Auftragsverarbeitungsvertrag nach Art.28 DSGVO

zwischen

„Kunde“

–Datenschutz-Verantwortliche/r, im Folgenden Auftraggeber –

 

und

HR Buddys GmbH
Schottmüllerstr. 20a
20251 Hamburg

–Daten-Verarbeiter/in, im Folgenden Auftragnehmer –

 

I. Präambel

Die Vertragsparteien mit der Leistungsvereinbarung ein Auftragsverarbeitungsverhältnis eingegangen. Um die sich hieraus ergebenden Rechte und Pflichten gemäß den Vorgaben der europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – DSGVO), und des Bundesdatenschutzgesetzes (BDSG) zu konkretisieren, schließen die Vertragsparteien die nachfolgende Vereinbarung.

 

II. Gegenstand & Laufzeit des Vertrags

a. Gegenstand

Der Gegenstand des Auftrags ergibt sich aus den vertraglichen Regelungen des separaten Vertragsschluss mit dem Auftraggeber verstanden, der durch den Abschluss eines kostenfreien und/ oder kostenpflichtigen Nutzungsvertrags – gemäß der Allgemeinen Geschäftsbedingungen („AGB“) des Auftragnehmers oder eines separat geschlossenen Nutzungsvertrags – entsteht und auf den hier verwiesen wird (im Folgenden „Leistungsvereinbarung“) sowie ggf. weiteren Zusatzvereinbarungen und Einzelweisungen, soweit diese getroffen wurden. Soweit die Parteien in der nachfolgenden Zeit andere Vereinbarungen getroffen haben, die den o.g. Vertrag ersetzen, gilt die jeweils zuletzt getroffene Leistungsvereinbarung.

Der Auftragnehmer verarbeitet hierbei personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber beauftragt, jeweils im gesetzlich zulässigen Rahmen.

Hiervon abweichend wird der Auftragnehmer nur tätig, soweit er gesetzlich zu einer bestimmten Verarbeitung verpflichtet ist.

b. Laufzeit

Der Auftrag beginnt am 01.03.2023 und wird auf unbestimmte Zeit geschlossen.

Die Laufzeit dieser Vereinbarung steht hierbei in unmittelbarer Abhängigkeit zu o.g. Leistungsvereinbarung und gilt jedenfalls solange die Parteien über ein Vertragsverhältnis miteinander verbunden sind.

 

III. Konkretisierung des Auftragsinhaltes

a. Art und Zweck der vorgesehenen Verarbeitung von Daten (gem. Definition Art. 4 Nr. 2 DSGVO)

Die dieser Vereinbarung zugrunde liegende Leistungsvereinbarung vom *Datum* beschreibt abschließend die Art und den Zweck der vorgesehenen Verarbeitung von personenbezogenen Daten durch den Auftragnehmer für den Auftraggeber.

Soweit eine Verarbeitung von personenbezogenen Daten hierüber hinaus notwendig wird und auszuführen ist, ist das Einverständnis des Auftraggebers hierfür einzuholen.

b. Art der personenbezogenen Daten (gem. Definition Art. 4 Nr. 1, 13, 14 und 15 DSGVO).

Folgende Datenarten sind Gegenstand der Verarbeitung:

  • Stamm- und Adressdaten
  • Nutzungsdaten und Bestandsdaten
  • Kommunikationsdaten
  • Vertragsstammdaten
  • Kundenhistorie
  • Vertragsabrechnungs- und Zahlungsdaten
  • Personenbezogene Daten von Mitarbeitern des Auftraggebers
  • Personenbezogene Daten von Geschäftspartnern, Kunden und Interessenten des Auftraggebers sowie dessen Erfüllungsgehilfen
  • Emails und alle darin ggf. enthaltenen Daten, u.a. Email-Adressen, Email-Inhalte, Email-Anhänge

 

c. Kategorien betroffener Personen (gem. Art. 4 Nr. 1 DSGVO)

Von der Verarbeitung betroffene Personenkreise sind:

  • Interessenten, Kunden, Auftraggeber, Beschäftigte, Dritte, Aufsichtsbehörden, sowie alle ggf. in übermittelten Emails benannten Personen

 

iV. Verantwortlichkeit, Weisungsbefugnisse und Verarbeitung in einem Drittstaat

Für die Beurteilung der Zulässigkeit der Verarbeitung von personenbezogenen Daten gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

Der Auftragnehmer ist verpflichtet, die personenbezogenen Daten nur auf dokumentierte Weisung des Auftraggeber zu verarbeiten, sofern er nicht zu einer anderen Verarbeitung durch Unionsrecht oder des Mitgliedstaates, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO). Dies gilt auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation.

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind durch den Auftragnehmer unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Stellt der Auftraggeber Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer fest, informiert er den Auftragnehmer unverzüglich.

