Vertrag zur Auftragsverarbeitung nach Art. 28 EU-Datenschutzgrundverordnung

Zwischen

dem Kunden

– nachfolgend „Auftraggeber“ –

und

der DETELLING UG (haftungsbeschränkt)
Jülicher Str. 72a
52070 Aachen

– nachfolgend „DETELLING“ –

– nachfolgend gemeinsam „Parteien“ –

Präambel

Der Auftraggeber möchte DETELLING mit den in Ziffer 1 genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten für den Auftraggeber. Insbesondere Art. 28 EU-Datenschutzgrundverordnung („DSGVO“) stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist. Für diese Vereinbarung gelten die gesetzlichen Begriffsbestimmungen aus Art. 4 DSGVO, auf den insoweit verwiesen wird.

1. Vertragsgegenstand

Gegenstand der Vereinbarung ist die Verarbeitung personenbezogener Daten durch DETELLING für den Auftraggeber in dessen Auftrag und nach dessen Weisung im Zusammenhang mit der Nutzung der SaaS-Produkte von DETELLING auf Grundlage der zwischen den Parteien getroffenen Leistungsvereinbarung (nachstehend „Hauptvertrag“ genannt).

1.1.

Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des jeweiligen Hauptvertrages, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüberhinausgehende Verpflichtungen ergeben.

1.2.

DETELLING erhält Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch DETELLING und die daraus resultierenden Weisungen ergeben sich aus dem Hauptvertrag (und der dazugehörigen Leistungsbeschreibung). Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.

1.3.

Führt DETELLING im Auftrag des Auftraggebers Wartungs- und/oder Pflegearbeiten an IT-Systemen des Auftraggebers durch, ist nicht ausgeschlossen, dass DETELLING Zugriff auf personenbezogene Daten des Auftraggebers bekommt bzw. Kenntnis erlangt oder personenbezogene Daten verarbeitet, um die Wartung und Pflege von IT-Systemen durchzuführen oder durchführen zu können.

1.4.

Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen DETELLING und ihre Beschäftigten oder Beauftragte der DETELLING mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.

2. Art der verarbeiteten Daten, Kreis der Betroffenen

2.1.

Im Rahmen der Durchführung des Hauptvertrags erhält DETELLING Zugriff auf die folgenden näher spezifizierten personenbezogenen Daten:

  • Personenstammdaten;
  • Kommunikationsdaten (z. B. Telefon, E-Mail, Anschrift);
  • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse), Kundenhistorien, Vertragsabrechnungs- und Zahlungsdaten);
  • Nutzungsdaten innerhalb des Produktes (Interessen, Kaufverhalten, Zugriffszeiten);
  • Sonstige vom Auftraggeber hochgeladenen Daten.

2.2.

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen Kunden des Auftraggebers, Interessenten für die Dienste des Auftraggebers und Abonnenten der Dienste des Auftraggebers.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

3.1.

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist DETELLING verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

3.2.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und DETELLING abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

3.3.

DETELLING darf Daten von betroffenen Personen nur im Rahmen des Auftrags und der Weisungen des Auftraggebers verarbeiten. Weisungen erteilt der Auftraggeber primär über die Benutzeroberfläche des jeweiligen SaaS-Produkts. Die Löschung einzelner Nutzerkonten durch den Auftraggeber beinhaltet zudem die Weisung an DETELLING etwaig vorhandene Kundendaten zu löschen.

3.4.

Für Weisung sind die Kontaktinformationen der Vertragsparteien zu verwenden, die sich aus diesem Vertrag bzw. aus dem Hauptvertrag ergeben. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

3.5.

Der Auftraggeber ist berechtigt, vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim DETELLING getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

3.6.

Der Auftraggeber informiert DETELLING unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

3.7.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen von DETELLING vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Pflichten von DETELLING

4.1.

DETELLING verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern DETELLING nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).

4.2.

DETELLING verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

4.3.

DETELLING sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Die für den Auftraggeber verarbeiteten Daten werden von sonstigen Datenbeständen strikt getrennt.

4.4.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat DETELLING im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO).

4.5.

DETELLING wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). DETELLING ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

4.6.

DETELLING hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen von DETELLING dem nicht entgegenstehen.

4.7.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf DETELLING nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

4.8.

DETELLING erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Kontrollen und Überprüfungen nach Maßgabe von Ziffer 6.3 (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).

4.9.

DETELLING verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

4.10.

DETELLING sichert zu, dass es die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). DETELLING überwacht die Einhaltung der datenschutzrechtlichen Vorschriften im eignen Betrieb.

5. Mitteilungspflichten von DETELLING bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

5.1.

DETELLING teilt dem Auftraggeber unverzüglich Störungen, Verstöße von DETELLING oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. DETELLING sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf DETELLING nur nach vorheriger Weisung des Auftraggebers durchführen.

5.2.

