Download als PDF

Vertrag zur Auftragsverarbeitung

zwischen

………………………………..

………………………………..

………………………………..

………………………………..

als Verantwortlicher („Auftraggeber“)

und

SB|Consulting – DI Stefan Baumann

Grüne Gasse 21d

8020 Graz

Österreich

als Auftragsverarbeiter („Auftragnehmer“).

Präambel

Der Auftraggeber beauftragt den Auftragnehmer mit den in Ziff. 2 beschriebenen Leistungen. Gegenstand dieser Beauftragung ist dabei auch die Verarbeitung von personenbezogenen Daten. Um diese Verarbeitung gesetzeskonform, insbesondere im Hinblick auf Art. 28 Datenschutz-Grundverordnung (“DSGVO”), durchzuführen, schließen die Parteien die nachfolgende Vereinbarung (“Vereinbarung”).

Begriffsbestimmungen

Für die Begriffsbestimmungen wird auf Art. 4 DSGVO verwiesen. Exemplarisch wird aufgeführt:

Verantwortlicher ist gem. Art. 4 Ziff. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Auftragsverarbeiter ist gem. Art. 4 Ziff. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Personenbezogene Daten sind gem. Art. 4 Ziff. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Verarbeitung ist gem. Art. 4 Ziff. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Vertragsgegenstand

Bestandteil dieser Vereinbarung ist der Vertrag / das Angebot mit der Nummer ……….. vom …………  („Hauptvertrag“). Nach diesem Hauptvertrag erbringt der Auftragnehmer für den Auftraggeber Leistungen im Bereich Online Marketing und Social Recruiting. Bei der Umsetzung erhält der Auftragnehmer und ggf. seine Subunternehmen Zugriff auf personenbezogene Daten, die er ausschließlich im Auftrag des Auftraggebers unter Zugrundelegung dieser Vereinbarung verarbeiten wird. Die Regelungen dieser Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.

Weisungsrecht

Der Auftragnehmer darf personenbezogene Daten nur weisungsgemäß verarbeiten. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern dem keine Rechtsvorschriften entgegenstehen.

Die Weisungen des Auftraggebers ergeben sich aus dieser Vereinbarung. Sie können danach vom Auftraggeber durch einzelne Weisungen in Textform geändert, ergänzt oder ersetzt werden. Die Erteilung solcher Weisungen ist dem Auftraggeber jederzeit gestattet. Dies beinhaltet auch Weisungen bezüglich der Löschung, Berichtigung und Einschränkung der Verarbeitung von personenbezogenen Daten.

Die erteilten Weisungen sind vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren.

Falls der Auftragnehmer der Ansicht ist, dass eine Weisung des Auftraggebers gegen Datenschutzbestimmungen verstößt, hat er dem Auftraggeber dies unverzüglich mitzuteilen. Der Auftragnehmer ist befugt, die Durchführung einer solchen Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder datenschutzrechtlich berichtigt wird. Die Umsetzung einer offensichtlich rechtswidrigen Weisung darf der Auftragnehmer ablehnen.

Art der Verarbeitung, Art der personenbezogenen Daten, Kreis der Betroffenen

Zur Durchführung des Hauptvertrags verarbeitet der Auftragnehmer die personenbezogenen Daten der betroffenen Personen wie nachstehend beschrieben.

Art und Zweck  der Verarbeitung: Es werden personenbezogene Daten über das Internet, insbesondere über Social-Media-Plattformen, erhoben, gespeichert, geordnet und übermittelt, um den Hauptvertrag erfüllen zu können (Online Marketing und Social Recruiting).

Art der personenbezogenen Daten: Name, Vorname, Anschrift, E-Mail-Adresse, Telefonnummer, Mobilfunknummer, Geburtsdatum, Berufserfahrung, Sprachkenntnisse, Bewerbungsdaten

Kategorien von Betroffenen: Kunden und Bewerber

Schutzmaßnahmen des Auftragnehmers

Der Auftragnehmer wird die Sicherheit der Verarbeitung der personenbezogenen Daten des Auftraggebers in seinem Verantwortungsbereich unter Beachtung von Art. 32 DSGVO gewährleisten. Er wird alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der personenbezogenen Daten des Auftraggebers, insbesondere die in Anlage 1 genannten, ergreifen. Sollten auch besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) verarbeitet werden, setzt der Auftragnehmer darüber hinaus die sich aus § 22 Abs. 2 Bundesdatenschutzgesetz (“BDSG”) ergebenden Maßnahmen um, die in Anlage 1 ebenfalls genannt werden. Personenbezogene Daten – obgleich auf welchem Medium vorhanden bzw. gespeichert - sind gegen die Kenntnisnahme durch Unbefugte zu schützen.

