Vertrag über die Auftragsverarbeitung

zwischen

d.velop AG
Schildarpstraße 6-8
48712 Gescher

(nachfolgend „Auftragsverarbeiter“)

und

Kontakt-Name
Straße und Hausnummer
PLZ Ort
(nachfolgend „Verantwortlicher“)

(nachfolgend einzeln oder gemeinsam „Vertragspartner“)

1. Auftrag und Festlegungen zur Verarbeitung

1.1. Dieser Vertrag über die Auftragsverarbeitung (nachfolgend AVV) gem. Art. 28 DSGVO konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragspartner für die Verarbeitung personenbezogener Daten im Sinne der DSGVO im Rahmen der jeweils bestehenden Verträge (nachfolgend einzeln bzw. gemeinsam Hauptvertrag).

1.2. Die Erbringung der vertraglich vereinbarten Verarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

1.3. Bei Widersprüchen geht dieser AVV dem Hauptvertrag vor und die Anlagen des AVV gehen diesem AVV vor.

2. Verantwortlichkeit und Verarbeitung auf Weisung

2.1. Der Verantwortliche trägt Sorge für die Einhaltung der anwendbaren gesetzlichen Bestimmungen (Art. 4 Nr. 7 DSGVO) und trifft die alleinige Entscheidung über Zwecke und wesentliche Mittel der Verarbeitung.

2.2. Der Auftragsverarbeiter handelt weisungsgebunden, es sei denn es liegt ein Ausnahmefall gemäß Art. 28 Abs. 3 S. 2 Buchst. a DSGVO vor (anderweitige gesetzliche Verarbeitungspflicht). Mündliche Weisungen sind in Textform zu bestätigen. Die vom Verantwortlichen bereits getroffenen Weisungen ergeben sich aus dem anwendbaren Hauptvertrag in seiner jeweils gültigen Fassung.

2.3. Der Auftragsverarbeiter berichtigt oder löscht die vertragsgegenständlichen Daten oder schränkt deren Verarbeitung ein, wenn der Verantwortliche dies anweist. Eine Löschung erfolgt nicht, soweit der Auftragsverarbeiter gesetzlich zur weiteren Speicherung der personenbezogenen Daten verpflichtet ist.

2.4. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Vorschriften über den Datenschutz oder diesen AVV verstößt. Der Auftragsverar-beiter darf die Umsetzung der Weisung solange aussetzen, bis diese vom Verantwortlichen in Textform bestä-tigt oder abgeändert wurde. Die Ausführung offensichtlich datenschutzrechtswidriger Weisungen darf der Auftragsverarbeiter ablehnen.

2.5. Der Auftragsverarbeiter gewährleistet, dass die bei ihm zur Verarbeitung der Daten befugten Personen (a) die Weisungen des Verantwortlichen kennen und diese beachten, sowie (b) sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- und Verschwiegenheitspflicht besteht auch nach Beendigung der Verarbeitung im Rahmen des arbeitsvertraglich Zulässigem fort.

3. Sicherheit der Verarbeitung

3.1. Die Vertragspartner vereinbaren technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO (nachfolgend TOM) zum angemessenen Schutz der Daten unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen in einer Anlage zu diesem AVV (nachfolgend Anlage TOM).

3.2. Änderungen der TOM bleiben dem Auftragsverarbeiter vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau insgesamt nicht unterschritten wird. Neue Fassungen der Anlage TOM werden dem Verantwortlichen auf dessen Verlangen in Textform mitgeteilt.

3.3. Der Auftragsverarbeiter hat schriftlich die Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt, vorgenommen. Die Kontaktdaten des Datenschutzbeauftragten können den öffentlichen Datenschutzhinweisen des Verantwortlichen vernommen werden. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

4. Unterrichtung bei Datenschutzverletzungen, Fehlern der Verarbeitung und Insolvenz- bzw. vergleichba-ren Verfahren; weitere Vorgehensweise

4.1. Die Vertragspartner unterrichten einander unverzüglich,

  • wenn ihnen Verletzungen des Schutzes der von dem Auftragsverarbeiter verarbeiteten Daten im Sinne des Art. 4 Nr. 12 DSGVO und Art. 33 Abs. 2 DSGVO bekannt werden oder ein konkreter Verdacht einer solchen Datenschutzverletzung besteht;
  • wenn von ihnen Fehler bei der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter festgestellt werden.

