Vereinbarung über die Auftragsverarbeitung (Art. 28 DS-GVO)
Der Auftraggeber verarbeitet personenbezogene Daten bei der Nutzung der Leistungen des Auftragnehmers. Daher kann der Auftragnehmer Zugriff auf die personenbezogenen Daten des Auftraggebers haben. Vor diesem Hintergrund gestalten die Parteien durch diese Ver-einbarung die in diesem Vertrag in Bezug genommene Tätigkeit als Auftragsverarbeitung im Sinne der Datenschutz-Grundverordnung (DS-GVO). Der Auftraggeber ist und bleibt für die Erfüllung seiner datenschutzrechtlichen Pflichten selbst und allein verantwortlich.
Vor erstmaliger Nutzung wird diese Vereinbarung dem Auftraggeber angezeigt und diese durch ihn explizit angenommen. Dem Auftraggeber wird auf elektronischem Weg diese Ver-einbarung an die von ihm benannte E-Mail-Adresse zugesendet.
1.1 Die Leistung des Auftragnehmers ist in der Leistungsbeschreibung festgelegt. Bei der Erbringung bzw. Bereitstellung der Leistung durch den Auftragnehmer kann ein Zugriff auf personenbezogene Daten, welche durch den Auftraggeber verarbeitet werden, technisch nicht abschließend ausgeschlossen werden. Der Auftragnehmer führt keine Tätigkeiten für den Auftraggeber in Bezug auf diese personenbezogenen Daten aus. Über die Mittel und Zwecke der Verarbeitung dieser personenbezogenen Daten entscheidet allein der Auftrag-geber.
1.2 Art der personenbezogenen Daten: Name und Vorname, E-Mail-Adresse (optional), Perso-nalnummer, Vorgesetzter, abgeschlossene Schulungen auf der Plattform
Kategorien betroffener Personen: Kunden, Mitarbeiter des Kunden
Gegenstand und Art der Verarbeitung: Bereitstellung der Plattform und der darauf gebuchten Module
Dauer: entspricht der Dauer des Nutzungsvertrages
1.3 Soweit der Auftragnehmer aus rechtlichen Gründen zu einer von der Vorgabe des Auf-traggebers abweichenden Verarbeitung verpflichtet ist, teilt der Auftragnehmer dies dem Auf-traggeber vor Verarbeitung der personenbezogenen Daten mit, sofern dem Auftragnehmer eine solche Mitteilung nicht rechtlich verboten ist (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).
1.4 Eine Übertragung von personenbezogenen Daten an ein Drittland (also ein Land außer-halb der Europäischen Union) oder eine internationale Organisation und/oder sonstige Ver-arbeitung in einem Drittland oder durch eine internationale Organisation erfolgt nur aufgrund schriftlicher, was auch in elektronischer Form erfolgen kann (Art. 28 Abs. 9 DS-GVO), Wei-sung des Auftraggebers.
1.5 Der weitere Umfang der Datenverarbeitungstätigkeit des Auftragnehmers für den Auf-traggeber kann sich aus den Einzelweisungen des Auftraggebers ergeben. Weisungen des Auftraggebers, die in der Leistungsbeschreibung nicht vorgesehen sind, werden als Antrag Änderung der Leistung und der Vergütung behandelt.
2.1 Der Auftraggeber erteilt alle Einzelweisungen schriftlich, was auch in elektronischer Form erfolgen kann (Art. 28 Abs. 9 DS-GVO).
2.2 Die Vertragsparteien informieren sich und arbeiten bei Anfragen von Aufsichtsbehörden zu Themen aus dem Auftragsverhältnis zusammen und unterstützen sich.
3.1 Der Auftragnehmer erhebt und verwendet personenbezogene Daten und sonstige Infor-mationen des Auftraggebers ausschließlich nach den Weisungen des Auftraggebers und für die erforderlichen auftragsbezogenen Tätigkeiten (Artt. 28, 29 DS-GVO).
3.2 Der Auftragnehmer unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in Artt. 32 bis 36 DS-GVO genannten Pflichten (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO).