Eine Änderung der umgesetzten Sicherheitsmaßnahmen ist dem Auftragnehmer gestattet, wobei er gewährleistet, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Über wesentliche Änderungen der Sicherheitsmaßnahmen wird der Auftragnehmer den Auftraggeber unverzüglich unterrichten.

Der Auftragnehmer gewährleistet in seinem Verantwortungsbereich, dass nur die Personen personenbezogene Daten des Auftraggebers verarbeiten, die dazu auch befugt sind. Diese Personen wird er gem. Art. 28 Abs. 3 b) DSGVO) zur Vertraulichkeit verpflichten und die Umsetzung und Beachtung dieser Verpflichtungen regelmäßig kontrollieren. Der Auftragnehmer hat sicherzustellen, dass diese Verpflichtungen auch nach Beendigung des jeweiligen Beschäftigungsverhältnisses oder ähnlicher vertraglicher Beziehungen fortbestehen. Auf Anfrage des Auftraggebers sind diese Verpflichtungen in angemessener Form darzulegen.

Informationspflichten des Auftragnehmers

Bei Verletzung des Schutzes personenbezogener Daten, die Gegenstand dieser Vereinbarung sind, durch den Auftragnehmer, seinen Beschäftigten oder seinen Subunternehmen wird der Auftragnehmer den Auftraggeber darüber unverzüglich in Textform in Kenntnis setzen. Gleiches gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde in Bezug auf personenbezogene Daten des Auftraggebers. Die Mitteilung über eine Verletzung des Schutzes personenbezogener Daten enthält u.a. folgende Informationen (Art. 33 DSGVO), soweit verfügbar:

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;

eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Der Auftragnehmer ergreift unverzüglich Abhilfemaßnahmen, um nachteilige Folgen des Datenschutzvorfalles abzuwenden oder zu lindern. Er wird die betroffenen personenbezogenen Daten nach Möglichkeit sichern und Weisungen des Auftraggebers einholen.

Werden durch Beschlagnahme, Pfändung oder durch ein Insolvenzverfahren oder durch ähnliche Vorfälle oder Maßnahmen Dritter die personenbezogenen Daten des Auftraggebers gefährdet, muss der Auftragnehmer den Auftraggeber unverzüglich darüber unterrichten, sofern ihm dies rechtlich erlaubt ist. Der Auftragnehmer wird die an den Vorfällen Beteiligten darüber in Kenntnis setzen, dass die Daten dem Auftraggeber zugehörig sind und er der Entscheidungsträger ist.

Gem. Art. 30 Abs. 2 DSGVO wird der Auftragnehmer ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung erstellen. Auf Anfrage wird er das Verzeichnis dem Auftraggeber übermitteln.

Kontrollrechte des Auftraggebers

Der Auftraggeber darf kontrollieren, ob der Auftragnehmer seine technischen und organisatorischen Verpflichtungen, u. a. gem. Art. 32 DSGVO, regelkonform nachkommt. Dazu darf er u.a. erforderliche Auskünfte einholen oder Einblicke in Zertifizierungen und datenschutzrechtliche Prüfungen nehmen. Nach Abstimmung mit dem Auftragnehmer darf der Auftraggeber zudem die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den gewöhnlichen Geschäftszeiten prüfen bzw. durch einen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber darf nur angemessene Kontrollen in einem notwendigen Umfang durchführen. Die Betriebsabläufe des Auftragnehmers dürfen durch die Kontrollen nicht unverhältnismäßig in Mitleidenschaft gezogen werden.

Auf Anfrage des Auftraggebers, verpflichtet sich der Auftragnehmer in angemessener Zeit die erforderlichen Auskünfte und Nachweise dem Auftraggeber zugänglich zu machen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen, u.a. gem. Anlage 1, des Auftragnehmers notwendig sind.