4.2. Der Verantwortliche erteilt auf die Information hin unverzüglich Weisungen zur Behebung der Datenschutzverlet-zung bzw. der Verarbeitungsfehler. Der Auftragsverarbeiter ist, sofern eine unverzügliche Weisung des Verantwortlichen nicht erfolgt und der Auftragsverarbeiter davon ausgehen darf, dass ein unverzügliches Handeln erforderlich ist zur Vermeidung weiterer Verletzungen bzw. des Auftretens weiterer Fehler, berechtigt, die erforderlichen Maßnahmen zur Behebung der Datenschutzverletzung oder der Fehler sowie zur Minderung nachteili-ger Folgen vorzunehmen, insbesondere, die Datenverarbeitung einzustellen. Er stimmt sich sodann mit dem Verantwortlichen ab.

4.3. Ist der Auftragsverarbeiter der Ansicht, dass eine Vereinbarung oder Weisung gegen datenschutzrechtliche Vorschriften verstößt, wird er den Auftraggeber hierüber unverzüglich schriftlich informieren. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung, solange auszusetzen, bis sie durch den Auftrag-geber bestätigt oder geändert wird.

4.4. Mündliche Unterrichtungen beider Vertragspartner gemäß den vorgenannten Absätzen sind unverzüglich in Textform nachzureichen.

4.5. Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet wer-den, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich in Textform zu informieren. Der Auf-tragsverarbeiter wird alle Dritten darüber informieren.

5. Übermittlung von Daten an einen Empfänger in einem Drittland oder in einer internationalen Organisation

Die Übermittlung von Daten an einen Empfänger in einem Drittland außerhalb von EU und EWR ist unter Einhal-tung der in Art. 44 ff. DSGVO festgelegten Bedingungen zulässig. Einzelheiten werden in der Anlage 1 geregelt.

6. Unterbeauftragungen durch den Auftragsverarbeiter

6.1. Der Auftragsverarbeiter darf die Verarbeitung personenbezogener Daten nur mit Zustimmung des Verantwortlichen ganz oder teilweise durch weitere Auftragsverarbeiter (nachfolgend „Unterauftragsverarbeiter“) erbringen lassen. Eine Liste der bereits genehmigten Unterauftragsverarbeiter findet sich in der Anlage 1.

6.2. Die Genehmigung von Unterauftragsverarbeitern gilt ungeachtet der Liste in Anlage 1 für alle Unternehmen der d.velop Gruppe als erteilt, die mit der d.velop AG jeweils im Sinne des § 15 ff. AktG verbunden sind. Eine Über-sicht über die Unternehmen der d.velop Gruppe ist unter https://www.d-velop.de/impressum-d-velop-konzernunternehmen ersichtlich.

6.3. Der Auftragsverarbeiter informiert den Verantwortlichen vorab in Textform über die beabsichtigte Beauftragung von Unterauftragsverarbeitern oder beabsichtigte Änderungen in der Unterbeauftragung. Der Verantwortliche kann bei Vorliegen eines wichtigen Grundes der Unterbeauftragung widersprechen. Im Fall eines begründeten Widerspruchs räumt der Verantwortliche dem Auftragsverarbeiter binnen zwei Wochen ein, um den vom Widerspruch betroffenen Unterauftragsverarbeiter durch einen anderen Unterauftragsverarbeiter zu ersetzen oder die Verarbeitung im Auftrag sonst so anzupassen, dass diese ohne den vom Widerspruch be-troffenen Unterauftragsverarbeiter erfolgen kann.

6.4. Der Auftragsverarbeiter wird dem Unterauftragsverarbeiter die gleichen Datenschutzpflichten, soweit gesetzlich verpflichtend, auferlegen, die in diesem AVV für den Auftragsverarbeiter festgelegt sind. Insbesondere müssen die mit dem Unterauftragsverarbeiter vereinbarten TOM ein gleichwertiges Schutzniveau aufweisen.

