Zusatzvereinbarung zu den AGB: Auftragsdatenverarbeitung

Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

Auftragnehmer (Auftragsverarbeiter):

Objektfabrik Joachim Tuchel

Fliederweg 1

71640 Ludwigsburg

Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich durch den Vertragsschluss zur Auftragsdatenverarbeitung ergeben. Sie sind damit eine Erg├Ąnzung zu den Allgemeinen Gesch├Ąftsbedingungen vom Auftragnehmer, und werden vom Auftraggeber gemeinsam mit den Allgemeinen Gesch├Ąftsbedingungen anerkannt.

1. Gegenstand und Dauer der Vereinbarung

Der Auftrag umfasst Folgendes:

Die Nutzung der Buchhaltungssoftware Kontolino! durch den Auftraggeber.

Der Auftragnehmer verarbeitet dabei personenbezogene Daten f├╝r den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.

Die vertraglich vereinbarte Dienstleistung wird ausschlie├člich in Deutschland erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erf├╝llt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

2. Dauer des Auftrags

Der Vertrag beginnt mit dem Kauf eines Kontolino!-Paketes und erlischt nach Ablauf der Paketdauer von derzeit 12 Monaten und der darauffolgenden gesetzlichen Aufbewahrungsfrist automatisch.

Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist k├╝ndigen, wenn ein schwerwiegender Versto├č des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausf├╝hren kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Versto├č dar.

  1. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen ÔÇô Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):

Der Auftragnehmer verarbeitet die Daten, die der Auftraggeber in Kontolino! erfasst. Dazu geh├Âren

  • Adress- und Firmendaten des Auftraggebers ÔÇô Speicherung, Archivierung und Nutzung zur Rechnungsstellung, vom Auftraggeber in Auftrag gegebene ├ťbertragung an das Finanzamt
  • Steuernummern, Identifikationsnummern, Bankverbindungen des Auftraggebers – Speicherung, Archivierung, vom Auftraggeber in Auftrag gegebene ├ťbertragung an das Finanzamt
  • Kontoauszugsdaten des Auftraggebers ÔÇô Speicherung, Archivierung, Erstellung von Buchungsvorschl├Ągen
  • Kunden-Firmendaten vom Auftraggeber (hierunter k├Ânnen auch Privatpersonen, Mandanten, Patienten etc. fallen) ÔÇô Speicherung und Archivierung
  • sowie Lieferanten-Firmendaten vom Auftraggeber ÔÇô Speicherung und Archivierung

Besondere Kategorien von personenbezogenen Daten entsprechend der Definition von Art. 9 DSGVO werden nicht erfasst.

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

F├╝r die Beurteilung der Zul├Ąssigkeit der Verarbeitung gem├Ą├č Art. 6 Abs. 1 DS-GVO sowie f├╝r die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschlie├člich an den Auftraggeber gerichtet sind, unverz├╝glich an diesen weiterzuleiten.

├änderungen des Verarbeitungsgegenstandes und Verfahrens├Ąnderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

Der Auftraggeber erteilt alle Auftr├Ąge, Teilauftr├Ąge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. M├╝ndliche Weisungen sind unverz├╝glich schriftlich oder in einem dokumentierten elektronischen Format zu best├Ątigen.

Der Auftraggeber ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und sodann regelm├Ą├čig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Ma├čnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu ├╝berzeugen.

Der Auftraggeber informiert den Auftragnehmer unverz├╝glich, wenn er Fehler oder Unregelm├Ą├čigkeiten bei der Pr├╝fung der Auftragsergebnisse feststellt.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverh├Ąltnisses erlangten Kenntnisse von Gesch├Ąftsgeheimnissen und Datensicherheitsma├čnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsberechtigte des Auftragnehmers

Weisungen des Auftragnehmers sind unter der folgenden E-Mail-Adresse info@kontolino.de immer schriftlich zu erteilen.

Die Weisungen sind f├╝r ihre Geltungsdauer und anschlie├čend noch f├╝r drei volle Kalenderjahre aufzubewahren.

5. Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschlie├člich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbeh├Ârden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen ├Âffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

Der Auftragnehmer verwendet die zur Verarbeitung ├╝berlassenen personenbezogenen Daten f├╝r keine anderen, insbesondere nicht f├╝r eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

Der Auftragnehmer sichert im Bereich der auftragsgem├Ą├čen Verarbeitung von personenbezogenen Daten die vertragsgem├Ą├če Abwicklung aller vereinbarten Ma├čnahmen zu. Er sichert zu, dass die f├╝r den Auftraggeber verarbeiteten Daten von sonstigen Datenbest├Ąnden strikt getrennt werden.

Bei der Erf├╝llung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungst├Ątigkeiten sowie bei erforderlichen Datenschutz-Folgeabsch├Ątzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit m├Âglich angemessen zu unterst├╝tzen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Der Auftraggeber benennt einen Ansprechpartner f├╝r die dazu erforderlichen Angaben.

Der Auftragnehmer wird den Auftraggeber unverz├╝glich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verst├Â├čt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchf├╝hrung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach ├ťberpr├╝fung best├Ątigt oder ge├Ąndert wird.

Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverh├Ąltnis zu berichtigen, zu l├Âschen oder deren Verarbeitung einzuschr├Ąnken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.

