AVV

Vereinbarung zur Auftragsverarbeitung

zwischen

Ihnen

(Auftraggeber)

und

Hildebrandt & Potthast Online-Marketing GbR

Zeissring 9c, 37603 Holzminden,

(Auftragsverarbeiter)

Präambel

Der Auftraggeber wird einen Reseller mit der Durchführung von Leistungen

beauftragen (fortan Hauptvertrag), die u.a. die weisungsgebundene

Verarbeitung personenbezogener Daten durch den hiesigen

Auftragsverarbeiter umfassen. Daher ist – zusätzlich zum Hauptvertrag –

eine ergänzende Beauftragung i.S.v. Artikel 28 DSGVO erforderlich, die

aus dieser Vertragsurkunde folgt.

§ 1 Begriffsbestimmungen

Es gelten die Begriffsbestimmungen aus der

Datenschutzgrundverordnung, in ihrer jeweils geltenden Fassung.

Für den Fall der Änderung und/oder Ersetzung der

Datenschutzgrundverordnung gilt folgendes:

Soweit die hiesige Vertragsurkunde Bezug auf das dann alte Recht

nimmt, gilt dies fortan als Verweis auf die entsprechenden

Vorschriften nach dem geänderten Recht. Soweit es dann im neuen

Recht keine entsprechenden Vorschriften gibt, fallen die damit

verbundenen Regelungen weg.

Soweit diese Vertragsurkunde Bezug auf Begriffe nimmt, die in

dem geänderten Recht so nicht verwendet werden, gilt dies fortan

als Verweis auf die entsprechenden Begriffe in dem dann neuen

Recht. Soweit es dann im neuen Recht keine entsprechenden

Vorschriften gibt, fallen die damit verbundenen Regelungen weg.

§ 2 Vertragsgegenstand, Art der Daten, Kreis der Betroffenen, Zustandekommen dieser Vereinbarung

Der Auftragsverarbeiter stellt dem Auftraggeber die SaaS-Lösung

Hildebrandt & Potthast Online-Marketing GbR  auf Grundlage des Vertrags zur Nutzung von EZCards

(„Hauptvertrag“) zur Verfügung. Dabei erhält der Auftragsverarbeiter

Zugriff auf personenbezogene Daten und verarbeitet diese

ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang

und Zweck der Datenverarbeitung durch den Auftragsverarbeiter

ergeben sich aus dem Hauptvertrag (und der dazugehörigen

Leistungsbeschreibung). Die Weisungen sind beiderseits in Schrift-

oder Textform zu dokumentieren, wobei die Weisung auch durch

Eingaben und Modifikationen innerhalb des SaaS-internen Bereichs

vorgenommen werden können. Dem Auftraggeber obliegt die Beurteilung

der Zulässigkeit der Datenverarbeitung. Die Regelungen der

vorliegenden Vereinbarung gehen im Zweifel den Regelungen des

Hauptvertrags vor. Die Bestimmungen dieses Vertrages finden

Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in

Zusammenhang stehen und bei der der Auftragsverarbeiter und seine

Beschäftigten oder durch den Auftragsverarbeiter Beauftragte mit

personenbezogenen Daten in Berührung kommen, die vom Auftraggeber

stammen oder für den Auftraggeber erhoben wurden. Die Laufzeit

dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages,

sofern sich aus den nachfolgenden Bestimmungen nicht

darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

Im Rahmen der Durchführung des Hauptvertrages verarbeitet der

Auftragsverarbeiter personenbezogene Daten folgender

Betroffenengruppen: potentielle Bewerber, aktuelle Bewerber,

ehemalige Bewerber, aktuelle Beschäftigte, ehemalige Beschäftigte,

Besucher der Internetseite, potentielle Veranstaltungsnehmer,

aktuelle Veranstaltungsteilnehmer, ehemalige

Veranstaltungsteilnehmer, potentielle Kunden, aktuelle Kunden,

ehemalige Kunden, potentielle Lieferanten, aktuelle Lieferanten,

ehemalige Lieferanten, Empfänger werblicher Nachrichten.

