Vertrag zur Auftragsdatenverarbeitung

Vereinbarung zur Auftragsverarbeitung DSGVO

Zwischen

Hartmann GmbH Autohaus Grafing
Glonner Straße 14
85567 Grafing

– nachstehend „Auftragnehmer“ genannt –

und

ihren Kunden

– nachfolgend „Auftraggeber“ genannt –

– beide zusammen „Parteien“ genannt –

Präambel

Der Auftragnehmer erhebt, verarbeitet und nutzt personenbezogene Daten des Auftraggebers im Rahmen der Durchführung des „Saas Nutzungsvertrags“ der Parteien. Dieser Vertrag enthält eine Reihe von Anlagen, die die vom Auftragnehmer für den Auftraggeber zu erbringenden Leistungen im Einzelnen spezifizieren – insgesamt als „Vertragsverhältnis“ bezeichnet. Bei der Erbringung dieser Leistungen werden ebenfalls personenbezogene Daten des Auftraggebers durch den Auftragnehmer erhoben, verarbeitet und genutzt. Die Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten durch den Auftraggeber findet derzeit ausschließlich in der Bundesrepublik Deutschland statt.

Die Parteien wollen ihren wechselseitigen datenschutzrechtlichen Verpflichtungen im Rahmen ihres Vertragsverhältnisses Rechnung tragen und schließen deswegen nachstehende Vereinbarung zur Auftragsverarbeitung:

§ 1 Gegenstand und Dauer der AV

(1) Gegenstand der AV

(a) Inhaltlicher Geltungsbereich

Diese AV ergänzt und konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus dem Vertragsverhältnis. Gegenstand dieses Vertragsverhältnisses ist die Zurverfügungstellung von eines Online-Dienstes, in dem Werkzeuge und Betriebseinrichtungen verwaltet werden können, wie sie in § 1 des Nutzungsvertrages für das Werkzeugverwaltungsprogrammes „SEPP.ONE®“ und den einzelnen Anlagen  im Einzelnen spezifiziert sind. Diese AV gilt für sämtliche Tätigkeiten im Zusammenhang mit dem Vertragsverhältnis, bei denen Mitarbeiter und/oder – soweit gem. nachstehendem § 7 zulässig – Subunternehmer des Auftragnehmers personenbezogene Daten des Auftraggebers erheben, verarbeiten oder nutzen.

(b) Räumlicher Geltungsbereich

Nach dieser AV ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Auftragnehmer nur im Gebiet Europäischen Union zulässig. Dem Auftragnehmer ist es ohne vorherige Abstimmung mit dem Auftraggeber nicht gestattet, die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten des Auftraggebers ins Ausland, insb. außerhalb des Gebietes der Europäischen Union und des Europäischen Wirtschaftsraumes, zu verlagern. Wenn und soweit der Auftragnehmer künftig beabsichtigt, seine Leistungserbringung und damit einhergehend die Erhebung, Verarbeitung und Nutzung personenbezogener Daten des Auftraggebers ins Ausland, insb. ins außereuropäische Ausland zu verlagern, hat er den Auftraggeber umgehend zu unterrichten. Eine solche Verlagerung darf nur und erst erfolgen, wenn der Auftraggeber dem zuvor schriftlich zugestimmt hat und die besonderen Voraussetzungen der zulässigen Datenübermittlung ins Drittland vorliegen.

(2) Dauer der AV

Diese AV ist an die Laufzeit des Hauptvertrages gebunden. Es gelten die im Hauptvertrag vereinbarten Kündigungsfristen.

(3) Kündigung

Beide Parteien sind berechtigt, diese AV jederzeit aus wichtigem Grund zu kündigen. Ein solcher wichtiger Grund liegt insb. vor, wenn

  • der Auftraggeber den Auftragnehmer nicht oder nicht rechtzeitig über Änderungen in den Datenverarbeitungsvorgängen informiert;
  • der Auftraggeber den Auftragnehmer entgegen § 5 trotz nochmaliger Aufforderung des Auftragnehmers nicht anweist, personenbezogene Daten eines Betroffenen zu löschen, zu sperren oder zu berichtigen oder hiervon abzusehen.