4.1 Der Auftraggeber und der Auftragnehmer treffen nach Art. 32 DS-GVO unter Berücksich-tigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahr-scheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
4.2 Die Festlegung der Schutzmaßnahmen erfolgt in der Leistungsbeschreibung einschließ-lich der sie ergänzenden Beschreibungen oder in einer gesonderten Beschreibung der Si-cherheit der Verarbeitung. Der Auftragnehmer wird die dort geregelten Schutzmaßnahmen ergreifen.
4.3 Es liegt in der Verantwortung des Auftraggebers zu bewerten, ob die vorgesehenen Schutzmaßnahmen nach Maßgabe des Art. 32 DS-GVO angemessen sind. Dem Auftrag-nehmer ist diese Beurteilung nicht möglich, da er mit seiner Leistung dem Auftraggeber nur dessen Verarbeitung personenbezogener Daten ermöglicht, diese aber nicht selbst vor-nimmt.
5.1 Der Auftraggeber ist für die Wahrung und Erfüllung der Rechte der Betroffenen, insbe-sondere nach Artt. 13 ff. DS-GVO, verantwortlich und zuständig.
5.2 Der Auftragnehmer sieht nach Möglichkeit und unter Berücksichtigung der Art der Verar-beitung technische und organisatorischen Maßnahmen vor, um den Auftraggeber bei der Einhaltung und Erfüllung der Rechte der betroffenen Personen (Artt. 12 -23 DS-GVO) zu unterstützen (Art. 28 Abs. 3 S. 2 lit. e DS-GVO, vgl. Art. 12 DS-GVO).
6.1 Der Auftragnehmer überprüft in regelmäßigen Abständen die Einhaltung der Vorgaben dieser Vereinbarung, insbesondere der Vorgaben zur Sicherheit der Verarbeitung.
6.2 Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DS-GVO) bekannt wird, meldet er diese dem Verantwortlichen unverzüglich (Art. 33 Abs. 2 DS-GVO). Die Meldung erfolgt durch den Auftragnehmer an die durch den Auftraggeber bei der Registrierung benannte E-Mail-Adresse. Der Auftraggeber wird in eige-ner Verantwortung die Entgegennahme von Meldungen sicherstellen.
6.3 Der Auftragnehmer ist berechtigt, die ihm geeignet erscheinenden Maßnahmen zur Un-terbindung der Verletzung des Schutzes personenbezogener Daten zu ergreifen.
6.4 Der Auftraggeber teilt dem Auftragnehmer den Inhalt der Unterrichtungen nach Art. 33, 34 DS-GVO zum Zeitpunkt deren Versendung mit. Der Auftragnehmer ist jedenfalls ab die-sem Zeitpunkt berechtigt, sich selbst an die Empfänger der Unterrichtungen nach Artt. 33, 34 DS-GVO, insbesondere die Datenschutzaufsichtsbehörde, zu wenden und Stellung zu neh-men.
6.5 Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DS-GVO oder gegen sonstige Datenschutzbestimmungen verstößt (Art. 28 Abs. 3 S. 3 DS-GVO). Eine rechtliche Prüfung durch den Auftragsverarbei-ter ist damit nicht verbunden.
7.1 Der Auftragnehmer stellt dem Auftraggeber nach Möglichkeit und unter Berücksichtigung der Art der Auftragsverarbeitung alle Informationen zur Verfügung, welche der Auftraggeber zum Nachweis der Einhaltung der datenschutzrechtlichen Vorgaben, insbesondere der Vor-gaben des Art. 28 DS-GVO, benötigt (vgl. Art. 28 Abs. 3 S. 2 lit. h DS-GVO).
7.2 Zur Ausübung seiner gesetzlichen Kontrollpflicht hat der Aufraggeber oder ein von ihm beauftragter Prüfer ein Kontrollrecht beim Auftragnehmer vor Ort im Hinblick auf die daten-schutzkonforme Verarbeitung der personenbezogenen Daten und sonstigen Betriebsdaten, die im Auftrag des Auftraggebers verarbeitet werden, sowie auf die technisch-organisatorischen Maßnahmen zu deren Sicherheit (vgl. Art. 28 Abs. 3 S. 2 lit. h DS-GVO). Die Kontrollrechte werden in Abstimmung mit dem Auftragnehmer wahrgenommen. Der Auf-tragnehmer hat die Kontrollen zu dulden und zu unterstützen.
