Vorschau aktualisieren...
Vereinbarung zwischen PC-MO Computer
Inh. Mounim Ben Kaddour
Ginterweg 35
50169 Kerpen
DEUTSCHLAND
und den Kunden oben genannt VERTRAG ZUR AUFTRAGSVERARBEITUNG GEMÄSS ART. 28 DS-GV VORBEMERKUNG
Der Auftragnehmer verarbeitet im Rahmen der Leistungserbringung anfallende personenbezogene Daten im Wege der Auftragsdatenverarbeitung nach § 11 BDSG nach den nachfolgenden Regelungen:
1. VERTRAGSGEGENSTAND
1.1 UMFANG DER VORHERGESEHENEN ERHEBUNG, VERARBEITUNG ODER NUTZUNG
Der Auftraggeber ist allein verantwortlich für die Beurteilung der rechtlichen Zulässigkeit der im Rahmen der Leistungen der Vereinbarung durchgeführten Verarbeitung und Nutzung personenbezogener Daten durch den Auftragnehmer im Hinblick auf die Regelungen des BDSG und anderer einschlägiger Datenschutzvorschriften. Die an den Auftragnehmer übergebenen Daten sowie alle daraus erarbeiteten Datenergebnisse stehen im alleinigen Eigentum des Auftraggebers.
Der Auftragnehmer nutzt oder verarbeitet die personenbezogenen Daten des Auftraggebers ausschließlich im Rahmen der vertraglichen Vereinbarungen und der speziellen schriftlichen Einzelweisungen des Auftraggebers. In Eilfällen können durch bevollmächtigte Mitarbeiter des Auftraggebers Weisungen auch mündlich erteilt werden. Diese bedürfen der unverzüglich schriftlichen Bestätigung.
Zur Durchführung des Vertragsgegenstandes ist der Auftragnehmer zur Durchführung aller erforderlichen Verarbeitungen und Nutzungen der Daten, soweit die Verarbeitung nicht zu einer inhaltlichen Umgestaltung führt, berechtigt.
1.2 ART DER DATEN
Namen, Vorname, Ansprechpartner, Adresse, Telefonnummer, E-Mail, User-Daten, Zugangsdaten.
1.3 ZWECK DER VORHERGESEHENEN ERHEBUNG, VERARBEITUNG ODER NUTZUNG
Die Verarbeitung ist folgender Art: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten.
1.4 KREIS DER BETROFFENEN
Mitarbeiter und Kunden des Auftraggebers.
2. PFLICHTEN DES AUFTRAGGEBERS
2.1 Der Auftraggeber ist verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer. Der Auftraggeber ist als verantwortliche Stelle insbesondere für die Wahrung der Betroffenenrechte verantwortlich.
2.2 Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen.
2.3 Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Der Auftraggeber ist verpflichtet, das Ergebnis in geeigneter Weise zu dokumentieren.
3. Pflichten des Auftragnehmers
3.1 Datenschutz, insbesondere § 11 Abs. 4 BDSG
3.1.1 Der Auftragnehmer wird als Teil seiner vertraglichen Hauptpflichten die gesetzlichen Bestimmungen des Datenschutzes in ihrer jeweils geltenden Fassung einhalten.
Dem Auftragnehmer sind die geltenden datenschutzrechtlichen Bestimmungen insbesondere des Bundesdatenschutzgesetzes (BDSG), des Telekommunikationsgesetzes (TKG) sowie des Telemediengesetzes (TMG) bekannt.
Der Auftragnehmer wird als Teil seiner vertraglichen Hauptpflichten die gesetzlichen Bestimmungen des Datenschutzes in ihrer jeweils geltenden Fassung einhalten.