§ 2 Verantwortungsbereiche

Die Parteien gehen davon aus, dass der Auftragnehmer als Auftragsdatenverarbeiter für den Auftraggeber tätig wird. Wenn und soweit der Auftragnehmer jetzt oder künftig Leistungen erbringen soll, die nicht nach dieser AV privilegiert sind, werden die Parteien sich hierüber abstimmen. Im Rahmen der Durchführung dieser AV gelten nachfolgende Verantwortungsbereiche:

(1) Verantwortung des Auftraggebers

(a) Der Auftraggeber ist im Hinblick auf das Vertragsverhältnis und die in dessen Durchführung vom Auftragnehmer zu erhebenden, zu verarbeitenden und zu nutzenden Daten für die Einhaltung sämtlicher einschlägiger Datenschutzvorschriften. Der Auftraggeber ist insb. dafür verantwortlich, dass etwaige Einwilligungserklärungen, die für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten erforderlich sind, eingeholt wurden.

(b) Der Auftraggeber ist „Herr der Daten“. Er behält die volle Kontrolle über die vom Auftragnehmer zu erhebenden, zu verarbeitenden und zu nutzenden Daten. Sämtliche erhobenen, verarbeiteten und genutzten Daten stehen ausschließlich dem Auftraggeber zu.

(2) Verantwortung des Auftragnehmers

(a) Der Auftragnehmer wird personenbezogene Daten, die er im Rahmen dieser AV im Auftrag für den Auftraggeber erhebt, verarbeitet oder nutzt, ausschließlich zur Erfüllung des im Vertrag und seinen Leistungsscheinen beschriebenen Zwecken erheben, verarbeiten und nutzen.

(b) Verlangt der Auftraggeber seine Daten – egal aus welchem Grund – heraus, ist der Auftragnehmer verpflichtet, dem Auftraggeber sämtliche Daten in einem üblichen, für die automatisierte Übernahme oder direkte Einspielung geeigneten Format herauszugeben. Zurückbehaltungsrechte – egal welcher Art – stehen dem Auftragnehmer an diesen Daten nicht zu. Die Regelung des § 11 Abs. 1 gilt entsprechend.

§ 3 Umfang, Art und Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten

Umfang und Zweck der Datenerhebung, -verarbeitung oder -nutzung sind     .

(1) Art der Daten der Datenerhebung, -verarbeitung oder -nutzung

Im Rahmen des Vertragsverhältnisses erhebt, verarbeitet und nutzt der Auftragnehmer folgende Arten von Daten:

  • Personenstammdaten
  • Kommunikationsdaten (zB Telefon, E-Mail)
  • Vertragsstammdaten (Vertragsbeziehung, Produkte- bzw. Vertragsinteresse)
  • Kundenhistorie
  • Vertragsabrechnungs- und Zahlungsdaten
  • Planungs- und Steuerungsdaten
  • Auskunftsangaben (von Dritten, zB Auskunfteien, oder aus öffentlichen Verzeichnissen)

(2) Kreis der Betroffenen

Der Kreis der durch den Umgang mit personenbezogenen Daten im Rahmen dieser AV Betroffenen umfasst:

  • Kunden
  • Interessenten
  • Abonnenten
  • Beschäftigte
  • Lieferanten
  • Handelsvertreter

§ 4 Technisch-organisatorische Maßnahmen

(1) Beschreibung der technisch-organisatorischen Maßnahmen

Zur Gewährleistung der Sicherheit und Vertraulichkeit der Daten hat der Auftragnehmer die in seinem Daten-Sicherheitskonzept aufgeführten technisch-organisatorischen Maßnahmen getroffen. Das (Daten-)Sicherheitskonzept wird als verbindlich festgelegt.

Zur Gewährleistung der Sicherheit und Vertraulichkeit der Daten hat der Auftragnehmer die folgenden technisch-organisatorischen Maßnahmen getroffen:

  • Zutrittskontrolle, die Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet und genutzt werden, verwehrt:     .
  • Zugangskontrolle, die es verhindert, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:      
  • Zugriffskontrolle, die sicherstellt, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert oder verändert werden können:      
  • Weitergabekontrolle, mit der dafür gesorgt wird, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welchen Stellen die Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:      
  • Eingabekontrolle, mit deren Hilfe nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:      
  • Auftragskontrolle, die dafür sorgt, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:      
  • Verfügbarkeitskontrolle, d.h. es ist dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:
  • Trennungskontrolle, die sicherstellt, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:      

 (2) Technischer Fortschritt und Änderung der technisch-organisatorischen Maßnahmen

Die in dieser AV beschriebenen technisch-organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist es deshalb gestattet, alternative adäquate Maßnahmen umzusetzen, wenn und soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen hat der Auftraggeber zu dokumentieren. Der Auftragnehmer wird dem Auftraggeber auf Anforderung die Angaben zur Verfügung zu stellen.