Im Rahmen der Durchführung des Hauptvertrages verarbeitet der

Auftragsverarbeiter die folgenden Kategorien personenbezogener

Daten: Erreichbarkeits- und Kontaktdaten, Status Opt-in/Opt-put,

tagging-pixel-basierte Daten, Informationen zum Nutzungsverhalten,

vertrags- und nicht vertragsbezogene Beschäftigten-, Kunden-

und/oder Lieferantendaten.

Zusätzlich zu den Festlegungen in den Absätzen 3 und 4 konkretisiert

der Hauptvertrag und ggf. dessen Ergänzungen die Kategorien der

Betroffenen und der personenbezogenen Daten.

Durch Setzen des Häckchens neben dem Feld mit dem Satz „Hiermit

beauftrage ich die Hildebrandt & Potthast Online-Marketing GbR gemäß Artikel 28 DSGVO” kommt diese

Vereinbarung zustande.

§ 3 Technische und Organisatorische Schutzmaßnahmen des Auftragsverarbeiters

Der Auftragsverarbeiter beachtet die gesetzlichen Bestimmungen über

den Datenschutz und wird die aus dem Bereich des Auftraggebers

erlangten Informationen nicht an Dritte weitergeben oder deren

Zugriff auszusetzen. Unterlagen und Daten sind gegen die

Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der

Technik zu sichern.

Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die

innerbetriebliche Organisation so gestalten, dass sie den besonderen

Anforderungen des Datenschutzes gerecht wird. Er trifft alle

erforderlichen technischen und organisatorischen Maßnahmen zum

angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO.

Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem

Auftragsverarbeiter vorbehalten, wobei er sicherstellt, dass das

vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

en bei der Datenverarbeitung durch den Auftragsverarbeiter

beschäftigten Personen ist es untersagt, personenbezogene Daten

unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der

Auftragsverarbeiter wird alle Personen, die von ihm mit der

Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im

folgenden Mitarbeiter genannt), entsprechend verpflichten

(Verpflichtung zur Vertraulichkeit und mit der gebotenen Sorgfalt

die Einhaltung dieser Verpflichtung sicherstellen. Diese

Verpflichtungen müssen so gefasst sein, dass sie auch nach

Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses

zwischen dem Beschäftigten und dem Auftragsverarbeiter bestehen

bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in

geeigneter Weise nachzuweisen.

§ 4 Informationspflichten des Auftragsverarbeiters

Bei Störungen, Verdacht auf Datenschutzverletzungen oder

Verletzungen vertraglicher Verpflichtungen des Auftragsverarbeiters,

Verdacht auf sicherheitsrelevante Vorfälle oder andere

Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten

durch den Auftragsverarbeiter, bei ihm im Rahmen des Auftrags

beschäftigten Personen oder durch Dritte wird der

Auftragsverarbeiter den Auftraggeber unverzüglich in Schriftform

oder Textform informieren. Dasselbe gilt für Prüfungen des

Auftragsverarbeiters durch die Datenschutz-Aufsichtsbehörde. Die

Meldung über eine Verletzung des Schutzes personenbezogener Daten

enthält zumindest folgende Informationen:

eine Beschreibung der Art der Verletzung des Schutzes

personenbezogener Daten, soweit möglich mit Angabe der

Kategorien und der Zahl der betroffenen Personen, der

betroffenen Kategorien und der Zahl der betroffenen

personenbezogenen Datensätze;

eine Beschreibung der von dem Auftragsverarbeiter ergriffenen

oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und

gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen

nachteiligen Auswirkungen.

Der Auftragsverarbeiter trifft unverzüglich die erforderlichen

Maßnahmen zur Sicherung der Daten und zur Minderung möglicher

nachteiliger Folgen der Betroffenen, informiert hierüber den

Auftraggeber und ersucht um weitere Weisungen.

Der Auftragsverarbeiter ist darüber hinaus verpflichtet, dem

Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten

von einer Verletzung nach Absatz 1 betroffen sind.

Sollten die Daten des Auftraggebers beim Auftragsverarbeiter durch

Pfändung oder Beschlagnahme, durch ein Insolvenz- oder

Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen

Dritter gefährdet werden, so hat der Auftragsverarbeiter den

Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies

nicht durch gerichtliche oder behördliche Anordnung untersagt ist.

