Vertrag zur Auftragsverarbeitung
zwischen
Kundenname
Kundenanschrift
als Verantwortlicher (hier bezeichnet als „Auftraggeber“)
und
Insurgo GmbH
Französische Straße 20
10117 Berlin
(hier bezeichnet als „Auftragnehmer“)
PRÄAMBEL
Der Auftraggeber möchte den Auftragnehmer mit den in § 3 genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.
§ 1 BEGRIFFSBESTIMMUNGEN
(1) Verantwortlicher ist gem. Art. 4 Abs. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
(2) Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
(3) Personenbezogene Daten sind gem. Art. 4 Abs. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
(4) Besonders schutzbedürftige personenbezogene Daten, sind personenbezogenen Daten gem. Art. 9 DSGVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DSGVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DSGVO, biometrischen Daten gem. Art. 4 Abs. 14 DSGVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DSGVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
(5) Verarbeitung ist gem. Art. 4 Abs. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
(6) Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DSGVO eine von einem Mitgliedstaat gem. Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle.
§ 2 ANGABE DER ZUSTÄNDIGEN DATENSCHUTZ-AUFSICHTSBEHÖRDE
(1) Zuständige Aufsichtsbehörde für den Auftragnehmer ist der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Alt-Moabit 59-61, 10555 Berlin.
(2) Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten mit der Aufsichtsbehörde auf deren Anfrage bei der Erfüllung ihrer Aufgaben zusammen.
§ 3 VERTRAGSGEGENSTAND, VERTRAGSLAUFZEIT
(1) Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich der elektronischen Ablage von Kunden- und Versicherungsvertragsdaten auf Grundlage eines Vertrags/Angebotes („Hauptvertrag“). Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag (und der dazugehörigen Leistungsbeschreibung). Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
(2) Der Vertrag beginnt mit Unterzeichnung und läuft für die Dauer des zwischen den Parteien bestehenden Hauptvertrages über Nutzung der Dienstleistungen von Insurgo durch den Kunden.
(3) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
(3) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
§ 4 WEISUNGSRECHT, VERANTWORTLICHKEIT
(1) Sowohl dem Auftragnehmer als auch dem Auftraggeber obliegt die Einhaltung der jeweils einschlägigen datenschutzrechtlichen Bestimmungen.
(2) Die Verarbeitung personenbezogener Daten durch den Auftragnehmer erfolgt im Auftrag des Auftraggebers nach den Vorgaben des Hauptvertrages. Der Auftraggeber ist im Zusammenhang mit diesem Vertrag für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich, d. h. er ist „Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO.
(3) Die Datenverarbeitung wird vom Auftragnehmer ausschließlich nach den Vorgaben (Weisungen) des Auftraggebers, wie sie sich aus dem Hauptvertrag ergeben, vorgenommen. Der Auftraggeber kann die vertraglich erteilten Weisungen jederzeit ändern, ergänzen oder ersetzen. Mündliche Weisungen werden vom Auftraggeber unverzüglich schriftlich oder in Textform bestätigt.
§ 5 SCHUTZMASSNAHMEN DES AUFTRAGNEHMERS
(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO, insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen wie:
Datenschutzkonzept
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Trennungskontrolle
Weitergabekontrolle
Auftragskontrolle
Eingabekontrolle
Verfügbarkeitskontrolle
(3) Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
§ 6 INFORMATIONSPFLICHTEN DES AUFTRAGNEHMERS
(1) Der Auftragnehmer wird den Auftraggeber bei Auftreten schwerwiegender Störungen seines Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder bei anderen Unregelmäßigkeiten bei der Verarbeitung der Daten, sowie sobald ihm Verletzungen des Schutzes personenbezogener Daten im Rahmen seiner Verarbeitungstätigkeit bekannt werden, unverzüglich informieren.
Der Auftragnehmer trifft in diesen Fällen die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.
(2) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde gemäß Art. 58 DSGVO ihm gegenüber tätig wird und diese Untersuchungen auch die von ihm im Auftrag des Auftraggebers vorgenommene Verarbeitungstätigkeit betreffen können.
(3) Bei der Erfüllung seiner Unterstützungspflichten gemäß § 3 Abs. 5 wird der Auftragnehmer die zeitlichen Vorgaben im Zusammenhang mit den dem Auftraggeber nach Art. 33 DSGVO auferlegten Meldepflichten berücksichtigen und daher dem Auftraggeber jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, spätestens 36 Stunden nach Kenntniserlangung mitteilen.
§ 7 KONTROLLRECHTE DES AUFTRAGGEBERS
(1) Der Auftraggeber hat während der Laufzeit dieser Vereinbarung das Recht, die Einhaltung der datenschutzrechtlichen Bestimmungen, die Einhaltung der Regelungen dieser Vereinbarung sowie die Einhaltung ihrer Weisungen durch den Auftragnehmer und insb. die von diesem getroffenen technischen und organisatorischen Maßnahmen jederzeit im erforderlichen Umfang zu kontrollieren oder durch Dritte kontrollieren zu lassen.
(2) Der Auftraggeber kann im Rahmen der Ausübung seiner Kontrollrechte eine Einsichtnahme in die vom Auftragnehmer für ihn verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
(3) Der Auftraggeber kann ferner nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 auch vor Ort beim Auftragnehmer bzw. in den vom Auftragnehmer zur Durchführung der Verarbeitungstätigkeit genutzten Räumlichkeiten zu den jeweils üblichen Geschäftszeiten vornehmen. Er wird dabei dafür Sorge tragen, dass die Kontrollen die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig stören.
(4) Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber, alle erforderlichen Auskünfte zu erteilen und der jeweils zuständigen Aufsichtsbehörde auch eine Vor-Ort-Kontrolle in seinem Betrieb zu ermöglichen.
§ 8 EINSATZ VON SUBUNTERNEHMERN
(1) Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der in Anlage 2 genannten Subunternehmer durchgeführt. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt. Er setzt den Auftraggeber hiervon unverzüglich in Kenntnis.
(2) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
§ 9 ANFRAGEN UND RECHTE BETROFFENER
(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DSGVO.
(2) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
§ 10 HAFTUNG
(1) Eine zwischen den Parteien im Leistungsvertrag (Hauptvertrag zur Leistungserbringung) vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, außer soweit ausdrücklich etwas anderes vereinbart
(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
§ 11 SCHLUSSBESTIMMUNGEN
(1) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
(2) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
(3) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand für Streitigkeiten aus dieser Vereinbarung ist der Sitz des Auftragnehmers.
Datum, Unterschrift Auftragnehmer
Datum, Unterschrift Auftraggeber
ANLAGEN
Anlage 1 – Technische und organisatorische Maßnahmen des Auftragnehmers
Anlage 2 – Auflistung Subunternehmer