(3) Informationspflicht des Auftragnehmers

Der Auftragnehmer wird den Auftraggeber über die technischen und organisatorischen Maßnahmen sowie Ereignisse, die für die Sicherheit oder Vertraulichkeit der Daten von Bedeutung sind, regelmäßig unterrichten. Störungen oder sonstige Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers wird er diesem unverzüglich mitteilen und das weitere Vorgehen mit ihm abstimmen.

§ 5 Berichtigung, Löschung und Sperrung von Daten

(1) Die im Auftrag des Auftraggebers erhobenen, verarbeiteten und genutzten Daten darf der Auftragnehmer nur nach Weisung des Auftraggebers berichtigen, löschen oder sperren. Wenn sich ein Betroffener zu diesem Zweck direkt an den Auftragnehmer wendet, hat dieser ein solches Ersuchen unverzüglich an den Auftraggeber weiterzuleiten.

(2) Der Ansprechpartner des Auftraggebers wird das Ersuchen prüfen und dem Auftragnehmer schriftlich mitteilen, ob es berechtigt war oder nicht und den Auftragnehmer anweisen, die Berichtigung, Löschung oder Sperrung vorzunehmen.

§ 6 Pflichten des Auftragnehmers

Der Auftragnehmer hat folgende Pflichten:

(1) Der Auftragnehmer hat einen Datenschutzbeauftragten bestellt. Die Kontaktdaten des Datenschutzbeauftragten lauten wie folgt:

activeLAW Rechtsanwälte Klein.Offenhausen PartmbB
Hans-Böckler-Allee 26, 30173 Hannover
datenschutz@activelaw.de
0511/547470

(2) Der Auftragnehmer wird sämtliche Personen, die bei der Datenverarbeitung beschäftigt sind, auf das Datengeheimnis verpflichten und diese über Art, Umfang und Bedeutung des Datengeheimnisses unterrichten.

(3) Der Auftragnehmer wird die technisch-organisatorischen Maßnahmen umsetzen und dem Auftraggeber einen Nachweis über deren Umsetzung erbringen.

(4) Der Auftragnehmer wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde und zwar auch bei Ermittlungen beim Auftragnehmer unterrichten.

(5) Der Auftragnehmer wird regelmäßige Kontrollen zur Durchführung der Auftragskontrolle vornehmen, insb. zur Einhaltung und etwaigen notwendigen Anpassungen von Regelungen und Maßnahmen zur Durchführung dieser AV.

§ 7 Einschaltung von Subunternehmern

(1) Grundsätze für die Einschaltung von Subunternehmern

Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen verbundene Unternehmen des Auftragnehmers zur Leistungserfüllung heranzieht bzw. Unternehmen mit Leistungen unterbeauftragt.

(2) Anforderungen an die Einschaltung von Subunternehmern

Wenn und soweit der Auftragnehmer nach Maßgabe des vorstehenden Abs. 1 Subunternehmer einschaltet, sind die vertraglichen Vereinbarungen mit diesen so zu gestalten, dass sie den Anforderungen an den Datenschutz und die Datensicherheit, wie sie im Verhältnis zwischen den Parteien bestehen, entsprechen. Hierbei stellt der Auftragnehmer insb. sicher, dass die in dieser AV festgelegten Regelungen auch im Verhältnis zu den Subunternehmern gelten. Er wird dem Auftraggeber Auskunft über die entsprechenden vertraglichen Regelungen mit dem Subunternehmer geben und ihm auf Verlangen die entsprechenden Vertragsunterlagen vorlegen.