6.5. Leistungen, die der Auftragsverarbeiter als reine Nebenleistung zur Unterstützung seiner geschäftlichen Tätigkeit außerhalb der Auftragsverarbeitung in Anspruch nimmt, sind keine Unterbeauftragungen. Der Auf-tragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes der Daten auch für solche Nebenleis-tungen angemessene Vorkehrungen zu ergreifen.

7. Rechte betroffener Personen und Unterstützung des Verantwortlichen

Macht eine betroffene Person Ansprüche gemäß Kapitel III der DSGVO bei einem der Vertragspartner geltend, so informiert dieser den jeweils anderen Vertragspartner darüber unverzüglich. Der Auftragsverarbeiter unter-stützt den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Bearbeitung solcher Anträge sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten.

8. Kontroll- und Informationsrechte des Verantwortlichen

8.1. Der Auftragsverarbeiter weist dem Verantwortlichen die Einhaltung seiner Pflichten aus diesem AVV mit geeigneten Mitteln nach.

8.2. Geeignete Mittel können insbesondere angemessene Zertifizierungen oder andere geeignete Prüfungsnachweise sein. Angemessen sind insbesondere Zertifizierungen nach Art. 40 DSGVO oder Nachweise nach Art. 42 DSGVO. Das gesetzliche Inspektionsrecht des Verantwortlichen bleibt hiervon unberührt.

8.3. er Verantwortliche ist berechtigt, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs sowie nach vorheriger Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit, Inspektionen beim Auftragsverarbeiter zur Prüfung der Einhaltung der Verpflichtungen aus diesem AVV durchzuführen. Der Auftragsverarbeiter darf die Inspektion von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden der d.velop Gruppe und der TOM abhängig machen.

8.4. Macht eine Aufsichtsbehörde von Befugnissen nach Art. 58 DSGVO Gebrauch, so informieren sich die Vertragspartner hierüber unverzüglich. Sie unterstützen sich in ihrem jeweiligen Verantwortungsbereich bei Er-füllung der gegenüber der jeweiligen Aufsichtsbehörde bestehenden Verpflichtungen.

9. Verarbeitung von Sozialdaten im Auftrag

Diese Ziffer gilt nur, wenn Sozialdaten im Auftrag verarbeitet werden.

9.1. Werden Sozialdaten i.S.d. § 67 Abs. 2 SGB X im Auftrag verarbeitet, gilt dieser AVV mit folgenden vorrangigen Regelungen (Sozialdaten i.S.d. § 67 Abs. 2 SGB X gelten als Daten neben personenbezogenen Daten i.S.v. Art. 4 Nr. 1 DSGVO) :

9.2. Bei der Übermittlung von Sozialdaten an einen Empfänger in einem Drittland oder in einer internationalen Organisation sind neben Ziff. 5 ergänzend § 77 SGB X und § 80 Abs. 2 SGB X zu beachten.

9.3. Die Anzeigepflicht nach § 80 Abs. 1 S. 1 SGB X vor Erteilung des Auftrags ist durch den Verantwortlichen erfüllt worden. Handelt es sich beim Auftragsverarbeiter um eine öffentliche Stelle, hat dieser die Anzeigepflicht nach § 80 Abs. 1 S. 1 SGB X vor Erteilung des Auftrags erfüllt.

9.4. Der Verantwortliche stellt sicher, dass die besonderen Voraussetzungen für die Erteilung des Auftrags gemäß § 80 Abs. 3 SGB X gegeben sind, sofern sich die Verarbeitung im Auftrag nicht auf die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen bezieht, bei denen ein Zugriff auf Sozialdaten nicht ausgeschlossen werden kann.

9.5. Liegen zu erwartende oder bereits eingetretene Störungen im Betriebsablauf bei Verarbeitungen im Auftrag vor, die sich auf die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen beziehen, bei denen ein Zugriff auf Sozialdaten nicht ausgeschlossen werden kann, wird der Verantwortliche diese unver-züglich gemäß § 80 Abs. 5 S. 2 SGB X der Rechts- oder Fachaufsichtsbehörde mitteilen.