Der Auftragsverarbeiter wird in diesem Zusammenhang alle zuständigen

Stellen unverzüglich darüber informieren, dass die

Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber

als „Verantwortlichem“ im Sinne der DSGVO liegen.

Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 3 Abs. 2

hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu

unterrichten.

Ein Wechsel in der Person des betrieblichen

Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem

Auftraggeber unverzüglich mitzuteilen.

Der Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein

Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers

durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem.

Art. 30 Abs. 2 DS-GVO enthält. Das Verzeichnis ist dem Auftraggeber

auf Anforderung zur Verfügung zu stellen.

An der Erstellung des Verfahrensverzeichnisses durch den

Auftraggeber hat der Auftragsverarbeiter im angemessenen Umfang

mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen

Angaben in geeigneter Weise mitzuteilen.

§ 5 Kontrollrechte des Auftraggebers

Der Auftraggeber überzeugt sich vor der Aufnahme der

Datenverarbeitung und sodann regelmäßig in einem Zeitraum, den er

nach eigenem Ermessen definiert und dem Auftragsverarbeiter

mitteilt, von den technischen und organisatorischen Maßnahmen des

Auftragsverarbeiters. Hierfür kann er z. B. Auskünfte des

Auftragsverarbeiters einholen, sich vorhandene Testate von

Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen

lassen oder die technischen und organisatorischen Maßnahmen des

Auftragsverarbeiters nach rechtzeitiger Abstimmung zu den üblichen

Geschäftszeiten selbst persönlich prüfen bzw. durch einen

sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem

Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der

Auftraggeber wird Kontrollen nur im erforderlichen Umfang

durchführen und die Betriebsabläufe des Auftragsverarbeiters dabei

nicht unverhältnismäßig stören. Für den Fall, dass der

Auftragsverarbeiter hierdurch in einem Kalendermonat mehr als zwei

Zeitstunden an Mitwirkungstätigkeit aufwenden muss, vergütet der

Auftraggeber den zusätzlichen Zeitaufwand mit einem Stundensatz von

100,00 € (netto) bei minutengenauer Abrechnung.

Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf

dessen mündliche oder schriftliche Anforderung innerhalb einer

angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu

stellen, die zur Durchführung einer Kontrolle der technischen und

organisatorischen Maßnahmen des Auftragsverarbeiters erforderlich

sind.

Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem

Auftragsverarbeiter mit. Bei Fehlern oder Unregelmäßigkeiten, die

der Auftraggeber insbesondere bei der Prüfung von

Auftragsergebnissen feststellt, hat er den Auftragsverarbeiter

unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte

festgestellt, deren zukünftige Vermeidung Änderungen des

angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem

Auftragsverarbeiter die notwendigen Verfahrensänderungen

unverzüglich mit.

Der Auftragsverarbeiter stellt dem Auftraggeber auf dessen Wunsch

ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept

für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen

zur Verfügung.

Der Auftragsverarbeiter weist dem Auftraggeber die Verpflichtung der

Mitarbeiter nach § 3 Absatz 4 auf Verlangen nach.

§ 6 Einsatz von Subunternehmern

Die vertraglich vereinbarten Leistungen bzw. die nachfolgend

beschriebenen Teilleistungen werden unter Einschaltung von

Subunternehmern durchgeführt. Der Auftragsverarbeiter ist im Rahmen

seiner vertraglichen Verpflichtungen zur Begründung von weiteren

Unterauftragsverhältnissen mit Subunternehmern

(„Subunternehmerverhältnis“) befugt. Er setzt den Auftraggeber

hiervon unverzüglich in Kenntnis. Der Auftragsverarbeiter ist

verpflichtet, Subunternehmer sorgfältig nach deren Eignung und

Zuverlässigkeit auszuwählen. Der Auftragsverarbeiter hat bei der

Einschaltung von Subunternehmern diese entsprechend den Regelungen

dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass

der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere

seine Prüf- und Kontrollrechte) auch direkt gegenüber den

Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von

Subunternehmern in einem Drittland erfolgen soll, hat der

Auftragsverarbeiter sicherzustellen, dass beim jeweiligen

Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist

(z. B. durch Abschluss einer Vereinbarung auf Basis der

EU-Standarddatenschutzklauseln). Der Auftragsverarbeiter wird dem

Auftraggeber auf Verlangen den Abschluss der vorgenannten

Vereinbarungen mit seinen Subunternehmern nachweisen.

Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt

nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen

beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu

gehören z. B. Post-, Transport- und Versandleistungen,

Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten

Bezug zu Leistungen, die der Auftragsverarbeiter für den

Auftraggeber erbringt und Bewachungsdienste. Wartungs- und

Prüfleistungen stellen zustimmungspflichtige

Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht

werden, die auch im Zusammenhang mit der Erbringung von Leistungen

für den Auftraggeber genutzt werden.

Der Anbieter Google LLC, 1600 Amphitheatre Parkway, Mountain View,

CA 94043 gilt für die Bereitstellung von Cloud-Leistungen als

genehmigt.

§ 7 Anfragen und Rechte Betroffener

Der Auftragsverarbeiter unterstützt den Auftraggeber nach

Möglichkeit mit geeigneten technischen und organisatorischen

Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22

sowie 32 und 36 DSGVO.

Macht ein Betroffener Rechte, etwa auf Auskunftserteilung,

Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar

gegenüber dem Auftragsverarbeiter geltend, so reagiert dieser nicht

selbstständig, sondern verweist den Betroffenen unverzüglich an den

Auftraggeber und wartet dessen Weisungen ab.

§ 8 Haftung

Der Auftragsverarbeiter haftet – im Innenverhältnis – nur für

Schäden, die von ihm und seinen Erfüllungsgehilfen vorsätzlich oder

grob fahrlässig begangen wurden.

Soweit dem Auftragsverarbeiter keine vorsätzliche Vertragsverletzung

angelastet wird, ist die Schadensersatzhaftung auf den

vorhersehbaren, typischerweise eintretenden Schaden begrenzt.

Die Haftungsbeschränkungen in dieser Vertragsurkunde gelten nicht

für Schadenersatzansprüche aus Verletzung des Lebens, des Körpers

oder der Gesundheit, insoweit haftet der Auftragsverarbeiter für

jeden von ihm oder seinen Erfüllungsgehilfen vorsätzlich oder

fahrlässig verursachten Schaden. Darüber hinaus haftet der

Auftragsverarbeiter aufgrund sonstiger zwingender gesetzlicher

Vorschriften.

§ 9 Beendigung des Hauptvertrags

Der Auftragsverarbeiter wird dem Auftraggeber nach Beendigung des

Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm

überlassenen Unterlagen, Daten und Datenträger zurückgeben oder –

auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder

dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur

Speicherung der personenbezogenen Daten besteht – löschen. Dies

betrifft auch etwaige Datensicherungen beim Auftragsverarbeiter. Der

Auftragsverarbeiter hat den dokumentierten Nachweis der

ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu

entsorgende Unterlagen sind zu vernichten. Zu entsorgende

Datenträger sind ebenfalls zu vernichten.

Der Auftraggeber hat das Recht, die vollständige und

vertragsgerechte Rückgabe bzw. Löschung der Daten beim

Auftragsverarbeiter in geeigneter Weise zu kontrollieren.

Der Auftragsverarbeiter ist verpflichtet, auch über das Ende des

Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag

bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende

Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange

gültig, wie der Auftragsverarbeiter über personenbezogene Daten

verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für

diesen erhoben hat.

§ 10 Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Form

nach Artikel 28 Absatz 9 DSGVO.

Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder

teilweise nicht rechtswirksam oder nicht durchführbar sein oder

werden, so wird hierdurch die Gültigkeit der jeweils übrigen

Bestimmungen nicht berührt.

Diese Vereinbarung unterliegt deutschem Recht.

Diese Vereinbarung kommt zustande, in dem Sie dies beim

Registrierungsprozess durch Setzen eines Häckchens vor dem Feld, das

mit „Stimmen Sie unseren Allgemeinen Geschäftsbedienungen zu.“