neben den jeweils geltenden gesetzlichen Bestimmungen (insbesondere § 3 TDDDG, § 203 StGB, §§ 4, 23 GeschGehG sowie ggf. besondere berufsständische Verschwiegenheitspflichten) auch verpflichtet, alle Informationen und Daten, die ihm im Rahmen der vertraglich vereinbarten Leistungen zur Kenntnis gelangen, geheim zu halten und nicht an Dritte weiterzugeben (vertrauliche Informationen). Vertrauliche Informationen sind insbesondere Geschäfts- und Betriebsgeheimnisse, Vertragsschlüsse, technische oder kaufmännische Informationen jedweder Art bzw. anderweitige Angaben, die als vertraulich bezeichnet oder ihrer Natur nach als vertraulich anzusehen sind. Dies gilt insbesondere auch für:

Namen, Anschriften sowie die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse aller Kunden vom Auftraggeber und die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse vom Auftraggeber und aller anderen für Auftraggeber tätigen Personen.

Eine Information ist nicht als vertraulich anzusehen, wenn sie zu der Zeit, zu der der Auftragnehmer von der Information Kenntnis erlangt hat, bereits öffentlich bekannt gewesen ist. Ebenso als nicht vertraulich sind solche Informationen anzusehen, die zeitlich später mit Zustimmung des Auftraggebers öffentlich bekannt geworden sind bzw. bekannt gemacht wurden.

(6) Der Auftragnehmer verpflichtet sich, sämtliche Mitarbeiter, die im Rahmen der Tätigkeit für Auftraggeber Kenntnis von vorgenannten vertraulichen Informationen von Auftraggeber erlangen, ebenso wie sich selbst zu verpflichten.

(7) Beauftragt der Auftragnehmer Dritte, hat er dafür Sorge zu tragen, dass die Forderungen der Absätze 1 bis 6 entsprechend umgesetzt werden.

13. Schlussbestimmungen

(1) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer iSd § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der elektronischen Form.

(3) Die Regelungen dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.

(4) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Sitz des Auftragnehmers.

Anlagen

Anlage 1 – Festlegungen zum Vertrag

Gegenstand und Dauer des Auftrages

Hauptvertrag

Partnervertrag

Gegenstand des Auftrages

Online-Plattform für die Vermittlung von Terminen für die (Dienst-)Leistungen der Partner sowie die Bereitstellung einer SaaS-Anwendung für interne Verwaltungsprozesse der Partner

Zweck der Datenerhebung, Datenverarbeitung oder Datennutzung

Zur Erfüllung der Pflichten des Auftragnehmers aus dem Hauptvertrag werden personenbezogene Daten aus dem Herrschaftsbereich des Auftraggebers durch den Auftragnehmer vollumfänglich i.S.d. Art. 4 Nr. 2 DSGVO verarbeitet, insbesondere soweit jeweils erforderlich erhoben, gespeichert, verändert, ausgelesen, abgefragt, verwendet, offengelegt, abgeglichen, verknüpft und gelöscht. Der Zweck der Verarbeitung hängt damit von dem jeweils im Hauptvertrag beschriebenen Auftrag ab.

Art der Daten

Die von der Verarbeitung betroffenen Kategorien personenbezogener Daten hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Gegenstand der Verarbeitung in Betracht kommende Kategorien von Daten sind möglich

Stammdaten (z.B. Namen, Anschriften, Geburtsdaten),
Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummern),
Inhaltsdaten (z.B. Fotografien, Videos, Inhalte von Dokumenten),
Vertragsdaten (z.B. Vertragsgegenstand, Laufzeiten, Kunden),
Zahlungsdaten (z.B. Bankverbindungen, Zahlungsdienstleister),
Nutzungsdaten (z.B. Verlauf Web-Dienste, Zugriffszeiten),
Verbindungsdaten (z.B. Geräte-ID, IP-Adressen, URL-Referrer),
Standortdaten (z.B. GPS-Daten, IP-Geolokalisierung),

Kreis der Betroffenen

Die von der Verarbeitung betroffenen Kategorien betroffener Personen hängen von der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als Kategorien betroffener Personen kommen dabei in Betracht:

Beschäftigte
Auszubildende und Praktikanten
Bewerber
ehemalige Arbeitnehmer
freie Mitarbeiter
Gesellschafter, Organe der Gesellschaft
Angehörige von Beschäftigten
Kunden / Interessenten
Lieferanten und Dienstleister

Unterauftragnehmer

1. Amazon Web Services EMEA SARL

Amazon Web Services EMEA SARL
38 Avenue John F. Kennedy, L-1855 Luxembourg

Gegenstand der Leistung: Hosting Services

Speicher-/Verarbeitungsort (EU/EWR/Drittland): EU

Transfermechanismus (Angemessenheitsbeschluss / DPF oder SCC 2021/914): DPF