Datenschutz
Präambel, Definitionen
PERSONENBEZOGENE DATEN (alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (Betroffener) beziehen, wobei identifizierbar solche Personen sind, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden können Art. 4 Nr. 1 DSGVO) dürfen sowohl durch den AUFTRAGGEBER wie auch durch den AUFTRAGNEHMER ausschließlich im Rahmen der gesetzlichen Bestimmungen, insbesondere der der Datenschutzgrundverordnung der EU (DSGVO) erhoben, verarbeitet oder genutzt werden.
Auftragsverarbeitung ist das Erheben, Erfassen, Ordnen, Organisieren, die Speicherung, Anpassung, Veränderung, das Auslesen, Abfragen, die Verwendung, das Offenbaren durch Übermittlung, die Verbreitung oder eine andere Formen der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung PERSONENBEZOGENER DATEN im Auftrag des AUFTRAGGEBERS als Verantwortlicher im Sinne der DSGVO durch den AUFTRAGNEHMER im Auftrag und nach Weisung des AUFTRAGGEBERS. Auch die Systemwartung oder Beratung in
IT-Angelegenheiten ist als Auftragsdatenverarbeitung anzusehen, sofern dabei ein Zugriff auf PERSONENBEZOGENE DATEN nicht ausgeschlossen werden kann.
1. Umfang der Auftragsverarbeitung
Gegenstand der Auftragsverarbeitung, Umfang, Art und Zweck der Auftragsverarbeitung, Art der PERSONENBEZOGENEN DATEN und Kreis der Betroffenen sind in Anlage 1 zu dieser Vereinbarung aufgeführt.
2. Zulässigkeit der Datenverarbeitung, Schriftform des Auftrages, Weisungsrecht
2.1. Der AUFTRAGGEBER ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den AUFTRAGNEHMER sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich.
2.2. Der AUFTRAGGEBER erteilt alle Aufträge oder Teilaufträge schriftlich. Sollte Gegenstand / Inhalt des HAUPTVERTRAGES nachträglich geändert werden, haben die Änderungen auch in Bezug auf die Auftragsverarbeitung schriftlich zu erfolgen.
2.3.Der AUFTRAGGEBER ist, soweit der Zugriff auf seine PERSONENBEZOGENEN DATEN betroffen ist, gegenüber dem AUFTRAGNEHMER weisungsbefugt.
2.4. Der Umgang mit den Daten des AUFTRAGGEBERS erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen (in der hier vorliegenden Vereinbarung sowie im HAUPTVERTRAG) und nach dessen Weisung. Der AUFTRAGGEBER behält sich im Rahmen der getroffenen Vereinbarungen ein Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor. Sofern eine Weisung des AUFTRAGGEBERS Auswirkungen auf die Erfüllung der vertraglichen Verpflichtungen des AUFTRAGNEHMERS aus dem HAUPTVERTRAG hat, wird der AUFTRAGNEHMER den AUFTRAGGEBER hierauf hinweisen.
2.5. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder Betroffene darf der AUFTRAGNEHMER nur nach vorheriger schriftlicher Zustimmung durch den AUFTRAGGEBER erteilen.
2.6. Weisungen des AUFTRAGGEBERS haben schriftlich oder in Textform zu erfolgen. Weisungsberechtigte Personen des AUFTRAGGEBERS und Weisungsempfangsberechtigte auf Seiten des AUFTRAGNEHMERS sind in Anlage 1 genannt.
2.7. Ein Wechsel oder die längerfristige Verhinderung der Weisungsberechtigten bzw. Weisungsempfangsberechtigten ist der jeweils anderen Seite unverzüglich schriftlich oder in Textform mitzuteilen.
3. Anforderungen des Datenschutzes an den AUFTRAGNEHMER
3.1. Der AUFTRAGNEHMER verarbeitet PERSONENBEZOGENE DATEN ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des AUFTRAGGEBERS. Er hat PERSONENBEZOGENE DATEN zu berichtigen, zu löschen und zu sperren, wenn und soweit dies der AUFTRAGGEBER verlangt.
3.2. Der AUFTRAGNEHMER verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen als die vereinbarten Zwecke. Kopien oder Duplikate der PERSONENBEZOGENEN DATEN dürfen nur im Rahmen des Erforderlichen hergestellt werden..
