Auftrags­verarbeitungs­vertrag

1. Vertragsgegenstand

Bei der Erfüllung des Vertrages zwischen den Parteien über die Bereitstellung der Software des Auftragsverarbeiters für den Kunden (nachfolgend der „Hauptvertrag“) ist es notwendig oder möglich, dass der Auftragsverarbeiter mit personenbezogenen Daten umgeht, in Bezug auf welche der Kunde als Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften agiert (nachfolgend die „Kundendaten“). Dieser Vertrag (nachfolgend der „Auftragsverarbeitungsvertrag“) konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit der Nutzung von Kundendaten durch den Auftragsverarbeiter bei der Erbringung von vertraglichen Leistungen.

2. Umfang der Auftragsverarbeitung

1. Der Auftragsverarbeiter verarbeitet die Kundendaten im Auftrag und nach Weisung des Kunden in Übereinstimmung mit Art. 28 Datenschutz-Grundverordnung (nachfolgend „DSGVO“). Der Kunde bleibt Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.
2. Art, Umfang und Zweck der Verarbeitung der Kundendaten durch den Auftragsverarbeiter erfolgt entsprechend den in Anlage 2.2 zu diesem Auftragsverarbeitungsvertrag enthaltenen Festlegungen; die Verarbeitung bezieht sich auf die dort spezifizierte Art der personenbezogenen Daten und den dort bestimmten Kreis der Betroffenen. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.
3. Der Auftragsverarbeiter behält sich das Recht vor, Kundendaten so zu anonymisieren oder zu aggregieren, dass es nicht mehr möglich ist, einzelne betroffene Personen zu identifizieren und Daten in dieser Form zum Zwecke der bedarfsgerechten Gestaltung, des maschinellen Lernens, der Entwicklung und Optimierung sowie der Erbringung der vertraglich vereinbarten Leistungen zu verwenden. Die Parteien vereinbaren, dass nach Maßgabe des Satz 1 anonymisierte oder aggregierte Kundendaten nicht als Kundendaten im Sinne dieses Auftragsverarbeitungsvertrags gelten.
4. Die Verarbeitung der Kundendaten durch den Auftragsverarbeiter erfolgt grundsätzlich innerhalb der Europäischen Union oder eines anderen Vertragsstaates des Europäischen Wirtschaftsraums (EWR). Der Auftragsverarbeiter ist jedoch berechtigt, Kundendaten außerhalb des EWR gemäß den Bestimmungen dieses Auftragsverarbeitungsvertrages zu verarbeiten, wenn er den Kunden vorab über den Ort der Datenverarbeitung informiert und wenn die Anforderungen der Art. 44 bis 48 DSGVO erfüllt sind oder wenn eine Ausnahme nach Art. 49 DSGVO vorliegt.

3. Weisungsbefugnisse des Kunden

1. Der Auftragsverarbeiter verarbeitet die Kundendaten gemäß den Weisungen des Kunden, sofern der Auftragsverarbeiter nicht gesetzlich anderweitig verpflichtet ist. Im letzteren Fall informiert der Auftragsverarbeiter den Kunden vor der Verarbeitung über diese gesetzliche Verpflichtung, es sei denn, das Gesetz verbietet diese Mitteilung aus wichtigen Gründen des öffentlichen Interesses.
2. Die Weisungen des Kunden sind in den Bestimmungen diesen Auftragsverarbeitungsvertrags grundsätzlich abschließend festgelegt und dokumentiert. Individuelle Weisungen, die von den Bestimmungen dieses Auftragsverarbeitungsvertrags abweichen oder zusätzliche Anforderungen stellen, bedürfen der Zustimmung des Auftragsverarbeiters.
3. Der Auftragsverarbeiter stellt sicher, dass die Kundendaten gemäß den Weisungen des Kunden verarbeitet werden. Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Kunden gegen diesen Auftragsverarbeitungsvertrag oder geltendes Datenschutzrecht verstößt, ist er nach entsprechender Mitteilung an den Kunden berechtigt, die Ausführung der Weisung auszusetzen, bis der Kunde die Weisung bestätigt. Die Parteien vereinbaren, dass die alleinige Verantwortung für die weisungsgemäße Verarbeitung der Kundendaten beim Kunden liegt.

