Newsletter abonnieren
Kontakt

 

Vertrag über

Auftragsverarbeitung

 zwischen der

[AG]

[AG-Straße]
[AG-PLZ] [AG-Ort]

- nachstehend „Auftraggeber“ genannt -

 

und der

Eucon Digital GmbH
Martin- Luther- King- Weg 2
48155 Münster

- nachstehend „Auftragnehmer“ genannt -

 

 

Präambel

Der Auftraggeber hat sich zu einem Test der Plattform „SmartSustain“ entschlossen und hierzu einen Probezeitraum von 4 Wochen bei dem Auftragnehmer gebucht. Die Vereinbarung über den Probezeitraum wird nachfolgend als „Hauptvertrag“ bezeichnet. Dieser Vertrag konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien und ergänzt den jeweiligen Hauptvertrag. Er findet Anwendung auf alle mit dem jeweiligen Vertragsverhältnis verbundenen Tätigkeiten.

Dieser Vertrag berücksichtigt insbesondere auch den in der EU-Datenschutz-Grundverordnung (EU) 2016/679 („DS-GVO“) geforderten Regelungsbedarf.  

 

I. Gegenstand und Dauer des Vertrages

(1)    Die Verarbeitung der Daten des Auftraggebers im Rahmen der Auftragsverarbeitung erfolgt entsprechend den in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art und Zweck der Verarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der Auftraggeber-Daten und auf die dort bestimmten Kategorien betroffener Personen. Jede davon abweichende oder darüberhinausgehende Verarbeitung von Auftraggeber-Daten ist dem Auftragnehmer untersagt, insbesondere eine Verwendung der Auftraggeber-Daten zu eigenen Zwecken.

(2)   Die Laufzeit dieses Vertrags über eine Auftragsverarbeitung entspricht der Laufzeit des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags (siehe Anlage 1). Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

(3)   Dem Auftraggeber steht jedoch ein jederzeitiges außerordentliches Kündigungsrecht bezüglich dieses Vertrags sowie des Hauptvertrags aus wichtigem Grund zu. Ein wichtiger Grund liegt für den Auftraggeber insbesondere vor, wenn

  • der Auftragnehmer gegen eine wesentliche Pflicht aus diesem Vertrag verstößt,
  • der Auftragnehmer die Auftraggeber-Daten für andere als nach I. zugelassene Zwecke verwendet,
  • der Auftragnehmer eine Weisung des Auftraggebers nach diesem Vertrag nicht oder nur teilweise ausführt,
  • der Auftragnehmer die Ausübung der Kontrollrechte des Auftraggebers nach diesem Vertrag verweigert oder nicht nur unerheblich behindert.

(4)   Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

 

II. Rechte und Pflichten sowie Weisungsbefugnis des Auftraggebers

(1)   Der Auftraggeber ist verantwortlich für die Einhaltung des Datenschutzes und behält die Datenherrschaft („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).

(2)   Der Auftraggeber kann während der Laufzeit des Vertrages und nach Beendigung des Vertrages die Berichtigung, Löschung, Sperrung und Herausgabe von Daten verlangen.

(3)   Die Datenverarbeitung erfolgt nur auf Weisung des Auftraggebers, es sei denn, der Auftragnehmer ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung dieser Daten verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt.

(4)   Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Die schriftliche Bestätigung der mündlichen Weisung sollte von Auftraggeber und Auftragnehmer zusammen mit der Vereinbarung so aufbewahrt werden, dass alle maßgeblichen Regelungen jederzeit verfügbar sind.

(5)   Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen vertragliche Regelungen oder gesetzliche Bestimmungen des Datenschutzes verstößt. Bestätigt der Auftraggeber die Weisung, hat der Auftragnehmer die Weisung zu befolgen, es sei denn dies ist dem Auftragnehmer unzumutbar.

(6)   Der Auftraggeber stellt den Auftragnehmer von behördlichen Bußgeldern sowie von Ansprüchen Dritter oder Betroffener auf Schadensersatz, die wegen einer aufgrund einer Weisung des Auftraggebers erfolgten Datenverarbeitung gegen den Auftragnehmer geltend gemacht werden, sowie von den hiermit verbundenen angemessenen Kosten der Rechtsverteidigung, auf erstes Anfordern frei. Der Auftragnehmer verpflichtet sich, den Auftraggeber über die Geltendmachung von solchen Bußgeldner oder Ansprüchen unverzüglich zu informieren und ohne dessen Zustimung keine Ansprüche oder Bußgelder anzuerkennen oder diesbezügliche Vergleiche zu schließen.