Der Kunde erklärt sich damit einverstanden, dass ein erfolgloser Sicherheitsvorfall nicht von dieser Ziffer erfasst ist. Ein erfolgloser Sicherheitsvorfall ist ein Vorfall, der nicht zu einem unbefugten Zugriff auf Kundendaten oder auf Geräte oder Einrichtungen von DETELLING führt, in denen Kundendaten gespeichert sind, und kann unter anderem Pings und andere Broadcast-Angriffe auf Firewalls oder Edge-Server, Port-Scans, erfolglose Anmeldeversuche, Denial-of-Service-Angriffe, Packet-Sniffing (oder andere unbefugte Zugriffe auf Verkehrsdaten, die nicht zu einem Zugriff über die Header hinaus führen) oder ähnliche Vorfälle umfassen.

5.3.

Die Verpflichtung von DETELLING, einen Sicherheitsvorfall nach dieser Ziffer zu melden oder darauf zu reagieren, ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung von DETELLING in Bezug auf den Sicherheitsvorfall zu verstehen und wird auch nicht als solches ausgelegt.

6. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DSGVO)

6.1.

Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Anlage 1 genannten Subunternehmer durchgeführt. DETELLING ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt („Subunternehmerverhältnis“). DETELLING setzt den Auftraggeber hiervon unverzüglich in Kenntnis. DETELLING ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen.

6.2.

DETELLING hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann.

6.3.

Der Auftraggeber erklärt sich damit einverstanden, jedes ihm zustehende Recht auf Durchführung eines Audits oder einer Inspektion, auch gemäß den Standardvertragsklauseln, sofern diese Anwendung finden, auszuüben, indem er DETELLING anweist, das Audit selbst durchzuführen. Wenn der Auftraggeber diese Anweisung bezüglich des Audits ändern möchte, hat er das Recht, eine Änderung dieser Anweisung zu verlangen. Weigert sich DETELLING, einer vom Auftraggeber geforderten Anweisung bezüglich Audits oder Inspektionen nachzukommen, ist der Kunde berechtigt, diese Vereinbarung und den Hauptvertrag zu kündigen.

6.4.

Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat DETELLING sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). DETELLING wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.

6.5.

Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn DETELLING Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die DETELLING für den Auftraggeber erbringt, sowie Bewachungsdienste.

6.6.

Der Auftraggeber kann gegen die Begründung weiterer oder die Ersetzung von Subunternehmerverhältnissen binnen einer Frist von 2 (zwei) Wochen nach Zugang der Information über die Änderung schriftlich oder in Textform Einspruch erheben. Im Falle des Einspruchs kann DETELLING nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder – sofern die Erbringung der Leistung ohne die beabsichtigte Änderung nicht möglich ist – die von der Änderung betroffenen Leistung gegenüber dem Auftraggeber aus wichtigem Grund kündigen.

7. Technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Art. 28 Abs. 3 Satz 2 lit. c DSGVO)

7.1.

Es wird für die konkrete Auftragsverarbeitung, ein dem Risiko für die Rechte und Freiheiten, der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Insbesondere hat DETELLING bzw. die eingesetzten Subunternehmer die folgenden technischen und organisatorischen Maßnahmen umgesetzt und wird sie aufrechterhalten:

  1. Sicherheit des eigenen Netzwerks und physische Sicherheit der eigenen Einrichtungen;
  2. Maßnahmen zur Kontrolle der Zugriffsrechte von DETELLING-Mitarbeitern und Auftragnehmern in Bezug auf die IT-Systeme von DETELLING;
  3. Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der von DETELLING umgesetzten technischen und organisatorischen Maßnahmen;
  4. Verschlüsselung zur Gewährleistung eines angemessenen Sicherheitsniveaus;
  5. Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der vom Kunden betriebenen Verarbeitungssysteme und Services;
  6. Maßnahmen, die es dem Kunden ermöglichen, angemessene Sicherungs- und Archivierungsmaßnahmen durchzuführen, um die Verfügbarkeit und den Zugriff auf die Kundendaten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen.

7.2.

Das in Anlage 2 beschriebene Datenschutzkonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT- Systeme und Verarbeitungsprozesse bei DETELLING und seinen Subunternehmern dar.

7.3.

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen DETELLING und Auftraggeber abzustimmen.

7.4.

Die Maßnahmen bei DETELLING können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

7.5.

Wesentliche Änderungen muss DETELLING mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

8. Verpflichtungen von DETELLING nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DSGVO

Nach Abschluss der vertraglichen Arbeiten hat DETELLING sämtliche in Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen.

9. Schlussbestimmungen

9.1.

Nebenabreden bestehen nicht. Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

9.2.

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers bei DETELLING durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat DETELLING den Auftraggeber unverzüglich zu benachrichtigen.

9.3.

Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und etwaiger zugehöriger Datenträger ausgeschlossen.

9.4.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

  • Impressum
  • AGB
  • AV
  • Datenschutz
Logo

Made with in Aachen

© 2023 DETELLING UG (haftungsbeschränkt)