(3) Kontrollrechte des Auftraggebers

Bei seinen vertraglichen Vereinbarungen mit Subunternehmern stellt der Auftragnehmer sicher, dass der Auftraggeber berechtigt ist, bei den Subunternehmern Kontrollen vor Ort durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. Der Auftragnehmer stellt namentlich sicher, dass dem Auftraggeber die Kontroll- und Überprüfungsrechte eingeräumt werden. Das Ergebnis dahingehender Kontrollen ist zu dokumentieren.

§ 8 Kontrollrechte des Auftraggebers, Mitwirkungspflichten des Auftragnehmers

Der Auftraggeber ist verpflichtet, zunächst vor Beginn der Datenverarbeitung und sodann regelmäßig beim Auftragnehmer zu kontrollieren, ob die technisch organisatorischen Maßnahmen eingehalten werden.

(1) Kontroll- und Zutrittsrechte

Zu diesem Zweck räumt der Auftragnehmer dem Auftraggeber das Recht ein, die Auftragskontrolle nach vorheriger Terminvereinbarung mit dem Auftragnehmer (mindestens 3 Wochen) durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. Er wird dem Auftraggeber auf dessen Verlangen die in diesem Zusammenhang relevanten Informationen geben. Das Ergebnis dieser Prüfungen ist zu dokumentieren.

(2) Nachweispflichten

Der Auftragnehmer weist dem Auftraggeber auf Nachfrage die Umsetzung der technisch- organisatorischen Maßnahmen nach.

§ 9 Mitzuteilende Verstöße

Der Auftragnehmer ist verpflichtet, dem Auftraggeber Verstöße gegen Datenschutzbestimmungen oder diese AV, die er oder die bei ihm beschäftigten Personen begangen haben, mitzuteilen. Im Hinblick darauf vereinbaren die Parteien Folgendes:

(1) Mitteilung von allgemeinen Verstößen

Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu informieren, wenn und soweit er oder die bei ihm beschäftigten Personen gegen Datenschutz- oder gegen Bestimmungen dieser AV verstoßen haben.

(2) Benachrichtigungspflicht

Der Auftraggeber hat bei einer unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten durch Dritte gegenüber der Aufsichtsbehörde und den Betroffenen bestimmte Informationspflichten. Der Auftragnehmer wird dem Auftraggeber dahingehende Vorfälle unverzüglich ohne Ansehen der Verursachung mitteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer wird in Abstimmung mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Wenn und soweit der Auftraggeber verpflichtet ist, wird der Auftragnehmer ihn hierbei vollumfänglich unterstützen und ihm unverzüglich sämtliche erforderlichen Informationen über die Ursache, das Ausmaß und die Folgen für die Betroffenen, die durch die unrechtmäßige Kenntniserlangung eintreten können, geben, damit der Auftraggeber seinen Benachrichtigungspflichten sowohl gegenüber der Aufsichtsbehörde als auch ggf. gegenüber den Betroffenen nachkommen kann.

Der Auftraggeber als „Herr der Daten“ bleibt gegenüber der Aufsichtsbehörde und den Betroffenen allein verantwortlich. Er entscheidet deswegen alleine, ob aufgrund der ihm vom Auftragnehmer über einen Vorfall zur Verfügung gestellten Informationen eine Benachrichtigung der Aufsichtsbehörde und ggf. der Betroffenen erfolgen muss. Der Auftraggeber haftet alleine und vollumfänglich, sollte er eine erforderliche Benachrichtigung im vorgenannten Sinne trotz unverzüglicher Information durch den Auftragnehmer unterlassen haben.

§ 10 Weisungsbefugnisse

(1) Weisungsrecht des Auftraggebers

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten iS des Vertragsverhältnisses und dieser AV erfolgt ausschließlich nach den Weisungen des Auftraggebers. Der Auftraggeber hat im Rahmen des Vertragsverhältnisses und dieser AV ein umfassendes Weisungsrecht hinsichtlich der Art, dem Umfang und den Verfahren der Datenverarbeitung, das er durch Einzelanweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstands und Verfahrensänderungen stimmen die Parteien ab. Beruhen die Änderungen auf zwingenden gesetzlichen Vorgaben für den Auftraggeber, hat der Auftragnehmer sie für den Auftraggeber kostenneutral umzusetzen. Ist die Umsetzung für den Auftragnehmer mit einem unzumutbaren finanziellen und/oder Personalaufwand verbunden, werden sich die Parteien nach Maßgabe des Change Request Verfahrens des Hauptvertrags über die Änderungen und die damit verbundenen Kosten verständigen. Ist eine Einigung hiernach nicht möglich, ist der Auftraggeber berechtigt, die vorliegende AV fristlos zu kündigen. Entsprechendes gilt für sonstige Änderungen des Verarbeitungs- oder Verfahrensgegenstands, die aufgrund zwingender gesetzlicher Regelungen erforderlich werden. Die Folgen der Kündigung bestimmen sich nach Maßgabe des § 11.

