Auftragsverarbeitungsvertrag
Auftragsverarbeitungsvertrag
zwischen der/dem
Dirk Hill Kommunikations- und Personalberatung
Adolph Kolping Strasse 16
63128 Dietzenbach
– Auftragsverarbeiter im Sinne der DS-GVO,
nachstehend „Auftragnehmer“ genannt –
und
TARIFCHECK24 GmbH, Zollstraße 11b, 21465 Wentorf bei Hamburg
vertreten durch den Geschäftsführer Jan Schust
– Verantwortlicher im Sinne der DS-GVO,
nachstehend „Auftraggeber“ genannt –
Präambel
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Dieser Vertrag zur Auftragsverarbeitung (nachfolgend: AV-Vertrag) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Vertrag über das CHECK24- Partnerprogrammvertrag nebst der diesen konkretisierenden allgemeinen Geschäftsbedingungen (im Folgenden Hauptvertrag) beschriebenen Auftragsverarbeitung ergeben.
Sämtliche in diesem Vertrag beschriebenen Verpflichtungen finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen bzw. kommen können. Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt. Damit ist demnach jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung gemeint.
§ 1 Gegenstand des Auftrags
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Rahmen von Formularen/iFrames oder anderen Werbemitteln im Internet im Rahmen des mit dem Auftraggeber vereinbarten Umfangs, aber auch nach eigenem Ermessen des Auftragnehmers, soweit in den geltenden AGB des Auftraggebers nichts anderes geregelt ist. Gegenstand des Auftrags ist tatsächlich die originäre Verarbeitung von personenbezogenen Daten durch den Auftragnehmer. Bei der Leistungserbringung des Auftragnehmers als Datensatzbeschaffer bezüglich des im Partnerprogramm jeweilig angebotenen Produktes, werden die Datensätze über das Partnerprogramm verarbeitet und unmittelbar beim Auftraggeber, oder aber bei einem seiner Auftraggeber, gespeichert und weiterverarbeitet. Die Datensätze werden durch den Auftragnehmer über seine Webseite, Newsletter oder in sonstiger Form generiert. Auch wenn die Speicherung in der Regel beim Auftraggeber erfolgt, kann ein Zugriff auf personenbezogene Daten durch den Auftragnehmer in manchen Fällen nicht ausgeschlossen werden.
(2) Die Erbringung der vertraglich vereinbarten Datenverarbeitung durch den Auftragnehmer findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
§ 2 Art der personenbezogenen Daten, Kreis der betroffenen Personen, Art des Zugriffs durch den Auftragnehmer
(1) Art der personenbezogenen Daten sind insbesondere:
- Kundendaten/Stammdaten
- Partner-ID
- Kommunikationsdaten (Fax- und Telefonnummer, E-Mail, IP-Adressen)
- Vertragsstammdaten (z.B. Verträge und Vertragsänderungen)
- Abrechnungs- und Zahlungsdaten
(2) Bei den Betroffenen dieser Daten handelt es sich insbesondere um:
- Partner/Affiliates des Auftraggeber, u.U. Mitarbeiter des Auftragnehmers
- Kunden und potentielle Kunden des Auftraggebers für das jeweilige Produkt des Partnerprogramms (Endverbraucher)
(3) Der Zugriff auf Daten des Auftraggebers ergibt sich aus den Leistungsbeschreibungen des Hauptvertrags. Da die Speicherung und Weiterbearbeitung der Daten ausschließlich beim Auftraggeber oder dessen Auftraggeber erfolgt, gibt es einen Zugriff durch den Auftragnehmer in der Regel nicht. Etwas anderes gilt nur in dem Fall, dass der jeweilige Affiliatepartner diesen Zugriff bereits vor oder bei Verwendung des Partnerprogramms ohnehin hat oder etwa zur Berechnung oder Überprüfung der Provisionsbeteiligungen durch zur Verfügung gestellter Übersichten durch den Auftraggeber bzw. dessen Auftraggeber.
