Allgemeine Geschäftsbedingungen zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO als Anlage zu einer Leistungsvereinbarung mit dem Auftraggeber

Aktualisiert am 23.01.2020

 
 

Präambel:

Diese Allgemeinen Geschäftsbedingungen gelten für die Vertragsbeziehungen zwischen der VRxs GmbH, Friedrichstraße 53c, 88045 Friedrichshafen (nachfolgend Auftragnehmer) und dem Vertragspartner (nachfolgend auch Auftraggeber) im unternehmerischen Bereich und werden über ausdrückliche Bezugnahme in einem Vertrag und/oder Auftragsbestätigung oder auf sonstige Weise in den Vertrag (nachfolgend Leistungsvereinbarung) einbezogen.

Diese Allgemeinen Geschäftsbedingungen findet Anwendung auf alle Tätigkeiten, die mit der Leistungsvereinbarung in Zusammenhang stehen und bei denen personenbezogene Daten durch den Auftragnehmer oder durch den vom Auftragnehmer Beauftragten verarbeitet werden.

Damit wird den Voraussetzungen von Art. 28 Abs. 3 DSGVO Rechnung getragen, nach dem jedes Unternehmen, das Daten im Auftrag verarbeiten lässt, einen Vertrag oder ein anderweitiges Rechtsinstrument nutzen muss, um die Verarbeitung von Daten zu regeln. Zu diesem Zweck vereinbaren die Vertragsparteien das Folgende:

§1 Gegenstand und Dauer des Vertrages

(1) Der Auftragnehmer bietet seinen Kunden Beratung und andere Dienstleistungen im Bereich Software as a Service (SaaS) und Plattform as a Service (PaaS), welche es den Kunden ermöglicht in ihren Onlineshops die Produkte in Augmented Reality und 3D darzustellen. Dabei bestehen im Wesentlichen zwei Leistungskomponenten, zum einen die Plattform des Auftragnehmers, zur Verwaltung und Analyse der Produktdarstellung. Zum anderen der sog. „Viewer“, der in den jeweiligen Onlineshop der Kunden eingebunden wird und das Produkt dem Käufer anzeigt.

Der genaue Umfang der Leistungen kann der individuell getroffenen Kundenvereinbarung (nachfolgend “Leistungsvereinbarung“) entnommen werden.

(2) Gegenstand dieses Vertrages ist die Verarbeitung von personenbezogenen Daten im folgenden Rahmen:

Der Auftragnehmer erfasst Daten aus den Server-Log-Files von potenziellen Kunden des Auftraggebers, wenn diese den Onlineshop des Auftraggebers besuchen. Die Daten betreffen insbesondere das Kaufverhalten des Kunden. Hinsichtlich des Verhaltens des Kunden werden beispielsweise die folgenden Daten erfasst:

  • Anzahl und Timestamp der Klicks auf die einzelnen Produkte
  • Dauer der Betrachtung
  • Interaktion mit dem Produkt (Animation angeklickt, Anmerkungen geöffnet)
  • Referral des Klicks (letzte Seite vor Produktöffnung)
  • Endgerät von dem zugegriffen wird (Tablet/Handy/Desktop)

Die erfassten Daten werden vom Auftragnehmer analysiert und dem Auftraggeber in einem Account, welchen er auf der Plattform des Auftragnehmers hat, dargestellt. Damit soll dem Auftraggeber ermöglicht werden seine Produktdarstellung zu optimieren, um Verkaufsraten zu steigern und Retourraten zu senken.

(3) Die Dauer dieses Auftrags entspricht der Laufzeit der Leistungsvereinbarung.

§2 Datenverarbeitung innerhalb der EU; Ausnahmeregelungen für eine internationale Auftragsverarbeitung

(1) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

(2) Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

§3 Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

(2) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Die Dokumentation muss auf alle relevanten Sicherheits- und Risikomanagementstandards hinweisen, die vom Auftragnehmer eingehalten werden (wie ISO / IEC 2700x, Common Criteria (ISO / IEC 15408), PCI DSS, MaRisk). Wenn ein Dritter die Einhaltung eines solchen Standards zertifiziert hat, sollte ein Scan der Zertifizierung bereitgestellt werden.