4. Rechtliche Verantwortlichkeit des Kunden

1. Der Kunde ist allein verantwortlich für die Zulässigkeit der Verarbeitung der Kundendaten und für die Wahrung der Rechte der betroffenen Personen im Verhältnis zwischen den Parteien. Sollten Dritte Ansprüche gegen den Auftragsverarbeiter aus der vertragsgemäßen Verarbeitung von Kundendaten geltend machen, stellt der Kunde den Auftragsverarbeiter auf erstes Anfordern von allen diesen Ansprüchen frei.
2. Dem Kunden obliegt es, dem Auftragsverarbeiter die Kundendaten rechtzeitig zur vertragsgemäßen Leistungserbringung zur Verfügung zu stellen und er ist für die Qualität der Kundendaten verantwortlich. Der Kunde hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Ergebnisse des Auftragsverarbeiters Fehler oder Unregelmäßigkeiten in Bezug auf datenschutzrechtliche Bestimmungen oder seine Weisungen feststellt.

5. Anforderungen an Personal

1. Der Auftragsverarbeiter verpflichtet alle an der Verarbeitung von Kundendaten beteiligten Personen zur Vertraulichkeit in Bezug auf die Verarbeitung von Kundendaten.
2. Der Auftragsverarbeiter verpflichtet sich dazu, sämtliche an der Verarbeitung von Kundendaten beteiligten Personen in regelmäßigen Abständen zum Thema Datenschutz zu schulen und diese Schulungsmaßnahmen sowie deren Erfolg entsprechend zu dokumentieren.
3. Der Auftragsverarbeiter verpflichtet sich, Kundendaten physisch oder elektronisch stets unzugänglich für Unbefugte zu lagern. Elektronische Datenträger werden hierbei standardmäßig verschlüsselt und passwortgeschützt gelagert. Physische Akten oder sonstige Dokumente in Papierform werden stets in abschließbaren und gesicherten Schranksystemen gelagert. Der Auftragsverarbeiter behält sich aufgrund getroffener Schutzmaßnahmen explizit den Einsatz von Fremdpersonal für Dienstleistungen in den Büroräumen oder in der Informationstechnologie vor. Der Einsatz von Fremdpersonal wird stets begleitet und durch Mitarbeiter entsprechend überwacht.

6. Anforderungen an Systeme

1. Der Auftragsverarbeiter verpflichtet sich, sämtliche Systeme der elektronischen Datenverarbeitung stets mit geeigneten technischen und organisatorischen Sicherheitsmaßnahmen zu schützen. Hierzu zählen insbesondere die Nutzung einer aktuellen Firewall und entsprechender Antiviren- und Antimalware Software. Desweiteren verpflichtet sich der Auftragsverarbeiter zum regelmäßigen Einsatz eines aktuellen Patch- und Schwachstellenmanagements und regelmäßiger Rezertifizierungen im rollenbasierten Berechtigungsmanagements der genutzten Softwares.
2. Der Auftragsverarbeiter verpflichtet sich, Datenträger oder Akten nach Außerbetriebnahme unverzüglich zu löschen bzw. zu vernichten. Der Auftragsverarbeiter behält sich zum Zwecke der Entsorgung und Wiederverwendung das Recht vor, externe Dienstleister mit der Löschung oder Vernichtung zu beauftragen, sofern diese über eine hierfür geschäftsübliche Zertifizierung verfügen.