§ 3 Dauer des Auftrags
(1) Die Laufzeit dieses AV-Vertrages entspricht der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen des AV-Vertrages nicht etwas anderes ergibt. Den Vertragspartnern ist bewusst, dass ohne Vorliegen eines gültigen AV-Vertrages grundsätzlich keine weitere Auftragsverarbeitung durchgeführt werden darf.
(2) Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Kündigungen müssen schriftlich (Fax oder E-Mail ausreichend) erfolgen.
§ 4 Verantwortlichkeit, Vertraulichkeit
(1) Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich (Art. 4 Nr. 7 DS-GVO).
(2) Die Vertragspartner werden zur Durchführung des Vertrages nur solche Mitarbeiter oder sonstige Erfüllungsgehilfen einsetzen, die zuvor auf die Vertraulichkeit sowie die Verschwiegenheit (u.U. auch gemäß § 203 StGB) verpflichtet und mit den einschlägigen Datenschutzbestimmungen vertraut gemacht worden sind. Dabei ist auch darauf hinzuweisen, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht.
§ 5 Weisungsbefugnis des Auftraggebers
(1) Die Datenverarbeitung durch den Auftragnehmer erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung und/oder AGB des Auftraggebers. Ausgenommen hiervon sind Sachverhalte, in denen dem Auftragnehmer eine Verarbeitung aus zwingenden rechtlichen Gründen auferlegt wird. In diesem Fall wird der Auftragnehmer den Auftraggeber – sofern möglich – vor Beginn der Verarbeitung über die rechtlichen Anforderungen informieren.
(2) Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorgaben verstößt, informiert er gemäß Art. 28 Abs. 3 S.3 DS-GVO den Auftraggeber. Bis zur Klärung der Sach- und Rechtslage ist der Auftragnehmer in diesem Fall dazu berechtigt, die Ausführung der Weisung zu verweigern.
(3) Führt eine Weisung zu einer wesentlichen Änderung des Vertragsgegenstands oder einer wesentlichen Verfahrensänderung, so steht dem Auftragnehmer ein Widerspruchsrecht zu. Besteht der Auftraggeber trotz des Widerspruchs des Auftragnehmers auf die Änderung, steht dem Auftragnehmer ein außerordentliches Kündigungsrecht bezüglich des AV-Vertrages sowie des von der Weisung betroffenen Bestandteils des Hauptvertrages zu.
(4) Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen datenschutzrechtliche Vorschriften verstößt, informiert er gemäß Art. 28 Abs. 3 S. 3 DSGVO unverzüglich den Auftraggeber. Bis zur Bestätigung oder Änderung der entsprechenden Weisung ist der Auftragnehmer berechtigt, die Durchführung der Weisung auszusetzen.
§ 6 Technisch-organisatorische Maßnahmen
(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
(2) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
(4) Eine Darstellung der vom Auftragnehmer gegenwärtig getroffenen technisch-organisatorischen Maßnahmen wird auf Anfrage unverzüglich zur Verfügung gestellt.
§ 7 Sonstige Pflichten des Auftragnehmers
(1) Ist der Auftragnehmer nach Maßgabe des Art. 37 DS-GVO verpflichtet, soweit erforderlich einen Datenschutzbeauftragten zu benennen, der seine Tätigkeit gemäß der Art. 38 und 39 DS-GVO ausübt, wird er diesen auf seiner Internetseite und auch dem Auftraggeber gegenüber benennen. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.
(2) Der Auftragnehmer führt ein Verzeichnis von Verarbeitungstätigkeiten im Sinne von Art. 30 Abs. 2 DS-GVO und stellt dieses der Aufsichtsbehörde auf Anfrage zur Verfügung.