Der Auftraggeber dokumentiert das Kontrollergebnis und übermittelt es dem Auftragnehmer. Sollte der Auftraggeber Verstöße gegen datenschutzrechtliche Bestimmungen erkannt haben, hat er den Auftragnehmer unverzüglich darüber in Kenntnis zu setzen.

Der Auftraggeber vergütet dem Auftragnehmer den Aufwand, der ihm durch die Kontrolle in angemessenen Umfang entsteht.[5]

Nutzung von Subunternehmern

Um die beauftragte Datenverarbeitung durchzuführen zu können, nimmt der Auftragnehmer die datenschutzrechtlich relevanten Dienstleistungen folgender Subunternehmen in Anspruch:

Unternehmen: Perspective Software GmbH
Aufgabe: Erstellung von mobilen Funnels/Zielseiten zur Qualifizierung von Anfragen/Interessenten/Bewerbern für die Kunden von SB|Consulting – DI Stefan Baumann
Adresse: Müggelstraße 22, 10247 Berlin
Serverstandort: Amazon Web Services, Inc. Frankfurt, Deutschland

Unternehmen: Facebook Ireland Limited
Aufgabe: Social Media Werbeanzeigen an Privatpersonen zur Generierung von Leads / Bewerbungen im Rahmen einer Neukunden- oder Recruitingkampagne
Adresse: 4 Grand Canal Square, Dublin 2, Irland
Serverstandort: Europa, USA

Unternehmen: LinkedIn Ireland Unlimited Company
Aufgabe: Social Media Werbeanzeigen an Privatpersonen zur Generierung von Leads / Bewerbungen im Rahmen einer Neukunden- oder Recruitingkampagne.
Adresse: Wilton Place, Dublin 2, Ireland
Serverstandort: Europa, USA

Unternehmen: New Work SE (Xing)
Aufgabe: Social Media Werbeanzeigen an Privatpersonen zur Generierung von Leads / Bewerbungen im Rahmen einer Neukunden- oder Recruitingkampagne
Adresse: Am Strandkai 1, 20457 Hamburg
Serverstandort: Deutschland

Unternehmen: TikTok Technology Limited
Aufgabe: Social Media Werbeanzeigen an Privatpersonen zur Generierung von Leads / Bewerbungen im Rahmen einer Neukunden- oder Recruitingkampagne
Adresse: 10 Earlsfort Terrace, Dublin, D02 T380, Ireland
Serverstandort: Europa, USA, China

Weitere: ……………………

Der Auftragnehmer darf weitere Unterauftragsverhältnisse mit Subunternehmern eingehen, wenn er dies zur Vertragserfüllung erforderlich erachtet und er den Auftraggeber darüber unverzüglich informiert. Der Auftragnehmer darf nur Subunternehmer einsetzen, die er zuvor sorgfältig hinsichtlich ihrer Eignung und Zuverlässigkeit ausgewählt hat. Der Auftragnehmer hat die Subunternehmen entsprechend den Bestimmungen dieser Vereinbarung zu verpflichten. Er hat dabei u.a. zu gewährleisten, dass der Auftraggeber seine Rechte aus dieser Vereinbarung, insbesondere im Hinblick auf seine Kontrollrechte, auch direkt beim jeweiligen Subunternehmen durchführen kann. Findet die Datenverarbeitung eines Subunternehmens in einem Drittland statt, muss der Auftragnehmer gewährleisten, dass ein angemessenes Datenschutzniveau unter Beachtung der einschlägigen Normen, u.a. der der DSGVO, dort vorherrscht. Auf Anfrage des Auftraggebers hat der Auftragnehmer darzulegen, dass die Subunternehmen dementsprechend verpflichtet wurden.

Unternehmen, die reine Nebenleistungen für den Auftragnehmer durchführen und somit vertraglich unabhängig vom Auftragsverhältnis zwischen dem Auftragnehmer und Auftraggeber bestehen (z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen etc.) gelten nicht als Subunternehmen im Hinblick auf vorgenannte Regelungen.

Anfragen und Rechte betroffener Personen

Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von dessen Pflichten nach Art. 12 – 22 sowie 32 und 36 DSGVO.

