Auftragsverarbeitung DSGVO

Art und Zweck der Verarbeitung sind ….. (z.B. das Erfassen und Speichern von Papierdokumenten zur Überführung in eine eAkte)

• z.B. Bürgerinnen und Bürger

• oder Beschäftige

• oder …..

• Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der Verantwortliche verantwortlich.

• Der Verantwortliche erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und schriftlich festzulegen.

• Der Verantwortliche hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind schriftlich zu bestätigen. Die weisungsberechtigten Personen des Verantwortlichen und die Weisungsempfänger beim Auftragsverarbeiter werden in der Anlage 1 mit Namen, Organisationseinheit und Kontaktdaten benannt. Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen und insoweit die Anlage 1. entsprechend zu aktualisieren.

• Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

• Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Verantwortlichen, es sei denn, es liegt ein Anwendungsfall von Art. 28 Abs. 3 lit. a DS-GVO vor. Er verwendet die zur Datenverarbeitung überlassenen personenbezogenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Er beachtet die Bestimmungen der DS-GVO und des Landesdatenschutzgesetzes und unterwirft sich hinsichtlich der in diesem Vertrag vereinbarten Leistungen der Kontrolle des Landesbeauftragten für den Datenschutz.

• Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen sowie die Trennung der Daten des Verantwortlichen von sonstigen Datenbeständen des Auftragsverarbeiters zu.

• Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Verantwortliche jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in das Verzeichnis von Verarbeitungstätigkeiten, die gespeicherten Daten und die Datenverarbeitungs-programme einschließlich einer Inspektion beim Auftragsverarbeiter.

• Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Veranwortlichen, an der Erstellung der Verzeichnisse von Verarbeitungstätig-keiten sowie bei erforderlichen Datenschutz-Folgenabschätzungen des Verantwortlichen hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Verantwortlichen soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder die betroffene Person darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Verantwortlichen erteilen.

• Die Verarbeitung von Daten in Privatwohnungen ist gestattet. Dabei gelten die technisch-organisatorischen Maßnahmen in Anlage 2 zur Sicherstellung der jeweils geltenden gesetzlichen datenschutzrechtlichen Bestimmungen, die beschrieben sind.

• Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien dürfen erst nach vorheriger Zustimmung durch den Verantwortlichen datenschutzgerecht vernichtet werden.

• Nach Abschluss der vertraglichen Arbeiten hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen. Seitens des Verantwortlichen elektronisch zur Verfügung gestellte Informationen sowie etwaige Testdaten sind nach erklärter Abnahme der Leistung zu löschen. Die Löschung erfolgt derart, dass eine Reproduktion nach dem Stand der Technik nicht möglich ist. Die Löschung bzw. Vernichtung ist dem Verantwortlichen schriftlich zu bestätigen.

• Die Beauftragung von weiteren Auftragsverarbeitern ist erlaubt. Der Auftragsverarbeiter informiert den Verantwortlichen über eine beabsichtigte Hinzuziehung oder Ersetzung eines anderen Auftragsverarbeiters, um dem Verantwortlichen die Möglichkeit eines Einspruches zu gewähren. Der schriftliche Vertrag zwischen Auftragsverarbeiter und Subunternehmer hat in diesem Falle sicherzustellen, dass die mit dem Verantwortlichen vereinbarten Regelungen auch dem weiteren Auftragsverarbeiter auferlegt werden. Zurzeit sind die in Anlage 3 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt.

• Der Verantwortliche ist über wesentliche Veränderungen, die die Art der Datenverarbeitung betreffen, rechtzeitig zu unterrichten. Für den Datenschutz oder die Informationssicherheit erhebliche Entscheidungen zur Organisation und Durchführung der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Verantwortlichen abzustimmen.

• Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten für den Verantwortlichen das Datengeheimnis gemäß § 8 LDSG zu wahren. Er verpflichtet sich weiter, über Informationen, die ihm im Rahmen des Auftrags zur Kenntnis gelangen, gegenüber Dritten Verschwiegenheit zu wahren. Die Verschwiegenheitspflicht besteht auch nach Erfüllung des Auftrags weiter.

• Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.

• Der Auftragsverarbeiter verpflichtet sich, dem Landesbeauftragten für den Datenschutz und den von ihm eingesetzten Bediensteten Zugang zu den Arbeitsräumen zu gewähren und unterwirft sich der Kontrolle nach Maßgabe der DS-GVO bzw. des LDSG in seiner jeweiligen Fassung.