(3) Der Auftragnehmer unterstützt den Auftraggeber mit allen ihm zur Verfügung stehenden Informationen bei der Erfüllung der Informationspflichten gegenüber der zuständigen Aufsichtsbehörde (Art. 33 DS-GVO) und ggfs. gegenüber den von der Verletzung des Schutzes personenbezogener Daten Betroffenen (Art. 34 DS-GVO). Er unterstützt den Auftraggeber bei der Datenschutzfolgeabschätzung (Art. 35 DS-GVO) sowie bei einer ggfs. erforderlichen Konsultation der Aufsichtsbehörde (Art. 36 DS-GVO). Der Auftragnehmer unterstützt den Auftraggeber ferner bei der Bereitstellung von Informationen, die für die Erteilung von Auskünften zur Erhebung, Verarbeitung oder Nutzung gegenüber betroffenen Personen erforderlich sind. Für Unterstützungsleistungen, die nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung in angemessenem Umfang verlangen.
(4) Dem Auftragnehmer bekannt gewordene Verletzungen des Schutzes personenbezogener Daten wird dieser unverzüglich dem Auftraggeber melden. In einem solchen Fall trifft der Auftragnehmer nach Absprache mit dem Auftraggeber unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die Betroffenen.
(5) Die Vertragspartner arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Der Auftragnehmer wird den Auftraggeber über auf diesen Auftrag bezogene Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden unverzüglich informieren.
(6) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technisch-organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist.
§ 8 Unterauftragsverhältnisse
(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
(2) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung weitere Auftragsverarbeiter im Sinne des Art. 28 DS-GVO in Anspruch zu nehmen. Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter vorab informieren. Der Auftraggeber kann gegen derartige Änderungen Einspruch einlegen, wenn aus seiner Sicht begründete Anhaltspunkte dafür bestehen, dass die beabsichtigte Auslagerung gegen datenschutzrechtliche Bestimmungen verstößt. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder – sofern die Erbringung der Leistung ohne die beabsichtigte Änderung dem Auftragnehmer nicht zumutbar ist – die von der Änderung betroffene Leistung gegenüber dem Auftraggeber innerhalb von vier Wochen nach Zugang des Einspruchs kündigen.
(3) Der Auftragnehmer wird beim Einsatz von Subunternehmern den weiteren Dienstleister dieselben Datenschutzpflichten aufzuerlegen, die auch in diesem Vertrag festgelegt sind.
§ 9 Löschung und Rückgabe von personenbezogenen Daten
(1) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten, sofern dem keine den Auftragnehmer betreffenden gesetzlichen Aufbewahrungspflichten entgegenstehen. Ein Protokoll der Löschung ist auf Anforderung vorzulegen.
(2) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, dürfen durch den Auftragnehmer über das Vertragsende hinaus aufbewahrt werden. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
(3) Entstehen nach Vertragsbeendigung zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt diese der Auftragnehmer.
§ 10 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu den jeweils üblichen Geschäftszeiten zu überzeugen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören.
(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO,
- die Zertifizierung nach dem genehmigten Zertifizierungsverfahren gem. Art. 42 DSGVO,
- aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren),
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
(4) Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch in angemessenen Umfang geltend machen.
§ 11 Haftung
(1) Die Haftung der Vertragsparteien für Verstöße gegen Bestimmungen des Datenschutzrechts gegenüber den hiervon Betroffenen sowie das Verfahren für den Ausgleich solcher Schäden im Innenverhältnis richten sich nach Art. 82 DS-GVO.
(2) Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.
§ 12 Schlussbestimmungen
(1) Im Falle eines Widerspruchs zwischen Hauptvertrag nebst konkretisierender AGB und dieser Vereinbarung geht diese Vereinbarung vor, soweit der Widerspruch die Verarbeitung personenbezogener Daten betrifft.
(2) Es gilt deutsches Recht.
(3) Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist der Sitz des Auftragnehmers.
(4) Soweit die Parteien bereits eine Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG geschlossen haben, wird hiermit vereinbart, dass diese zum 25. Mai 2018 einvernehmlich aufgehoben und durch diese neue Vereinbarung zur Auftragsverarbeitung ersetzt wird.