7. Sicherheit der Verarbeitung

1. Der Auftragsverarbeiter ergreift die erforderlichen geeigneten technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO unter Berücksichtigung des Standes der Technik, der Durchführungskosten und der Art, des Umfangs, der Umstände und Zwecke der Kundendaten sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen, um ein dem Risiko angemessenes Schutzniveau der Kundendaten zu gewährleisten. Die umgesetzten technischen und organisatorischen Maßnahmen umfassen die in Anlage 6.1 aufgeführten Maßnahmen.
2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

8. Einsatz von Unterauftragsverarbeitern

1. Der Kunde erteilt dem Auftragsverarbeiter grundsätzlich die Erlaubnis, Unterauftragsverarbeiter mit der Verarbeitung von Kundendaten zu beauftragen. Unterauftragsverarbeiter, die zum Zeitpunkt des Abschlusses dieses Auftragsverarbeitungsvertrags beschäftigt sind, sind in Anlage 7.1 aufgeführt.
2. Der Auftragsverarbeiter wird den Kunden über beabsichtigte Änderungen im Zusammenhang mit der Einbeziehung oder dem Austausch von Unterauftragsverarbeitern informieren. Der Kunde hat im Einzelfall das Recht, dem Einsatz eines potenziellen Unterauftragsverarbeiters zu widersprechen. Ein Widerspruch kann vom Kunden nur aus wichtigen Gründen erhoben werden, die gegenüber dem Auftragsverarbeiter zu begründen sind. Sofern der Kunde nicht innerhalb von 14 Tagen nach Erhalt der Mitteilung widerspricht, erlischt sein Widerspruchsrecht gegen die entsprechende Beauftragung. Widerspricht der Kunde, ist der Verarbeiter berechtigt, den Hauptvertrag und diesen Auftragsverarbeitungsvertrag mit einer Frist von drei Monaten zum Ende eines Monats zu kündigen.
3. Die Vereinbarung zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter muss dem Unterauftragsverarbeiter die gleichen Verpflichtungen auferlegen wie die, die dem Auftragsverarbeiter im Rahmen dieses Auftragsverarbeitungsvertrags obliegen. Die Parteien vereinbaren, dass diese Anforderung erfüllt ist, wenn die Vereinbarung ein diesem Auftragsverarbeitungsvertrag entsprechendes Schutzniveau aufweist.
4. Vorbehaltlich der Erfüllung der Anforderungen des Abschnitts 2.5 dieses Auftragsverarbeitungsvertrages gelten die Bestimmungen dieses Abschnitts 7 auch, wenn ein Unterauftragsverarbeiter in einem Drittland beteiligt ist. Der Kunde ermächtigt den Auftragsverarbeiter, auf Grundlage der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern gemäß dem Beschluss der Europäischen Kommission vom 5. Februar 2010 im Namen des Kunden eine Vereinbarung mit einem anderen Auftragsverarbeiter abzuschließen. Der Kunde erklärt sich, soweit erforderlich, zur Mitwirkung bei der Erfüllung der Anforderungen von Art. 49 DSGVO bereit.

9. Rechte der betroffenen Personen

1. Der Auftragsverarbeiter wird den Kunden nach Möglichkeit mit technischen und organisatorischen Maßnahmen unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Personen nachzukommen.
2. Soweit eine betroffene Person einen Antrag auf Wahrnehmung ihrer Rechte direkt an den Verarbeiter richtet, wird der Verarbeiter diesen Antrag rechtzeitig an den Kunden weiterleiten.
3. Der Auftragsverarbeiter teilt dem Kunden alle Informationen über die gespeicherten Kundendaten, über die Empfänger von Kundendaten, denen der Auftragsverarbeiter diese gemäß den Weisungen offenlegen kann, und über den Zweck der Speicherung mit, soweit dem Kunden diese Informationen nicht zur Verfügung stehen und er sie nicht selbst erheben kann.
4. Der Auftragsverarbeiter wird es dem Kunden im Rahmen des Zumutbaren und Notwendigen ermöglichen, die Weiterverarbeitung von Kundendaten zu korrigieren, zu löschen oder einzuschränken, oder, wenn und soweit dies für den Kunden unmöglich ist, auf Anweisung des Kunden die Weiterverarbeitung selbst korrigieren, sperren oder einschränken. Dem Auftragsverarbeiter werden in diesem Fall die ihm in diesem Zusammenhang entstandenen und gegenüber dem Kunden nachgewiesenen Aufwendungen und Kosten erstattet.
5. Soweit die betroffene Person gegenüber dem Kunden in Bezug auf die Kundendaten ein Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO hat, unterstützt der Auftragsverarbeiter den Kunden im Rahmen des Zumutbaren und Notwendigen bei der Übergabe der Kundendaten in einem strukturierten, gängigen und maschinenlesbaren Format, sofern der Kunde die Daten nicht anderweitig beschaffen kann. Dem Auftragsverarbeiter werden in diesem Fall die ihm in diesem Zusammenhang entstandenen und gegenüber dem Kunden nachgewiesenen Aufwendungen und Kosten erstattet.