(7)   Dem Auftraggeber obliegen die aus Art. 33 Abs. 1 DSGVO resultierenden Meldepflichten.

(8)   Der Auftraggeber ist berechtigt, sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO, insbesondere der getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen des Auftragnehmers zu überzeugen. Der Auftraggeber kann diese Kontrollen auch durch einen Dritten durchführen lassen. Der Auftragnehmer gewährt dem Auftraggeber sämtliche für die Durchführung der Kontrolle beim Auftragnehmer benötigten Zugangs-, Auskunfts- und Einsichtsrechte.

Hierfür kann der Auftraggeber u.a.

  • Selbstauskünfte des Auftragnehmers einholen.
  • sich das Testat eines Sachverständigen oder unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitäts­auditoren) vorlegen lassen.
  • sich nach rechtzeitiger Anmeldung, zu den üblichen Geschäftszeiten, ohne Störung des Betriebsablaufs, in dessen Geschäftsbetrieb vor Ort (relevante Räume, IT-Anlagen) persönlich oder durch einen beauftragten Dritten hinreichend umsehen. Bei Vorliegen begründeter Verdachtsmomente, dass vertragliche oder datenschutzrechtliche Verpflichtungen durch den Auftragnehmer nicht oder nicht vollständig umgesetzt sind oder der Verdacht einer missbräuchlichen Datennutzung vorliegt, kann die Kontrolle ohne vorherige Anmeldung erfolgen.

Zu diesen Überprüfungen hat der Auftragnehmer seinen erforderlichen Beitrag zu leisten. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

 

III. Vertraulichkeit und Datengeheimnis

(1)   Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen.

(2)   Es besteht eine Verschwiegenheitspflicht für die Mitarbeiter des Auftragnehmers und durch ihn beauftragte Dritte. Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen gemäß Art. 28 Abs. 3 lit. b DSGVO schriftlich auf die Vertraulichkeit zu verpflichten. Dies ist nicht erforderlich, wenn die beschäftigten Personen bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer wird die in dieser Ziffer niedergelegte Verpflichtung schriftlich dokumentieren und sie auf Verlangen des Auftraggebers diesem vorlegen.

(3)   Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und er diese auf die Einhaltung der geltenden Datenschutzvorschriften zu verpflichten. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.

(4)   Diese in dieser Ziffer geregelten Verschwiegenheitspflichten besteht auch nach der Beendigung des Vertragsverhältnisses fort.

 (5)   Darüber hinaus ist der Auftragnehmer neben den jeweils geltenden gesetzlichen Bestimmungen (insbesondere § 3 TTDSG, § 203 StGB, §§ 4, 23 GeschGehG) auch verpflichtet, alle Informationen und Daten, die ihm im Rahmen der vertraglich vereinbarten Leistungen zur Kenntnis gelangen, geheim zu halten und nicht an Dritte weiterzugeben (vertrauliche Informationen). Vertrauliche Informationen sind insbesondere Geschäfts- und Betriebsgeheimnisse, Vertragsschlüsse, technische oder kaufmännische Informationen jedweder Art bzw. anderweitige Angaben, die als vertraulich bezeichnet oder ihrer Natur nach als vertraulich anzusehen sind. Dies gilt insbesondere auch für:

Namen, Anschriften sowie die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse aller Kunden vom Auftraggeber und die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse vom Auftraggeber und aller anderen für Auftraggeber tätigen Personen.

Eine Information ist nicht als vertraulich anzusehen, wenn sie zu der Zeit, zu der der Auftragnehmer von der Information Kenntnis erlangt hat, bereits öffentlich bekannt gewesen ist. Ebenso als nicht vertraulich sind solche Informationen anzusehen, die zeitlich später mit Zustimmung des Auftraggebers öffentlich bekannt geworden sind bzw. bekannt gemacht wurden.

Der Auftragnehmer verpflichtet sich, sämtliche Mitarbeiter, die im Rahmen der Tätigkeit für Auftraggeber Kenntnis von vorgenannten vertraulichen Informationen von Auftraggeber erlangen, ebenso wie sich selbst auf die Vertraulichkeit zu verpflichten.

(6)   Beauftragt der Auftragnehmer Dritte, hat er dafür Sorge zu tragen, dass die Forderungen der Absätze 1 bis 5 entsprechend umgesetzt werden.

