Vereinbarung über die Verarbeitung von Auftragsdaten

Bevor Sie das folgende Formular ausfüllen, lesen Sie bitte den darunter stehenden Vertragstext vollständig durch.

 

Auftraggeber:

 

Ich habe den nachstehenden Vertrag zur Auftragsdatenverarbeitung gründlich und vollständig gelesen.

15 + 3 =

 

Auftragnehmer:

creandi Medienagentur GmbH

Widumstraße 12
59065 Hamm
vertreten durch den Geschäftsführer Axel Berghoff

(im Folgenden „Auftragnehmer/Auftragsdatenverarbeiter“)
nachfolgend gemeinsam „Vertragsparteien“

PRÄAMBEL

Zwischen den Vertragsparteien besteht eine Dienstleistungsvereinbarung über Webhosting (nachfolgend: Leistungsvereinbarung).
Im Rahmen der vorgenannten Zusammenarbeit verarbeitet der Auftragnehmer auf Weisung des Auftraggebers personenbezogene Daten, so dass ein Auftragsverarbeitungsverhältnis gem. § 28 Abs. 3 DSGVO besteht.
Diese Vereinbarung regelt die wesentlichen Rechte und Pflichten dieses Auftragsverarbeitungsverhältnisses.

§ 1 Gegenstand und Dauer der Vereinbarung
(1) Gegenstand, Umfang, Art und Zweck der Datenverarbeitung sowie die Art der verarbeiteten personenbezogenen ergeben sich aus Anlage 1.
Der Kreis der durch den Umgang mit den personenbezogenen Daten Betroffenen ist ebenfalls in Anlage 1 beschrieben.

(2) Diese Vereinbarung bezieht sich ausschließlich auf die Verarbeitung personenbezogener Daten nach den vom Auftraggeber vorgegebenen Weisungen.

(3) Die Dauer der Auftragsdatenverarbeitung entspricht der der Leistungsvereinbarung.

§ 2 Begriffsbestimmungen
(1) Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

(2) Verarbeitung meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(3) Auftragsdatenverarbeiter meint eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

(4) Weisung meint jede Anordnung des Auftragnehmers, die auf einen bestimmten datenschutzrechtlichen Umgang mit personenbezogenen Daten gerichtet ist (z.B. Erheben, Erfassen, Verwenden, Anonymisieren, Sperren, Löschen, Herausgabe). Weisungen können schriftlich, in Textform (§126b BGB) oder mündlich erfolgen. Erfolgen Sie mündlich, sind sie in Textform (§ 126b BGB) zu bestätigen.

§ 3 Rechte und Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsdatenverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragsdatenverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).

(2) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er trägt dafür Sorge, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

(3) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber, soweit möglich, angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO).

(4) Der Auftraggeber kann jederzeit die Herausgabe, Berichtigung, Löschung und/oder Sperrung von personenbezogenen Daten verlangen, soweit nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Der Auftragnehmer wird dem Auftraggeber zu diesem Zwecke in Anlage 2 zu dieser Vereinbarung einen Ansprechpartner nennen, an den er sich in den vorgenannten Fällen wenden kann. Soweit ein Betroffener sich zwecks Löschung oder Berichtigung seiner Daten unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten und anhand der dem Auftragnehmer zur Verfügung stehenden Informationen bei der Erfüllung unterstützen (Art. 28 Abs. 3 lit. f DSGVO). Ohne die vorherige Zustimmung des Auftraggebers darf der Auftragnehmer über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen nicht erteilen.

(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

(6) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).

(7) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollen und Maßnahmen durch die Aufsichtsbehörden nach Art. 58 DSGVO oder falls eine Aufsichtsbehörde nach Art. 83 DSGVO bei dem Auftragnehmer ermittelt. Darüber hinaus teilt der Auftragnehmer dem Auftraggeber unverzüglich mit, wenn er wegen eines Verstoßes gegen die DSGVO auf Schadensersatz verklagt wird.

(8) Der Auftragnehmer versichert, dass die vom Auftragnehmer durchgeführte Verarbeitung und Nutzung der Daten im Auftrag des Auftraggebers ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum stattfindet. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44-50 DSGVO erfüllt sind.

§ 4 Rechte und Pflichten des Auftraggebers, Weisungsbefugnis
(1) Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO allein verantwortlich.
(2) Der Auftraggeber erteilt Aufträge, Teilaufträge und Weisungen in der Regel schriftlich, in Textform (§126b BGB) oder mündlich. Erfolgen Sie mündlich, sind sie in Textform (§ 126b BGB) zu bestätigen.
(3) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich festzulegen.

§ 5 Bestellung eines Datenschutzbeauftragten
Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt. Der Auftragnehmer versichert dem Auftraggeber, dass die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

§ 6 Führen eines Verzeichnisses über Verarbeitungstätigkeiten
(1) Der Auftragnehmer verpflichtet sich gem. Art. 30 Abs. 2 DSGVO zur Führung eines Verzeichnisses über die im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung personenbezogener Daten. Dieses Verzeichnis enthält mindestens:
a. den Namen und die Kontaktdaten des Auftragnehmers und jedes Verantwortlichen, in dessen Auftrag der Auftragnehmer tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragnehmers und eines etwaigen Datenschutzbeauftragten;
b. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
c. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
d. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.
(2) Der Auftragnehmer gewährt dem Auftraggeber auf Anfrage binnen 14 Tagen nach schriftlicher Aufforderung Einsicht in die diese Verarbeitung betreffenden Informationen des Verzeichnisses.
(3) Der Auftraggeber führt ebenfalls ein Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO. Der Auftragnehmer stellt dem Auftraggeber auf dessen Anfordern hin Informationen zur Aufnahme in dessen Verfahrensverzeichnis zur Verfügung.

