Auftragsverarbeitungsvertrag
nach Art. 28 Abs. 3
Datenschutz-Grundverordnung (DS-GVO)

Innovie GmbH
Am Taubenacker 22, 91166 Georgensgmünd, Deutschland

(nachfolgend „Auftragnehmer“ genannt)

übernimmt gegenüber

%BILLING_COMPANY%
%BILLING_FIRST_NAME% %BILLING_LAST_NAME%
%BILLING_ADDRESS_1%, %BILLING_POSTCODE% %BILLING_CITY%, %BILLING_COUNTRY%

(nachfolgend „Auftraggeber“ genannt)

die nachfolgenden Pflichten mit den nachfolgenden Rechten als Auftragsverarbeiter i.S. von Art. 28 Abs. 3 DS-GVO, wenn und soweit die Leistungen des Auftragnehmers nach dem Webhosting-Vertrag unter der an den Auftraggeber als Kunden vergebenen Kundennummer (Hauptvertrag) auch eine Datenverarbeitung im Auftrag und auf Weisung des Auftraggebers beinhaltet.

1 Gegenstand, Grundsätzliches und Dauer der Vereinbarung

1.1 Nach dem Inhalt des Hauptvertrags über die Leistungen des Auftragnehmers und nach den vom Auftraggeber vorgenommenen Nutzungen ist es nicht ausgeschlossen, dass der Auftragnehmer dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO verarbeitet und dass der Auftragnehmer dabei keine eigenen Zwecke im Umgang mit diesen Daten des Auftraggebers verfolgt. Wenn dies geschieht, so erfolgt diese Verarbeitung von personenbezogenen Daten des Auftraggebers „im Auftrag und auf Weisung“ für die Zwecke des Auftraggebers nach diesem Vertrag.

1.2 Die maßgebliche Konkretisierung der Auftragsverarbeitungsleistungen des Auftragnehmers nach Weisung enthält Anlage 1.

1.3 „Weisung“ ist die auf einen bestimmten datenschutzmäßigen Umgang des Auftragnehmers mit personenbezogenen Daten, die der Auftraggeber verarbeitet, gerichtete Anordnung des Auftraggebers (z.B. Daten zu anonymisieren, zu sperren, zu löschen, herauszugeben). Bereits bestehende Weisungen können vom Auftraggeber danach durch einzelne Weisungen geändert, ersetzt oder ergänzt werden (Einzelweisungen).

1.4 Der Auftraggeber ist für die Beurteilung der Zulässigkeit der Verarbeitung personenbezogener Daten durch ihn auf den IT-Systemen des Auftragnehmers sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Der Auftraggeber hat dafür Sorge zu tragen, dass die gesetzlich oder behördlich vorgeschriebenen Voraussetzungen für „seine“ Datenverarbeitungen geschaffen werden bzw. Anforderungen erfüllt werden, wie z.B. die Einhaltung von Löschfristen und zulässiger Speicherdauer, die Einholung von Einwilligungserklärungen. Das gilt insbesondere dann, wenn der Auftraggeber besonders sensible Daten im Sinne des Art. 9 DS-GVO verarbeiten lässt.

1.5 Der Auftraggeber stellt den Auftragnehmer in seinem Verantwortungsbereich von Ansprüchen Betroffener gegenüber dem Auftragnehmer frei (Art. 82 DS-GVO bleibt unberührt).

1.6 Gegenstand, Dauer, Art und Zweck der ggf. erfolgenden Datenverarbeitung ist für den Auftraggeber durch seine Tarifwahl/Produktwahl zum Hauptvertrag vorgegeben. Die Leistungsinhalte des Auftragnehmers ergeben sich aus den jeweiligen Leistungsbeschreibungen/Tarifbeschreibungen und ggf. mitgeltenden Dokumenten.

1.7 Im Rahmen der tarifspezifischen/produktspezifischen Möglichkeiten kann der Auftraggeber Art und Umfang seiner Datenverarbeitung durch Art und Weise der Nutzung des Tarifes/Produktes bestimmen. Im Rahmen dieser Tarife und Produkte können insbesondere dann Weisungsrechte des Auftraggebers im Falle der Inanspruchnahme von Support-Dienstleistungen oder im Einzelfall gewünschten Programmierdienstleistungen wahrgenommen werden, wenn der Auftragnehmer im Einzelfall auf den Datenbestand des Auftraggebers Zugriff nehmen soll.

1.8 Sämtliche Auftragsverarbeitungsleistungen des Auftragnehmers nach Weisung werden ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung dieser Dienstleistungen oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. ein Angemessenheitsbeschluss der Kommission vorliegt, Standarddatenschutzklauseln verwendet werden oder genehmigte Verhaltensregeln vorliegen).

1.9 Dieser Auftragsverarbeitungsvertrag beginnt mit seinem Zustandekommen und wird auf unbestimmte Zeit geschlossen. Er endet mit dem Ende der vertraglich vereinbarten Leistungen des Auftragnehmers aus dem Hauptvertrag.

1.10 Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

2 Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

Die Art der Verarbeitung entsprechend der Definition von Art. 4 Nr. 2 DS-GVO), der Zweck der Verarbeitung, die Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-GVO) sowie die Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO) ergeben sich aus Anlage 1.

3 Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

3.1 Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

3.2 Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

3.3 Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

3.4 Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

3.5 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4 Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers

4.1 Weisungsberechtigte Personen des Auftraggebers und Weisungsempfänger des Auftragnehmers sind in Anlage 1 enthalten.

4.2 Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen.

