+49 (0)32 221 096 223

Vertrag zur Auftragsdatenverarbeitung – Beispiel

Diese Vereinbarung zur Auftragsdatenverarbeitung ist ein Beispiel, deshalb können daran keine rechtliche Grundlagen verbunden werden.

Artikel 1. Verarbeitungszwecke

1.1          Der Auftragsdatenverarbeiter verpflichtet sich, personenbezogene Daten der verantwortlichen Stelle unter Einhaltung der Bedingungen dieses Vertrags zur Auftragsdatenverarbeitung zu verarbeiten. Die Verarbeitung wird nur im Rahmen der genannten Zwecke stattfinden.

1.2          Der Auftragsdatenverarbeiter trifft keine selbständigen Entscheidungen über die Verarbeitung der personenbezogenen Daten zu anderen Zwecken. Dazu gehört unter anderem die Übermittlung der personenbezogenen Daten an Dritte und die Dauer der Datenspeicherung. Die verantwortliche Stelle hat die Kontrolle über die dem Auftragsdatenverarbeiter im Rahmen dieses Vertrages zur Auftragsdatenverarbeitung oder anderer zwischen den Parteien geltenden Verträge übermittelten personenbezogenen Daten sowie in diesem Zusammenhang verarbeitete personenbezogene Daten.

1.3          Die im Auftrag der verantwortlichen Stelle zu verarbeitenden personenbezogenen Daten bleiben Eigentum des jeweiligen Betroffenen.

Artikel 2. Pflichten des Auftragsdatenverarbeiters

2.1          Der Auftragsdatenverarbeiter wird bei den in Artikel 1 genannten Verarbeitungen die Einhaltung der geltenden Rechtsvorschriften gewährleisten. Dazu gehören in jedem Fall die Rechtsvorschriften im Bereich des Datenschutzes wie das (niederländische) Datenschutzgesetz (Wet Bescherming Persoonsgegevens, Wbp).

2.2          Der Auftragsdatenverarbeiter wird die verantwortliche Stelle auf erste Anforderungen über Maßnahmen informieren, die er im Hinblick auf seine Verpflichtungen aus diesem Vertrag zur Auftragsdatenverarbeitung ergriffen hat.

2.3          Die Pflichten des Auftragsdatenverarbeiters aufgrund dieses Vertrages zur Auftragsdatenverarbeitung gelten auch für diejenigen, die personenbezogene Daten im Auftrag des Auftragsdatenverarbeiters verarbeiten. Dazu gehören (aber nicht darauf beschränkt) Arbeitnehmer im weitesten Sinne des Wortes.

Artikel 3. Übermittlung personenbezogener Daten

3.1          Der Auftragsdatenverarbeiter darf personenbezogene Daten in Mitgliedsstaaten der Europäischen Union verarbeiten. Die Übermittlung in Länder außerhalb der Europäischen Union ist ohne vorhergehende schriftliche Zustimmung der verantwortlichen Stelle untersagt.

3.2          Der Auftragsdatenverarbeiter wird die verantwortliche Stelle über die jeweiligen Länder informieren.

Artikel 4. Aufteilung der Verantwortung

4.1          Der Auftragsdatenverarbeiter stellt für die Verarbeitung IT-Mittel zur Verfügung, die von der verantwortlichen Stelle für die oben genannten Zwecke genutzt werden müssen. Der Auftragsdatenverarbeiter führt selbst nur auf der Basis separater Vereinbarungen Verarbeitungen durch.

4.2          Der Auftragsdatenverarbeiter ist einzig und allein für die Verarbeitung personenbezogener Daten im Rahmen dieses Vertrages zur Auftragsdatenverarbeitung gemäß den Anweisungen der verantwortlichen Stelle und unter der ausdrücklichen (abschließenden) Verantwortung der verantwortlichen Stelle verantwortlich. Der Auftragsdatenverarbeiter ist ausdrücklich nicht für weitere Verarbeitungen personenbezogener Daten, wozu in jedem Fall (aber nicht abschließend) die Erhebung personenbezogener Daten durch die verantwortliche Stelle, Verarbeitungen für dem Auftragsdatenverarbeiter von der verantwortlichen Stelle nicht mitgeteilte Zwecke, Verarbeitungen für Dritte oder für andere Zwecke verantwortlich.