§ 7 Technische und organisatorische Maßnahmen
(1) Um die Sicherheit der Verarbeitung im Auftrag zu gewährleisten, ist ein angemessenes Schutzniveau sicherzustellen. Dazu vereinbaren die Vertragsparteien die in Anlage 3 niedergelegten technischen und organisatorischen Sicherheitsmaßnahmen gemäß Art. 28 Abs. 3 lit. c DSGVO in Verbindung mit Art. 32 Abs. 1 DSGVO.
(2) Technische und organisatorische Maßnahmen berücksichtigen zum Zeitpunkt des Abschlusses dieser Vereinbarung den Stand der Technik und unterliegen jeweils dem technischen Fortschritt. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in Anlage 3 festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
(3) Der Auftragnehmer verpflichtet sich, die konkreten technischen und organisatorischen Maßnahmen auf deren Wirksamkeit im Hinblick auf die Sicherheit der Verarbeitung in regelmäßigen Abständen zu überprüfen, zu bewerten und diese Risikobewertung zu dokumentieren.

§ 8 Sicherheit der Verarbeitung, Kontrolle
(1) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über Datenschutz und -sicherheit, insbesondere die Einhaltung der getroffenen technischen und organisatorischen Maßnahmen (vgl. § 7 und Anlage 3), im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO). Der Auftragnehmer sichert zu, dass er bei diesen Kontrollen unterstützend mitwirkt, soweit dies erforderlich ist.
(2) Der Auftragnehmer verpflichtet sich insbesondere, dem betrieblichen Datenschutzbeauftragten des Auftraggebers zur Erfüllung seiner jeweiligen gesetzlichen Aufgaben im Zusammenhang mit diesem Auftrag jederzeit Zugang zu den üblichen Geschäftszeiten zu gewähren.

§ 9 Verhalten bei Störungen im Bereich des Auftragnehmers, Mitteilungspflichten
(1) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich nach Feststellung über Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.
(2) Dem Auftragnehmer sind die Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO bekannt. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung durchführen.

§ 10 Löschung und Rückgabe von Daten
(1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Auftraggebers.
(2) Spätestens mit Beendigung der Leistungsvereinbarung oder früher nach Aufforderung durch den Auftraggeber hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigten Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber nach dessen Wahl auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten (Art. 28 Abs. 3 lit. g DSGVO). Gleiches gilt für Test- und Ausschussmaterial. Ein Löschungsprotokoll ist dem Auftraggeber auf Anforderung vorzulegen.
(3) Der Auftragnehmer kann Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren. Alternativ kann er sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 11 Subauftragnehmer
(1) Die Beauftragung von Subauftragnehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit vorheriger schriftlicher Zustimmung des Auftraggebers gestattet (Art. 28 Abs. 2 DSGVO).
(2) Die Zustimmung kann nur erteilt werden, wenn die nachfolgenden Voraussetzungen erfüllt sind:
a. Der Auftragnehmer wählt den Subauftragnehmer sorgfältig aus und prüft, dass dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten kann. Er ist verpflichtet, mit dem Subauftragnehmer eine separate Vereinbarung zur Auftragsdatenverarbeitung zu schließen, in der dem Subauftragnehmer sämtliche Pflichten auferlegt werden, die sich aus dieser Vereinbarung sowie ggf. der Leistungsvereinbarung ergeben.
b. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Subauftragnehmer die nach Art. 32 Abs. 1 DSGVO geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat.
c. Der Auftragnehmer ist verpflichtet, sich vom Subauftragnehmer bestätigen zu lassen, dass dieser, sofern gesetzlich gefordert, einen betrieblichen Datenschutzbeauftragten i.S.d. Art. 37 DSGVO bzw. § 38 BDSG (neu) bestellt hat.
d. Eine Beauftragung von Subunternehmern in Drittstaaten kann nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
(3) Kein Subauftragnehmer sind solche Dienstleister, die der Auftragnehmer lediglich als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Entsorgung von Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
(4) Die Parteien halten in Anlage 4 Subauftragnehmer fest, für die die Zustimmung mit Unterzeichnung dieser Vereinbarung als erteilt gilt.

§ 12 Haftung
Die Haftung richtet sich nach Art. 82 DSGVO.

§ 13 Vertraulichkeit
Der Auftraggeber und der Auftragnehmer verpflichten sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Betriebs- und Geschäftsgeheimnissen vertraulich zu behandeln. Dies gilt für den in der Leistungsvereinbarung vereinbarten Zeitraum und auch über die Beendigung der Einzelaufträge bzw. der Geschäftsbeziehung hinaus.

§ 14 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile bedürfen einer schriftlichen Vereinbarung. Dies gilt auch für den Verzicht auf das Schriftformerfordernis.
(2) Diese Vereinbarung ersetzt vollumfänglich ggf. bestehende Vereinbarungen zur Auftragsdatenvereinbarung.

Anlagen
Anlage 1: Beschreibung der Datenverarbeitung
Anlage 2: Beauftragte/r für den Datenschutz
Anlage 3: Technische und organisatorische Maßnahmen
Anlage 4 Genehmigte Subunternehmer

Hamm, den 08.05.2018