Auftragsdatenverarbeitung

Auftragsdatenverarbeitung

gemäß Art. 28 DSGVO

§ 1 Gegenstand und Dauer der Verarbeitung

Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der Leistungserbringung gemäß dem zwischen den Parteien geschlossenen Hauptvertrag ergeben. Er gilt für alle Tätigkeiten, bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte personenbezogene Daten des Auftraggebers verarbeiten.

Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

§ 2 Umfang, Art und Zweck der Verarbeitung

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Art, Umfang und Zweck der Datenverarbeitung ergeben sich aus dem Hauptvertrag. Die Verarbeitung umfasst folgende Datenarten/Datenkategorien:

  • Bestandsdaten (z.B. Namen, Adressen)
  • Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummern)
  • Vertragsdaten (z.B. Vertragsgegenstand, Laufzeit)
  • Nutzungsdaten (z.B. besuchte Webseiten, Zugriffszeiten)
  • Inhaltsdaten (z.B. Texteingaben, Anfragen)

Die Kategorien der betroffenen Personen umfassen:

  • Kunden und Interessenten des Auftraggebers
  • Mitarbeiter des Auftraggebers
  • Lieferanten und Geschäftspartner des Auftraggebers
  • Nutzer der Webseite des Auftraggebers

§ 3 Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer Verarbeitung durch das Recht der Union oder der Mitgliedstaaten verpflichtet ist. Der Auftragnehmer verpflichtet sich insbesondere:

  • die Daten ausschließlich im Rahmen des Auftrags und der Weisungen des Auftraggebers zu verarbeiten;
  • die Vertraulichkeit sämtlicher Daten zu gewährleisten;
  • sicherzustellen, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • alle gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen;
  • den Auftraggeber bei der Erfüllung der Rechte der betroffenen Personen zu unterstützen;
  • den Auftraggeber bei der Einhaltung der Pflichten nach Art. 32-36 DSGVO zu unterstützen;
  • nach Beendigung des Auftrags alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zurückzugeben.

§ 4 Technische und organisatorische Maßnahmen

Der Auftragnehmer hat die Umsetzung der folgenden technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung festgelegt und dokumentiert:

  • Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO): Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Trennungsgebot, Verschlüsselung
  • Integrität (Art. 32 Abs. 1 lit. b DSGVO): Weitergabekontrolle, Eingabekontrolle
  • Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO): Verfügbarkeitskontrolle, Backup-Verfahren, Wiederherstellbarkeit
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO): Datenschutz-Management, Incident-Response-Management, Auftragsverarbeitungskontrolle

§ 5 Unterauftragsverarbeitung

Die Beauftragung von Unterauftragsverarbeitern ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers zulässig. Der Auftragnehmer wird dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegen, die im vorliegenden AVV festgelegt sind.

§ 6 Rechte und Pflichten des Auftraggebers

Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung. Er hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Der Auftraggeber hat das Recht, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang zu kontrollieren.

§ 7 Meldepflichten

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Meldepflichten gemäß Art. 33 und 34 DSGVO.

§ 8 Kontakt

BiTKiP Consulting
Simon Lukas
Emsdettener Str. 10
48268 Greven
Deutschland
E-Mail: info@bitkip.com