 

IV. Allgemeine Pflichten des Auftragnehmers

(1)   Der Auftragnehmer darf die Daten nicht für andere Zwecke verarbeiten oder nutzen, als für die sie ihm übergeben werden und ist insbesondere nicht berechtigt, sie ohne schriftliche Zustimmung des Auftraggebers an Dritte weiterzugeben.

(2)   Der Auftragnehmer stellt auf Anforderung dem Auftraggeber die für das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO notwendigen Angaben zur Verfügung und führt als Auftragsverarbeiter selbst ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DSGVO.

(3)   Soweit gesetzlich vorgeschrieben, bestellt der Auftragnehmer schriftlich einen Beauftragten für den Datenschutz. Der Auftragnehmer teilt dem Auftraggeber die Kontaktdaten des Beauftragten für den Datenschutz mit (siehe Anlage 2). Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich schriftlich oder in Textform mitzuteilen. Sollte keine Bestellpflicht für einen betrieblichen Datenschutzbeauftragten bestehen, benennt der Auftragnehmer gegenüber dem Auftraggeber mindestens in Textform einen Ansprechpartner für datenschutzrechtliche Belange und teilt dem Auftraggeber dessen Kontaktdaten mit. Sollte der Auftragnehmer seinen Sitz außerhalb der EU haben, benennt er gegenüber dem Auftraggeber einen Vertreter nach Art. 27 Abs. 1 DSGVO in der EU und teilt dem Auftraggeber dessen Kontaktdaten mindestens in Textform (z.B. E-Mail) mit.

(4)   Kopien und Duplikate werden nicht ohne Wissen des Auftraggebers erstellt. Hiervon ausgenommen sind Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie personenbezogene Daten, die in Hinblick auf die Einhaltung gesetzlicher Anforderungen
(insbesondere Aufbewahrungspflichten) erforderlich sind.

(5)   Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Auftraggebers. Der Auftragnehmer hat diese sorgfältig zu verwahren, so dass sie Dritten nicht zugänglich sind. Zudem stellt er eine datenschutzkonforme Vernichtung von Test- und Ausschussmaterial sicher. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.

(6)   Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und bei der ggf. erforderlichen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO mit. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offenzulegen. Zudem unterstützt er den Auftraggeber bei der Meldung von Datenschutzverletzungen an die Aufsichtsbehörden gemäß Art. 33 DSGVO und der Benachrichtigung einer von Datenschutzverletzungen betroffenen Person gemäß Art. 34 DSGVO.

(7)   Die Verarbeitung von Daten in Privatwohnungen (Tele- Bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicherzustellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen.

(8)   Der Auftragnehmer darf seinen Beschäftigten, die mit der Verarbeitung von personenbezogenen Daten für den Auftraggeber beauftragt sind, das mobile Arbeiten erlauben. Unter dem Begriff mobiles Arbeiten wird verstanden, dass Beschäftigte ihre Arbeit zeitweise an beliebigen Orten erledigen können und dafür keinen festen Arbeitsplatz im Unternehmen brauchen. Die Daten liegen auf den Systemen des Unternehmens in eigenen oder durch Provider betriebenen Rechenzentren. Der Zugriff auf die Daten, Informationen, Anwendungen etc. erfolgt über gemäß den Sicherheitsstandards des Unternehmens gesicherte Endgeräte und/oder Dienste.

(9)   Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen ebenso zu, wie die strikte Trennung der verarbeiteten Daten von sonstigen Datenbeständen.

(10)   Für alle die Sicherheit betreffenden Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren ist zuvor die Zustimmung des Auftraggebers einzuholen.

(11)   Die Erfüllung der in diesem Vertrag definierten Pflichten ist vom Auftragnehmer zu kontrollieren, zu dokumentieren und nach Aufforderung innerhalb einer angemessenen Frist, in geeigneter Weise, nachzuweisen.

 

V. Informationspflichten des Auftragnehmers

(1)   Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers; insbesondere solche Vorfälle, die einen Zugriff durch Unbefugte möglich machen.

Dem Auftragnehmer ist bekannt, dass der Auftraggeber verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person binnen 72 Stunden zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird der Auftragnehmer den Auftraggeber gemäß Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung seiner Meldepflichten unterstützen. Er wird die Verletzungen dem Auftraggeber melden und hierbei zumindest folgende Informationen mitteilen:

     a) eine Beschreibung der Art der Verletzung, der Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze;

   b) Name und Kontaktdaten eines Ansprechpartners für weitere Informationen;

   c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie

   d) eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers durchführen.

