Zusatzvereinbarung zur Auftragsverarbeitung gemäß DSGVO
Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich durch den Vertragsschluss zur Auftragsverarbeitung gemäß Art. 28 DSGVO ergeben.
§ 1 Vertragsgegenstand
(1) Der Auftragnehmer speichert und verarbeitet im Rahmen des mit dem Auftraggeber geschlossenen Vertrages über Verarbeitung von ERP-, Maschinensteuer- und anderen geschäftsprozessrelevanten Daten (im weiteren „Hauptvertrag“ genannt) die von dem Kunden erhobenen und in die Software eingespeisten betrieblichen Daten ausschließlich im Auftrag und nach Weisung des Auftraggebers.
(2) Der Auftragnehmer verarbeitet dabei auch personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage dieses Vertrages.
§ 2 Art und Zweck der Verarbeitung, Art der Daten, betroffene Personen
(1) Die Art der durch den Auftragnehmer und seine Subunternehmer vorgenommenen Datenverarbeitung beschränkt sich auf die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, den Abgleich, die Einschränkung, sowie das Löschen. Das Erheben und initiale Erfassen der Daten erfolgt durch den Auftraggeber.
(2) Der Auftragnehmer erhält Zugriff auf die Daten, die von dem Auftraggeber über die Software erfasst werden. Dies können personenbezogene Daten sein, wie sie im Bereich der Fertigung oder der Automatisierung üblicherweise erfasst werden, wie Namen und Zeiten bei der Buchung von Aufträgen, Nutzer-IDs oder andere identifizierende Merkmale.
(3) Der Kreis der betroffenen Personen umfasst jene Personen, deren personenbezogene Daten üblicherweise im Rahmen Von Auftragsdatenerfassung, Betriebsdatenerfassung oder ähnlichen Maßnahmen erfasst werden. Umfang und Zweck der Datenverarbeitung ergeben sich aus dem Hauptvertrag.
§ 3 Weisungsrecht des Auftraggebers
(1) Der Auftragnehmer speichert, verarbeitet und nutzt die Daten ausschließlich gemäß den Weisungen des Auftraggebers, sofern keine Ausnahme im Sinne von Absatz 3 oder 4 vorliegt. Die Weisungen werden durch Eingabe in der Software oder durch deren Konfiguration erteilt, sie sind vom Auftragnehmer elektronisch dokument in Form von Datenbankeinträgen.
(2) Die Beurteilung der Zulässigkeit der Datenverarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO obliegt allein dem Auftraggeber.
(3) Wird der Auftragnehmer auf der Grundlage von deutschem oder europäischem Recht zu einer von den Weisungen abweichenden Verarbeitung verpflichtet (z. B. aufgrund einer gerichtlichen Anordnung), teilt er dies dem Auftraggeber vor der Verarbeitung mit, sofern ihm eine Mitteilung nicht durch das betreffende Recht untersagt ist.
(4) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer rechtswidrigen Weisung ablehnen.
§ 4 Technische und organisatorische Maßnahmen
(1) Die technischen und organisatorischen Maßnahmen zum Datenschutz sind in Anlage 1 zum Hauptvertrag beschrieben.
(2) Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(3) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, insbesondere mit Informationen auf der Homepage, sowie mit Auskünften bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 bis 36 DSGVO.
§ 5 Weitere Schutzmaßnahmen und Pflichten des Auftragnehmers
(1) Der Auftragnehmer verpflichtet sich zur Bestellung eines Datenschutzbeauftragten. Die Kontaktdaten des Datenschutzbeauftragten sind auf der Website veröffentlicht.
(2) Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 b) DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben.
(3) Der Auftragnehmer verpflichtet sich, Daten ausschließlich auf Servern innerhalb der europäischen Union zu speichern und zu verarbeiten. Bezieht das Verarbeiten das Integrieren bzw. fallbezogene Abfragen von Daten mit ein, welche eine Herkunft von Servern außerhalb der Europäischen Union haben und geschieht dies im Auftrag des Auftraggebers, so ist der Auftragnehmer für diesen Verarbeitungsschritt von den Bestimmungen des $5, Abs. 3 entbunden. Das gilt auch für das Ausliefern Von daten, wenn dies Als Verarbeitungsschritt definiert ist und im Auftrag des Auftraggebers dies auf Servern außerhalb der Europäischen Union zu erfolgen hat. Für diese vorgenannten Fälle zeichnet der Auftraggeber für die Einhaltung aller gesetzlichen Bestimmungen verantworlich.
(4) Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 f) DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung durchführen.
§ 6 Subunternehmer
(1) Die vertraglichen Leistungen des Auftragnehmers oder Teile davon können unter Einschaltung von Subunternehmern durchgeführt werden.
(2) Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen.
(3) Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann.
(4) Die Einbeziehung von Subunternehmern außerhalb der Europäischen Union ist ausgeschlossen.
§ 7 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers zu überzeugen.
(2) Dem Auftraggeber steht hierzu die Dokumentation der Technischen und Organisatorischen Maßnahmen, Anlage 1 zum Hauptvertrag, zur Verfügung.
(3) Der Auftraggeber hat ferner das Recht, sich ggf. vorhandene Zertifizierungen und Dokumentationen der Organisatorischen Maßnahmen der Subunternehmer des Auftragsnehmers vorlegen zu lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
(4) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
(5) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
§ 8 Kündigung, Dauer der Vereinbarung
(1) Die Dauer dieser Vereinbarung ist abhängig von der Dauer des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
(2) Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig verletzt, oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.
(3) Der Auftragnehmer wird mit dem Auftraggeber nach Kündigung des HauptVertrags oder jederzeit auf dessen Anforderung eine Vereinbarung treffen, ob die Daten bei Beendigung des Hauptvertrages an ihn oder einen Dritten herausgegeben werden sollen oder ob auf eine Herausgabe der Daten verzichtet wird. Nach Beendigung des Hauptvertrages oder jederzeit auf Anforderung des Auftraggebers wird der Auftragnehmer alle ihm überlassenen Daten – sofern keine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen, nachdem die Herausgabe der Daten gemäß Satz 1 erfolgt ist, oder der Auftraggeber auf eine Herausgabe der Daten verzichtet hat. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.
§ 9 Schlussbestimmungen
(1) Auf diesen Vertrag findet deutsches Recht Anwendung.
(2) Gerichtsstand ist Bruchsal.
(3) Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise unwirksam sein oder werden, oder sollte sich in dem Vertrag eine Lücke befinden, so soll hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt werden. Anstelle der unwirksamen Bestimmung oder zur Ausfüllung der Lücke soll eine angemessene Regelung treten, die, soweit rechtlich möglich, dem am nächsten kommt, was die Vertragsparteien gewollt haben oder nach dem Sinn und Zweck dieses Vertrags gewollt haben würden, wenn sie den Punkt bedacht hätten.
Anlage 1: Technische und organisatorische Maßnahmen
Nachtrag
Laut Art. 28 DSGVO muss die Auftragsverarbeitung auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgen. Wenn Sie die Auftragsverarbeitung statt über diese Zusatzvereinbarung zu unseren AGB lieber in einem schriftlichen Vertrag regeln möchten, dann drucken Sie den Vertrag zweimal aus und senden Sie uns beide Exemplare unterschrieben zu. Wir schicken Ihnen dann ein Exemplar von uns unterschrieben zurück.