Vereinbarung zur Auftragsverarbeitung

zwischen
Ihnen (Auftraggeber)
und
Onepage GmbH Neue Rothofstr. 13 -19 60313 Frankfurt am Main (Auftragsverarbeiter)

Präambel

Der Auftraggeber wird einen Reseller mit der Durchführung von Leistungen beauftragen (fortan Hauptvertrag), die u.a. die weisungsgebundene Verarbeitung personenbezogener Daten durch den hiesigen Auftragsverarbeiter umfassen. Daher ist – zusätzlich zum Hauptvertrag – eine ergänzende Beauftragung i.S.v. Artikel 28 DSGVO erforderlich, die aus dieser Vertragsurkunde folgt.

§ 1 Begriffsbestimmungen

  • Es gelten die Begriffsbestimmungen aus der Datenschutzgrundverordnung, in ihrer jeweils geltenden Fassung.
  • Für den Fall der Änderung und/oder Ersetzung der Datenschutzgrundverordnung gilt folgendes:
    • Soweit die hiesige Vertragsurkunde Bezug auf das dann alte Recht nimmt, gilt dies fortan als Verweis auf die entsprechenden Vorschriften nach dem geänderten Recht. Soweit es dann im neuen Recht keine entsprechenden Vorschriften gibt, fallen die damit verbundenen Regelungen weg.
    • Soweit diese Vertragsurkunde Bezug auf Begriffe nimmt, die in dem geänderten Recht so nicht verwendet werden, gilt dies fortan als Verweis auf die entsprechenden Begriffe in dem dann neuen Recht. Soweit es dann im neuen Recht keine entsprechenden Vorschriften gibt, fallen die damit verbundenen Regelungen weg.

§ 2 Vertragsgegenstand, Art der Daten, Kreis der Betroffenen, Zustandekommen dieser Vereinbarung

  • Der Auftragsverarbeiter stellt dem Auftraggeber die SaaS-Lösung Onepage auf Grundlage des Vertrags zur Nutzung von Onepage („Hauptvertrag“) zur Verfügung. Dabei erhält der Auftragsverarbeiter Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragsverarbeiter ergeben sich aus dem Hauptvertrag (und der dazugehörigen Leistungsbeschreibung). Die Weisungen sind beiderseits in Schrift- oder Textform zu dokumentieren, wobei die Weisung auch durch Eingaben und Modifikationen innerhalb des SaaS-internen Bereichs vorgenommen werden können. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragsverarbeiter und seine Beschäftigten oder durch den Auftragsverarbeiter Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
  • Im Rahmen der Durchführung des Hauptvertrages verarbeitet der Auftragsverarbeiter personenbezogene Daten folgender Betroffenengruppen: potentielle Bewerber, aktuelle Bewerber, ehemalige Bewerber, aktuelle Beschäftigte, ehemalige Beschäftigte, Besucher der Internetseite, potentielle Veranstaltungsnehmer, aktuelle Veranstaltungsteilnehmer, ehemalige Veranstaltungsteilnehmer, potentielle Kunden, aktuelle Kunden, ehemalige Kunden, potentielle Lieferanten, aktuelle Lieferanten, ehemalige Lieferanten, Empfänger werblicher Nachrichten.
  • Im Rahmen der Durchführung des Hauptvertrages verarbeitet der Auftragsverarbeiter die folgenden Kategorien personenbezogener Daten: Erreichbarkeits- und Kontaktdaten, Status Opt-in/Opt-put, tagging-pixel-basierte Daten, Informationen zum Nutzungsverhalten, vertrags- und nicht vertragsbezogene Beschäftigten-, Kunden- und/oder Lieferantendaten.
  • Zusätzlich zu den Festlegungen in den Absätzen 3 und 4 konkretisiert der Hauptvertrag und ggf. dessen Ergänzungen die Kategorien der Betroffenen und der personenbezogenen Daten.
  • Durch Setzen des Häckchens neben dem Feld mit dem Satz „Hiermit beauftrage ich die Onepage GmbH gemäß Artikel 28 DSGVO” kommt diese Vereinbarung zustande.