3.3. Der AUFTRAGNEHMER wird seinerseits nur denjenigen seiner Mitarbeiter Zugriff auf die PERSONENBEZOGENEN DATEN gewähren, die diesen zur Erfüllung des Vertrages benötigen. Auf Verlangen des AUFTRAGGEBERS weist der AUFTRAGNEHMER ein entsprechendes Zugriffs- und Berechtigungskonzept nach.
3.4. Der AUFTRAGNEHMER wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des AUFTRAGGEBERS treffen, die den Anforderungen der Art. 32 DSGVO genügen. Der AUFTRAGNEHMER hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem AUFTRAGGEBER sind diese technischen und organisatorischen Maßnahmen (Anlage 2) bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich oder in Textform zu vereinbaren. Falls durch den AUFTRAGNEHMER ein Subunternehmer beauftragt werden soll, gelten die in der Anlage 2 bezeichneten Anforderungen ebenso für den Subunternehmer. Die Zulässigkeit der Beauftragung eines Subunternehmers ist in Ziff. 3.6 geregelt. Der AUFTRAGNEHMER führt ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung und kann auf Anfrage nachweisen, die Pflichten aus Art. 32 I d ) DSGVO einzuhalten.
3.5. Der AUFTRAGNEHMER verpflichtet sich, dem AUFTRAGGEBER die Möglichkeit einzuräumen, die Umsetzung der Anforderungen dieser Vereinbarung und des Bundesdatenschutzgesetzes in den Geschäftsräumen des AUFTRAGNEHMERS jederzeit – nach angemessener Vorankündigungsfrist – zu überprüfen. Dazu gewährt der AUFTRAGNEHMER dem AUFTRAGGEBER bzw. von diesem bestellten zur Berufsverschwiegenheit verpflichteten Dritten der rechts- und steuerberatenden Berufe Zugang zu den Geschäftsräumen während der üblichen Geschäftszeit, sowie Zugang zu allen dem Auftragsverhältnis unterfallenden Daten unter Berücksichtigung der Geschäftsgeheimnisse und Know How des AUFTRAGNEHMERS.
3.6. Die Zulässigkeit der Beauftragung von Subunternehmern richtet sich nach den Regelungen des HAUPTVERTRAGES. Soweit eine solche Beauftragung zulässig ist, hat der AUFTRAGNEHMER seinerseits vertraglich sicherzustellen, dass die in dieser Vereinbarung geregelten Bestimmungen auch gegenüber den Subunternehmern gelten und der AUFTRAGGEBER die Einhaltung der Bestimmungen dieser Vereinbarung jederzeit beim Subunternehmer überprüfen kann.
3.7. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des AUFTRAGGEBERS. Dies gilt entsprechend, wenn durch den AUFTRAGNEHMER ein Subunternehmer beauftragt werden sol.
3.8. Der AUFTRAGNEHMER wird den AUFTRAGGEBER unverzüglich darauf aufmerksam machen, wenn eine vom AUFTRAGGEBER erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der AUFTRAGNEHMER ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch einen Weisungsberechtigten bestätigt oder geändert wird. Wenn dem AUFTRAGNEHMER eine Verletzung des Schutzes PERSONENBEZOGENER DATEN bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
3.9. Nach Abschluss der vertraglichen geschuldeten Arbeiten hat der AUFTRAGNEHMER sämtliche in seinen Besitz gelangten Datenträger, Unterlagen sowie Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem AUFTRAGGEBER auszuhändigen. Der AUFTRAGNEHMER verpflichtet sich, das Datenmaterial nicht über die zur Auftragserfüllung hinausgehenden Zeiträume zu speichern. Test- und Ausschussmaterial ist nach Auftragserfüllung unverzüglich zu vernichten. Auf Verlangen des AUFTRAGGEBERS ist die Rückgabe, Löschung bzw. Vernichtung der vorgenannten Daten schriftlich oder in Textform zu bestätigen. Die Bestätigung hat sich gegebenenfalls auch auf die Erfüllung der vorstehenden Verpflichtung durch den Subunternehmer zu erstrecken.
3.10. Ausgenommen von vorstehender Verpflichtung sind Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung bzw. Vertragserfüllung dienen oder die gesetzlichen Aufbewahrungsvorschriften bzw. automatischen Sicherheitskopien unterliegen; diese sind durch den AUFTRAGNEHMER entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Die datenschutzrechtlichen Verpflichtungen zum Schutz der Daten bleiben unberührt.
