Was regelt ein Vertrag zur Auftragsverarbeitung?

Unsere Juristen stellen Ihnen einen kostenlosen AV-Vertrag über personenbezogenen Daten i.S.d. Art. 28 DSGVO kostenlos im HB Marketplace zur Verfügung.

Präambel
§ 1 Gegenstand und Dauer des Auftrags
§ 2 Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung
§ 3 Anwendungsbereich und Verantwortlichkeit
§ 4 Pflichten des Auftragnehmers
§ 5 Pflichten des Auftraggebers
§ 6 Anfragen betroffener Personen
§ 7 Nachweismöglichkeiten
§ 8 Unterauftragsverhältnisse
§ 9 Informationspflichten, Schriftformklausel, Rechtswahl
§ 10 Haftung und Schadensersatz
§ 11 Vergütung

Muster-Vertragsanlage über die Auftragsverarbeitung personenbezogener Daten i.S.d. Art. 28 DSGVO


zwischen

1.
der Mustermann GmbH
Musterstr. 2
12345 Stadt
- nachfolgend Auftraggeber genannt -

und

2.
der Musterfrau AG
Musterstraße 5
54321 Stadt
- nachfolgend Auftragnehmer genannt -.

Präambel

Dieser Vereinbarung regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden "Parteien" genannt) im Rahmen der sich aus dem Vertrag vom ................................................................. (im Folgenden "Hauptvertrag" genannt) ergebenden Verarbeitung von personenbezogenen Daten im Auftrag. Der Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.


§ 1 Gegenstand und Dauer des Auftrags

(1) Der Gegenstand des Auftrags ist .................................................................................................................................. .
Der Leistungsumfang ergibt sich aus dem Hauptvertrag.

(2) Der Auftragnehmer verarbeitet dabei personenbezogene des Auftraggebers nach dessen Weisung im Sinne von Art. 4 Nr.2 und Art. 28 DSGVO.

(3) Die Dauer dieses Auftrags entspricht der vertraglich vereinbarten Laufzeit des Hauptvertrages.


§ 2 Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung

(1) Der Auftragnehmer übernimmt nachfolgende Verarbeitungen:

(2) Von der Verarbeitung sind betroffen:

(3) Es werden folgende Daten verarbeitet:


§ 3 Anwendungsbereich und Verantwortlichkeit

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich und somit "Verantwortlicher" im Sinne von Art. 4 Nr. 7 DSGVO.

(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.


§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(3) Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.

(4) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

(5) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

(6) Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

(7) Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs.1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

(8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart.

...

Jetzt den Muster AV Vertrag auf dem HB Marketplace downloaden!

Jetzt downloaden!

Was regelt eine AVV?

Bei einem Auftragsverarbeitungsvertrag (AVV) handelt es sich um eine zentrale Anforderung der DSGVO: Werden personenbezogene Daten von einem Dienstleister weisungsgebunden im Auftrag verarbeitet, ist der Abschluss eines AVV erforderlich.

Was ist ein Auftragsverarbeitungsvertrag?

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) kommt in Frage, wenn personenbezogene Daten im Auftrag an Dritte weitergegeben und von ihnen verarbeitet werden. Allerdings ist nicht in jedem Fall eines externen Dienstleisters ein AV-Vertrag notwendig.

Wann muss ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden?

Ein Auftragsverarbeitungsvertrag (AVV) wird nötig, wenn personenbezogene Daten im Auftrag an Dritte weitergegeben und von ihnen verarbeitet oder genutzt werden. Die rechtlichen Vorschriften zur Datenweitergabe sind in der EU-Datenschutz-Grundverordnung (DSGVO) festgelegt.

Wann braucht man AV

Immer wenn personenbezogene Daten an Dritte zur Verarbeitung weitergegeben werden, muss mit dem Verarbeiter ein AV-Vertrag geschlossen werden. Dieser AV- Vertrag sichert den DSGVO konformen Umgang mit den personenbezogenen Daten.