§ 3 Technische und Organisatorische Schutzmaßnahmen des Auftragsverarbeiters

  • Der Auftragsverarbeiter beachtet die gesetzlichen Bestimmungen über den Datenschutz und wird die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weitergeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
  • Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
  • en bei der Datenverarbeitung durch den Auftragsverarbeiter beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragsverarbeiter wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Beschäftigten und dem Auftragsverarbeiter bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

§ 4 Informationspflichten des Auftragsverarbeiters

  • Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragsverarbeiters, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragsverarbeiter den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragsverarbeiters durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
    • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
    • eine Beschreibung der von dem Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
  • Der Auftragsverarbeiter trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
  • Der Auftragsverarbeiter ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
  • Sollten die Daten des Auftraggebers beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragsverarbeiter wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DS-GVO liegen.
  • Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 3 Abs. 2 hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu unterrichten.
  • Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.
  • Der Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DS-GVO enthält. Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
  • An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragsverarbeiter im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.

§ 5 Kontrollrechte des Auftraggebers

  • Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig in einem Zeitraum, den er nach eigenem Ermessen definiert und dem Auftragsverarbeiter mitteilt, von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters. Hierfür kann er z. B. Auskünfte des Auftragsverarbeiters einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragsverarbeiters dabei nicht unverhältnismäßig stören. Für den Fall, dass der Auftragsverarbeiter hierdurch in einem Kalendermonat mehr als zwei Zeitstunden an Mitwirkungstätigkeit aufwenden muss, vergütet der Auftraggeber den zusätzlichen Zeitaufwand mit einem Stundensatz von 100,00 € (netto) bei minutengenauer Abrechnung.
  • Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragsverarbeiters erforderlich sind.
  • Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragsverarbeiter mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragsverarbeiter unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragsverarbeiter die notwendigen Verfahrensänderungen unverzüglich mit.
  • Der Auftragsverarbeiter stellt dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung.
  • Der Auftragsverarbeiter weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 3 Absatz 4 auf Verlangen nach.

§ 6 Einsatz von Subunternehmern

  • Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung von Subunternehmern durchgeführt. Der Auftragsverarbeiter ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt. Er setzt den Auftraggeber hiervon unverzüglich in Kenntnis. Der Auftragsverarbeiter ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragsverarbeiter hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragsverarbeiter sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragsverarbeiter wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
  • Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
  • Der Anbieter Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043 gilt für die Bereitstellung von Cloud-Leistungen als genehmigt.

§ 7 Anfragen und Rechte Betroffener

  • Der Auftragsverarbeiter unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DS-GVO.
  • Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragsverarbeiter geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.

§ 8 Haftung

  • Der Auftragsverarbeiter haftet – im Innenverhältnis – nur für Schäden, die von ihm und seinen Erfüllungsgehilfen vorsätzlich oder grob fahrlässig begangen wurden.
  • Soweit dem Auftragsverarbeiter keine vorsätzliche Vertragsverletzung angelastet wird, ist die Schadensersatzhaftung auf den vorhersehbaren, typischerweise eintretenden Schaden begrenzt.
  • Die Haftungsbeschränkungen in dieser Vertragsurkunde gelten nicht für Schadenersatzansprüche aus Verletzung des Lebens, des Körpers oder der Gesundheit, insoweit haftet der Auftragsverarbeiter für jeden von ihm oder seinen Erfüllungsgehilfen vorsätzlich oder fahrlässig verursachten Schaden. Darüber hinaus haftet der Auftragsverarbeiter aufgrund sonstiger zwingender gesetzlicher Vorschriften.

§ 9 Beendigung des Hauptvertrags

  • Der Auftragsverarbeiter wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragsverarbeiter. Der Auftragsverarbeiter hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen sind zu vernichten. Zu entsorgende Datenträger sind ebenfalls zu vernichten.
  • Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragsverarbeiter in geeigneter Weise zu kontrollieren.
  • Der Auftragsverarbeiter ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragsverarbeiter über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.

§ 10 Schlussbestimmungen

  • Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Form nach Artikel 28 Absatz 9 DSGVO.
  • Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
  • Diese Vereinbarung unterliegt deutschem Recht.
  • Diese Vereinbarung kommt zustande, in dem Sie dies beim Registrierungsprozess durch Setzen eines Häckchens vor dem Feld, das mit „Vereinbarung zur Auftragsverarbeitung abschließen.“