4. Datenschutzbeauftragte des AUFTRAGNEHMERS
-
5. Verpflichtung auf das Datengeheimnis, Auskünfte
Der AUFTRAGNEHMER bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der AUFTRAGNEHMER hat mit der gebotenen Sorgfalt darauf hinzuwirken, dass alle Personen, die von ihm mit der Verarbeitung oder Nutzung der personenbezogenen Daten zur Erfüllung des zugrunde liegenden Vertrages betraut sind, die gesetzlichen Bestimmungen über den Datenschutz beachten und die vom AUFTRAGGEBER bzw. von dessen Kunden erlangten personenbezogenen Daten nicht an Dritte weitergeben oder sonst verwerten werden. Zu diesem Zwecke verpflichtet sich der AUFTRAGNEHMER gegenüber dem AUFTRAGGEBER, die bei ihm Beschäftigten auf die Einhaltung des Datengeheimnisses zu verpflichten. Auf Verlangen des AUFTRAGGEBERS weist der AUFTRAGNEHMER die Verpflichtung seiner Mitarbeiter in schriftlicher Form nach.
6. Vertragsdauer, Kündigung
Dieser Vertrag tritt mit Unterzeichnung in Kraft und wird für die Zeit des HAUPTAUFTRAGES geschlossen. Er kann von beiden Seiten mit einer Frist von sechs Wochen zum Jahresende gekündigt werden. Wird dieser Vertrag vor Beendigung des Hauptvertrages gekündigt, so ist - je nach den Auswirkungen dieser Kündigung auf die Erfüllung des Hauptvertrages - eine Anpassung des HAUPTVERTRAGES zu vereinbaren oder der HAUPTVERTRAG außerordentlich zu kündigen, sofern dessen Erfüllung durch die Kündigung unzumutbar erschwert oder unmöglich wird.
Das Recht beider PARTEIEN zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
7. Haftung
Bezüglich der Haftung für Schäden, die der AUFTRAGNEHMER, seine Beschäftigten bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen, gelten die Regelungen aus dem HAUPTVERTRAG entsprechend. Der AUFTRAGGEBER hat sicherzustellen, dass von seinen Daten regelmäßige maschinenlesbare Sicherungskopien erstellt werden, welche im Falle eines Datenverlustes mit angemessenem Aufwand eine Rekonstruktion der Daten des AUFTRAGGEBERS ermöglichen. Eine Haftung des AUFTRAGNEHMERS für Datenverluste des AUFTRAGGEBERS ist daher grds. ausgeschlossen. Der AUFTRAGNEHMER übernimmt jedoch die Kosten der Daten-Rekonstruktion, wenn der Datenverlust nachweislich aufgrund einer vertragswidrigen Datenverarbeitung eintrat und der AUFTRAGGEBER seiner vorgenannten Datensicherungspflicht nachgekommen ist. Dies gilt nicht für die Haftung für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer vorsätzlichen oder fahrlässigen Pflichtverletzung des AUFTRAGNEHMERS beruhen oder bei Verletzung des Produkthaftungsgesetzes, der Übernahme einer Garantie oder eines Beschaffungsrisikos.
Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitungen im Rahmen des Auftragsverhältnisses erleidet, ist der AUFTRAGGEBER gegenüber den Betroffenen nach § 83 BDSG (neu) verantwortlich.
8. Sonstiges
8.1. Sollten die Daten des AUFTRAGGEBERS bzw. dessen Kunden beim AUFTRAGNEHMER oder Subunternehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AUFTRAGNEHMER den AUFTRAGGEBER unverzüglich darüber zu informieren. Der AUFTRAGNEHMER wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit an den Daten beim AUFTRAGGEBER liegt.
8.2. Änderungen und Ergänzungen dieses Vertrages und aller seiner Bestandteile bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
8.3. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ganz oder teilweise unwirksame Regelung soll durch eine Regelung ersetzt werden, die dem Sinn und Zweck der Unwirksamkeit möglichst nahe kommt und die die PARTEIEN vereinbart hätten, wenn sie die Unwirksamkeit gekannt hätten. Entsprechendes gilt, wenn in dieser Vereinbarung eine Lücke offenbart werden sollte.
8.4. Es gilt deutsches Recht unter Ausschluss des CISG (UN-Kaufrecht).
8.5. Gerichtsstand ist der Sitz des AUFTRAGNEHMERS. Es bleibt den PARTEIEN unbenommen, die jeweils andere PARTEI am allgemeinen Gerichtsstand zu verklagen.