AV-Vertrag


Zwischen dem Kunden (im Folgenden Auftraggeber) und Nicolas Burmann, Bergmannstr. 39 B, 45470 Mülheim an der Ruhr (im Folgendem Auftragnehmer) wird nachfolgender Vertrag geschlossen.

Präambel

Dieser Vertrag konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem Hauptvertrag (Leistungsbeschreibung, AGB) ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrags.

§ 1 Definitionen

1. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person

2. Datenverarbeitung im Auftrag ist die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers (Art. 4 Abs. 2 EU - DSGVO)

3. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Herausgabe, Anonymisierung, Sperrung oder Löschung) des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung)

§ 2 Anwendungsbereich und Verantwortlichkeit

1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Hostingleistungen für Webhosting, Speicherung von E-Mails, Bereitstellung von Datenbanken, Registrierung von Domains und das Erstellen von Rechtstexten für das Impressum und die Dateschutzerklärung sowie Dienstleistungen, die in einem individuellen Vertrag festgehalten werden. Der Auftrag umfasst alle notwendigen Arbeiten zur Erbringung dieser Dienstleistungen. Dies umfasst Tätigkeiten, die in den Angeboten / Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (Verantwortung des für die Verarbeitung Verantwortlichen im Sinne des Art. 24 EU-DSGVO).

2. Datenverarbeitungszweck ist die Erbringung der Leistungen für die Bereitstellung der Dienst-leistungen des Auftragnehmers, wie sie in den Leistungsbeschreibungen und den Allgemeinen Geschäftsbedingungen (kurz AGB) des Auftragnehmers beschrieben werden. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.

3. Gegenstand der Verarbeitung personenbezogener Daten sind regelmäßig folgende Datenarten/- Kategorien:

  • Personenstammdaten
  • Kommunikationsdaten
  • Vertragsstammdaten

4. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

  • Kunden und Interessenten des Auftraggebers
  • Beschäftigte des Auftraggebers
  • Lieferanten und Partner des Auftraggebers

5. Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

§ 3 Pflichten des Auftragnehmers

1. Der Auftragnehmer darf die Daten des Auftraggebers nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten. Kosten für über den vertraglich vereinbarten Leistungsumfang hinausgehende Einzelweisungen des Auftraggebers, sind nach Rücksprache mit dem Auftragnehmer, unter Berücksichtigung des Aufwands, vom Auftraggeber zu tragen.

2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO genügen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. 

Diese Maßnahmen sind in Anlage 1 näher beschrieben. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

3. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen per Verpflichtung untersagt ist, die Daten unbefugt zu verarbeiten (Datengeheimnis entsprechend § 53 BDSG-neu). Das Datengeheimnis besteht auch nach Beendigung des Auftrages fort.

4. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden, bei schwerwiegenden Verstößen des Auftragnehmers oder der bei ihm im Rahmen des Auftrags beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder die im Vertrag getroffenen Festlegungen. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Informationspflichten nach Art. 34 EU-DSGVO.

5. Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

6. Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 34 EU-DSGVO und § 5 BDSG-neu nachzukommen, wie z.B. seiner Pflicht, einen Datenschutzbeauftragen zu bestellen, soweit vom Gesetz vorgeschrieben. Er gewährleistet weiterhin, seinen Pflichten nach Art. 32 Abs. 1 lit. d) EU-DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

7. Der Auftragnehmer verwendet die überlassenen Daten für keine anderen Zwecke als die der Vertragserfüllung.

8. Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist. Entstehen dabei durch Aufwand oder Gebühren dritter Kosten, trägt diese der Auftraggeber. Die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Vertrag bereits vereinbart. Im Falle von Test-und Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.

§ 4 Pflichten des Auftraggebers

1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

2. Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich.

3. Dem Auftraggeber obliegen die aus Artt. 33, 34 EU-DSGVO resultierenden Informationspflichten.

4. Die Daten werden nach dem Ende des jeweiligen Vertrages gelöscht.

§ 5 Anfragen Betroffener

1. Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Verarbeitung von Daten dieser Person zu erteilen, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen. Dies setzt voraus, dass der Auftraggeber den Auftragnehmer hierzu schriftlich oder in Textform aufgefordert hat und der Auftraggeber dem Auftragnehmer die durch diese Unterstützung entstandenen Kosten erstattet. Der Auftragnehmer wird keine Auskunftsverlangen beantworten und den Betroffenen insoweit an den Auftraggeber verweisen.

2. Wendet sich ein Betroffener mit Forderungen zur Berichtigung, Löschung oder Sperrung an den Auftragnehmer, wird der Auftragnehmer den Betroffenen an den Auftraggeber verweisen.

§ 6 Kontrollpflichten

1. Der Auftraggeber kann sich auf seine Kosten vor der Aufnahme der Datenverarbeitung und sodann regelmäßig über die technischen und organisatorischen Maßnahmen des Auftragnehmers informieren und das Ergebnis dokumentieren. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich ein ggf. vorhandenes Testat eines Sachverständigen vorlegen lassen oder nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich prüfen oder durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Bei der Prüfung muss mindestens ein Mitarbeiter des Auftragnehmers anwesend sein. Jeder Schritt ist mit diesem abzuklären. Entstandene Kosten für Anfahrt und Arbeitszeit des Auftragnehmers, trägt der Auftraggeber. Für die Unterstützung bei der Durchführung einer Prüfung darf der Auftragnehmer eine Vergütung verlangen, wenn dies im Vertrag vereinbart ist. Der Aufwand einer Prüfung ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle erforderlich sind. Dafür entstehende Kosten trägt der Auftraggeber.