(2)   Der Auftragnehmer ist darüber hinaus verpflichtet, unverzüglich mitzuteilen, welche Maßnahmen durch den Auftragnehmer getroffen wurden, um die unrechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern.

(3)   Der Auftragnehmer hat den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen, zu informieren. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermitteln.

(4)   Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

(5)   Der Auftragnehmer hat den Auftraggeber unverzüglich darüber zu informieren, wenn das Eigentum des Auftraggebers oder seine sonstigen Rechte an den Auftraggeber-Daten beim Auftragnehmer durch Maßnahmen Dritter, z.B. durch Pfändung, Beschlagnahme, Insolvenz oder Vergleichsverfahren, oder durch sonstige Ereignisse gefährdet wird. Ferner wird der Auftragnehmer alle in diesem Zusammenhang Verantwortlichen darüber informieren, dass die Datenträger, die vom Auftraggeber stammen, im Eigentum des Auftraggebers stehen.

(6)   Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

 

VI. Technische und organisatorische Maßnahmen (Erläuterungen siehe Anlagen)

(1)   Für die auftragsgemäße Bearbeitung der personenbezogenen Daten nutzt der Auftragnehmer die in Anlage 1 Punkt (6) beschriebenen Einrichtungen.

Eine Darstellung dieser technischen und organisatorischen Maßnahmen befindet sich in Anlage 4 dieses Vertrages. Diese werden als verbindlich festgelegt.

(2)    Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(3)   Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

(4)   Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in Anlage 4 festgelegten Maßnahmen nicht unterschritten werden. Der Auftrageber ist über solche Änderungen schriftlich oder in Textform zu informieren. Wesentliche Änderungen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren.

(5)   Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen oder unvorhergesehen vom vereinbarten Standard abweichen, benachrichtigt er den Auftraggeber unverzüglich.

(6)   Für den Fall, dass dem Auftragnehmer (mobile) Medien- und/oder Datenträger mit Daten des Auftraggebers (insbesondere Papier, USB-Speicher, CD-ROMs, Festplatten oder Laptops) abhandenkommen, trägt der Auftragnehmer die Beweislast dafür, dass die in Anlage 4 festgelegten technischen und organisatorischen Maßnahmen umgesetzt wurden, um die Daten gegen unbefugte Kenntnisnahme Dritter zu sichern.

(7)   Der Auftragnehmer bietet nach Maßgabe des Art. 28 Abs. 1, 5 DSGVO hinreichende Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen durchgeführt werden, die gewährleisten, dass die Verarbeitung im Einklang mit der DSGVO und den Rechten der betroffenen Person steht.

(8)   Der Auftragnehmer kontrolliert regelmäßig, mindestens aber jährlich, die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. Das Ergebnis samt vollständigem Auditbericht ist dem Auftraggeber mitzuteilen.

 

VII. Erfüllung der Rechte der Betroffenen

(1)   Der Auftraggeber ist aufgrund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Verarbeitung ihrer Daten zu erteilen. Der Auftragnehmer wird den Auftraggeber dabei unterstützen, diese Informationen im Rahmen der gesetzlichen Forderungen bereitzustellen. Insbesondere unterstützt er gemäß Art. 28 Abs. 3 lit. e DSGVO den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seine bestehenden Pflichten gegenüber der betroffenen Person nach Kapitel 3 DSGVO erfüllen kann, beispielsweise die Information und Auskunft an den Betroffenen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch. Der Auftragnehmer wird die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen.

(2)   Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(3)   Der Auftragnehmer hat es zu unterlassen, dem Betroffenen oder Dritten Auskünfte zu erteilen, es sei denn, er ist gesetzlich zur Erteilung einer solchen Auskunft verpflichtet oder der Auftraggeber hat ihm eine entsprechende Weisung erteilt. Soweit der Auftragnehmer aufgrund gesetzlicher Bestimmungen Auskunft über Auftraggeber-Daten erteilen muss, ist der Auftragnehmer verpflichtet, den Auftraggeber rechtzeitig vor Auskunftserteilung über Empfänger, Zeitpunkt und Inhalt der zu erteilenden Auskunft und deren Rechtsgrundlage schriftlich oder in Textform zu informieren.

(4)    Die Umsetzung von Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft sind nur nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

 

VIII. Unterauftragsverhältnisse

(1)   Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2)   Der Einsatz von Unterauftragsverhältnissen (Unterauftragnehmern) hinsichtlich der Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer grundsätzlich genehmigt. Zurzeit sind für den Auftragnehmer die in Anlage 3 mit Namen, Anschrift und Auftragsinhalt bezeichneten Unterauftragnehmer beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber vorab einverstanden.