(3) Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags als Anlage 1. Soweit die Prüfung eines Audits des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(4) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

(5) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. Gleiches gilt im Fall eines Bußgeldverfahrens oder eines anderen behördlichen Verfahrens, welches einen Zusammenhang mit der hier vertragsgegenständlichen Verarbeitung von personenbezogenen Daten hat.

§4 Weisungsbefugnis des Auftraggebers

(1) Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann.

(2) Die Weisungen erfolgen in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich schriftlich oder per E-Mail (in Textform).

(3) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

(4) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.

(5) Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(6) Soweit der Auftraggeber einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten (z. B. Ansprüche aufgrund von Artikel 15 bis 21 oder 82 DSGVO) oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

§5 Generelle Pflichten des Auftragnehmers

(1) Der Auftragnehmer unterliegt zusätzlich zu der Einhaltung der Regelungen dieses Auftrags den gesetzlichen Pflichten gemäß Art. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

b) Werden die Daten des Auftraggebers Gegenstand von Durchsuchungen und Pfändungen, Pfändungsbeschlüssen, Einziehungen während Konkurs- oder Insolvenzverfahren oder ähnlichen Ereignissen oder Maßnahmen durch Dritte während sich die Daten in der Herrschaftssphäre des Auftragnehmers befinden, hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftraggeber wird unverzüglich allen betroffenen Parteien mitteilen, dass alle davon betroffenen Daten im alleinigen Eigentum und Verantwortungsbereich des Auftraggebers liegen, dass die Daten ausschließlich dem Auftraggeber zur Verfügung stehen und dass der Auftraggeber der Verantwortliche im Sinne von Artikel 4 Nr. 7 DSGVO ist.

c) Der Auftragnehmer wird auf Ersuchen bei der Erfüllung seiner Aufgaben aus diesem Vertrag mit den Aufsichtsbehörden zusammenarbeiten. Wenn der Auftragnehmer auf eine Anfrage einer Aufsichtsbehörde schriftlich oder in Textform antwortet (z. B. per E-Mail), muss die Mitteilung an die Aufsichtsbehörde dem Auftraggeber rechtzeitig vor deren Versendung zur detaillierten Bewertung zur Verfügung gestellt werden.

d) Auftragnehmer und Auftraggeber unterstützen sich gegenseitig bei der Erstellung der erforderlichen Dokumentation der Verarbeitungstätigkeiten gemäß Art. 30 Absatz 1 und 2 DSGVO.

e) Der Auftraggeber kennzeichnet die Daten, die gemäß dieser Datenverarbeitungsvereinbarung gespeichert und verarbeitet werden, mit dem Ziel, alle entsprechenden Daten stets als Daten des Auftraggebers identifizieren und von anderen Daten trennen zu können.

(2) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Verpflichtungen in Bezug auf die Sicherheit personenbezogener Daten, Meldepflichten für Datenverletzungen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen bei einer Aufsichtsbehörde. Der Auftragnehmer wird insbesondere:

a) ein angemessenes Schutzniveau durch technische und organisatorische Maßnahmen sicherstellen, die die Umstände und Zwecke der Verarbeitung sowie die Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung infolge von Sicherheitslücken berücksichtigen und die sofortige Aufdeckung von relevanten Verletzungsfällen ermöglichen;

b) eine Datenschutzverletzung unverzüglich dem Auftraggeber mitteilen;

c) den Auftraggeber bei seiner Verpflichtung unterstützen, den Betroffenen transparente Informationen zur Verfügung zu stellen;

d) den Auftraggeber bei einer Datenschutzfolgeabschätzung unterstützen;

e) den Auftraggeber bei einer Konsultation einer Aufsichtsbehörde zu unterstützen.

§6 Sonderregelung „Home Office“

(1) Der Auftragnehmer darf es seinen Arbeitnehmern gestatten, sofern sie mit der Verarbeitung personenbezogener Daten betraut sind, diese an ihrem privaten Arbeitsplatz („Home Office“) in ihrer Privatwohnung zu verarbeiten.