Andersrum wird der Auftragnehmer den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber nach dessen Überprüfung bestätigt oder geändert wird.

Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und diesem Verlangen weder berechtigte Interessen des Auftragnehmers noch zwingende gesetzliche Vorgaben entgegenstehen.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Weisungsberechtigte des Auftraggebers sind:

*Weisungsberechtigt*

Weisungsempfänger des Auftragnehmers sind:

Herr Matthias Busold, Herr Peter Jaeger

Folgende Kommunikationskanäle sind für die Erteilung von Weisungen zu nutzen:

postalisch, per E-Mail, per MS Teams, per ZenDesk

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

Die Verarbeitung der Daten im Auftrag des Auftraggebers findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland statt. Eine Verarbeitung in einem Staat außerhalb des in Satz 1 genannten Territoriums ist nur zulässig, wenn sichergestellt ist, dass unter Berücksichtigung der Voraussetzungen des Kapitels V der DSGVO das durch die DSGVO gewährleistete Schutzniveau nicht unterlaufen wird und bedarf der vorherigen ausdrücklichen schriftlichen Zustimmung des Auftraggebers. Die grundlegenden Voraussetzungen für die Rechtmäßigkeit der Verarbeitung bleiben unberührt.

IV. Beachtung zwingender gesetzlicher Pflichten durch den Auftragnehmer

Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber – insbesondere bei der Einhaltung der in Art. 32 bis 36 genannten Pflichten – soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO).

Der Auftraggeber führt das Verzeichnis von Verarbeitungstätigkeiten i.S.d. Art. 30 Abs. 1 DSGVO. Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch Informationen zur Aufnahme in das Verzeichnis zur Verfügung. Der Auftragnehmer führt entsprechend den Vorgaben des Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung.

Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb. Stellt er Störungen oder Verstöße fest oder erlangt er von solchen Kenntnis, so hat er – insbesondere mit Blick auf etwaige Melde- und Benachrichtigungspflichten des Auftraggebers gem. Art. 33 oder 34 DSGVO – den Auftraggeber unverzüglich zu informieren.

Meldungen nach Art. 33 oder 34 DSGVO darf der Auftragnehmer nur dann für den Auftraggeber vornehmen, wenn dieser zuvor eine entsprechende Weisung erteilt hat.

Der Auftragnehmer wird dem Auftraggeber unverzüglich davon informieren, wenn eine Datenschutzaufsichtsbehörde gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.

Er hat die dazu erforderlichen Angaben jeweils unverzüglich an folgende Stelle des Auftraggebers weiterzuleiten:

*Weisungsberechtigte*

Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind.

Er verpflichtet sich, für diesen Auftrag relevanten Geheimnisschutzregeln, die dem Auftraggeber obliegen, zu beachten (z.B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.).

Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter und Mitarbeiterinnen vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).

Der Auftragnehmer hat einen Datenschutzbeauftragten zu benennen, der seine Tätigkeit entsprechend den gesetzlichen Vorschriften ausübt. Die Kontaktdaten des Datenschutzbeauftragten sind dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mitzuteilen. Sofern ein Datenschutzbeauftragter nach Art. 37 Abs. 1 DSGVO nicht bestellt werden muss, reicht auch die Benennung eines Ansprechpartners für den Datenschutz aus. Bestellt wurde folgender Datenschutzbeauftragter bzw. Ansprechpartner:

Herr Marko Diepold
adverit compliance gmbH & Co. KG
Kajen 10, 22047 Hamburg

Tel.: 040 27144940, E-Mail: datenschutz@adverit.de

Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DSGVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DSGVO unverzüglich zu informieren.

Der Auftragnehmer ist verpflichtet, die Erfüllung der ihm nach diesem Abschnitt obliegenden Pflichten zu kontrollieren, zu dokumentieren und auf Anforderung des Auftraggebers diesem gegenüber in geeigneter Weise nachzuweisen.

V. Fernwartung

Sofern der Auftragnehmer die Wartung und/oder Pflege der IT-Systeme auch im Wege der Fernwartung durchführt, ist der Auftragnehmer verpflichtet, dem Auftraggeber eine wirksame Kontrolle der Fernwartungsarbeiten zu ermöglichen. Dies kann z.B. durch Einsatz einer Technologie erfolgen, die dem Auftraggeber ermöglicht, die vom Auftragnehmer durchgeführten Arbeiten auf einem Monitor o.ä. Gerät zu verfolgen.

Für den Fall, dass der Auftraggeber einer Berufsgeheimnispflicht i.S.d. § 203 StGB unterliegt, hat dieser Sorge dafür zu tragen, dass eine unbefugte Offenbarung i.S.d. § 203 StGB durch die Fernwartung nicht erfolgt. Der Auftragnehmer ist diesbezüglich verpflichtet, Technologien einzusetzen, die nicht nur ein Verfolgen der Tätigkeit auf dem Bildschirm ermöglicht, sondern dem Auftraggeber auch eine Möglichkeit gibt, die Fernwartungsarbeiten jederzeit zu unterbinden.