Sollte eine betroffene Person gegenüber dem Auftragnehmer ihre Ansprüche u.a. auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich ihrer personenbezogenen Daten geltend machen, verweist der Auftragnehmer die betroffene Person unverzüglich an den Auftraggeber und wartet seine Weisungen ab.

Der Auftraggeber vergütet dem Auftragnehmer den Aufwand, der ihm durch diese Unterstützungsleistung in angemessener Höhe entsteht.

Haftung

Hinsichtlich der Haftung gegenüber einer betroffenen Person im Rahmen einer unrechtmäßigen Datenverarbeitung gilt Art. 82 DSGVO. Ansonsten gilt der Haftungsmaßstab des Hauptvertrages.

Außerordentliches Kündigungsrecht

Wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, datenschutzrechtliche Bestimmungen schuldhaft verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder die Ausführung ablehnt, obwohl er dazu verpflichtet ist, kann der Auftraggeber den Hauptvertrag und diesen Vertrag fristlos kündigen.

Vorgenannte Kündigungsmöglichkeit besteht erst nachdem der Auftraggeber dem Auftragnehmer eine angemessene Frist gesetzt hat, den Verstoß abzustellen und der Auftragnehmer diese hat unrechtmäßig verstreichen lassen, ohne den Verstoß abzustellen.

Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt.

Beendigung des Hauptvertrags, Laufzeit Vertrag

Nach Beendigung des Hauptvertrages wird der Auftragnehmer alle ihm vom Auftraggeber überlassenen Unterlagen, Daten und Datenträger zurückgeben und/oder löschen, soweit ihm das rechtlich gestattet ist. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Löschung zu dokumentieren.

Der Auftraggeber darf die vollständige und vertragsgerechte Rückgabe und Löschung seiner Daten beim Auftragnehmer kontrollieren bzw. durch einen Dritten kontrollieren lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber vergütet dem Auftragnehmer den Aufwand, der ihm im Rahmen dieser Kontrolle in angemessenen Umfang entsteht.

Diese Vereinbarung bleibt über das Ende des Hauptvertrags hinaus so lange gültig, wie der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet.

Die Parteien verpflichten sich gegenseitig, alle im Rahmen des Geschäftsverhältnisses erlangten Informationen vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieser Vereinbarung oder des Hauptvertrages bestehen.

Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Regelungen dieser Vereinbarung nichts Abweichendes ergibt.

Angabe der zuständigen Datenschutz-Aufsichtsbehörde, Datenschutzbeauftragter

Zuständige Datenschutz-Aufsichtsbehörde für den Auftragnehmer ist:
………………………………..
………………………………..
………………………………..[1]

Zuständige Datenschutz-Aufsichtsbehörde für den Auftraggeber ist:
………………………………..
………………………………..
………………………………..

Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Datenschutzbeauftragter beim Auftragnehmer ist: [………..…] Sofern ein Datenschutzbeauftragter nach den einschlägigen Vorschriften nicht bestellt werden muss, ist Ansprechpartner für den Datenschutz beim Auftragnehmer: [………..…]. Ein Wechsel in der Person des Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.

Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden, wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt.

Diese Vereinbarung unterliegt deutschem Recht unter Ausschluss des UN-Kaufrechts.

Sofern es sich bei dem Auftraggeber um einen Kaufmann, eine juristische Person des öffentlichen Rechts oder um ein öffentlich-rechtliches Sondervermögen handelt, ist Gerichtsstand für alle Streitigkeiten aus Vertragsverhältnissen zwischen dem Auftraggeber und dem Auftragnehmer ………..

Beide Parteien stimmen den Konditionen dieses Vertrags zu:

Anlage 1:

Technisch-organisatorische Maßnahmen (TOM)

Vertraulichkeit

Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen durch:

Zugangskontrolle: Schutz vor unbefugter Systembenutzung durch:

Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems durch:

Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenverarbeitung entfernt, und gesondert aufbewahrt.

Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich).

Datenintegrität

Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch:

Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind durch:

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch:

Rasche Wiederherstellbarkeit:

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter-Schulungen:

Incident-Response-Management:

Datenschutzfreundliche Voreinstellungen:

Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers durch:

Bitte “Kontaktfinder” benutzen: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html;jsessionid=4481A89D4FF7F48A4436704C7CEDFAC1.intranet222