zwischen
Bitte gib an dieser Stelle den Verantwortlichen an
nachfolgend "Verantwortlicher" genannt
und
Bitte gib an dieser Stelle den Auftragsverarbeiter an
nachfolgend "Auftragsverarbeiter" genannt
secoso GmbH Julia Falkner
17. April 2025 07:55:16
(1) Diese Vereinbarung enthält nach dem Willen der Parteien und insbesondere des Verantwortlichen den schriftlichen Auftrag zur Auftragsverarbeitung bzw. den Vertrag i.S.d. Art 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Sie findet Anwendung auf alle Tätigkeiten, bei denen Mitarbeiter des Auftragsverarbeiters oder durch ihn beauftragte Sub-Auftragnehmer personenbezogene Daten des Verantwortlichen verarbeiten.
(2) Die in dieser Vereinbarung verwendeten Begriffe, richten sich nach den Definitionen i.S.d. Art. 4 DSGVO.
Gegenstand dieses Auftrages ist die Durchführung folgender Verarbeitungstätigkeiten:
Bitte gib hier die Liste an Verarbeitungstätigkeiten im Auftrag an
Für jede in der Liste enthaltene Verarbeitungstätigkeit sind nachfolgende Daten anzugeben
Bitte gib an dieser Stelle den jeweiligen Zweck der Verarbeitungstätigkeit an
Bitte gib an dieser Stelle eine Liste an Personen- und Datenkategorien an, welche innerhalb der Verarbeitungstätigkeit verarbeitet werden
Bitte gib an dieser Stelle die Liste an Übermittlungsempfänger aus der jeweiligen Verarbeitungstätigkeit an
Bitte eine Auswahl treffen und Unzutreffendes streichen
(1) Die Vereinbarung endet mit einmaliger Durchführung der Verarbeitungstätigkeiten.
(1) Die Vereinbarung ist befristet abgeschlossen und endet mit Konkretes Datum einfügen
(1) Die Vereinbarung ist auf unbestimmte Zeit abgeschlossen und kann seitens der Parteien unter Einhaltung einer Kündigungsfrist von zwei Wochen zum Ende eines jeden Monats schriftlich gekündigt werden.
(2) Der Verantwortliche kann die Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus dieser Vereinbarung vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter den Zutritt des Verantwortlichen oder der zuständigen Datenschutzbehörde vereinbarungswidrig verweigert.
(3) Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragsverarbeiter die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt.
(4) Bei unerheblichen Verstößen setzt der Verantwortliche dem Auftragsverarbeiter eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Verantwortliche zur außerordentlichen Kündigung wie in Ziffer (3) beschrieben berechtigt.
(5) Nach Beendigung der Vereinbarung hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen. Die Datenträger des Auftragsverarbeiters sind danach physisch zu löschen. Der Verantwortliche hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragsverarbeiter zu kontrollieren.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart sowie unter Einhaltung der ggf. vom Verantwortlichen erteilten ergänzenden Weisungen. Eine abweichende Verarbeitung von Daten ist dem Auftragsverarbeiter untersagt.
(2) Der Auftragsverarbeiter bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat. Die Pflicht zur Bestätigung kann entfallen, wenn der Auftragsverarbeiter nachweisen kann, dass er gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen.
(3) Der Auftragsverarbeiter ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Verantwortlichen verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Art 35 und 36 DSGVO genannten Pflichten (Datenschutz-Folgeabschätzung, vorherige Konsultation), soweit ihm Informationen diesbezüglich zur Verfügung stehen.
(5) Der Auftragsverarbeiter wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. An der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten i.S.d. Art 30 DSGVO durch den Verantwortlichen hat der Auftragsverarbeiter mitzuwirken. Er hat dem Verantwortlichen die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
(6) Der Auftragsverarbeiter verpflichtet sich, unter Beachtung möglicher Geschäfts- und Betriebsgeheimnisse, dem Verantwortlichen jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. Insbesondere ist der Auftragsverarbeiter verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
(7) Wird der Verantwortliche durch Aufsichtsbehörden oder andere hierzu berechtigte Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragsverarbeiter den Verantwortlichen im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
(1) Der Verantwortliche ist für die Wahrung der Betroffenenrechte gem. Kapitel III, Art 12 ff DSGVO im Hinblick auf die Verarbeitungstätigkeiten verantwortlich.
(2) Wendet sich eine betroffene Person mit einem Antrag auf Erfüllung von Auskunft, Löschung, Berichtigung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch zur Datenverarbeitung etc. an den Auftragsverarbeiter, wird dieser die betroffene Person an den Verantwortlichen verweisen, sofern eine Zuordnung an den Verantwortlichen nach Angaben der betroffenen Person möglich ist.