Wenn der Auftraggeber bei Fernwartungsarbeiten nicht wünscht, die Tätigkeiten an einem Monitor o.ä. Gerät zu beobachten, wird der Auftragnehmer die von ihm durchgeführten Arbeiten in geeigneter Weise (stichpunktartig) dokumentieren.

VI. Technische und organisatorische Maßnahmen

Bei der Verarbeitung von personenbezogenen Daten müssen die Vertragsparteien den Schutz der Rechte der betroffenen Person gewährleisten. Der Auftragnehmer ergreift hierzu geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass die in Art. 32 Abs. 1 DSGVO aufgeführten Schutzziele – insbesondere Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die mit der Verarbeitung in Zusammenhang stehen – unter Berücksichtigung des Standes der Technik sowie etwaiger Implementierungskosten dauerhaft gewährleistet werden.

Die Vertragsparteien vereinbaren die in dem Anhang „Technische und organisatorische Maßnahmen des Auftragnehmers“ zu dieser Vereinbarung niedergelegten konkreten Sicherheitsmaßnahmen.

Da technische und organisatorische Maßnahmen dem technischen Fortschritt unterliegen, ist es insoweit dem Auftragnehmer gestattet, alternative angemessene Maßnahmen umzusetzen. Allerdings darf das Sicherheitsniveau der in dem Anhang „Technische und organisatorische Maßnahmen des Auftragnehmers“ festgelegten Maßnahmen nicht unterschritten werden. Eine Dokumentation wesentlicher Änderungen ist vorzunehmen.

Der Auftraggeber ist dann unverzüglich über Art, Inhalt und Umfang der konkreten Anpassung in Kenntnis zu setzen. Wesentliche Änderungen muss der Auftragnehmer mit dem Auftraggeber schriftlich oder in einem anderen dokumentierten elektronischen Format abstimmen.

VII. Löschung und Rückgabe

Der Auftragnehmer verpflichtet sich, nach Abschluss bzw. Ende des Auftrags alle Daten, Unterlagen und sonstige mit dem Auftragsverhältnis in Zusammenhang stehende Dokumente, die in seinen Besitz oder an Subunternehmen gelangt sind, nach Wahl des Auftraggebers und soweit technisch möglich

  • dem Auftraggeber auszuhändigen oder
  • in datenschutzkonformer Weise zu löschen bzw. zu vernichten oder vernichten zu lassen, was dem Auftraggeber jeweils mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen ist

Dies gilt nicht, soweit dem Auftragnehmer nach dem Unionsrecht oder dem Recht der Mitgliedstaaten Aufbewahrungspflichten treffen. In diesem Fall stellt der Auftragnehmer sicher, dass die betreffenden Daten nach Ablauf der Aufbewahrung in datenschutzkonformer Weise gelöscht oder vernichtet werden.

Entstehen dem Auftragnehmer durch eine Vernichtung zusätzliche Kosten, so übernimmt er sie im vorgenannten Fall einer vorangegangenen Aufbewahrungspflicht selbst; in allen anderen Fällen trägt diese der Auftraggeber, soweit alternativ eine Herausgabe möglich gewesen wäre.

Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragnehmers erfolgen. Die Vor-Ort Kontrolle soll mit angemessener Frist durch den Auftraggeber angekündigt werden.

VIII. Unterauftragsverhältnisse mit Subunternehmern

Der Auftraggeber erklärt seine Zustimmung (vorherige gesonderte oder allgemeine schriftliche Genehmigung i.S.v. Art. 28 Abs. 2 DSGVO) dazu, dass der Auftragnehmer seinerseits Subunternehmern mit der Verarbeitung der Daten des Auftraggebers beauftragt. Der Auftragnehmer hat den Auftraggeber im Falle einer allgemeinen schriftlichen Genehmigung über jede beabsichtigte Änderung bezüglich Hinzuziehung oder Ersetzung von Subunternehmern zu informieren. Der Auftraggeber hat das Recht, gegen die beabsichtigte Änderung Einspruch zu erheben. Der Einspruch muss binnen zwei Wochen nach Zugang der Information beim Auftraggeber erhoben werden und bedarf keiner Begründung. Zur Fristwahrung genügt das fristgerechte Entäußern in den Rechtsverkehr (z.B. Einwurf eines Briefs in den Postkasten). Wird der Auftraggeber ohne sein Verschulden daran gehindert, die Frist einzuhalten, so hat er dies dem Auftragnehmer unverzüglich anzuzeigen; die Frist gilt dann für den Zeitraum der unverschuldeten Hinderung als gehemmt. Die Erhebung soll schriftlich oder in einem dokumentierten elektronischen Format erfolgen. Ein mündlich erhobener Einspruch soll vom Auftragnehmer unverzüglich schriftlich oder in einem dokumentierten elektronischen Format bestätigt werden. Der Einspruch kann jederzeit zurückgenommen werden; die beiden vorangegangenen Sätze gelten entsprechend. Eine Rücknahme des Einspruchs gilt als ausdrückliche Zustimmung.