4.3          Die verantwortliche Stelle garantiert, dass der Inhalt, die Nutzung und der Auftrag zur Verarbeitung personenbezogener Daten gemäß diesem Vertrag nicht rechtswidrig sind und nicht Rechte von Dritten verletzt.

Artikel 5. Sicherheit

5.1          Der Auftragsdatenverarbeiter wird sich bemühen, angemessene technische und organisatorische Maßnahmen in Bezug auf die Verarbeitung personenbezogener Daten gegen Verlust oder jegliche Form der unerlaubten Verarbeitung (wie unbefugte Kenntnisnahme, Verlust der Integrität, Änderung oder Übermittlung personenbezogener Daten) zu ergreifen.

5.2          Der Auftragsdatenverarbeiter hat in jedem Fall die folgenden Maßnahmen ergriffen:

  • Logische Zugangskontrolle unter Einsatz von Passwörtern
  • Physische Maßnahmen zur Zutrittssicherung

5.3          Der Auftragsdatenverarbeiter garantiert nicht dafür, dass die Sicherheitsmaßnahmen unter allen Bedingungen wirkungsvoll sind. Sofern eine ausdrücklich im Vertrag zur Auftragsdatenverarbeitung genannte Sicherheitsmaßnahme fehlt, wird sich der Auftragsdatenverarbeiter um ein Sicherheitsniveau bemühen, das gemäß dem Stand der Technik, der Sensibilität der personenbezogenen Daten und die mit der Umsetzung der Sicherheitsmaßnahmen verbundenen Kosten nicht unangemessen ist.

5.4          Die verantwortliche Stelle wird dem Auftragsdatenverarbeiter erst personenbezogene Daten übermitteln nachdem er sich davon überzeugt hat, dass die erforderlichen Sicherheitsmaßnahmen umgesetzt wurden. Die verantwortliche Stelle ist für die Einhaltung der zwischen den Parteien vereinbarten Maßnahmen verantwortlich.

Artikel 6. Meldepflicht

6.1          Im Falle einer Sicherheits- oder Datenpanne wird der Auftragsdatenverarbeiter die verantwortliche Stelle unverzüglich bzw. innerhalb von 24 Stunden nach dem Vorfall darüber informieren. Die verantwortliche Stelle beurteilt, ob der/die Betroffene(n) oder die zuständigen Aufsichtsbehörden informiert werden. Der Auftragsdatenverarbeiter garantiert, dass die übermittelten Informationen vollständig, richtig und akkurat sind. Die Meldepflicht gilt unabhängig von den Auswirkungen des Vorfalls.

6.2          Der Auftragsdatenverarbeiter wird an der Meldung an die in dieser Sache zuständigen Behörden oder die Betroffenen mitwirken, sofern dies in den Rechtsvorschriften gefordert wird.

6.3          Die Meldepflicht umfasst in jedem Fall die Mitteilung des Vorliegens einer Datenpanne sowie:

  • Die (vermutliche) Ursache des Vorfalls
  • Die (zu dem Zeitpunkt bekannten oder zu erwartenden) Folgen
  • Die (vorgeschlagene) Lösung

Artikel 7. Bearbeitung von Anträgen der Betroffenen

7.1          Richtet der Betroffene eine Anfrage zur Einsicht gemäß Artikel 35 Wbp oder Berichtigung, Ergänzung, Änderung oder Sperrung gemäß Artikel 36 Wbp an den Auftragsdatenverarbeiter, wird dieser die Anfrage an die verantwortliche Stelle weiterleiten, welche die Anfrage danach bearbeiten wird. Der Auftragsdaten-verarbeiter darf den Betroffenen darüber informieren.