(2) Der Auftragnehmer ist verpflichtet dafür Sorge zu tragen, dass die in diesem Vertrag vereinbarten technischen und organisatorischen Maßnahmen auch während der Tätigkeit eines Arbeitnehmers im „Home Office“ gewährleistet werden. Der Auftragnehmer ist ebenfalls verpflichtet sicherzustellen, dass der Arbeitnehmer Speicherorte zur Verfügung stehen, die so konfiguriert worden sind, dass eine lokale Speicherung von Daten ausgeschlossen ist. Sollte dies nicht gewährleistet werden können, so ist der Auftragnehmer verpflichtet sicherzustellen, dass die lokale Speicherung ausschließlich verschlüsselt erfolgt. Andere Personen aus dem Haushalt des Arbeitnehmers dürfen keine Zugriffsmöglichkeit auf personenbezogenen Daten haben.

(3) Die wirksame Kontrolle der Verarbeitung der personenbezogenen Daten, muss vom Auftragnehmer sichergestellt werden. Die Persönlichkeitsrechte aller im Haushalt lebenden Personen dürfen nicht außer Acht gelassen werden und sind angemessen zu berücksichtigen.

(4) Die Absätze 1 bis 4 gelten entsprechend, wenn ein Unterauftragnehmer seinen Arbeitnehmern gestattet im „Home Office“ tätig zu werden.

§7 Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, die gemäß Art. 28 Abs. 3 lit. h DSGVO vorgesehene Auftragskontrolle in Abstimmung mit dem Auftragnehmer durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen.

(2) Der Auftragnehmer kann durch die Übergabe externer Zertifizierungen (bzw. die Zertifizierung seiner Subunternehmer) die Auftragskontrolle ermöglichen.

(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

  • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
  • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
  • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
  • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

(4) Die Parteien sind sich darüber einig, dass die Kontrollmaßnahmen bei einer Verarbeitung von personenbezogenen Daten im „Home-Office“ zur Wahrung der Persönlichkeitsrechte von Beschäftigten des Auftragnehmers und etwaiger weiterer Personen im jeweiligen Haushalt primär dadurch erfolgt, dass die vom Auftragnehmer nach § 5 zu treffenden Maßnahmen kontrolliert und sichergestellt werden.

§8 Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit:

  • der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
  • der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
  • eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird.

(3) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU bzw. des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit unter Befolgung der Voraussetzungen gem. Art. 46 DSGVO sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(4) Sollten gravierende Mängel bei einer Überprüfung eines Unterauftragnehmers festgestellt werden, kann der Auftraggeber verlangen, dass dieser Unterauftragnehmer nicht weiter im Rahmen dieses Auftragsverarbeitungsverhältnisses unterbeauftragt wird.

§9 Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§10    Zahlungsverpflichtung

Zeitliche Aufwände des Auftragnehmers, welche über die Verpflichtung aus der Leistungsvereinbarung hinausgehen, sind nach den aktuellen Stundensätzen/Tagessätzen des Auftragnehmers zu vergüten.

§11 Haftungsbeschränkung

Es gilt die Haftungsregelung aus Art. 82 DSGVO.

§12 Schlussbestimmungen

(1) Die Parteien sind sich darüber einig, dass jegliches Zurückbehaltungsrecht des Auftragnehmers hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen ist.

(2) Änderung dieser Vereinbarung über eine Auftragsverarbeitung einschließlich der Zusicherungen und Gewährleistungen des Auftragnehmers sind nur gültig, wenn sie in Schriftform erfolgen und ausdrücklich darauf hinweisen, dass es sich um eine Änderung dieser Vereinbarung über eine Auftragsverarbeitung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3) Im Falle eines Konflikts haben die Regelungen dieser Vereinbarung über eine Auftragsverarbeitung Vorrang vor sonstigen vertraglichen Bestimmungen.

(4) Sind einzelne Bestimmungen dieser Vereinbarung über eine Auftragsverarbeitung ungültig oder nicht durchsetzbar, so wird die Gültigkeit und Durchsetzbarkeit der übrigen Bestimmungen nicht berührt.

(5) Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland und der Gerichtsstand ist Friedrichshafen, sofern die zugrundeliegende Leistungsvereinbarung keine abweichende Rechts – und Gerichtswahl enthält.

Fragen?

Nicht gefunden, was Sie suchen? Wir helfen gerne weiter. Kontaktieren Sie uns jederzeit:

Rufen Sie gerne an
Schreiben Sie uns