Base7-Datenverarbeitungsvertrag

Um die Rechte und Pflichten, die sich aus dem vertraglichen Datenverarbeitungsverhältnis ergeben, entsprechend der gesetzlichen Verpflichtung nach Art. 28 DSVGO schließen die Vertragsverwaltungen den folgenden Vertrag.

• der Betreff der Verarbeitung ergibt sich aus den Allgemeinen Geschäftsbedingungen (im Folgenden "Hauptvertrag" genannt), auf die hier Bezug genommen wird. Eine zusätzliche Verarbeitung personenbezogener Daten des Verantwortlichen Auftragsverarbeiters durch den Auftragsverarbeiter ist nicht vorgesehen.
• Die Verarbeitung der personenbezogenen Daten erfolgt ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union, in der Schweiz oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Jede Übermittlung in ein Drittland erfordert die vorherige dokumentierte Anweisung des Verantwortlichen (Art. 28 Abs. 3 Lit. a DSVGO) und darf nur erfolgen, wenn die besonderen Anforderungen des Art. 44 - 49 DSVGO erfüllt sind.

• Persönliche Stammdaten
• Kommunikationsdaten (z. B. Telefon, E-Mail)
• Daten aus dem Vertrag (Vertragsverhältnis, Produkt oder vertragliche Interessen)
• Verlauf des Kunden/Klientensystems
• Informationen zur Abrechnung des Vertrags und Zahlungsinformationen
• Informationen von Drittanbietern (z. B. Auskunfteien oder öffentliche Verzeichnisse)

• Kunden (Geschäftskunden)
• Kunden (Verbraucher)
• Potentielle Neukunden
• Mitarbeiter
• Lieferanten
• Die Laufzeit dieser Provision ("Laufzeit") entspricht der Laufzeit des Hauptvertrags.
• Ungeachtet der Bestimmungen des Hauptvertrags kann der Verantwortliche diesen Vertrag jederzeit fristlos kündigen, wenn der Auftragsverarbeiter in schwerwiegender Weise gegen die Bestimmungen dieses Vertrags verstoßen hat, wenn der Auftragsverarbeiter Anweisungen des Verantwortlichen nicht ausführen kann oder will oder wenn der Auftragsverarbeiter sich entgegen dem Vertrag weigert, dem Verantwortlichen im Rahmen von Inspektionen Informationen zu geben oder Zugang zu gewähren. Nach der Kündigung darf der Auftragsverarbeiter keine personenbezogenen Daten des Verantwortlichen mehr verarbeiten.

• Der Verantwortliche ist für die Regelkonformität der Daten verantwortlich, insbesondere für die Rechtmäßigkeit der Datenübermittlung an den Auftragsverarbeiter und für die Rechtmäßigkeit der Datenverarbeitung (Art. 4 Nr. 7 DSVGO). Der Auftragsverarbeiter darf die Daten nicht für andere Zwecke verwenden und ist insbesondere nicht berechtigt, sie an Drittanbieter weiterzugeben. Kopien und Duplikate werden nicht ohne das Wissen des Verantwortlichen angefertigt. Ausnahmen gelten nur in dem in Absatz 2 dieser Klausel genannten Umfang.
• Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Anweisung des Verantwortlichen, es sei denn, das Unionsrecht oder das Recht des Mitgliedstaates, dem der Auftragsverarbeiter unterliegt, stellt andere Anforderungen. Im Falle einer gegenteiligen Verpflichtung unterrichtet der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung unverzüglich über die entsprechenden gesetzlichen Vorschriften.
• Ist der Auftragsverarbeiter der Meinung, dass eine Anweisung gegen datenschutzrechtliche Bestimmungen verstößt, informiert er den Verantwortlichen unverzüglich gemäß Artikel 28 Absatz. 3 Satz 3 DSVGO. Der Auftragsverarbeiter ist berechtigt, die Ausführung des Auftrags auszusetzen, bis der Auftrag bestätigt oder geändert wurde.

Der Auftragsverarbeiter darf für die Ausführung der Arbeiten nur Personen beschäftigen, die sich zur Vertraulichkeit gemäß Art. 28 Abs. 3 Satz 2 Lit. b DSVGO und die sich zuvor mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht haben. Der Auftragsverarbeiter und alle ihm unterstellten Personen, die Zugang zu personenbezogenen Daten haben, dürfen diese Daten ausschließlich nach den Weisungen des Verantwortlichen verarbeiten, einschließlich der in dieser Vereinbarung übertragenen Befugnisse, es sei denn, sie sind gesetzlich verpflichtet, die Daten zu verarbeiten.

• Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz personenbezogener Daten gemäß Art. 28 Abs. 3 Lit. c DSVGO in Verbindung mit Art. 32 Abs. 1 DSVGO, um die Sicherheit der Verarbeitung durch den Auftragsverarbeiter zu gewährleisten. Zu diesem Zweck muss der Auftragsverarbeiter
• die Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme und Services im Zusammenhang mit der Verarbeitung auf Dauer zu gewährleisten,
• sicherzustellen, dass die Verfügbarkeit und der Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls schnell wiederhergestellt werden können; und
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung unterhalten.

Der Stand der Technik, die Kosten der Implementierung und die Art, der Umfang und der Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSVGO muss berücksichtigt werden.

• Die Vertragsparteien vereinbaren die in Anhang 1 "Technische und organisatorische Maßnahmen" zu diesem Vertrag festgelegten Maßnahmen zur Datensicherheit.
• Die technischen und organisatorischen Maßnahmen sind dem technischen Fortschritt und der Weiterentwicklung unterworfen. Dem Auftragsverarbeiter ist es gestattet, alternative angemessene Maßnahmen zu implementieren. Das Sicherheitsniveau darf nicht unter die festgelegten Maßnahmen fallen. Wesentliche Änderungen müssen dokumentiert und dem Verantwortlichen schriftlich mitgeteilt werden.

• Unterauftragnehmer im Sinne dieser Bestimmung sind vom Auftragsverarbeiter beauftragte Auftragsverarbeiter, deren Services unmittelbar der Erbringung des Haupt-Services zuzuordnen sind. Dazu gehören nicht die vom Auftragsverarbeiter in Anspruch genommenen zusätzlichen Services, z. B. Telekommunikationsdienste, Post-/Transportdienste und Reinigung. Der Auftragsverarbeiter ist jedoch verpflichtet, angemessene und gesetzeskonforme vertragliche Vereinbarungen und Kontrollmaßnahmen zu treffen, um den Datenschutz und die Datensicherheit der Daten des Verantwortlichen zu gewährleisten, auch im Falle ausgelagerter zusätzlicher Services.
• Die Auslagerung an Subunternehmer oder der Wechsel des bestehenden Subunternehmers ist zulässig, soweit:
• • der Auftragsverarbeiter den Verantwortlichen mit einer angemessenen Frist im Voraus schriftlich oder in Textform über eine solche Auslagerung an Unterauftragnehmer informiert und
  • der Verantwortliche bis zum Zeitpunkt der Übergabe der Daten an den Auftragsverarbeiter keinen Widerspruch gegen die geplante Auslagerung schriftlich oder in Textform einlegt.
• Mit dem Unterauftragnehmer ist eine vertragliche Vereinbarung gemäß Artikel zu treffen. 28 Abs. 3 und 4 DSVGO, die die Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit dieser Vereinbarung erfüllen. Der Verantwortliche hat das Recht, die Verträge des Auftragsverarbeiters mit Unterauftragnehmern einzusehen und vom Auftragsverarbeiter eine Kopie dieser Verträge zu verlangen.
• Erbringt der Auftragsverarbeiter den vereinbarten Service außerhalb der EU/des EWR, stellt er die datenschutzrechtliche Zulässigkeit durch geeignete Maßnahmen sicher.
• Weitere Auslagerungen durch den Unterauftragnehmer bedürfen der ausdrücklichen Zustimmung des Verantwortlichen (zumindest in Textform). Alle vertraglichen Bestimmungen in der Hotelkette müssen auch den anderen Unterauftragnehmern auferlegt werden.

• Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen zu unterstützen, um die Rechte der betroffenen Personen gemäß Art. 12 bis 22 DSVGO (Art. 28 Abs. 3 Satz 2 Lit. e DSVGO). Insbesondere unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung der Ansprüche der betroffenen Personen auf Löschung ihrer personenbezogenen Daten gemäß Artikel 17 DSVGO.
• Wenn betroffene Personen das Recht auf Datenübertragbarkeit gegenüber dem Verantwortlichen ausüben können, muss der Auftragsverarbeiter dafür sorgen, dass sie die Daten, die sie dem Verantwortlichen zur Verfügung gestellt haben, in einem strukturierten, allgemein gebräuchlichen und maschinenlesbaren Format erhalten können.
• Der Auftragsverarbeiter darf die Verarbeitung personenbezogener Daten nur nach dokumentierten Anweisungen des Verantwortlichen berichtigen, löschen oder restriktiv handhaben (Art. 28 Abs. 3 Satz 2 Lit. g DSVGO). Der Auftragnehmer darf Informationen an Drittanbieter oder die betroffenen Personen nur nach vorheriger schriftlicher Zustimmung des Verantwortlichen weitergeben.
• Wenn sich eine betroffene Person direkt an den Auftragsverarbeiter wendet, um ihre Rechte gemäß Artikel 12 bis 22 DSVGO geltend zu machen, leitet der Auftragsverarbeiter die Anfrage unverzüglich an den Verantwortlichen weiter.

• Wenn gemäß Art. 37 DSVGO, § 37 BDSG-neu, ist der Auftragsverarbeiter gesetzlich verpflichtet, einen Datenschutzbeauftragten zu benennen. Der Auftragsverarbeiter teilt dem Verantwortlichen die Kontaktdaten des Datenschutzbeauftragten zur direkten Kontaktaufnahme mit. Ein Wechsel des Datenschutzbeauftragten muss dem für die Verarbeitung Verantwortlichen unverzüglich gemeldet werden.

Als Datenschutzbeauftragter des Auftragsverarbeiters,

Herr Felix Hudy, intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg, Telefon: +49 40 790 235 - 278 | Mobil: +49 151 619 419 76 | E-Mail: FHudy@intersoft-consulting.de

ernannt worden. Der Ansprechpartner für Datenschutzfragen muss in der Lage sein, auf Anfrage des für die Verarbeitung Verantwortlichen den Nachweis zu erbringen, dass der Auftragsverarbeiter die Anforderungen der internationalen und nationalen Datenschutzgesetze einhält.

• Erhält der Auftragsverarbeiter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten, muss er den Verantwortlichen gemäß Art. 28 Abs. 3 Lit. f, Art. 33 Abs. 2 DSVGO. Das Gleiche gilt, wenn vom Auftragnehmer beschäftigte Personen gegen diese Vereinbarung verstoßen.
• Nach Rücksprache mit dem Verantwortlichen ergreift der Auftragsverarbeiter unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minimierung möglicher nachteiliger Folgen für die betroffenen Personen.
• Der Auftragsverarbeiter unterstützt den Verantwortlichen mit allen ihm zur Verfügung stehenden Informationen bei der Erfüllung der Informationspflichten gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSVGO und ggf. in Bezug auf die betroffenen Personen, die von der Verletzung des Schutzes personenbezogener Daten gemäß Art. 34 DSVGO.
• Der Auftragsverarbeiter unterstützt den Verantwortlichen mit allen ihm zur Verfügung stehenden Informationen bei der Datenschutz-Folgenabschätzung nach Art. 35 DSVGO und, falls erforderlich, nach vorheriger Rücksprache mit der zuständigen Aufsichtsbehörde gemäß Art. 36 DSVGO.
• Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über alle von der Aufsichtsbehörde durchgeführten Kontrollen und Maßnahmen, soweit sie zu dieser Vereinbarung gehören.

• Nach Abreise des Verantwortlichen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück und löscht die vorhandenen Kopien, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt die Speicherung der personenbezogenen Daten vor;
• Der Auftragsverarbeiter hat dem Verantwortlichen ohne ausdrückliche Aufforderung in Textform mit Datumsangabe nachzuweisen, dass er alle Datenträger und sonstigen Unterlagen an den Verantwortlichen zurückgegeben oder datenschutzgerecht vernichtet oder gelöscht hat und somit keine Daten des Verantwortlichen aufbewahrt.
• Der Auftragsverarbeiter bewahrt alle Unterlagen, die als Nachweis für die ordnungsgemäße und rechtmäßige Datenverarbeitung für den Verantwortlichen dienen, über das Ende des Vertrages hinaus auf. Der Auftragsverarbeiter kann sie bei Beendigung des Vertrags zu seiner Entlastung an den Verantwortlichen zurückgeben.