7.3 Der Auftragnehmer hat den Auftraggeber die Kontrolle zu ermöglichen und dazu beizu-tragen (vgl. Art. 28 Abs. 3 S. 2 lit. h DS-GVO) und hierzu die erforderlichen Auskünfte zu erteilen (vgl. Art. 28 Abs. 3 S. 2 lit. h DS-GVO).
Der Auftragnehmer gewährleistet, dass er, soweit erforderlich, entsprechend den gesetzli-chen Bestimmungen bei der zuständigen Aufsichtsbehörde gemeldet ist und einen betriebli-chen Datenschutzbeauftragten entsprechend den gesetzlichen Vorgaben ausgewählt, be-nannt und bei der zuständigen Aufsichtsbehörde gemeldet hat.
Unseren Datenschutzbeauftragten erreichen Sie unter:
Der Datenschutzbeauftragte
Theodor-Heuss-Str. 4
53177 Bonn
Tel.: 0228 9550 66004
E-Mail: datenschutzbeauftragter@vnr.de
9.1 Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter (hier auch bezeichnet als: Unterauftragnehmer) ohne vorherige gesonderte oder allgemeine schriftliche Genehmi-gung des Verantwortlichen in Anspruch (Art. 28 Abs. 2 Satz 1 DS-GVO). Im Fall einer allge-meinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen der-artige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 Satz 2 DS-GVO). Letzteres verein-baren die Parteien in Ziffer 9.3.
9.2 Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters (hier auch bezeichnet als: Unterauftragnehmer) in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem Unterauftragnehmer durch schriftliche Vereinbarung (was auch in elektronischer Form erfolgen kann (Art. 28 Abs. 9 DS-GVO)) nach Maßgabe der DS-GVO, insbesondere Art. 28, 29 DS-GVO, Datenschutzpflich-ten auferlegt, die der vorliegenden Vereinbarung zwischen dem Auftraggeber und dem Auf-tragnehmer entsprechen (Art. 28 Abs. 4 Satz 1 DS-GVO). Dabei müssen insbesondere hin-reichende Garantien dafür geboten werden muss, dass die geeigneten technischen und or-ganisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt (Art. 28 Abs. 4 Satz 1 DS-GVO).
9.3 Die in der Leistungsbeschreibung genannten Unterauftragnehmer sind für den Auftrag-nehmer mit dort genanntem Auftragsinhalt in dem dort genannten Umfang tätig.
Mit der Beauftragung dieser Unterauftragnehmer erklärt sich der Auftraggeber einverstan-den. Im Übrigen werden Unterauftragnehmer zur Erledigung der übertragenen Arbeiten vom Auftragnehmer nur dann einbezogen, wenn der Auftraggeber zuvor hierüber informiert und angemessen Zeit zum Widerspruch gegen deren Einbindung hatte.
10.1 Spätestens mit Beendigung der Vereinbarung über die Auftragsdatenverarbeitung über-tragt der Auftragnehmer nach Wahl des Auftraggebers sämtliche personenbezogenen Daten und jegliche Arbeitsergebnisse an den Auftraggeber zurück oder löscht diese datenschutz-konform (Art. 28 Abs. 3 S. 2 lit. g DS-GVO).
10.2 Der Auftragnehmer ist angewiesen, die durch den Auftraggeber auf den Systemen des Auftragnehmers verarbeiteten personenbezogenen Daten spätestens 3 Monate nach Been-digung des Vertrags datenschutzkonform zu löschen, sofern nicht der Auftraggeber eine sol-che Löschung zu einem früheren Zeitpunkt fordert. Der Auftragnehmer wird dem Auftragge-ber die entsprechende Löschung bestätigen.
10.3 Dies gilt nicht, soweit der Auftragsverarbeiter aufgrund rechtlicher Vorschriften zur Speicherung verpflichtet ist (Art. 28 Abs. 3 S. 2 lit. g DS-GVO).
11 Dauer der Auftragsverarbeitung und Vergütung
11.1 Die Laufzeit und Kündigungsfrist sind in den Bestellkonditionen und der sie ergänzen-den Regelungen sowie den Nutzungsbedingungen geregelt. Mit Beendigung des Leistungs-bezugs endet auch diese Vereinbarung über die Auftragsverarbeitung automatisch, ohne dass es einer gesonderten Kündigung bedarf. Mit der Beendigung dieser Vereinbarung gilt die Regelung „Herausgabe der Daten“ (Ziffer 10).