3.1.2 Der Auftragnehmer ist verpflichtet, bei der Nutzung der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis gemäß § 5 BDSG zu wahren. Der Auftragnehmer hat hierzu bei der Verarbeitung und Nutzung ausschließlich Beschäftigte einzusetzen, die auf das Datengeheimnis verpflichtet sind. Er hat insbesondere mit der gebotenen Sorgfalt darauf hinzuwirken, dass alle Personen, die mit der Bearbeitung oder Erfüllung dieses Vertrages betraut sind, sorgfältig ausgewählt wurden, die gesetzlichen Bestimmungen über den Datenschutz beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weitergeben oder sonst verwerten.
3.1.3 Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsdatenverarbeitung erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich und stellt den Auftragnehmer frei, soweit der Auftragnehmer dem Auftraggeber nicht nach Maßgabe der nachfolgenden Regelungen haftet.
Soweit der Auftraggeber zum Ausgleich eines Schadens gegenüber dem Betroffenen verpflichtet ist, bleibt es dem Auftraggeber vorbehalten, den Auftragnehmer bei Vorliegen eines Verschuldens in Anspruch zu nehmen. Der Auftraggeber hat das Recht, die in Nr. 6 der Anlage zu § 9 BDSG vorgesehene Auftragskontrolle im Benehmen mit dem Auftragnehmer durchzuführen oder durchführen zu lassen. Als Verantwortlicher für die Durchführung der Auftragskontrolle werden auf Seiten des Auftraggebers
Pflichtfeld
benannt.
Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die zur Wahrung seiner bei der Verarbeitung personenbezogener Daten bestehenden Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und auf Kosten des Auftraggebers entsprechende Nachweise zu führen.
3.2 AUSKUNFT, BERICHTIGUNG, LÖSCHUNG UND SPERRUNG VON DATEN
Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Löschung oder Sperrung – durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen.
3.3 SUBUNTERNEHMER
Der Auftragnehmer ist berechtigt, nach vorheriger schriftlicher Zustimmung des Auftraggebers Teile des Auftrags an Drittunternehmen zu vergeben. Es dürfen nur solche Personen oder Unternehmen vom Auftragnehmer beauftragt werden, die sich gegenüber dem Auftragnehmer zur Einhaltung der Bestimmungen des Datenschutzes schriftlich verpflichtet haben.
Der Auftraggeber kann die Zustimmung verweigern, insbesondere wenn berechtigte Zweifel an der Zuverlässigkeit eines Auftragnehmers bestehen, wenn die Beachtung der Datenschutzbestimmungen nicht gewährleistet ist oder ein Auftragnehmer zu einem Wettbewerber des Auftraggebers in einer Verbindung steht, welche die Interessen des Auftraggebers gefährden könnte.
3.4 MITTEILUNGSPFLICHT BEI DATENSCHUTZVERSTÖSSE
Bei Störungen, Verdacht auf Datenschutzverletzungen und anderen Unregelmäßigkeiten bei der Verarbeitung von personenbezogenen Daten vom Auftragnehmer ist der Auftraggeber unverzüglich zu informieren. Der Auftraggeber hat seinerseits bei der Feststellung von Fehlern oder Unregelmäßigkeiten, die insbesondere bei der Prüfung von Ergebnissen festgestellt werden, unverzüglich den Auftragnehmer zu informieren.
3.5 RÜCKGABE- UND ÜBERLASSUNGSPFLICHTEN
In jedem Fall der Beendigung des Vertrages, gleich aus welchem Rechtsgrund, hat der Auftragnehmer die vorhandenen Daten vollständig an den Auftraggeber zu übergeben und sämtliche gefertigte Kopien auf dauerhaften Speichermedien zu löschen, sowie den Nachweis der ordnungsgemäßen Vernichtung zu führen.
Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind dem Auftraggeber bei Vertragsende auf Anforderung in strukturierter Form zu übergeben. Der Auftragnehmer hat im Regressfall dem Auftraggeber auch nach Vertragsende die noch vorhandene Dokumentation zur Führung des Entlastungsbeweises nach § 8 BDSG zu überlassen.
