Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO

Präambel

Zwischen

— nachfolgend „Verantwortlicher" —

und

— nachfolgend „Auftragsverarbeiter" —

§ 1 Gegenstand und Dauer der Verarbeitung

(1) Gegenstand dieses Vertrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Bereitstellung der Software-as-a-Service-Lösung „AGC Suite" sowie damit verbundener Leistungen (Implementierung, Support, Beratung).

(2) Der Vertrag gilt für die Dauer des zugrunde liegenden Hauptvertrags zwischen den Parteien.

(3) Bei Beendigung des Hauptvertrags endet auch dieser Auftragsverarbeitungsvertrag, vorbehaltlich der Bestimmungen zu Datenlöschung und Aufbewahrung gemäß § 10.

§ 2 Art und Zweck der Verarbeitung

(1) Die Verarbeitung erfolgt zum Zweck der Bereitstellung und des Betriebs der AGC Suite sowie der Erbringung damit verbundener Leistungen für den Verantwortlichen.

(2) Die Art der Verarbeitung umfasst insbesondere: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln (innerhalb der vom Verantwortlichen autorisierten Empfänger), Abgleichen, Verknüpfen, Einschränken, Löschen oder Vernichten personenbezogener Daten.

§ 3 Art der personenbezogenen Daten

Im Rahmen der Auftragsverarbeitung können folgende Kategorien personenbezogener Daten verarbeitet werden:

§ 4 Kategorien betroffener Personen

Betroffene Personen können sein:

§ 5 Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen. Dies gilt auch für die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen geltendes Datenschutzrecht verstößt.

(3) Der Auftragsverarbeiter gewährleistet, dass die zur Verarbeitung befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung von Anfragen und Ansprüchen betroffener Personen gemäß Kapitel III der DSGVO sowie bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.

(5) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen gemäß § 9 dieses Vertrags.

§ 6 Pflichten des Verantwortlichen

(1) Der Verantwortliche ist im Rahmen des Vertragsverhältnisses für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.

(2) Der Verantwortliche erteilt Weisungen schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder elektronisch zu bestätigen.

(3) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Auftragsverarbeitung feststellt.

§ 7 Technische und organisatorische Maßnahmen (TOMs)

(1) Der Auftragsverarbeiter trifft die erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zur Sicherheit der Verarbeitung. Die Maßnahmen sind in Anlage 1 zu diesem Vertrag dokumentiert.

(2) Die Maßnahmen werden regelmäßig überprüft und an den jeweiligen Stand der Technik angepasst.

(3) Wesentliche Änderungen der Maßnahmen werden mit dem Verantwortlichen abgestimmt und dokumentiert.

§ 8 Unterauftragsverarbeiter

(1) Der Verantwortliche genehmigt mit Abschluss dieses Vertrags den Einsatz folgender Unterauftragsverarbeiter:

(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter mindestens 30 Tage vor der Änderung in Textform. Der Verantwortliche hat das Recht, gegen solche Änderungen Einspruch zu erheben.

(3) Im Falle eines berechtigten Einspruchs des Verantwortlichen, der nicht innerhalb angemessener Frist einvernehmlich gelöst werden kann, hat der Verantwortliche das Recht zur außerordentlichen Kündigung des Hauptvertrags.

(4) Der Auftragsverarbeiter verpflichtet die Unterauftragsverarbeiter vertraglich auf gleichwertige Datenschutzpflichten, wie sie in diesem Vertrag vereinbart sind.

§ 9 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, die Einhaltung der vereinbarten Pflichten beim Auftragsverarbeiter zu überprüfen. Der Auftragsverarbeiter stellt hierfür auf Anfrage angemessene Nachweise zur Verfügung (z.B. aktuelle TOMs, Zertifizierungen, Auditberichte).

(2) Vor-Ort-Prüfungen sind nach vorheriger Anmeldung mit angemessener Frist (mindestens 14 Tage) zu üblichen Geschäftszeiten möglich. Sie dürfen den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigen.

(3) Der Auftragsverarbeiter ist berechtigt, den Aufwand für umfangreiche Prüfungen, die über das übliche Maß hinausgehen, zu marktüblichen Konditionen in Rechnung zu stellen.

§ 10 Löschung und Rückgabe von Daten

(1) Nach Beendigung des Hauptvertrags stellt der Auftragsverarbeiter dem Verantwortlichen die personenbezogenen Daten für einen Zeitraum von 30 Tagen zum Export bereit.

(2) Nach Ablauf der Exportfrist löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten des Verantwortlichen aus seinen Systemen, einschließlich Backups, soweit dem keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

(3) Die Löschung wird dem Verantwortlichen auf Anfrage schriftlich bestätigt.

(4) Backup-Daten werden automatisiert nach 30 Tagen gelöscht.

§ 11 Meldung von Datenschutzvorfällen

(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, über Verletzungen des Schutzes personenbezogener Daten (Datenpannen) sowie über bedeutende Störungen bei der Auftragserledigung.

(2) Die Meldung umfasst, soweit zum Zeitpunkt der Meldung verfügbar:

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung etwaiger Meldepflichten an Aufsichtsbehörden und betroffene Personen gemäß Art. 33 und 34 DSGVO.

§ 12 Haftung

Die Haftung der Parteien richtet sich nach den allgemeinen gesetzlichen Bestimmungen, insbesondere Art. 82 DSGVO, sowie den Regelungen des Hauptvertrags.

§ 13 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem Vertrag und Regelungen aus anderen Vereinbarungen zwischen den Parteien — insbesondere dem Hauptvertrag — gehen die Regelungen dieses Vertrags in datenschutzrechtlichen Fragen vor.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

(3) Änderungen und Ergänzungen dieses Vertrags bedürfen der Schriftform.

(4) Es gilt deutsches Recht. Gerichtsstand ist Würzburg.

Anlage 1: Technische und organisatorische Maßnahmen (TOMs)

Die folgenden technischen und organisatorischen Maßnahmen werden vom Auftragsverarbeiter und seinem Hosting-Unterauftragnehmer Hetzner Online GmbH zur Sicherheit der Verarbeitung gemäß Art. 32 DSGVO umgesetzt.

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle (Schutz vor unbefugtem physischen Zutritt):

Zugangskontrolle (Schutz vor unbefugter Systemnutzung):

Zugriffskontrolle (Schutz vor unbefugtem Zugriff auf Daten):

Trennungskontrolle (separate Verarbeitung getrennt erhobener Daten):

Pseudonymisierung und Verschlüsselung:

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle (Schutz bei elektronischer Übertragung):

Eingabekontrolle (Nachvollziehbarkeit von Änderungen):

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DSGVO)

4. Verfahren zur regelmäßigen Überprüfung (Art. 32 Abs. 1 lit. d DSGVO)

5. Auftragskontrolle (Verarbeitung im Sinne des Verantwortlichen)

Anmerkung: Diese TOMs entsprechen dem Stand zum [Datum] und werden regelmäßig überprüft und an den aktuellen Stand der Technik angepasst. Wesentliche Änderungen werden dem Verantwortlichen mitgeteilt.

---