Artikel 8. Geheimhaltung und Vertraulichkeit

8.1          Alle personenbezogenen Daten, die der Auftragsdatenverarbeiter von der verantwortliche Stelle erhält oder selbst im Rahmen dieses Vertrags zur Auftragsdatenverarbeitung erhebt, unterliegen der Geheimhaltungspflicht gegenüber Dritten. Der Auftragsdatenverarbeiter wird diese Informationen nicht für einen anderen Zweck als den, für den er die Daten erhalten hat, verwenden. Dies gilt auch für den Fall, dass diese in eine Form gebracht wurden, die einen Rückschluss auf den Betroffenen nicht ermöglichen.

8.2          Diese Geheimhaltungspflicht gilt nicht, wenn die verantwortliche Stelle ausdrücklich ihre Zustimmung zur Übermittlung der Informationen an Dritte erteilt hat, sofern die Übermittlung der Informationen an Dritte nach logischen Erwägungen angesichts der Art des erteilten Auftrags und der Umsetzung dieses Vertrages zur Auftragsdatenverarbeitung erforderlich ist oder sofern eine gesetzliche Verpflichtung zur Übermittlung der Informationen an Dritte besteht.

Artikel 9. Audit

9.1          Die verantwortliche Stelle ist berechtigt, Audits zur Kontrolle der Einhaltung aller Punkte aus dem Vertrag zur Auftragsdatenverarbeitung und aller damit zusammenhängenden Themen durchzuführen.

9.2          Dieses Audits darf einmal im Jahr und im Falle eines konkreten Verdachts des Missbrauchs personenbezogener Daten durchgeführt werden.

9.3          Der Auftragsdatenverarbeiter wird das Audit unterstützen und alle für das Audit nach vernünftigem Ermessen erforderlichen Informationen inklusive unterstützender Daten wie Systemlogs übermitteln und möglichst frühzeitig Mitarbeiter zur Verfügung stellen.

9.4          Die Erkenntnisse aus dem durchgeführten Audit werden gemeinsam von den Parteien beurteilt und von einer der Parteien oder von beiden Parteien gemeinsam (eventuell) umgesetzt.

9.5          Die verantwortliche Stelle trägt die Kosten des Audits.

Artikel 10. Haftung

10.1        Die Haftung des Auftragsdatenverarbeiters für Schäden infolge eines zurechenbaren Verstoßes gegen den Vertrag zur Auftragsdatenverarbeitung bzw. aufgrund einer unerlaubten Handlung oder anderer Ursachen ist ausgeschlossen. Sofern die genannte Haftung nicht ausgeschlossen werden kann, ist diese pro Vorfall (eine Reihe aufeinanderfolgende Vorfälle wird als ein einziger Vorfall betrachtet) auf die Erstattung des direkten Schadens begrenzt. Dabei gilt als Höchstbetrag die vom Auftragsdatenverarbeiter für den Monat vor dem schadenverursachenden Vorfall für die Tätigkeiten im Rahmen dieses Vertrages zur Auftragsdatenverarbeitung erhaltenen Vergütungen. Die Haftung des Auftragsdatenverarbeiters für direkte Schäden wird insgesamt nie höher sein als der Betrag der Vergütungen, den der Auftragsdatenverarbeiter für die Tätigkeiten im Rahmen dieses Vertrages zur Auftragsdatenverarbeitung für drei Monate vor dem schadenverursachenden Ereignis erhalten hat.

10.2        Unter direktem Schaden werden ausschließlich alle folgenden Schäden verstanden:

  • direkt an materiellen Objekten verursachte Schäden („Sachschaden“)
  • angemessene und nachweisbare Kosten zur Ermahnung des Auftragsdatenverarbeiters, den Vertrag zur Auftragsdatenverarbeitung (wieder) ordnungsgemäß zu erfüllen
  • angemessene Kosten zur Ermittlung der Ursache und des Umfangs des Schadens, sofern sie sich auf den zuvor genannten direkten Schaden beziehen und
  • angemessene und nachweisbare Kosten, die der verantwortlichen Stelle zur Vermeidung oder Begrenzung des in diesem Artikel beschriebenen direkten Schadens entstanden sind.