3.6 An der Erstellung der Verfahrensverzeichnisse durch den Auftraggeber hat der Auftragnehmer mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
4. VERTRAULICHKEIT UND VERSCHWIEGENHEITSPFLICHT
4.1 Zur Durchführung dieses Vertrages tauschen die Parteien vertrauliche Informationen aus.
4.2 Die Parteien wahren über vertragliche Einzelheiten der Kooperation Stillschweigen. Sie verpflichten sich, die ihnen im Rahmen der vertraglichen Kooperation als vertraulich gekennzeichneten Informationen, insbesondere hinsichtlich Kunden und Mengen sowie Informationen, die aufgrund sonstiger Umstände als Geschäfts- oder Betriebsgeheimnisse erkennbar sind, vertraulich zu behandeln und während der Dauer sowie nach Beendigung des Vertrages ohne vorherige schriftliche Einwilligung des betroffenen Vertragspartners nicht zu verwerten oder zu nutzen oder Dritten zugänglich zu machen. Gleiches gilt für vertrauliche Unterlagen.
4.3 Die Parteien verpflichten sich, die vertraulichen Informationen nur ihren Mitarbeitern in dem für ihre jeweilige Aufgabe erforderlichen Umfang bekannt zu geben.
4.4 Diese Vertraulichkeitsverpflichtung gilt nicht für Informationen, die nachweislich
4.4.1 die andere Partei von Dritten rechtmäßig erhalten hat oder erhält oder
4.4.2 die bei Vertragsabschluss bereits allgemein bekannt waren oder nachträglich ohne Verstoß gegen die in diesem Vertrag enthaltenen Verpflichtungen allgemein bekannt werden oder
4.4.3 bei der empfangenden Partei bereits vorhanden waren oder
4.4.4 bei der empfangenden Partei unabhängig entwickelt wurden.
Die Parteien werden ihre Mitarbeiter und etwaig zur Vertragserfüllung eingesetzte Dritte entsprechend verpflichten.
4.5 Der Auftragnehmer verpflichtet sich, die vertraulichen Informationen innerhalb des Unternehmens nur an diejenigen weiterzugeben, die diese Informationen zur Durchführung ihrer jeweiligen Arbeitsaufgabe im Rahmen dieses Vertrages unbedingt benötigen.
4.6 Der Auftragnehmer ist aufgrund dieses Vertrages zur Einhaltung des aktuellsten Standes der Technik, was Datensicherheit und den Schutz von Informationen angeht, verpflichtet. Der Auftragnehmer wird den Auftraggeber auf bestehende und drohende Sicherheitslücken hinweisen. Der Auftragnehmer wird bei der Auswahl und Bestellung von Wartungs-, Pflegeund sonstigem technischen Personal darauf achten, dass die jeweils tätigen Personen ihrerseits den aktuellsten Stand der Datensicherheit beachten und in all ihren Aktivitäten der vertraulichen Natur der Informationen des Auftraggebers Rechnung tragen.
5. KONTROLLRECHTE DES AUFTRAGGEBERS
5.1 KONTROLLRECHTE, DULDUNGS- UND MITWIRKUNGSPFLICHTEN
Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragnehmers erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch den Auftraggeber angekündigt werden. Der Auftragnehmer hat die Vor-Ort-Kontrolle zu dulden und hieran in angemessener Form mitzuwirken.
5.2 WEISUNGSBEFUGNIS
Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen oder Weisungen in Textform (z.B. EMail) sind unverzüglich vom Auftraggeber schriftlich zu bestätigen.
Die Parteien vereinbaren als Weisungsberechtigte und für die Annahme von Weisungen Berechtigte für die laufende datenschutzrechtliche Abwicklung folgende Ansprechpartner:
Beim Auftraggeber *:
Pflichtfeld
Beim Auftragnehmer:
Mounim Ben Kaddour
Bei einem Wechsel oder einer dauerhaften Verhinderung des verantwortlichen Ansprechpartners ist dies durch den jeweiligen Vertragspartner unverzüglich schriftlich unter Benennung eines Vertreters mitzuteilen.