11.2 Die in der Leistungsbeschreibung beschriebenen Tätigkeiten sind mit der Vergütung für die Nutzung abgegolten. Zusätzliche Leistungen nach dieser Vereinbarung über die Auf-tragsverarbeitung (insbesondere Ziffern 2.2, 3.2, 5.1 und 7.3), die nicht in der Leistungsbe-schreibung enthalten sind, sind durch den Auftraggeber gegenüber dem Auftragnehmer zu-sätzlich zu vergüten, es sei denn, diese beruhen auf einem schuldhaften Fehlverhalten des Auftragnehmers.
12.1 Der Auftragnehmer haftet für sich und seine Erfüllungsgehilfen, gleich aus welchem Rechtsgrund, nur, falls eine wesentliche Vertragspflicht schuldhaft verletzt wurde oder der Schaden auf grobe Fahrlässigkeit oder Vorsatz zurückzuführen ist. Als wesentliche Ver-tragspflicht gilt eine Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Vertragspartner regelmäßig vertrau-en darf.
12.2 Erfolgt die schuldhafte Verletzung einer solchen wesentlichen Vertragspflicht nicht grob fahrlässig oder vorsätzlich, ist die Haftung der Höhe nach beschränkt auf die bei Vertrags-schluss vorhersehbaren und vertragstypischen Schäden.
12.3 Die Haftung des Auftragnehmers für arglistig verschwiegene Mängel, Garantien für die Beschaffenheit einer Sache (insbesondere zugesicherte Eigenschaften) und für Personen-schäden (Leben, Körper und Gesundheit) sowie nach den Vorschriften des Produkthaf-tungsgesetzes bleiben unberührt.
12.4 Soweit die Haftung des Auftragnehmers nach den vorstehenden Regelungen dieser Ziffer 12 (Haftung des Auftragnehmers) wirksam ausgeschlossen oder beschränkt ist, gilt dies auch für die persönliche Haftung der Arbeitnehmer, der sonstigen Mitarbeiter, Organe, Vertreter und Erfüllungsgehilfen von Auftragnehmer.
13.1 Sollte der Auftragnehmer von Dritten, eingeschlossen staatliche Institutionen, in An-spruch genommen werden, die angebliche Rechtsverletzungen oder eine sonstige Rechts-widrigkeit der Nutzung der vertragsgegenständlichen Leistungen und Produkte geltend ma-chen, wird der Auftraggeber den Auftragnehmer bei der Rechtsverteidigung (zu der der Auf-tragnehmer berechtigt, aber nicht verpflichtet ist) die notwendige Unterstützung bieten und den Auftragnehmer von den Kosten der Rechtsverteidigung freistellen.
13.2 Sollte der Auftraggeber von Dritten, eingeschlossen staatliche Institutionen, in Anspruch genommen werden, die Rechtsverletzungen oder eine sonstige Rechtswidrigkeit der Nut-zung der vertragsgegenständlichen Leistungen und Produkte geltend machen, wird der Auf-tragnehmer den Auftraggeber von diesen Ansprüchen im Außenverhältnis freistellen. Vo-raussetzung hierfür ist, dass der Auftragnehmer den Auftraggeber über geltend gemachte Ansprüche umgehend informiert und bis dahin keine Zugeständnisse oder Anerkenntnisse oder diesen gleichkommende Erklärungen abgibt und dem Auftraggeber die Abwehr der An-sprüche gegenüber dem Dritten auf dessen Kosten ermöglicht.
13.3 Die Regelungen gelten entsprechend zugunsten von Geschäftsführern, Organen, Mit-arbeitern und Agenten des Auftragnehmers, soweit sie aufgrund ihrer Tätigkeit im Sinne die-ser Regelung betroffen sind.
13.3 Die Pflicht zur Freistellung besteht nicht, wenn der Auftraggeber die Inanspruchnahme verschuldet hat.
14.1 Der Auftragnehmer wird die im Rahmen dieses Auftrags übertragenen sowie durch ihn erhobenen personenbezogenen Daten vertraulich behandeln und nur im Rahmen der Wei-sung des Auftraggebers verarbeiten (Artt. 28 Abs. 1 lit. a, 29 DS-GVO).