Ein erhobener Einspruch hindert den Auftragnehmer an der Umsetzung der beabsichtigten Änderung. Ist der Auftragnehmer deshalb nicht imstande, den Auftrag vertragsgemäß auszuführen (etwa, weil die benötigten personellen Kapazitäten in seinem eigenen Betrieb nicht ausreichen), so haben Auftragnehmer und Auftraggeber das Recht, das dem Auftrag zugrundeliegende Vertragsverhältnis vorzeitig binnen einer Frist von vier Wochen zu beenden. Hat der Auftragnehmer seinen Einspruch begründet, so hat auf Grundlage der Begründung ein Einigungsversuch zwischen Auftraggeber und Auftragnehmer zu erfolgen; nur wenn keine Einigung erzielt werden kann, erwerben Auftraggeber und Auftragnehmer das zuvor benannte Sonderkündigungsrecht.

Die Beauftragung des Subunternehmers hat in Form eines schriftlichen Vertrags zu erfolgen, wobei auch ein elektronisches Format möglich ist (Art. 28 Abs. 4 und 9 DSGVO).

Der Auftragnehmer stellt vertraglich sicher, dass das in der vorliegenden Vereinbarung und ggf. in anderen zwischen Auftragnehmer und Auftraggeber bestehenden Vereinbarungen festgelegte Sicherheitsniveau – insbesondere hinsichtlich der vereinbarten technischen und organisatorischen Maßnahmen – durch die Beauftragung des Subunternehmers zu keinem Zeitpunkt unterschritten wird. Die Erteilung eines Unterauftrags durch den Auftragnehmer muss hinsichtlich der datenschutzrechtlichen Anforderungen inhaltlich genau den Anforderungen der Erteilung seines Auftrags durch den Auftraggeber entsprechen. Zudem gelten die vereinbarten Regelungen auch im Verhältnis zum Subunternehmen bzw. bei mehreren Subunternehmen auch im Verhältnis der Subunternehmen untereinander. Der Auftragnehmer verpflichtet sich, Subunternehmer unter diesen Gesichtspunkten sorgfältig auszuwählen. Der Auftragnehmer haftet gegenüber dem Auftraggeber für eine Nichteinhaltung der Datenschutzpflichten auf Seiten des Subunternehmers. In diesem Fall hat der Auftragnehmer auf Verlangen des Auftraggebers die Beschäftigung des Subunternehmers ganz oder teilweise zu beenden oder das Vertragsverhältnis mit dem Subunternehmen zu lösen, wenn und soweit dies nicht unverhältnismäßig ist.

Der Auftragnehmer hat die Einhaltung der Pflichten der Subunternehmer regelmäßig und sorgfältig zu überprüfen. Das Ergebnis der Prüfungen ist vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

Dem Auftraggeber sind in der vertraglichen Vereinbarung mit dem Subunternehmen Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung einzuräumen. Zusätzlich ist der Auftraggeber berechtigt, Auskunft über den Inhalt des mit dem Subunternehmen geschlossenen Vertrages zu erhalten.

Freigegebene Subunternehmer sind im Anhang „Subunternehmer“ aufgeführt.

Der Auftraggeber erklärt seine Zustimmung zum Einsatz der im Anhang aufgeführten Subunternehmer.

 

_________________________________

Ort, Datum, Unterschrift

IX. Datenschutzkontrolle

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DSGVO).

Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicherzustellen. Die Maßnahmen nach Art. 32 DSGVO sind auch in diesem Fall sicherzustellen.

X. Vergütung

Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.

XI. Haftung

Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt.

Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. § 11 Abs. 2 Satz 1 gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

XII. Sonderkündigungsrecht

Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.

XIII. Gerichtsstand

Es gilt deutsches Recht. Gerichtsstand ist Hamburg, Deutschland.

XIV. Schlussbestimmungen

Die Vertragsparteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer iSd § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, eine unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem ursprünglich verfolgten Zweck so nahe wie möglich kommt.

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernisses.

 

Anhang „Technische und organisatorische Maßnahmen des Auftragnehmers“

Anhang „Subunternehmer“

 

Ort, ___________________                                                         Ort, ___________________

 

____________________________                                            ____________________________

Auftraggeber    Auftragnehme