(3)   Der Auftragnehmer hat den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern schriftlich oder in Textform zu informieren. Der Auftraggeber hat die Möglichkeit, nach Erhalt der Information Einspruch gegen die Änderungen zu erheben. Erfolgt ein solcher Einspruch nicht binnen 14 Tagen nach Erhalt der Information, so gilt die Änderung als genehmigt.

(4)   Die Verpflichtung eines neuen Unterauftragnehmers muss schriftlich erfolgen, was auch in einem elektronischen Format erfolgen kann. Dem Auftraggeber ist die Verpflichtung auf Anfrage in Kopie zu übermitteln.

(5)   Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten kann und zu kontrollieren, dass der Unterauftragnehmer die nach Art. 28 Abs. 3 lit. c, 32 DSGVO i.V.m. Art. 5 Abs. 1, Abs. 2 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auftraggeber zu übermitteln. Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten i.S.d. Art. 37-39 DSGVO bestellt hat.

(6)   Der Auftragnehmer hat sicherzustellen, dass die in dieser Vereinbarung getroffenen Regelungen, und ggf. ergänzenden und/oder ändernden Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten und dass das mit dem Auftraggeber vereinbarte Schutzniveau auch durch den Unterauftragnehmer gewahrt wird.

(7)   Die Weiterleitung von Daten an den Unterauftragnehmer ist erst zulässig, wenn der Unterauftragnehmer die Verpflichtung nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt.

(8)   Der Auftraggeber muss berechtigt sein, Kontrollen vor Ort beim Unterauftragnehmer durchzuführen oder durch Dritte durchführen zu lassen.

(9)   Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Insbesondere müssen die Voraussetzungen der Art. 44 ff. DSGVO erfüllt sein.

(10)   Die Weiterleitung von Daten ist erst zulässig, wenn der Unterauftragnehmer die gesetzlichen Verpflichtungen zum Datenschutz und die Verpflichtungen nach diesem Vertrag erfüllt hat.

 

IX. Rückgabe von Datenträgern und Löschung

(1)   Sobald die Verarbeitung für die Erfüllung des jeweiligen Zwecks nicht mehr erforderlich ist oder nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrages – hat der Auftragnehmer dem Auftraggeber sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, auszuhändigen oder datenschutzgerecht zu löschen oder zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Dies gilt nicht, soweit gesetzliche Aufbewahrungsfristen entgegenstehen. Die Löschung bzw. Vernichtung der Daten ist in geeigneter Weise zu dokumentieren und dem Auftraggeber nachzuweisen.

(2)   Mindesten 10 Werktage vor der Löschung oder Vernichtung nach Absatz 1 hat der Auftragnehmer den Auftraggeber unter detaillierter Angabe der betroffenen Daten des Auftraggebers oder Ergebnisse in Textform über die bevorstehende Löschung bzw. Vernichtung zu informieren. Der Auftraggeber kann innerhalb dieser Frist die Herausgabe der von der Löschung bzw. Vernichtung betroffenen Daten und Ergebnisse verlangen oder den Auftragnehmer anweisen, die Löschung bzw. Vernichtung nicht vorzunehmen.

(3)   Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

(4)   Die Parteien stellen klar, dass, wie im Hauptvertrag vereinbart, anonymisierte Auftraggeber-Daten, insbesondere Neues Know-How – z.B. durch Löschung von Daten- bzw. Datumsbestandteilen durch den Auftragnehmer, die jeglichen Personenbezug verhindert (Anonymisierung) – von den Regelungen dieses Vertrages ausgenommen sind.

 

X. Sonstiges, Schriftformklausel, Rechtswahl

(1)   Der Auftragnehmer übereignet dem Auftraggeber zur Sicherung die Datenträger, die Daten des Auftraggebers enthalten. Diese Datenträger sind besonders zu kennzeichnen.

(2)   Änderungen und Ergänzungen dieses Vertrages und aller seiner Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung (mindestens Textform) und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Eine schriftliche Vereinbarung umfasst auch das elektronische Format.

(3)   Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

(4)   Anwendbares Recht ist das Recht der Bundesrepublik Deutschland.

(5)   Gerichtsstand für Auseinandersetzungen aus dieser Vereinbarung ist - soweit zulässig – der Sitz des Auftragnehmers.