10. Melde- und Unterstützungspflichten des Auftragsverarbeiters

1. Soweit der Kunde aufgrund einer Verletzung der Sicherheit der Kundendaten einer gesetzlichen Meldepflicht unterliegt (insbesondere gemäß Art. 33, 34 DSGVO), wird der Auftragsverarbeiter den Kunden rechtzeitig über meldepflichtige Ereignisse in seinem Verantwortungsbereich informieren. Der Auftragsverarbeiter wird den Kunden auf Verlangen des Kunden bei der Erfüllung der Meldepflichten unterstützen, soweit dies zumutbar und erforderlich ist. Dem Auftragsverarbeiter werden in diesem Fall die ihm in diesem Zusammenhang entstandenen und gegenüber dem Kunden nachgewiesenen Aufwendungen und Kosten erstattet.
2. Der Auftragsverarbeiter unterstützt den Kunden im Rahmen des Zumutbaren und Notwendigen bei der vom Kunden gem. Art. 35 DSGVO durchzuführenden Datenschutz-Folgenabschätzung und gegebenenfalls bei Konsultationen nach Art. 36 DSGVO mit der Aufsichtsbehörde. Dem Verarbeiter werden in diesem Fall die ihm in diesem Zusammenhang entstandenen und gegenüber dem Kunden nachgewiesenen Aufwendungen und Kosten erstattet.

11. Löschung und Rückgabe von Kundendaten

Bei Beendigung dieses Auftragsverarbeitungsvertrags wird der Auftragsverarbeiter nach Ermessen des Kunden,

1. die Kundendaten entweder löschen oder zurückgeben; und
2. bestehende Kopien löschen

es sei denn, der Auftragsverarbeiter ist gesetzlich zur weiteren Speicherung der Kundendaten verpflichtet.