• Der Verantwortliche ist berechtigt, die technischen und organisatorischen Maßnahmen sowie die Regelkonformität mit dieser Vereinbarung und den Datenschutzbestimmungen vor und während der Erbringung von Services im Zusammenhang mit der Verarbeitung regelmäßig einzuchecken. Zu diesem Zweck kann der Verantwortliche oder ein beauftragter Prüfer die Datenverarbeitungsanlagen und die Datenverarbeitungssysteme des Auftragsverarbeiters überprüfen.
• Zu diesem Zweck ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen zu den üblichen Geschäftszeiten und mit einer angemessenen Vorankündigungsfrist Zugang zu den Räumlichkeiten zu gewähren, in denen die Daten des Verantwortlichen physisch oder elektronisch verarbeitet werden. Der Verantwortliche koordiniert die Inspektionen mit dem Auftragsverarbeiter so, dass die Betriebsabläufe des Auftragsverarbeiters so wenig wie möglich beeinträchtigt werden.
• Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die technischen und organisatorischen Maßnahmen sowie die Regelkonformität mit dieser Vereinbarung und den Datenschutzbestimmungen nachzuweisen. Zu diesen Informationen gehören insbesondere aktuelle Bescheinigungen, Berichte oder Berichtsauszüge von unabhängigen Stellen (z. B. Finanzprüfer, externe Experten, IT-Sicherheits- oder Datenschutzprüfer) und eine geeignete Zertifizierung (z. B. gemäß dem Grundschutz des BSI - Bundesamt für Sicherheit in der Informationstechnik). Der Auftragnehmer stellt dem Verantwortlichen unverzüglich spezifische Informationen für den jeweiligen Einzelfall zur Verfügung.

• Gemäß Art. 82 Abs. 1 DSVGO haften der Verantwortliche und der Auftragsverarbeiter im Außenverhältnis für materielle und immaterielle Schäden, die einer Person durch einen Verstoß gegen die DSVGO entstehen. Wenn sowohl der Verantwortliche als auch der Auftragsverarbeiter für einen solchen Schaden gemäß Art. 82 Abs. 2 DSVGO, haften die Parteien im Innenverhältnis für diesen Schaden im Verhältnis zu ihrem Anteil an der Verantwortung. Wenn in einem solchen Fall eine Person einen Schadensersatzanspruch ganz oder teilweise gegen eine der Parteien geltend macht, kann die andere Partei von der anderen Partei eine Entschädigung oder einen Ausgleich in dem Umfang verlangen, der ihrem Anteil an der Verantwortung entspricht.
• Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen auch für die Regelkonformität der Unterauftragnehmer verantwortlich, die er zur Erfüllung seiner Aufgaben einsetzt. Das Verschulden von Subunternehmern wird dem Auftragsverarbeiter so zugerechnet, als wäre es sein eigenes Verschulden.
• Der Auftragsverarbeiter unterstützt den Verantwortlichen mit allen ihm zur Verfügung stehenden Informationen, wenn der Verantwortliche einem Verwaltungs- oder Strafverfahren, der Haftung einer betroffenen Person oder eines Drittanbieters oder einem anderen Anspruch im Zusammenhang mit der Verarbeitung von Daten beim Auftragsverarbeiter ausgesetzt ist.

• Datenträger und Datensätze, die dem Auftragsverarbeiter zur Verfügung gestellt werden, bleiben im Eigentum des Verantwortlichen.
• Sollten einzelne oder mehrere Klauseln dieser Vereinbarung unwirksam sein, wird die Wirksamkeit der übrigen Vereinbarung nicht berührt. Für den Fall, dass einzelne oder mehrere Bestimmungen des Vertrages unwirksam sind, werden die Parteien die unwirksame Bestimmung unverzüglich durch eine Bestimmung ersetzen, die der unwirksamen Bestimmung unter Berücksichtigung der wirtschaftlichen Interessen und des Datenschutzes am nächsten kommt.
• Im Falle eines Widerspruchs zwischen der Hauptvereinbarung und dieser Vereinbarung hat diese Vereinbarung Vorrang, soweit der Widerspruch die Verarbeitung personenbezogener Daten betrifft.
• Alle Services, die der Auftragsverarbeiter im Zusammenhang mit der Erfüllung seiner Verpflichtungen aus diesem Vertrag erbringt, werden mit der Vergütung aus dem Hauptvertrag abgerechnet.
• Die folgenden Anhänge sind integraler Bestandteil dieser Vereinbarung
• Anhang 1 "Technische und organisatorische Maßnahmen"
• Anhang 2 "Genehmigte Unterauftragnehmer"