(3) Soweit eine Mitwirkung des Auftragsverarbeiters für die Wahrung von Betroffenenrechten durch den Verantwortlichen erforderlich ist, verpflichtet sich der Auftragsverarbeiter die jeweils erforderlichen Maßnahmen nach Weisung des Verantwortlichen unverzüglich zu treffen.
(1) Der Auftragsverarbeiter verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen.
(2) Die Verarbeitung von Daten im Auftrag des Verantwortlichen außerhalb der EU/EWR bzw. außerhalb der Betriebsstätten des Auftragsverarbeiters oder Subauftragnehmers ist nur mit ausdrücklicher schriftlicher Zustimmung des Verantwortlichen und unter den im Kapitel V der DSGVO enthaltenen Bedingungen zulässig.
(3) Ist der Auftragsverarbeiter nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art 27 DSGVO. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Verantwortlichen unverzüglich mitzuteilen.
(1) Der Auftragsverarbeiter erklärt, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat bzw. die Sicherheitsmaßnahmen stets auf dem aktuellen Stand der Technik halten wird, um zu verhindern, dass Daten ordnungswidrig verwendet oder Dritten unbefugt zugänglich werden.
(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage zu dieser Vereinbarung beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragsverarbeiter vorab mit dem Verantwortlichen abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragsverarbeiter ohne Abstimmung mit dem Verantwortlichen umgesetzt werden. Von dieser Änderung ist der Verantwortliche jedoch unverzüglich durch den Auftragsverarbeiter in Kenntnis zu setzen. Der Verantwortliche kann jederzeit eine aktuelle Fassung der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen anfordern.
(3) Der Auftragsverarbeiter ergreift jene technischen und organisatorischen Maßnahmen, damit der Verantwortliche die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung, Datenübertragbarkeit, Widerspruch etc.) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Verantwortlichen die notwendigen Informationen.
(4) Der Auftragsverarbeiter wird die von ihm getroffenen technische und organisatorische Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren.
(1) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darüber informieren, wenn eine vom Verantwortlichen erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch die zuständige Person beim Verantwortlichen bestätigt oder geändert wird. Der Auftragsverarbeiter hat die ihm erteilten Weisungen und deren Umsetzung zu dokumentieren.
(2) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragsverarbeiter tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragsverarbeiter im Auftrag des Verantwortlichen erbringt, betreffen kann.
(3) Dem Auftragsverarbeiter ist bekannt, dass für den Verantwortlichen eine Meldepflicht nach Art. 33 DSGVO bestehen kann, die eine Meldung an die zuständige Datenschutzbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragsverarbeiters vom relevanten Ereignis zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
(1) Der Verantwortliche ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch den Auftragsverarbeiter. Die Beurteilung der Zulässigkeit der Datenverarbeitung obliegt allein dem Verantwortlichen.
(2) Der Verantwortliche informiert den Auftragsverarbeiter, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter feststellt.
(1) Der Verantwortliche hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Verantwortlichen durch den Auftragsverarbeiter jederzeit im erforderlichen Umfang zu kontrollieren.
(2) Der Auftragsverarbeiter ist dem Verantwortlichen gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle erforderlich ist.
(3) Der Verantwortliche kann eine Einsichtnahme in die vom Auftragsverarbeiter für den Verantwortlichen verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
(4) Der Verantwortliche kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte des Auftragsverarbeiters zu den jeweils üblichen Geschäftszeiten vornehmen. Der Verantwortliche wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragsverarbeiters durch die Kontrollen nicht unverhältnismäßig zu stören.
(5) Der Auftragsverarbeiter ist verpflichtet, im Falle von Maßnahmen der Datenschutzbehörde gegenüber dem Verantwortlichen i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Verantwortlichen zu erteilen und der jeweils zuständigen Datenschutzbehörde eine Vor-Ort-Kontrolle zu ermöglichen.
(1) Die Beauftragung von Subauftragnehmer durch den Auftragsverarbeiter ist nur mit schriftlicher Zustimmung des Verantwortlichen zulässig. Der Auftragsverarbeiter wird alle bereits zum Vertragsschluss bestehende Subaufträge in der Anlage 1 zu Vereinbarung angeben.
(2) Der Auftragsverarbeiter hat den Subauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Verantwortlichen und Auftragsverarbeiter getroffenen Vereinbarungen einhalten kann. Der Auftragsverarbeiter hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Subunternehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist vom Auftragsverarbeiter zu dokumentieren und auf Anfrage dem Verantwortlichen zu übermitteln. Der Auftragsverarbeiter ist verpflichtet, sich vom Subunternehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten i.S.d. Art. 37 DSGVO bestellt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Subunternehmer bestellt ist, hat der Auftragsverarbeiter den Verantwortlichen auf die notwendige Prüfung einer Verpflichtung zur Bestellung hinzuweisen.