• Soweit Daten in einer Privatwohnung verarbeitet werden, ist der Zugang des Landesbeauftragten für den Datenschutz und der von ihm eingesetzten Bediensteten vorher mit dem Auftragsverarbeiter abzustimmen.

• Der Auftragsverarbeiter verpflichtet sich, die nach Art. 32 DS-GVO erforderlichen technisch-organisatorischen Maßnahmen zu treffen und in einem Sicherheitskonzept zu dokumentieren. Das Sicherheitskonzept ist auf Anforderung dem Verantwortlichen zur Verfügung zu stellen. Ist eine Zurverfügungstellung des Sicherheitskonzeptes, insbesondere aus Gründen der Informationssicherheit oder der Geheimhaltung ganz oder teilweise nicht möglich, so stellt der Auftragsverarbeiter dem Verantwortlichen die relevanten Auszüge aus dem Sicherheitskonzept zur Einsichtnahme beim Auftragsverarbeiter zur Verfügung. Eine Übersicht der verbindlichen technischen und organisatorischen Maßnahmen ist unter Anlage 2 aufgeführt.

• Der Auftragsverarbeiter beachtet die Grundsätze ordnungsmäßiger Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.

• Die technischen und organisatorischen Maßnahmen sind im Laufe des Auftragsverhältnisses im Hinblick auf ihre Wirksamkeit regelmäßig zu überprüfen, zu bewerten und zu evaluieren (Art. 32 Abs. 1 lit. d DS-GVO). Änderungen dürfen die vereinbarten Sicherheitsstandards nicht unterschreiten. Wesentliche Änderungen sind schriftlich zu vereinbaren.

• Soweit die beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen den Anforderungen des Verantwortlichen nicht genügen, benachrichtigt er den Verantwortlichen unverzüglich. Entsprechendes gilt für Störungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten. Er unterrichtet den Verantwortlichen unverzüglich, wenn eine vom Verantwortlichen erteilte Weisung nach seiner Meinung zu einem Verstoß gegen gesetzliche Vorschriften führen kann. Die Weisung braucht nicht befolgt zu werden, solange sie nicht durch den Verantwortlichen geändert oder ausdrücklich bestätigt wird.

Der Vertrag

beginnt am [...] und endet [am ... ]

oder

endet mit Auftragserledigung

oder

wird auf unbestimmte Zeit geschlossen. Er ist mit einer Frist von [...] kündbar.

Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen die Bestimmungen der DS-GVO und anderer Datenschutzvorschriften oder dieses Vertrages vorliegt.

Im Falle einer möglichen Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO meldet der Auftragsverarbeiter dies unverzüglich, damit der Verantwortliche in die Lage versetzt wird, die Meldefrist von 72 Stunden gegenüber der zuständigen Aufsichtsbehörde einzuhalten.

• Der Auftragsverarbeiter haftet dem Verantwortlichen für Schäden, die der Auftragsverarbeiter, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen.

• Für den Ersatz von Schäden, die eine betroffene Person wegen einer nach der DS-GVO oder dem LDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Verantwortliche oder der Auftragsverarbeiter gegenüber der betroffenen Person verantwortlich. Der Auftragsverarbeiter haftet nur dann, wenn er den ihm auferlegten Pflichten nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

• Sollte das Eigentum des Verantwortlichen beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich zu verständigen.

• Änderungen oder Ergänzungen zu diesem Vertrag sind nur wirksam, wenn sie schriftlich vereinbart werden. Dies gilt auch für eine Änderung dieser Schriftformklausel. Satz 1 gilt nicht für Anpassungen bezüglich der weisungsberechtigten Personen sowie Weisungsempfänger (Anlage 1).

• Nebenabreden wurden nicht vereinbart.

• Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Für den Verantwortlichen:

_____________, ___________

...................................................................................................................................................................

(Unterschrift und Dienstsiegel)

Für den Auftragsverarbeiter:

_____________, ___________

• Anlage 1: Weisungsberechtigte Person und Weisungsempfänger

• Anlage 2: Übersicht der technisch-organisatorischen Maßnahmen

• Anlage 3: Übersicht der Subunternehmen