Sämtliche Änderungen des Verarbeitungs- und/oder Verfahrensgegenstandes sind zu dokumentieren.

Der Auftraggeber wird seine Weisungen grundsätzlich schriftlich oder per E-Mail erteilen. Sollte dies im Einzelfall, insb. in dringenden Fällen, nicht möglich sein, wird der Auftraggeber den Auftragnehmer mündlich anweisen. Solche mündlichen Weisungen wird der Auftraggeber im Anschluss unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke als diejenigen, die in dem Vertragsverhältnis, seinen Anlagen und dieser AV festgelegt sind. Er ist nicht berechtigt, die personenbezogenen Daten des Auftraggebers an Dritte weiterzugeben oder anderweitig zu übermitteln, insb. zum Abruf bereitzustellen. Kopien und Duplikate darf der Auftragnehmer nur dann erstellen, wenn der Auftraggeber dem zuvor schriftlich zugestimmt hat, der Auftragnehmer sie als Sicherheitskopien zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder der Auftragnehmer sie unter dem Gesichtspunkt der gesetzlichen Aufbewahrungspflichten benötigt.

(2) Hinweispflicht des Auftragnehmers

Wenn und soweit der Auftragnehmer der Auffassung ist, dass die Ausführung von Weisungen des Auftraggebers iS des vorstehenden Absatzes zu einer Verletzung von Datenschutzbestimmungen führen könnte, ist der Auftragnehmer verpflichtet, den Auftraggeber unverzüglich hierauf hinzuweisen. In diesem Fall ist er berechtigt, die Durchführung der entsprechenden Weisung des Auftraggebers so lange auszusetzen, bis sie durch den Ansprechpartner des Auftraggebers nach § 5 bestätigt oder geändert wird.

§ 11 Rückgabe von Datenträgern und Löschung von Daten

(1) Löschung von Daten

Mit Beendigung des Auftrags oder vorher auf Verlangen des Auftraggebers ist der Auftragnehmer verpflichtet, dem Auftraggeber sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie die in Zusammenhang mit dem Vertragsverhältnis und dieser AV stehenden Datenbestände auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Für Test- und Ausschussmaterial gilt dies nur dann, wenn der Auftraggeber dies ausdrücklich verlangt. Das Protokoll der Löschung bzw. Vernichtung ist dem Auftraggeber vorzulegen. Entsprechendes gilt für die Versicherung der vollständigen Aushändigung sämtlicher in Zusammenhang mit dem Vertragsverhältnis und dieser AV stehender Unterlagen sowie Verarbeitungs- und Nutzungsergebnisse.

(2) Aufbewahrungspflichten

Der Auftragnehmer ist berechtigt, Dokumentationen, die er benötigt, um die Auftrags- und ordnungsgemäße Datenverarbeitung nachweisen zu können, gem. den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie dem Auftraggeber zu seiner Entlastung bei Vertragsende übergeben.

Anlagen:

  • Anlage 1 – Genehmigte Subunternehmer

Anlage 1

Genehmigte Subunternehmer :

Name Anschrift Umfang, Art und Zweck der Tätigkeit
Host Europe GmbH   Hansestr. 111 51149 Köln Emailserver und Hosting des Newsletterversandes
United Call GmbH Posener Str. 5 66798 Wallerfangen CallCenter Anrufannahme und Weiterleitung von Rückrufwünschen per Email
Sendinblue SAS 55 Rue d’Amsterdam, 75008 Paris Newsletterversand
Sourceboat GmbH & Co. KG Lise-Meitner-Straße 2 24941 Flensburg Softwareentwicklung