14.2 Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezoge-nen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemesse-nen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 S. 2 lit. b DS-GVO) und die personenbezogenen Daten nur entsprechend der Weisung des Auftraggebers an den Auftragnehmer verarbeiten (Art. 29 DS-GVO). Der Auftragnehmer setzt für die Verarbei-tung (vgl. Art. 4 Nr. 2 DS-GVO) der personenbezogenen Daten nur Mitarbeiter ein und diese nur, wenn diese die über die Schutzbestimmungen dieser Vereinbarung, über die jeweils geltenden Bestimmungen des Datenschutzrechts und die Pflicht zur Verarbeitung nur ent-sprechend der erteilten Weisungen belehrt (vgl. Art. 28 Abs. 3 S. 2 lit. b, Art. 29 DS-GVO). Sonstige Regelungen und Vereinbarungen zwischen den Vertragsparteien über die Vertrau-lichkeit und/oder Geheimhaltung bleiben unberührt.
14.3 Der Auftragnehmer verpflichtet sich auch im Übrigen zu strikter Vertraulichkeit Dritten gegenüber. Insbesondere ist der Auftragnehmer verpflichtet, alle ihm anlässlich der Durch-führung des Auftrags bekannt werdenden Geschäfts- und Betriebsgeheimnisse, Herstel-lungsverfahren, Arbeitsmethoden und sonstigen geschäftlichen bzw. betrieblichen Tatsa-chen, Unterlagen und Informationen des Auftraggebers sowie seiner Kunden und Ge-schäftspartner streng vertraulich zu behandeln, in keiner Weise Dritten zugänglich zu ma-chen oder sonst zu verwenden. Die Weitergabe solcher Informationen ist nur mit vorheriger schriftlicher Zustimmung des Auftraggebers zulässig.
14.4 Mit Ausnahme der Vertraulichkeit in Bezug auf die nach dieser Vereinbarung verarbeite-ten personenbezogenen Daten findet die vorgenannte Verpflichtung findet insoweit keine Anwendung, als der Auftragnehmer darlegen kann, dass diese Information
14.4.1 öffentlich zugänglich und zum Zeitpunkt der Offenlegung verfügbar ist, oder danach der Öffentlichkeit zugänglich geworden ist und zwar ohne Verletzungshandlung oder -unterlassung durch den Auftragnehmer oder eines seiner Vertreter oder Angestellten, oder
14.4.2 vor dem Erhalt von dem Auftraggeber im Besitz des Auftragnehmers oder ihm be-kannt war, oder
14.4.3 dem Auftragnehmer durch eine andere Person ohne Einschränkung rechtmäßig of-fengelegt wurde, oder
14.4.4 von dem Auftragnehmer ohne Zugang zur Information des Auftraggebers unabhängig entwickelt wurde, oder
14.4.5 nach gesetzlichen oder verwaltungsrechtlichen Vorschriften offengelegt werden muss, wenn dem Auftraggeber dieses Erfordernis unverzüglich bekannt gegeben wird und der Um-fang solcher Offenlegung soweit wie möglich eingeschränkt wird, oder aufgrund einer ge-richtlichen Entscheidung offen gelegt werden muss, wenn dem Auftraggeber von dieser Ent-scheidung unverzügliche Nachricht gegeben wurde und wenn nicht die Möglichkeit besteht, diese Entscheidung anzufechten.
14.5 Der Auftragnehmer verpflichtet sich, seinen Mitarbeitern und Subunternehmen (Ziffer 7) die vorstehende Verpflichtung im Rahmen der gesetzlichen Möglichkeiten auch für die Zeit nach ihrem Ausscheiden bzw. Beendigung schriftlich aufzuerlegen, soweit dies – insbeson-dere arbeitsvertraglich – nicht bereits geschehen ist.
15.1 Es gelten die Schlussbestimmungen des Hauptvertrags entsprechend.
15.2 Allgemeine Geschäftsbedingungen des Auftraggebers finden auf diese Vereinbarung keine Anwendung.
Preise und Awards, die unsere Produkte erhalten haben:
skillsforwork: Ihr Partner aus Bonn.
