Auftragsverarbeitungsvertrag (AVV)Zwischen:Auftraggeber (Verantwortlicher) [Name des Unternehmens], [Adresse], vertreten durch [Name, Position] und Auftragnehmer (Auftragsverarbeiter) [Name des Unternehmens], [Adresse], vertreten durch [Name, Position] wird folgender Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO) geschlossen:
1. Gegenstand des Vertrags1.1. Art der Verarbeitung Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der Weisungen des Auftraggebers und zur Erfüllung der in der Hauptvereinbarung festgelegten Leistungen. 1.2. Zweck der Verarbeitung [Beschreibung des Zwecks, z. B. Hosting, Datensicherung, IT-Support]. 1.3. Art der Daten [Beschreibung der Datenkategorien, z. B. Kontaktdaten, Finanzdaten]. 1.4. Kategorien betroffener Personen [Beschreibung der betroffenen Personengruppen, z. B. Kunden, Mitarbeiter, Lieferanten].
2. Pflichten des Auftragnehmers2.1. Verarbeitung nur auf Weisung Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Auftraggebers, es sei denn, er ist gesetzlich dazu verpflichtet (Art. 28 Abs. 3 lit. a DSGVO). 2.2. Vertraulichkeit Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung befugten Personen der Vertraulichkeitspflicht gemäß Art. 28 Abs. 3 lit. b DSGVO unterliegen. 2.3. Sicherheitsmaßnahmen Der Auftragnehmer verpflichtet sich, geeignete technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO zu ergreifen, um die Sicherheit der Verarbeitung zu gewährleisten. 2.4. Unterstützung des Auftraggebers Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gemäß Art. 32–36 DSGVO, insbesondere bei der Meldung von Datenschutzverletzungen und der Durchführung von Datenschutz-Folgenabschätzungen. 2.5. Löschung und Rückgabe von Daten Nach Beendigung der Verarbeitung werden alle personenbezogenen Daten gemäß Weisung des Auftraggebers gelöscht oder zurückgegeben (Art. 28 Abs. 3 lit. g DSGVO).
3. Pflichten des Auftraggebers3.1. Verantwortlichkeit Der Auftraggeber bleibt Verantwortlicher im Sinne der DSGVO und trägt die rechtliche Verantwortung für die Datenverarbeitung. 3.2. Rechte der Betroffenen Der Auftraggeber ist für die Erfüllung der Rechte der betroffenen Personen verantwortlich (Art. 12–22 DSGVO).
4. Unterauftragsverhältnisse4.1. Zulässigkeit Der Auftragnehmer darf Unterauftragsverarbeiter nur mit vorheriger schriftlicher Zustimmung des Auftraggebers einsetzen (Art. 28 Abs. 2 DSGVO). 4.2. Vertragliche Bindung Der Unterauftragsverarbeiter muss denselben datenschutzrechtlichen Verpflichtungen unterliegen wie der Auftragnehmer (Art. 28 Abs. 4 DSGVO). 4.3. Liste der Unterauftragsverarbeiter [Auflistung der bereits genehmigten Unterauftragsverarbeiter, falls vorhanden].
5. Technische und organisatorische Maßnahmen (TOM)5.1. Anhang zu TOM Der Auftragnehmer dokumentiert die ergriffenen Maßnahmen in einem separaten Anhang. Diese umfassen mindestens: - Pseudonymisierung und Verschlüsselung personenbezogener Daten.
- Maßnahmen zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.
- Regelungen zur Wiederherstellung der Verfügbarkeit nach einem Vorfall.
6. Rechte und Kontrolle des Auftraggebers6.1. Überprüfung Der Auftraggeber hat das Recht, sich von der Einhaltung der vertraglichen Pflichten und der TOM beim Auftragnehmer zu überzeugen (z. B. durch Audits oder Inspektionen). 6.2. Nachweise Der Auftragnehmer stellt auf Anfrage Nachweise über die Einhaltung der DSGVO bereit (z. B. Zertifikate, Audit-Berichte).
7. Datenschutzverletzungen7.1. Meldepflicht Der Auftragnehmer informiert den Auftraggeber unverzüglich über Datenschutzverletzungen, einschließlich Art der Verletzung, betroffener Datenkategorien und der ergriffenen Maßnahmen.
8. Haftung8.1. Haftung des Auftragnehmers Der Auftragnehmer haftet nur für Schäden, die durch einen Verstoß gegen diesen Vertrag oder die DSGVO entstanden sind, soweit dies rechtlich zulässig ist. 8.2. Haftung des Auftraggebers Der Auftraggeber haftet für die Rechtmäßigkeit der Datenverarbeitung.
9. Vertragslaufzeit und Beendigung9.1. Dauer Dieser Vertrag gilt für die Dauer der Hauptvereinbarung. 9.2. Folgen der Beendigung Nach Beendigung werden alle Daten gemäß Weisung gelöscht oder zurückgegeben.
10. Schlussbestimmungen10.1. Änderungen Änderungen oder Ergänzungen dieses Vertrags bedürfen der Schriftform. 10.2. Gerichtsstand Gerichtsstand ist [Ort]. 10.3. Anwendbares Recht Es gilt das Recht der Bundesrepublik Deutschland.
Optionale Klauseln und alternative VorgehensweisenVerschärfte Kontrollrechte: - Regelmäßige Audits in festen Abständen.
- Einsatz externer Prüfer.
Datenübertragung in Drittstaaten: - Ergänzung um Standardvertragsklauseln (Art. 46 DSGVO).
- Verpflichtung zur zusätzlichen Risikobewertung.
Vertragsstrafen: - Einführung einer Klausel über Vertragsstrafen bei Verstößen gegen die Vereinbarung.
Versicherungspflicht: - Verpflichtung des Auftragnehmers, eine Haftpflichtversicherung für Datenschutzverstöße abzuschließen.
Ergänzende Betroffenenrechte: - Regelungen für den Fall, dass der Auftragnehmer direkt Anfragen von Betroffenen erhält.
Anlagen- Beschreibung der Datenverarbeitung.
- Technische und organisatorische Maßnahmen (TOM).
- Liste der genehmigten Unterauftragsverarbeiter.
Was wir als Kanzlei tun können- Beratung:
- Unterstützung bei der Erstellung eines AVV, maßgeschneidert auf die spezifischen Anforderungen.
- Vertragsprüfung:
- Prüfung bestehender AVVs auf Rechtssicherheit und Konformität mit der DSGVO.
- Begleitung von Audits:
- Rechtliche Unterstützung bei Kontrollen und Zertifizierungsprozessen.
- Vertretung:
- Vertretung bei Streitigkeiten über die Erfüllung des AVV oder bei behördlichen Verfahren.
|