§ 7 Subunternehmer

1. Der Auftraggeber ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungspflichten verbundene Unternehmen des Auftragnehmers zur Leistungserfüllung heranzieht bzw. dritte Unternehmen mit Leistungen unterbeauftragt. Eine Liste aller Subunternehmer ist in Anlage 2 aufgeführt.

2. Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages. Eine etwaige Prüfung durch den Auftraggeber beim Subunternehmer erfolgt nur in Abstimmung mit dem Auftragnehmer.

3. Ein zustimmungspflichtiges Subunternehmerverhältnis liegt nicht vor, wenn der Auftragnehmer Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei externem Personal, Post-und Versanddienstleistungen oder Wartung. Der Auftragnehmer wird mit diesem Dritten im erforderlichen Umfang Vereinbarungen treffen, um einen angemessenen Datenschutz zu gewährleisten.

§ 8 Informationspflichten, Schriftformklausel, Annahmeerklärung, AGB

1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz-oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als 'verantwortlicher Stelle' im Sinne des Bundesdatenschutzgesetzes liegen.

2. Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile einschließlich etwaiger Zusicherungen des Auftragnehmers bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

3. Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.

4. Im Übrigen gelten die Allgemeinen Geschäftsbedingungen (kurz AGB) des Auftragnehmers.

5. Es gilt deutsches Recht.


Anlage 1

Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
  • Zutrittskontrolle: Kein unbefugter Zutritt zu Datenverarbeitungsanlagen
    • Es existieren Sicherheitsschlösser
    • Sicherung von Fenstern und Türen
    • Unbefugten ist der Zugang grundsätzlich verwehrt
  • Zugangskontrolle: Keine unbefugte Systembenutzung
    • Der Zugang zur technischen Arbeitsumgebung ist durch Benutzername und Passwort geschützt
    • Der Arbeitsplatzrechner wird nach einer vorgegebenen Zeitdauer der Inaktivität gesperrt.
  • Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems
    • Es sind ausschließlich Personen, die mit der Erhebung, Nutzung und Verarbeitung der Daten im Rahmen der vereinbarten Auftragsverarbeitung betraut sind, berechtigt, die Daten zu lesen, zu kopieren, zu ändern oder zu löschen
    • Es existiert eine Firewall zum Schutz gegen einen Zugriff aus nicht vertrauenswürdigen Netzwerken (z.B. Internet).
  • Trennungskontrolle: Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden
    • Im Hinblick auf personenbezogene Daten verschiedener Auftraggeber erfolgt eine logische Trennung der Daten (Mandantenprinzip).
Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
  • Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport
    • Keine Verwendung von externen Datenträgern (USB-Stick, externe Festplatte, CDs, DVDs) außerhalb der geschützten Unternehmensumgebung.
    • Der Datenkanal mit dem Auftraggeber ist verschlüsselt
  • Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind
    • Die Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten erfolgt durch individuelle Benutzernamen
Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
  • Verfügbarkeitskontrolle: gegen zufällige oder mutwillige Zerstörung bzw. Verlust
    • Es existiert eine Backup-Strategie
  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
    • Es existiert ein Konzept für die Wiederherstellung des Geschäftsbetriebs nach einem Notfall.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
  • Datenschutz-Management
    • Es ist ein Datenschutz- und Sicherheitskonzept vorhanden, das regelmäßig überprüft wird.
    • Das Datenschutz- und Sicherheitskonzept wird an sich ändernde Bedingungen angepasst.
  • Incident-Response-Management
    • Es gibt eine Prozessbeschreibung zur Behandlung von Datenpannen.
  • Auftragskontrolle
    • Aus der Leistungsbeschreibung, die als Grundlage der Auftragsverarbeitung zwischen Auftragnehmer und Auftraggeber vereinbart wurde, gehen Art, Umfang und Zweck der Datenverarbeitung klar hervor.
    • Für die vereinbarte Auftragsverarbeitung werden ggf. Cloud-Lösungen eingesetzt. Die genutzten Rechenzentren befinden sich in der EU. Die Cloud-Datenkommunikation ist verschlüsselt.

Anlage 2

Zugelassene Subunternehmer

Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“).


netcup GmbH
("netcup")
Daimlerstraße 25 D-76185 Karlsruhe
Leistungen: Webhosting, Domain, E-Mail

GoCardless Ltd.
("GoCardless")
Sutton Yard, 65 Goswell Road, London, EC1V 7EN, Vereinigtes Königreich
Leistungen: Zahlungsabwicklung

Haufe-Lexware GmbH & Co. KG
("lexoffice")
Munzinger Straße 9 79111 Freiburg
Leistungen: Rechnungstellung


netcup Ökostrom gocardless.de