6. VERGÜTUNG UND ABRECHNUNG
Die Vergütung und Abrechnung der Leistungen wird in einer gesonderten Vereinbarung geregelt.
7. URHEBERRECHT UND NUTZUNGSRECHT
7.1 Der Auftragnehmer anerkennt die Urheber- und Nutzungsrechte des Auftraggebers an den abgerufenen Adressen des Auftraggebers und verzichtet auf jedwede Rechte an den von ihm erhobenen Daten. An diesen besteht das ausschließliche Nutzungsrecht des Auftraggebers als Datenbankhersteller und Auftraggeber.
7.2 Die Übernahme der abgerufenen und neu erhobenen Adressdaten sowie die Weitergabe oder Überlassung der qualifizierten Bestandsdaten und der neu erhobenen Daten insgesamt oder in Teilen an Dritte ist dem Auftragnehmer untersagt.
8. TECHNISCHE UND ORGANISATORISCHE MASSNAHME
8.1 Der Auftragnehmer sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der vereinbarten allgemeinen und technischen und organisatorischen Maßnahmen entsprechend § 9 Bundesdatenschutzgesetz zu. Insbesondere wird der Auftragnehmer seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Forderungen des Bundesdatenschutzgesetzes entsprechen.
8.2 Dies beinhaltet insbesondere:
8.2.1 Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren (Zutrittskontrolle),
8.2.2 zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), dafür Sorge zu tragen, dass die zur Benutzung eines Datenverarbeitungssystems beim Auftragnehmer Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
8.2.3 dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
8.2.4 dafür Sorge zu tragen, dass nachträglich geprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
8.2.5 dafür Sorge zu tragen, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
8.2.6 dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8.2.7 dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle).
8.3 Im Zusammenhang mit der unter Ziffer 8.2.7 genannten Trennungskontrolle ist der Auftragnehmer verpflichtet, die Daten von Kunden des Auftraggebers von Kundendatenbeständen anderer Kooperationspartner streng separiert vorzuhalten.
9. VERTRAGSLAUFZEIT, BEENDIGUNG
9.1 Der Vertrag beginnt am Anmeldetag und endet bei Widerruf. Der DSGVO Vertrag kann jederzeit, wiederzuverwerten.
9.2 Das Recht zur fristlosen Kündigung wegen grob vertragswidrigen Verhaltens des anderen Vertragspartners bleibt jeder Partei erhalten. Der Auftraggeber kann den Vertrag insbesondere dann mit sofortiger Wirkung kündigen, wenn der Auftragnehmer oder ein von ihm beauftragter Subunternehmer gegen Datenschutzbestimmungen trotz vorangegangener Abmahnung wiederholt verstößt.
10. ALLGEMEINE BESTIMMUNGEN
10.1 Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
10.2 Die Geltendmachung eines Zurückbehaltungsrechts hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ist seitens des Auftragnehmers ausgeschlossen.
10.3 Der Vertrag bedarf zu seiner Gültigkeit der Schriftform und wird erst mit Unterzeichnung durch beide Parteien wirksam. Nebenabreden bestehen keine. Ergänzungen und Änderungen bedürfen zu ihrer Wirksamkeit der Schriftform. Das gleiche gilt hinsichtlich der Wahl des Schriftformerfordernisses.
10.4 Sollte eine der vorgenannten Vertragsbestimmungen aus irgendeinem Grund rechtsunwirksam sein, so wird davon die Gültigkeit der übrigen Vertragsbestimmungen nicht berührt. In diesem Fall sind die Parteien verpflichtet, die unwirksame Bestimmung durch eine solche zu ersetzen, die dem Vertragszweck am nächsten kommt.
10.3 Für sämtliche Rechtsstreitigkeiten zwischen den Parteien aus diesem Vertrag wird als Gerichtsstand Kerpen vereinbart.
Stand: 01.11.2022