5 Pflichten des Auftragnehmers

5.1 Der Auftragnehmer verarbeitet personenbezogene Daten in der Situation der Auftragsverarbeitung ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 a DS-GVO).

5.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

5.3 Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen getrennt werden.

5.4 Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet.

5.5 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Weisungsberechtigten des Auftraggebers gemäß Anlage 1 weiterzuleiten.

5.6 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

5.7 Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Gesetzliche Verpflichtungen zur Auskunftserteilung bleiben unberührt.

5.8 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden.

5.9 Der Auftragnehmer verpflichtet sich, auch die Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen.

5.10 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

5.11 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

6 Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Verletzungen des Schutzes personenbezogener Daten nach Art. 33 Abs. 2 DS-GVO mit. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

7 Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

7.1 Der Auftragnehmer als Auftragsverarbeiter nimmt die weiteren Auftragsverarbeiter (als Subunternehmer) in Anspruch, die in der Anlage 1 genannt sind. Allgemein darf der Auftragnehmer weitere Subunternehmer einsetzen, wenn diese Konzernunternehmen im Sinne des Aktienrechts sind. In diesem Fall informiert der Auftragnehmer den Auftraggeber über eine solche beabsichtigte Änderung, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Der Auftragnehmer trägt dafür Sorge, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt.

7.2 Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

7.3 Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten.

7.4 Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).

7.5 Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.

7.6 Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

7.7 Der Auftragnehmer informiert den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 Satz 2 DS-GVO).

8 Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

8.1 Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

8.2 Das in Anlage 2 beschriebene Datenschutzkonzept (Technische und organisatorische Maßnahmen) stellt die Auswahl der technischen und organisatorischen Maßnahmen dar. Diese passen zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer. Unbeschadet bleibt die Verantwortung des Auftraggebers (vgl. Ziffer 8.6).

8.3 Soweit die beim Auftragnehmer getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

8.4 Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

8.5 Die technischen und organisatorischen Maßnahmen kann der Auftragnehmer nach eigenem pflichtgemäßen Ermessen der technischen und organisatorischen Weiterentwicklung anpassen.

8.6 Der Auftraggeber ist als Verarbeiter von personenbezogenen Daten auf dem ihm überlassenen Speicherplatz in erster Linie selbst verantwortlich, ob und wie er dort personenbezogene Daten verarbeitet. Entsprechend muss der Auftraggeber selbst für „seine“ Datenverarbeitungsvorgänge technische und organisatorische Maßnahmen ergreifen, etwa E-Mails verschlüsseln oder seine Webseiten mit SSL-Zertifikaten versehen, um die Schutzziele aus Art. 32 DS-GVO zu erreichen.

9 Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

9.1 Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinem Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen.

9.2 Unbeschadet von Ziffer 9.1 bleibt die Verpflichtung des Auftraggebers aus dem Hauptvertrag, den zum Gebrauch überlassenen Speicherplatz mit Beendigung des Hauptvertrags im gelöschten Zustand an den Auftragnehmer zurückzugeben.

10 Vergütung

10.1 Spezielle Weisungen des Kunden im Hinblick auf die Verarbeitung personenbezogener Daten, die über die vertraglich vereinbarten Leistungen und Tarif- bzw. Produktparameter hinausgehen und zu einem Mehraufwand für den Auftragnehmer führen, sind entsprechend gesondert zu vergüten. Die Vergütung der Auftragsverarbeitungsleistungen des Auftragnehmers ist – nicht abschließend – in Anlage 1 geregelt.

10.2 Bei speziellen Weisungen, deren Umsetzung für den Auftragnehmer nicht oder nur mit unverhältnismäßig hohem Mehraufwand möglich ist, kann der Auftragnehmer den Hauptvertrag und diesen Auftragsverarbeitungsvertrag zum Ende eines laufenden Kalendermonats mit einer Frist von 20 Kalendertagen kündigen.

11 Haftung

Auf Art. 82 DS-GVO wird verwiesen.

12 Sonstiges

12.1 Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

12.2 Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

12.3 Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

12.4 Ist der Auftraggeber eine Kirche oder eine religiöse Vereinigung bzw. Gemeinschaft im Sinne des Art. 91 DS-GVO, unterwirft sich der Auftraggeber der Aufsicht dieser jeweiligen Institution, soweit diese unabhängige Aufsichtsbehörde die in Kapitel VI DS-GVO niedergelegten Bedingungen erfüllt.

12.5 Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

12.6 Diese Vereinbarung unterliegt deutschem Recht.

12.7 Ab dem Zeitpunkt des Zustandekommens dieser Vereinbarung werden Verträge über die Auftrags(daten)vereinbarung, die zwischen den Parteien bis zu diesem Zeitpunkt bestehen, durch diese Vereinbarung mit Wirkung für die Zukunft ersetzt.

Anlagen:

Anlage 1 – Individuelle Vertragsbestandteile
Anlage 2 – Technische und organisatorische Maßnahmen Auftragsverarbeitung

Datum %CURRENT_DATE%

%BILLING_COMPANY%
%BILLING_FIRST_NAME% %BILLING_LAST_NAME%
%BILLING_ADDRESS_1%, %BILLING_POSTCODE% %BILLING_CITY%, %BILLING_COUNTRY%

– Auftraggeber –

Innovie GmbH
Am Taubenacker 22, 91166 Georgensgmünd, Deutschland

– Auftragnehmer –