Regelungen zur Auftragsdatenverarbeitung (AV) gem. Art. 28 DSGVO
§ 1 Gegenstand und Dauer des Auftrags
Für die Dauer der Leistungserbringung gemäß erteilten Auftrag, verarbeiten wir zum Zweck der Leistungserfüllung die folgenden Personenbezogenen Daten des Auftraggebers (Auftraggeberdaten):
- Namen
- Adressen
- Telefonnummer
- E-Mail-Adressen
Folgende Kategorien betroffener Personen können von der Auftragsverarbeitung erfasst:
- Kunden
Der Auftraggeber bleibt im datenschutzrechtlichen Sinn Verantwortlicher.
§ 2 Weisungsbefugnis des Auftraggebers
Wir, als Auftragsverarbeiter, verarbeiten die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen auch in Bezug auf die Übermittlung personenbezogener Daten an Dritte, sofern wir nicht durch gesetzliche Vorgaben hierzu verpflichtet ist. In einem solchen Fall teilen wir dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. In jedem Fall dürfen wir die Auftraggeberdaten anonymisieren und in anonymisierter Form für eigene Zwecke verarbeiten und nutzen, insbesondere für statistische Zwecke.
§ 3 Keine Verarbeitung in Drittstaaten
Die Verarbeitung der Auftraggeberdaten findet zum Zeitpunkt des Vertragsschlusses ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
§ 4 Vertraulichkeit
Wir gewährleisten, dass die zur Verarbeitung der personenbezogenen Daten befugten Mitarbeiter zur Vertraulichkeit verpflichtet sind.
§ 5 Technische und organisatorische Maßnahmen
(1) Wir versichern, dass alle gemäß Artikel 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten ergriffen sind und während der Vertragslaufzeit aufrechterhalten werden. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es uns gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der im Leistungsverzeichnis (Anhang I) festgelegten Maßnahmen nicht unterschritten wird.
(2) Wir versichern, den Verantwortlichen, nach Möglichkeit, mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen. Sollten betroffene Personen sich direkt an uns wenden, werden diese unverzüglich an den Verantwortlichen weitergeleitet. Die betroffene Person wird von uns lediglich über die Weiterleitung informiert.
§ 7 Mitteilung bei Verstößen des Auftragnehmers
Wir unterstützen den Verantwortlichen, unter Berücksichtigung der zur Verfügung stehenden Informationen, bei Eintritt von möglichen Datenschutzrisiken gem. der Art. 32 bis 36 DSGVO. Wir versichern, dass bei Kenntnisnahme eines Datenschutzrisikos der Verantwortliche innerhalb von 24 Stunden informiert wird, bzw. falls wir der Auffassung sind, dass eine Weisung des Verantwortlichen gegen die DSGVO oder andere Datenschutzbestimmungen verstößt.
§ 8 Löschung der personenbezogenen Daten
Wir löschen nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten, sofern nicht nach gesetzlichen oder anderen rechtlichen Bestimmungen eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
§ 9 Mitwirkungspflicht
Wir stellen auf Wunsch des Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der DSGVO zur Verfügung, sowie die Möglichkeit zur Inspektion nach vorheriger Anmeldung.
§ 10 Rückgabe von personenbezogenen Daten
Wir werden sämtliche Auftraggeberdaten nach Vertragsbeendigung löschen und ggf. vom Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch Auftraggeberdaten enthalten, an den Auftraggeber zurückzugeben.
§ 11 Datenschutzbeauftragter
Derzeit ist als externer Datenschutzbeauftragter bei uns bestellt:
dokuworks GmbH
Herr Markus Weber
Essener Straße 1
57234 Wilnsdorf
Telefon: +49 (0) 271-77237-60
E-Mail: datenschutz@doku.works
§ 12 Unterauftragsverhältnisse
(1) Bei der Inanspruchnahme von Subunternehmern versichert der Auftragnehmer, dass zwischen ihm und dem Subunternehmer ein Vertrag gem. Art. 28 DSGVO besteht. Die darin getroffenen Regelungen sind inhaltsgleich zu den in diesem Vertrag getroffenen Regelungen zu vereinbaren, sodass insbesondere die technischen und organisatorischen Maßnahmen mindestens dasselbe Schutzniveau aufweisen. Die in der Anlage aufgeführten Subunternehmer sind im Rahmen des Vertrages durch den Verantwortlichen freigegeben.
(2) Wir nehmen keine weiteren Subunternehmer ohne gesonderte schriftliche Genehmigung des Verantwortlichen, die auch in einem elektronischen Format erfolgen kann, in Anspruch, soweit sie direkt mit der Verarbeitung der Daten des Verantwortlichen in Verbindung stehen.
(3) Die Auslagerung auf Auftragnehmer oder der Wechsel der bestehenden Unterauftragnehmer ist zulässig, soweit
- der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber in einer angemessenen Zeit, die 14 Tage nicht unterschreiten darf, vorab schriftlich oder in Textform anzeigt und
- der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
- eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird.
§ 13 Haftung
Im Falle möglicher Haftungen gelten im Rahmen der Leistungserbringung und der Auftragsverarbeitung die Vorgaben des Art. 82 DSGVO.
§ 14 Inkrafttreten
Mit schriftlicher Erteilung des Auftrags, stimmt der Auftragsgeber den Regelungen der Auftragsdatenverarbeitung zu.
Diese Regelungen treten mit Beginn der Leistungserbringung in Kraft und sind für beide Parteien bindend.