(6)   Sollten eine oder mehrere Bestimmungen dieses Vertrages unwirksam oder undurchsetzbar sein oder werden, so bleiben die übrigen Bestimmungen des Vertrages hiervon unberührt. Die unwirksame oder undurchsetzbare Bestimmung ist durch eine wirksame und durchsetzbare Bestimmung zu ersetzen, welche dem Zweck der ersetzten Bestimmung am nächsten kommt. Dasselbe gilt im Falle einer Lücke.

(7)   Im Fall von Widersprüchen zwischen dieser Vereinbarung und sonstigen in Bezug auf diesen Gegenstand getroffenen Vereinbarungen, gehen die Regelungen dieser Vereinbarung vor.

 

Anlagenverzeichnis:

Anlage 1: Übersicht Gegenstand und Dauer des Auftrages

Anlage 2: Weisungsgeber und Weisungsempfänger

Anlage 3: Unterauftragnehmer

Anlage 4: Technische und organisatorische Maßnahmen

 

Die Parteien sind sich darüber einig, dass die Regelungen dieser Vereinbarung den Regelungen der Anlagen zu diesem Vertrag vorgehen. Im Zweifel gelten die Regelungen der Anlagen zu diesem Vertrag lediglich ergänzend, soweit die Regelungen dieses Vertrages nicht abschließend sind.

 

Dieser AV-Vertrag wird zwischen den Parteien zusammen mit Abschluss des SmartSustain – Probezeitraums durch elektronische Erklärung („Checkbox“) auf der entsprechenden Website der Eucon GmbH geschlossen.

 

 

Anlagen 1 bis 4

Auftragsverarbeitung gemäß DSGVO

 

Anlage 1 – Übersicht Gegenstand und Dauer des Auftrages

 

  Gegenstand und Dauer des Auftrages
 
 Übersicht der Anforderungen und Festlegungen

(8)       Hauptvertrag

SmartSustain Hauptvertrag, AGB-Version

(9)       Gegenstand des Auftrages

Auswertung und Erfassung von Abrechnungen; Kategorisierung, Bewertung

(10)   Umfang, Art und Zweck der Datenerhebung, Datenverarbeitung oder Datennutzung


- Es werden einerseits Login-Daten von Mitarbeitern des Vertragspartners erfaßt; dies erfolgt zum Zweck der Lizenzverwaltung
- Es werden (auch) personenbezogene Daten aus den eingehenden Dokumenten ausgelesen. Dies erfolgt zum Zweck der Kategorisierung und Zuordnung entsprechend des Vertragszweckes.

(11)   Art der Daten

-          Benutzernamen, eMail-Adresse, IP, Anmeldezeiten
Name, Anschrift, evtl. Telefonnummer oder andere Informationen, die in einer Rechnung abgedruckt sein könnten.

(12)   Kreis der Betroffenen

-          Hinsichtlich der Login-Daten sind Mitarbeiter des Auftraggebers betroffen
Hinsichtlich der übrigen Daten sind Kunden des Auftraggebers betroffen

(13)   Verwendete Hard- und Software

Cloud-Basierte SmartSustain-Software

                                                

Anlage 2 – Weisungsgeber und Weisungsempfänger

Weisungsbefugte des Auftraggebers

Nr.

Firma

Name /

Funktion

Kontaktdaten

1

 

 

 

2

 

 

 

3

 

 

 

4

 

 

 

 

Weisungsempfänger des Auftragnehmers

Nr.

Firma

Name /

Funktion

Kontaktdaten

1

 

 

 

2

 

 

 

3

 

 

 

 

Datenschutzbeauftragter des Auftragnehmers

Nr.

Firma

Name /

Funktion

Kontaktdaten

1

Trigonum GmbH

Ninja Seebach /  

Externe Datenschutzbeauftragte   

Trigonum GmbH 

Notkestrasse 9 

22607 Hamburg  

 

2

 

 

 

3

 

 

 

 

 

 Anlage 3 - Unterauftragnehmer

 

Nr.

Name des Unterauftragnehmers Anschrift / Land

Gegenstand des Auftrages

Art- und Umfang der Daten

1

Microsoft Ireland Operations Limited, One Microsoft Court, South County Business Park, Leopardstown, Dublin 18, D18 DH6k

Clouddienste

Nutzung der Azure-Dienste

2

 

 

 

3

 

 

 

 

 

 

 

Anlage 4 – Technische und organisatorische Maßnahmen

 Wir übersenden Ihnen unser Datenschutzkonzept in der aktuellen Version.