Download Vereinbarung zur Auftragsverarbeitung (AV) nach Art. 28 DS-GVO (GDPR)

Vereinbarung zur Auftragsverarbeitung (AV) nach Art. 28 DS-GVO (GDPR)

als Verantwortlicher – nachstehend „Auftraggeber“ genannt –

und

CA Customer Alliance GmbH
Ullsteinstraße 130
12109 Berlin
Deutschland

als Auftragsverarbeiter – nachstehend „Auftragnehmer“ genannt –.

1   Vertragsgegenstand und Dauer

(1) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen der Durchführung der Auftragsbestätigung vom ______________ (nachfolgend „Hauptvertrag“) dabei, Bewertungen über den Auftraggeber im Internet zu analysieren, dessen Kunden aktiv zu befragen und neue Buchungen zu erhalten. Der Auftragnehmer erhebt, nutzt und verarbeitet dazu personenbezogene Daten der Kunden des Auftraggebers im Zusammenhang mit der Durchführung des Hauptvertrages. Zur Wahrung der sich daraus ergebenden wechselseitigen datenschutzrechtlichen Verpflichtungen schließen die Parteien diesen Vertrag. 

(2) Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.

(3) Diese AV gilt für sämtliche Tätigkeiten im Zusammenhang mit dem Hauptvertrag, bei denen Mitarbeiter und/oder Subunternehmer des Auftragnehmers personenbezogenen Daten des Auftraggebers verarbeiten. 

(4) Die Dauer dieses Auftrags entspricht der Dauer des Hauptvertrages, sofern sich aus der vorliegenden AV nichts Abweichendes ergibt.

(5) Unberührt bleibt das Recht jeder Vertragspartei, die AV aus wichtigem Grund fristlos zu kündigen.

2   Art und Zweck der Datenverarbeitung im Auftrag

(1) Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer ist die Kunden des Auftraggebers mit der Bitte um Bewertung der Leistung des Auftraggebers anzusprechen, die Kundenbewertung zu erfassen und dem Auftraggeber im Anschluss ausgewertet zur Verfügung zu stellen.

(2) Der Auftragnehmer verarbeitet folgende Datenarten/-kategorien im Rahmen seiner Dienstleistung in Bezug auf den einzelnen Kunden des Auftraggebers:

(a)  Name;

(b) Anrede;

(c)  Geschlecht;

(d) Sprache;

(e)  Vertragsdauer;

(f)   E-Mail-Adresse;

(g) Telefonnummer;

(h) Adresse;

(i)  Informationen zur Leistungserbringung (Kosten, Umsatz, Anzahl der Leistungsgegenstände)

(j) Ggfs. vorhandene individuelle Segmentierungsdaten des Auftraggebers wie Weg des Vertragsschlusses (Internet, Telefon, etc.), Herkunftsland, Leistungskategorie oder Altersgruppe;

(k)  Bewertung des Auftraggebers durch den Kunden (Kundenbewertung). 

(3) Der Kreis der durch den Umgang mit den personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst die Kunden des Auftraggebers und kann mit Blick auf die Vertragsabwicklung auch die Mitarbeiter des Auftraggebers betreffen.

(4) Die Verarbeitung der personenbezogenen Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

(5) Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der zuständigen Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

3   Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den gesetzlichen Anforderungen des Datenschutzes gerecht wird. Die vom Auftragnehmer bei der Auftragsdatenverarbeitung zu treffenden technischen und organisatorischen Sicherheitsmaßnahmen (Art. 32 DS-GVO) orientieren sich an folgenden Datenschutz-Geboten und werden wie nachfolgend dargestellt gewährleistet: 

(a)  Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle):

Insbesondere gewährleistet durch: Schlüssel, Schlüsselvergabe, elektrische Türöffner, Werkschutz, Pförtner (für das gesamte Gebäude).

(b) Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle):

Insbesondere gewährleistet durch: Abschließbarkeit der Datenstation; Vergabe von Benutzerpasswörtern; Verschlüsselung der Passwörter.

(c)  Es ist dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle):

Insbesondere gewährleistet durch: Benutzerspezifisch abgestufte Rechteverwaltung.

(d) Es ist dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle):

Insbesondere gewährleistet durch: Die Daten werden von dem Kunden des Auftraggebers selbst eingegeben und/oder übertragen. Dies geschieht über eine verschlüsselte SSL Verbindung.

(e)  Es ist dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle):

Insbesondere gewährleistet durch: Die Software vom Auftragnehmer verfügt über eine Benutzerverwaltung. Der Auftraggeber kann eigene Benutzer einrichten und festlegen, auf welche Bereiche der Software diese zugreifen dürfen. Es wird unter anderem erfasst, wann sich welcher Nutzer einloggt.

(f)   Es ist dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle):

Insbesondere gewährleistet durch: Festlegung von Kompetenzen u. Pflichten des Auftragnehmers u. Auftraggebers die Vereinbarung von Kontrollrechten und die betriebliche Organisation des Auftragnehmers.

