Auftragsverarbeitungsvereinbarung 12Sync.io

iSd. Art. 28 Abs. 3 DSGVO

Präambel

Diese Auftragsverarbeitungsvereinbarung (nachfolgend „AVV“) konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der seitens des Kunden (nachfolgend „Auftraggeber“) beauftragten Auftragsverarbeitung ergeben. Die AVV findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte der Zellenkur UG (haftungsbeschränkt) & Co. KG, Heßlergasse 8, 96049 Bamberg (nachfolgend „Auftragnehmer“) oder durch den Auftragnehmer Beauftragte personenbezogene Daten (nachfolgend „Daten“) des Auftraggebers verarbeiten.

1) Gegenstand / Spezifizierung der Auftragsverarbeitung

Die zu verarbeitenden Daten sowie die Art und der Zweck der Datenverarbeitung ergeben sich aus dem Vertrag, auf den insoweit Bezug genommen wird, sowie den Vorgaben des Auftraggebers. Sollten die in Anlage 1 bezeichneten Informationen dort nicht hinreichend benannt sein, sind diese in Anlage 1 einzutragen.

2) Anwendungsbereich / Verantwortlichkeit

2.1 Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Diese Verarbeitung umfasst Tätigkeiten, die im Vertrag und in der ggf. vorhandenen Leistungsbeschreibung näher konkretisiert sind. Der Auftraggeber ist im Rahmen des Vertrages sowie dieser AVV für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Zulässigkeit bzw. Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich. Der Auftraggeber ist damit „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO.

2.2 Die Weisungen des Auftraggebers an den Auftragnehmer werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle bzw. durch die vorzunehmenden Einstellungen durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag oder in der seitens des Auftragnehmers bereitgestellten Software nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform (z.B. in einem dokumentierten elektronischen Format) zu bestätigen.

3. Pflichten des Auftragnehmers

3.1 Der Auftragnehmer darf die im Rahmen der Beauftragung durch den Auftraggeber zu verarbeitenden personenbezogene Daten nur im Rahmen des Vertrages, dieser AVV und der Weisungen des Auftraggebers verarbeiten, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Europäischen Union oder ihrer Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). 

3.2 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

3.3 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. 

3.4 Das in Anlage 3.4 beschriebene Datenschutzkonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach dem Stand  der  Technik  detailliert  und  unter  besonderer  Berücksichtigung  der  eingesetzten  IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer dar.

3.5 Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

Der Auftragnehmer unterstützt den Auftraggeber auf Wunsch im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten und ist berechtigt, dem Auftraggeber den Aufwand gemäß Ziffer 10.2 in Rechnung zu stellen.

3.6 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

3.7 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f) DSGVO). Meldungen nach Art. 33 oder Art. 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers in Textform durchführen.

3.8 Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

3.9 Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

3.10 Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

3.11 Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. 

In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart. 

3.12 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende nach Wahl des Auftraggebers entweder herauszugeben oder mittels eines sicheren Löschverfahrens gemäß den aktuellen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu löschen.

3.13 Entstehen zusätzliche Kosten durch abweichende Vorgaben des Auftraggebers bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

3.14 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. 

4. Pflichten des Auftraggebers

4.1 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

4.2 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt § 3 (12) entsprechend. 

4.3 Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

5. Anfragen betroffener Personen

5.1 Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird. Der Auftragnehmer wir dem Auskunftssuchenden ohne schriftliche Freigabe durch den Auftraggeber keine Auskunft erteilen.

5.2 Bei der Beantwortung eines Auskunftsersuchens wird der Auftragnehmer dem Auftraggeber alle hierzu bei ihm vorliegenden Informationen und Erkenntnisse zu den erfolgten Verarbeitungsvorgängen mitteilen.

6. Nachweismöglichkeiten

6.1 Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Zertifizierungen bzw. Belegen nach.

6.2 Soweit der Auftragnehmer über keine aktuell gültige Zertifizierung im Sinne des Art. 42 DSGVO verfügt, ist der Auftraggeber berechtigt, einmal pro Halbjahr ein Audit durchzuführen oder von einem beauftragten Prüfer durchführen zu lassen. Dieses Audit wird zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf das Audit von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen.

Besteht der begründete Verdacht, dass datenschutzrechtliche Vorgaben in mehreren Fällen missachtet wurden und eine Wiederholung nicht gänzlich ausgeschlossen ist, verkürzt sich die Vorlaufzeit auf maximal 2 Werktage. 

Sollte das Audit eine nicht nur unerhebliche Beanstandung ergeben, ist der Auftragnehmer verpflichtet, die Kosten des Audits zu tragen.

6.3 Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.