10. Über gesetzliche Verpflichtungen hinausgehende Leistungen

Der für die Erfüllung der gesetzlichen Verpflichtungen des Auftragsverarbeiters entstehende Aufwand ist mit dem gemäß dem Hauptvertrag gezahlten Entgelt abgegolten. Hinsichtlich des Aufwandes für Personalleistun-gen, der anfällt für die Unterstützung nach Maßgabe von Ziffer 7 Satz 2 und für solche Kontrollen vor Ort nach Ziffer 8.3 und 8.4, die über eine jährliche Kontrolle hinausgehen oder die bei anlassbezogenen Kontrollen anfal-len, die im Zuge der Kontrolle keine datenschutzrechtlichen Auffälligkeiten bzw. Verstöße ergeben, behält sich der Auftragsverarbeiter vor, sich seinen Aufwand nach seinen jeweils aktuellen Sätzen vergüten zu lassen.

11. Bankgeheimnis

Diese Ziffer gilt nur, wenn der Verantwortliche dem Bankgeheimnis unterworfen ist:

Der Auftragsverarbeiter hat bei der Verarbeitung im Auftrag das Bankgeheimnis zu wahren. Hierauf wird der Verantwortliche den Auftragsverarbeiter hinweisen, sofern dies für den Auftragsverarbeiter aus dem Haupt-vertrag oder der Stellung des Verantwortlichen nicht ersichtlich ist. Das Bankgeheimnis erstreckt sich auf alle personenbezogenen Daten und anderen Informationen, die dem Verantwortlichen über seine Kunden, Interes-senten oder über Dritte aus der Geschäftsbeziehung zu diesen bekannt werden. Unter das Bankgeheimnis fällt auch die Angabe, ob der Verantwortliche überhaupt eine Geschäftsbeziehung zu einem Kunden unterhält.

12. Haftung und Schadenersatz

12.1. Macht eine betroffene Person gegenüber einem Vertragspartner Schadenersatzansprüche wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen geltend, so hat der beanspruchte Vertragspartner den anderen Vertragspartner hierüber unverzüglich zu informieren.

12.2. Die Vertragspartner haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

13. Zustandekommen, Laufzeit

Die Laufzeit des AVV entspricht der Laufzeit des Hauptvertrags, längstens solange der Auftragsverarbeiter noch Daten für den Verantwortlichen verarbeitet. Mit Beendigung des Hauptvertrags hat der Auftragsverarbeiter nach Wahl des Verantwortlichen die im Auftrag verarbeiteten Daten herauszugeben oder datenschutzkonform zu löschen sowie etwaig vorhandene Kopien der Daten zu löschen, sofern nicht eine Verpflichtung zur Speicherung vorliegt. Nach Beendigung dieser Vereinbarung werden wir, vorbehaltlich gesetzlicher Aufbewahrungspflichten oder sonstiger uns zur Aufbewahrung berechtigter Vorschriften, die für Sie im Rahmen dieser Vereinbarung verarbeiteten Daten an Sie herausgegeben bzw. vernichten oder löschen.

14. Schlussbestimmungen

14.1. Änderungen, Ergänzungen oder Kündigung des AVV bedürfen zu ihrer Wirksamkeit der Textform. Dies gilt auch für eine Änderung dieser Formklausel. Eine Änderung wird wirksam, wenn dem Verantwortlichen eine Mittei-lung über die entsprechende Änderung in Textform mitgeteilt wird und er der Änderung nicht innerhalb einer Frist von 4 Wochen widerspricht. Widerspricht der Verantwortliche der Änderung in Textform, gilt der frühere AVV weiter. Die Vertragspartner werden sich in diesem Fall einvernehmlich auf die erforderlichen Anpassungen dieses AVV verständigen. Finden die Vertragspartner keine Einigung, hat jeder das Recht, den AVV mit einer Frist von 4 Wochen zu kündigen.