(g) Es ist dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle):

Insbesondere gewährleistet durch: Backup-Verfahren; Spiegeln von Festplatten; Virenschutz / Firewall. Zudem unterbrechungsfreie Stromversorgung (USV) und Notfallplan beim Server-Provider (siehe §6 Abs. 2).

(h) Es ist dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle):

Insbesondere gewährleistet durch: Jeder Nutzer der Software erhält vom Auftragnehmer seinen eigenen Bereich, der von den anderen Bereichen getrennt ist. Es existiert eine Funktionstrennung zwischen Produktionsserver und internen Testservern. 

(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Unter der Voraussetzung, dass das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird, können alternative Maßnahmen durch den Auftragnehmer umgesetzt werden.

4   Berichtigung, Sperrung und Löschung von Daten

(1) Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren.

(2) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.

(3) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 – 22 sowie 32 und 36 DS-GVO.

5   Sonstige Pflichten des Auftragnehmers

Zusätzlich zu der Einhaltung der Regelungen dieses Auftrags übernimmt der Auftragnehmer nachfolgende Pflichten:

(a)  Der Auftragnehmer hat ein betrieblicher Datenschutzbeauftragter bestellt. Der Auftragnehmer veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf seiner Internetseite und teilt sie der Aufsichtsbehörde mit. Veröffentlichung und Mitteilung weist der Auftragnehmer auf Anforderung des Auftraggebers in geeigneter Weise nach.(b)    Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.(c)              Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 32 DS-GVO.

(d) Unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen.

(e)  Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags.

6   Unterauftragsverhältnisse

(1) Der Auftragnehmer ist berechtigt, Subunternehmer einzusetzen. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt. Er setzt den Auftraggeber hiervon unverzüglich in Kenntnis. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann.“

(2) Die nachfolgende Liste zeigt die Subunternehmer auf, welche im Rahmen der Dienstleistungen gemäß § 1 der AV für den Auftragnehmer tätig werden.

 

Subunternehmer

Anschrift

Dienstleistung / Tätigkeit

All-Inkl.com – Neue Medien Münich

Hauptstraße 68, D-02742 Friedersdorf

Server Provider für unsere Software

Scaling Technologies GmbH

Pfarrer-Hillmann-Weg 1, D-51069 Köln

Server Provider für unsere Software

Datapine GmbH

Friedelstraße 27, 12047 Berlin

Business Intelligence Tool

7   Kontrollrechte und Verantwortung des Auftraggebers

(1) Der Auftraggeber hat das Recht, eine Auftragskontrolle im Benehmen mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.

(2) Hinsichtlich der Kontrollverpflichtungen des Auftraggebers vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragnehmer sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen nach. Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann auch durch Vorlage eines aktuellen Testats oder von Berichten unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) erbracht werden.

(3) Der Auftraggeber ist im Hinblick auf das Vertragsverhältnis und die in dessen Durchführung vom Auftragnehmer zu verarbeitenden Daten für die Einhaltung sämtlicher datenschutzrechtlichen Vorschriften verantwortlich. Der Auftraggeber ist „Herr der Daten“.

8   Mitteilung bei Verstößen in der Sphäre des Auftragnehmers

(1) Bei einem Verdacht auf Datenschutzverletzungen oder einem Verdacht auf sicherheitsrelevante Vorfälle oder andere wesentliche Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde.

(2) Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen, sofern erforderlich.

(3) Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.

9   Weisungsbefugnis des Auftraggebers

(1) Es ist vereinbart, dass der Umgang mit den Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers erfolgt. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen.

(2) Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in Schrift- oder Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(3) Der Auftragnehmer ist verpflichtet, den Auftraggeber unverzüglich zu informieren, wenn er der Ansicht ist, eine Weisung des Auftraggebers verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

10  Rückgabe und Löschung von Daten

(1) Es besteht Einigkeit, dass nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrages – der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten hat. Dies gilt nicht, wenn nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(2) Der Auftragnehmer ist berechtigt, Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11  Haftung, Anwendbares Recht, Erfüllungsort, Gerichtsstand

(1) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.

(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

(3) Auf vorliegenden Vertrag findet deutsches Recht Anwendung.

(4) Erfüllungsort ist der Sitz des Auftragnehmers.

(5) Für Streitigkeiten aus diesem Vertrag ist ausschließlicher Gerichtsstand Berlin.

12  Schlussbestimmungen

(1) Mündliche Nebenabreden sind nicht getroffen. Änderungen, Ergänzungen und Zusätze dieses Vertrags haben nur Gültigkeit, wenn sie zwischen den Vertragsparteien schriftlich vereinbart werden. Dies gilt auch für die Abänderung dieser Vertragsbestimmung. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

(2) Sollte eine Bestimmung dieses Vertrags unwirksam sein oder werden, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht. Die Vertragsparteien sind verpflichtet, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt. Entsprechendes gilt im Fall einer Vertragslücke.