6.4 Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich (2) entsprechend. Die Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

7. Subunternehmer (weitere Auftragsverarbeiter)

7.1 Der Einsatz von Subunternehmern als weiteren Auftragsverarbeitern ist nur zulässig, wenn der Auftraggeber vorher schriftlich zugestimmt hat.

7.2 Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer weitere Unterauftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt. Der Auftragnehmer wird mit diesen Unterauftragnehmern im erforderlichen Umfang schriftliche Vereinbarungen treffen, um zu gewährleisten, dass das Datenschutzniveau im Verhältnis zum Subunternehmer mindestens dem dieser AVV entspricht. Die Einhaltung dieser Verpflichtung wird der Auftragnehmer dem Auftraggeber gegenüber auf Verlangen durch Vorlage der betreffenden Vereinbarungen nachweisen. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.

7.3 Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.

8. Vertragsdauer

8.1 Die Laufzeit dieser AVV richtet sich grundsätzlich nach der Laufzeit des Vertrages, so dass diese AVV im Normalfall mit Beendigung des Vertrages ebenfalls endet. Sollte der Auftragnehmer danach noch über personenbezogene Daten aus der Beauftragung verfügen (vgl. nachfolgenden (2) ), gilt diese AVV fort, bis sämtliche Daten gelöscht sind.

8.2 Mit Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auf einem datenschutzrechtlich zulässigen Weg zukommen zu lassen oder auszuhändigen. Bei ihm danach noch gespeicherte Daten sind datenschutzgerecht zu löschen bzw. zu vernichten/vernichten zu lassen. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

9. Haftung / Vertragsstrafe

9.1 Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. Darüber hinaus stellt der Auftragnehmer den Auftraggeber von allen Zahlungsverpflichtungen (z.B. behördlich verhängtes Bußgeld) frei, die aufgrund eines Verschuldens des Auftragnehmers gegen den Auftraggeber verhängt wird.

9.2 Der Auftragnehmer ist verpflichtet, im Falle seines Verstoßes gegen die Regelungen dieser AVV eine Vertragsstrafe in Höhe von 50% der im Rahmen des Vertrages vereinbarten Vergütung zu zahlen; bei Laufzeitverträgen, die seit mindestens 12 Monaten bestehen, ist bei der Berechnung auf die jährliche Vergütung abzustellen.

9.3 Der Auftragnehmer haftet für die von ihm eingesetzten Unterauftragnehmer wie für eigenes Verschulden.

10. Schlussbestimmungen

10.1 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der DSGVO liegen.

10.2 Der Auftragnehmer ist berechtigt, dem Auftraggeber etwaigen Aufwand für Leistungen nach Ziffer 3.6 sowie Ziffer 3.11 mit einer Aufwandspauschale in Höhe von € 90,- (netto) / Stunde weiter zu berechnen.

10.3 Die Einrede des Zurückbehaltungsrechts iSv. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

10.4 Änderungen und Ergänzungen dieser AVV und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

10.5 Bei etwaigen Widersprüchen gehen Regelungen dieser AVV den Regelungen des Vertrages zum Datenschutz vor. Sollten einzelne Teile dieser AVV unwirksam sein, so berührt dies die Wirksamkeit der AVV im Übrigen nicht.

10.6 Es gilt deutsches Recht.

Anlage 1
Art der Daten (Art. 4 Nr. 1, 13, 14 und 15 DSGVO) Art und Zweck der Datenverarbeitung (Art. 4 Nr. 2 DSGVO) Kategorien betroffener Personen (Art. 4 Nr. 1 DSGVO)
Daten abhängig von der Auswahl und den Präferenzen des Auftraggebers Austausch und Synchronisation von Daten zwischen verschiedenen Systemen und/oder Anwendungen Kontaktdaten (Namen, Adressen, E-Mail);Kundenstammdaten (Namen, Adressen, Kontaktdaten, Zahlungsinformationen, Kundenkategorie);Nutzungsdaten (zum Beispiel Klickverhalten);
Bearbeiten
Rosi Scholz
Rosi Scholz
19. Feb '19
Zellenkur is a highly recommended, great team, which has accompanied me with creative ideas, patience and a lot of competence at very fair prices. Many thanks to you also at this point!
Christina Graser
Christina Graser
21. Feb '19
Zellenkur is a great partner with creative ideas and professional implementation - whether website, brand identity or print media! We have been working with Jürgen and Uwe for many years and can only report positive things. Thank you for the great cooperation, which is great fun and great results!
Thorsten Laureck
Thorsten Laureck
18. Feb '19
Very professional team, creative, goal-oriented, fair prices! So far always done a great job. I am very satisfied and will continue to work with Zellenkur. Thank you guys!
Elisabeth Siegl
Elisabeth Siegl
4. Jul '19