Ausk├╝nfte ├╝ber personenbezogene Daten aus dem Auftragsverh├Ąltnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Der Auftragnehmer erkl├Ąrt sich damit einverstanden, dass der Auftraggeber – grunds├Ątzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften ├╝ber Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Ausk├╝nften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch ├ťberpr├╝fungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).

Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterst├╝tzend mitwirkt. Hierzu wird bis auf weiteres folgendes vereinbart:

Kosten, die dem Auftragnehmer hierbei entstehen, k├Ânnen dem Auftraggeber in Rechnung gestellt werden.

Der Auftragnehmer best├Ątigt, dass ihm die f├╝r die Auftragsverarbeitung einschl├Ągigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind.

Der Auftragnehmer verpflichtet sich, bei der auftragsgem├Ą├čen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragnehmer sichert zu, dass er die bei der Durchf├╝hrung der Arbeiten besch├Ąftigten Mitarbeiter vor Aufnahme der T├Ątigkeit mit den f├╝r sie ma├čgebenden Bestimmungen des Datenschutzes vertraut macht und f├╝r die Zeit ihrer T├Ątigkeit wie auch nach Beendigung des Besch├Ąftigungsverh├Ąltnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO). Der Auftragnehmer ├╝berwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit f├╝r eine Bestellung nicht vorliegt.

6. Mitteilungspflichten des Auftragnehmers bei St├Ârungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer teilt dem Auftraggeber unverz├╝glich St├Ârungen, Verst├Â├če des Auftragnehmers oder der bei ihm besch├Ąftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelm├Ą├čigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterst├╝tzen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO f├╝r den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchf├╝hren.

7. Unterauftragsverh├Ąltnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserf├╝llung einzusetzen.

Erteilt der Auftragnehmer Auftr├Ąge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu ├╝bertragen.

Als weitere Auftragsverarbeiter im Sinne dieser Regelung sind nur solche Subunternehmer zu verstehen, die Dienstleistungen erbringen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu geh├Âren solche Nebenleistungen, die sich auf Telekommunikationsleistungen, Druck- / Post- / Transportdienstleistungen, Wartung und Pflege, Entsorgung beziehen.

Der Auftragnehmer hat f├╝r den Betrieb von Servern folgenden Subunternehmer unter Vertrag: STRATO AG, Pascalstra├če 10, 10587 Berlin. Mit diesem wurde auch ein Auftragsdatenverarbeitung-Vertrag abgeschlossen. Auf Anfrage wird dieser dem Auftraggeber zur Verf├╝gung gestellt.

Der Auftragnehmer haftet gegen├╝ber dem Auftraggeber daf├╝r, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

8. Technische und organisatorische Ma├čnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

Es wird f├╝r die konkrete Auftragsverarbeitung ein dem Risiko f├╝r die Rechte und Freiheiten der von der Verarbeitung betroffenen nat├╝rlichen Personen angemessenes Schutzniveau gew├Ąhrleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrit├Ąt und Verf├╝gbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umst├Ąnde und Zweck der Verarbeitungen derart ber├╝cksichtigt, dass durch geeignete technische und organisatorische Abhilfema├čnahmen das Risiko auf Dauer einged├Ąmmt wird.

Der Auftragnehmer hat bei gegebenem Anlass, mindestens aber j├Ąhrlich, eine ├ťberpr├╝fung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Ma├čnahmen zur Gew├Ąhrleistung der Sicherheit der Verarbeitung durchzuf├╝hren (Art. 32 Abs. 1 lit. d DS-GVO). Das Ergebnis samt vollst├Ąndigem Auditbericht ist dem Auftraggeber mitzuteilen.

F├╝r die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen Auftragnehmer und Auftraggeber abzustimmen.

Soweit die beim Auftragnehmer getroffenen Ma├čnahmen den Anforderungen des Auftraggebers nicht gen├╝gen, benachrichtigt er den Auftraggeber unverz├╝glich.

Die Ma├čnahmen beim Auftragnehmer k├Ânnen im Laufe des Auftragsverh├Ąltnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, d├╝rfen aber die vereinbarten Standards nicht unterschreiten.

Wesentliche Änderungen muss der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

9. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

Nach Abschluss der vertraglichen Arbeiten unter Einhaltung der gesetzlichen Aufbewahrungsfristen hat der Auftragnehmer s├Ąmtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverh├Ąltnis stehen, datenschutzgerecht zu l├Âschen bzw. zu vernichten.

Die L├Âschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu best├Ątigen, wenn dieser dies ausdr├╝cklich w├╝nscht.

10. Sonstiges

Vereinbarungen zu den technischen und organisatorischen Ma├čnahmen sowie Kontroll- und Pr├╝fungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern f├╝r ihre Geltungsdauer und anschlie├čend noch f├╝r drei volle Kalenderjahre aufzubewahren.

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Ma├čnahmen Dritter (etwa durch Pf├Ąndung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gef├Ąhrdet werden, so hat der Auftragnehmer den Auftraggeber unverz├╝glich zu verst├Ąndigen.

Die Einrede des Zur├╝ckbehaltungsrechts i. S. v. ┬ž 273 BGB wird hinsichtlich der f├╝r den Auftraggeber verarbeiteten Daten und der zugeh├Ârigen Datentr├Ąger ausgeschlossen.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so ber├╝hrt dies die Wirksamkeit der Vereinbarung im ├ťbrigen nicht.