10.3        Die Haftung des Auftragsdatenverarbeiters für indirekte Schäden ist ausgeschlossen. Unter indirekten Schäden werden alle Schäden verstanden, die nicht direkte Schäden sind. Dazu gehören in jedem Fall (aber nicht darauf beschränkt) Folgeschaden, entgangener Gewinn, versäumte Einsparungen, reduzierter Goodwill, Betriebsunterbrechungsschäden, Schäden aufgrund der Nichterreichung von Marketingzielen, Schäden aufgrund der Nutzung der von der verantwortlichen Stelle übermittelten Daten oder Datenbanken oder Verlust, Verfälschung oder Vernichtung von Daten oder Datenbanken.

10.4        Die in diesem Artikel formulierten Ausschlüsse und Einschränkungen gelten nicht mehr, sofern die Schäden die Folge von Vorsatz oder grober Fahrlässigkeit des Auftragsdatenverarbeiters oder seiner Unternehmensleitung sind.

10.5        Sofern dem Auftragsdatenverarbeiter die Erfüllung dauerhaft unmöglich ist, entsteht die Haftung des Auftragsdatenverarbeiters aufgrund eines zurechenbaren Vertragsverstoßes nur, sofern die verantwortliche Stelle den Auftragsdatenverarbeiter unverzüglich in Verzug setzt, dabei eine angemessene Frist zur Beseitigung des Vertragsverstoßes einräumt und der Auftragsdatenverarbeiter auch nach dieser Frist seine vertraglichen Pflichten zurechenbar nicht erfüllt. Die Inverzugsetzung muss eine möglichst vollständige und detaillierte Beschreibung des Vertragsverstoßes enthalten, um dem Auftragsdatenverarbeiter die Möglichkeit zu geben, adäquat darauf zu reagieren.

10.6        Jede Schadenersatzforderung der verantwortlichen Stelle gegen den Auftragsdatenverarbeiter verfällt allein durch Zeitablauf zwölf (12) Monaten nach Entstehung des Anspruchs.

Artikel 11. Laufzeit und Beendigung

11.1        Dieser Vertrag zur Auftragsdatenverarbeitung kommt in dem Moment zustande, in dem die Annahme des Vertrages durch die verantwortliche Stelle dem Auftragsdatenverarbeiter mitgeteilt wird.

11.2        Dieser Vertrag zur Auftragsdatenverarbeitung wird auf unbestimmte Zeit geschlossen. Es gilt eine Kündigungsfrist von einem Monat.

11.3        Nach Beendigung des Vertrages zur Auftragsdatenverarbeitung unabhängig vom Grund und von der Art und Weise wird der Auftragsdatenverarbeiter alle ihm vorliegenden personenbezogenen Daten und eventuelle Kopien davon löschen oder vernichten.

11.4        Änderungen dieses Vertrages sind nur im gegenseitigen Einvernehmen der Parteien möglich

Artikel 12. Anwendbares Recht und Beilegung von Rechtsstreitigkeiten

12.1        Für den Vertrag zur Auftragsdatenverarbeitung und dessen Erfüllung gilt niederländisches Recht.

12.2        Für alle zwischen den Parteien im Zusammenhang mit dem Vertrag zur Auftragsdatenverarbeitung entstehenden Rechtsstreitigkeiten ist das Gericht in dem Gerichtsbezirk am Sitz des Auftragsdatenverarbeiters zuständig.

 

14 Tage kostenlos testen

Jetzt kostenlos testen

Wir nutzen:

  • Let's Encrypt Kostenlos SSL
  • New Relic
  • Varnish
  • Mandrill