(3) Der Auftragsverarbeiter hat sicherzustellen, dass die in dieser Vereinbarung vereinbarten Regelungen und ggf. ergänzenden Weisungen des Verantwortlichen auch gegenüber dem Subauftragnehmer gelten. Der Auftragsverarbeiter hat die Einhaltung dieser Pflichten regelmäßig zu kontrollieren.
(4) Der Auftragsverarbeiter hat mit dem Subauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen dieser Vereinbarung entspricht. Dem Verantwortlichen ist der Auftragsverarbeitungsvertrag auf Anfrage in Kopie zu übermitteln.
(5) Der Auftragsverarbeiter ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse des Verantwortlichen und von Aufsichtsbehörden auch gegenüber dem Subauftragnehmer gelten und entsprechende Kontrollrechte vom Verantwortlichen und Aufsichtsbehörden vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Subauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.
(6) Nicht als Subauftrag i.S.d. Absätze 1 bis 5 sind Dienstleistungen anzusehen, die der Auftragsverarbeiter bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Verantwortlichen erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragsverarbeiter ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Wartungs- und Prüfungsleistungen stellen zustimmungspflichtige Subaufträge dar, soweit die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Verantwortlichen genutzt werden. Die Parteien sind sich darüber einig, dass vorgenannte Wartungs- und Prüfleistungen eine „Auftragsverarbeitung“ i.S.d. Art. 28 DSGVO darstellen.
(1) Der Auftragsverarbeiter ist bei der Verarbeitung von Daten für den Verantwortlichen zur Wahrung des Datengeheimnisses sowie zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. ihm zur Kenntnis gelangen, verpflichtet. Der Auftragsverarbeiter verpflichtet sich, die gleichen Geheimhaltungspflichten zu beachten, wie sie dem Verantwortlichen obliegen.
(2) Der Auftragsverarbeiter sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragsverarbeiter sichert ferner zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht und diese auf das Datengeheimnis verpflichtet hat.
(3) Der Auftragsverarbeiter erklärt, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit und zu Wahrung des Datengeheimnisses schriftlich verpflichtet hat, soweit diese nicht ohnedies einer diesbezüglichen gesetzlichen Pflicht unterliegen. Diese Verpflichtungen der beauftragten Personen müssen dabei auch über die Beendigung der jeweiligen Beauftragung hinaus bestehen bleiben.
(4) Die Verpflichtung zur Geheimhaltung und Wahrung des Datengeheimnisses gemäß dieser Vereinbarung gelten für den Auftragsverarbeiter auch über die Dauer dieser Vereinbarung hinaus.
(1) Für den Ersatz von Schäden, die eine betroffene Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen dieser Vereinbarung erleidet, haften Verantwortlicher und Auftragsverarbeiter als Gesamtschuldner.
(2) Der Auftragsverarbeiter trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu vertretenden Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftragsverarbeiter den Verantwortlichen auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Verantwortlichen erhoben werden.
(3) Der Auftragsverarbeiter haftet dem Verantwortlichen für Schäden, die der Auftragsverarbeiter, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistungen schuldhaft verursachen.
(4) Die Ziffern (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Verantwortlichen erteilten Weisung entstanden ist.
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragsverarbeiter hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen ist.
(1) Sollte das Eigentum des Verantwortlichen beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Konkursverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu informieren. Der Auftragsverarbeiter wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag des Verantwortlichen verarbeitet werden, unverzüglich informieren.
(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform ebenso wie das Abgehen von der Schriftform selbst. Sollten einzelne Bestimmungen, Änderungen oder Ergänzungen unwirksam sein oder werden, so wird dadurch die Wirksamkeit der Vereinbarung im Übrigen nicht berührt. Die unwirksame Bestimmung wird durch eine Wirksame ersetzt, die dem wirtschaftlich Gewollten am Nächsten kommt.
Gerichtsstand und Rechtswahl
(1) Auf diese Vereinbarung bzw. auf Streitigkeiten aus dieser Vereinbarung ist Bitte das anzuwendende Recht einfügen" unter Ausschluss der Kollisionsnormen und des UN-Kaufrechtsübereinkommens anwendbar. Für sämtliche Streitigkeiten aus und im Zusammenhang mit dem gegenständlichen Vertrag gilt ausschließlich das sachlich zuständige Gericht für Bitte den anwendbaren Gerichtsstand einfügen, als vereinbart.
Der Auftragsverarbeiter nimmt für die Verarbeitung von Daten im Auftrag des Verantwortlichen Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Subauftragnehmer“).
Dabei handelt es sich um nachfolgende(s) Unternehmen:
Bitte Liste an Subauftragnehmern einfügen