14.2. Abweichende mündliche Abreden der Vertragspartner sind unwirksam.

14.3. Sollte eine Bestimmung des AVV ganz oder teilweise rechtsunwirksam oder nichtig sein oder werden, oder dieser AVV eine von den Vertragspartnern bei dessen Abschluss nicht bedachte Lücke aufweisen, berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. An Stelle der rechtsunwirksamen, nichtigen oder fehlenden Bestimmung gilt das Gesetz, sofern die Lücke nicht durch ergänzende Vertragsauslegung gemäß §§ 133, 157 BGB geschlossen werden kann. Beide Vertragspartner sind verpflichtet, unverzüglich Verhandlungen aufzuneh-men mit dem Ziel einer Vereinbarung an Stelle der rechtsunwirksamen, nichtigen oder fehlenden Bestimmung, die deren Sinn und Zweck in rechtlicher und wirtschaftlicher Hinsicht am Nächsten kommt.

14.4. Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des Kollisionsrechts.  

Anlage 1

Zweck der Verarbeitung

Zur Erfüllung der Pflichten des Auftragsverarbeiters aus dem Hauptvertrag werden personenbezogene Daten aus dem Herrschaftsbereich des Verantwortlichen durch den Auftragsverarbeiter i.S.d. Art. 4 Nr. 2 DSGVO verar-beitet, insbesondere soweit jeweils erforderlich erhoben, gespeichert, verändert, ausgelesen, abgefragt, verwen-det, offengelegt, abgeglichen, verknüpft und gelöscht. Der Zweck der Verarbeitung hängt damit vom dem je-weils im Hauptvertrag beschriebenen Auftrag ab.

Kategorien personenbezogener Daten

Die von der Verarbeitung betroffenen Kategorien personenbezogener Daten hängen von der Nutzung der Leis-tungen des Auftragsverarbeiters durch den Verantwortlichen ab. Als Gegenstand der Verarbeitung in Betracht kommende Kategorien von Daten sind möglich

  • Stammdaten (z.B. Namen, Anschriften, Geburtsdaten)
  • Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummern, Messengerdienste),
  • Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos, Inhalte von Dokumenten/Dateien),
  • Vertragsdaten (z.B. Vertragsgegenstand, Laufzeiten, Kundenkategorie),
  • Zahlungsdaten (z.B. Bankverbindungen, Zahlungshistorie, Verwendung sonstiger Zahlungsdienstleister),
  • Nutzungsdaten (z.B. Verlauf auf unseren Web-Diensten, Nutzung bestimmter Inhalte, Zugriffszeiten),
  • Verbindungsdaten (z.B. Geräte-Informationen, IP-Adressen, URL-Referrer) und
  • Standortdaten (z.B. GPS-Daten, IP-Geolokalisierung, Zugriffspunkte)

Ob die Leistungen des Anbieters für die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO geeignet sind, bedarf einer Risikobewertung durch den Verantwortlichen.

Kategorien betroffener Personen

Die von der Verarbeitung betroffenen Kategorien betroffener Personen hängen von der Nutzung der Leistungen des Auftragsverarbeiters durch den Verantwortlichen ab. Als Kategorien betroffener Personen kommen dabei in Betracht (ehemalige) Beschäftigte, Auszubildende und Praktikanten, Bewerber, freie Mitarbeiter, Gesellschafter, Organe der Gesellschaft, Angehörige von Beschäftigten, Kunden, Interessenten, Lieferanten, Dienstleister, Mieter, Geschäftspartner, externe Berater, Besucher und Pressevertreter.

Unterauftragsverarbeiter

Der Auftragsverarbeiter setzt für die Verarbeitung der Daten abhängig vom Gegenstand des Auftrags folgende Unterauftragsverarbeiter ein:

  • Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn
    Zweck: Rechenzentrumsleistungen

  • Widas ID GmbH, Maybachstraße 2, 71299 Wimsheim
    Zweck: Authentifizierung von Benutzern

Für die Infrastruktur- und Plattformleistungen werden von den Unterauftragsverarbeitern ausschließlich Rechen-zentren innerhalb der EU genutzt, in der Regel innerhalb von Deutschland. Die Unterauftragsverarbeiter für die Infrastruktur- und Plattformleistungen sind jeweils zertifiziert (z.B. DIN ISO/IEC 27001).