12. Nachweise und Überprüfungen

1. Der Auftragsverarbeiter teilt dem Kunden auf Verlangen des Kunden alle angeforderten Informationen mit, die dem Auftragsverarbeiter zur Verfügung stehen, um die Erfüllung seiner Verpflichtungen aus diesem Auftragsverarbeitungsvertrag nachzuweisen.
2. Der Kunde ist berechtigt, den Auftragsverarbeiter hinsichtlich der Einhaltung der Bestimmungen dieses Auftragsverarbeitungsvertrags, insbesondere der Durchführung der technischen und organisatorischen Maßnahmen, zu überprüfen (einschließlich Vor-Ort-Kontrollen).
3. Zur Durchführung von Überprüfungen nach Ziffer 11.2. ist der Kunde berechtigt, innerhalb der üblichen Geschäftszeiten (montags bis freitags von 10 bis 18 Uhr) nach rechtzeitiger Voranmeldung nach Ziffer 11.5. auf eigene Kosten, ohne Störung des Geschäftsablaufs und unter strikter Geheimhaltung der Geschäfts- und Betriebsgeheimnisse des Verarbeiters, die Geschäftsräume des Auftragsverarbeiters zu betreten.
4. Der Auftragsverarbeiter ist berechtigt, nach eigenem Ermessen und unter Berücksichtigung der gesetzlichen Verpflichtungen des Kunden Informationen nicht preiszugeben, die im Hinblick auf die Geschäftstätigkeit des Auftragsverarbeiters sensibel sind oder wenn der Auftragsverarbeiter durch seine Preisgabe gegen gesetzliche oder andere vertragliche Bestimmungen verstoßen würde. Der Kunde ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragsverarbeiters, Kosteninformationen, Qualitätskontroll- und Vertragsmanagementberichten oder zu anderen vertraulichen Daten des Auftragsverarbeiters zu erhalten, die für die vereinbarten Prüfungszwecke nicht unmittelbar relevant sind.
5. Der Kunde hat den Auftragsverarbeiter rechtzeitig (in der Regel mindestens zwei Wochen im Voraus) über alle Umstände im Zusammenhang mit der Durchführung der Überprüfung zu informieren. Solange kein triftiger Grund vorliegt, darf der Kunde nicht mehr als eine Überprüfung pro Kalenderjahr durchführen.
6. Beauftragt der Kunde einen Dritten mit der Durchführung der Überprüfung, so hat der Kunde den Dritten in gleicher Weise schriftlich zu verpflichten, wie der Kunde gegenüber dem Auftragsverarbeiter nach diesem Abschnitt 11 verpflichtet ist. Darüber hinaus verpflichtet der Kunde den Dritten durch schriftliche Vereinbarung zur Geheimhaltung und Vertraulichkeit, es sei denn, der Dritte unterliegt einer beruflichen Geheimhaltungspflicht. Auf Verlangen des Auftragsverarbeiters hat der Kunde ihm unverzüglich die Verpflichtungs- und Geheimhaltungsvereinbarungen mit dem Dritten vorzulegen. Der Kunde darf keine Wettbewerber des Auftragsverarbeiters mit der Durchführung der Überprüfung beauftragen.
7. Nach Ermessen des Auftragsverarbeiters kann der Nachweis der Einhaltung der Verpflichtungen aus diesem Auftragsverarbeitungsvertrag anstelle einer Vor-Ort-Kontrolle durch Vorlage einer entsprechenden aktuellen Stellungnahme oder eines Berichts einer unabhängigen Behörde (z.B. Wirtschaftsprüfer, Revisionsabteilung, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzprüfer oder Qualitätsprüfer) oder einer geeigneten Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit (nachfolgend der „Prüfungsbericht“) erbracht werden, wenn es der Prüfungsbericht dem Kunden in angemessener Weise ermöglicht, sich von der Einhaltung der in diesem Auftragsverarbeitungsvertrag enthaltenen vertraglichen Verpflichtungen durch den Auftragsverarbeiters zu überzeugen.

13. Vertragslaufzeit und Kündigung

Die Laufzeit und Kündigung dieses Auftragsverarbeitungsvertrags richtet sich nach den Bestimmungen der Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags führt automatisch zur Kündigung dieses Auftragsverarbeitungsvertrags. Eine gesonderte Kündigung dieses Auftragsverarbeitungsvertrags ist ausgeschlossen.

14. Haftung

1. Die Haftung des Auftragsverarbeiters im Rahmen dieses Auftragsverarbeitungsvertrags richtet sich nach den im Vertrag vorgesehenen Haftungsausschlüssen und -beschränkungen. Für den Fall, dass Haftungsfragen im Vertrag nicht vollständig geregelt sind, greifen die Haftungsklauseln nach Art. 82 DSGVO.
2. Der Kunde verpflichtet sich, den Auftragsverarbeiter auf erstes Anfordern in der Höhe von allen dem Auftragsverarbeiter auferlegten Geldbußen freizustellen, welche dem Teil der Verantwortlichkeit des Kunden für die mit der Geldbuße geahndete Verletzung entspricht.

15. Schlussbestimmungen

1. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden oder eine Regelungslücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, die unwirksame Bestimmung durch eine rechtlich zulässige Bestimmung zu ersetzen, die dem Zweck der unwirksamen Bestimmung am nächsten kommt und damit die Anforderungen des Art. 28 DSGVO erfüllt.
2. Im Falle von Widersprüchen zwischen diesem Auftragsverarbeitungsvertrag und anderen Vereinbarungen der Parteien, insbesondere dem Hauptvertrag, haben die Bestimmungen dieses Auftragsverarbeitungsvertrag Vorrang.