Zwischen

Der verantwortlichen Stelle
– Auftraggeber –

und

Indico Solutions GmbH
Erichshofer Heide 25
28844 Weyhe
– Auftragnehmer –

Präambel

Dieser Auftragsverarbeitungsvertrag (AVV) konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte, die personenbezogene Daten des Auftraggebers verarbeiten oder unbeabsichtigt offengelegt bekommen.

§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

1. Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungs-vertrag (im Folgenden „Hauptvertrag“). Vereinbarungen über die Vergütung werden außerhalb dieses AVV vereinbart.
2. Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieses AVV nicht darüberhinausgehende Verpflichtungen ergeben.
3. Die Verarbeitung personenbezogener Daten im Auftrag durch den Auftragsverarbeiter (gemäß Art. 28 DSGVO) ist Gegenstand des vorliegenden Vertrags. Der Anlage „Verarbeitungstätigkeiten als Auftragsverarbeiter“ können Inhalt des Auftrags, Datenarten, Kategorien betroffener Personen und der Zweck der Verarbeitung entnommen werden.
4. Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist der Auftraggeber. Für die Beurteilung der Zulässigkeit der Datenverarbeitungsvorgänge nach Art. 6 DSGVO sowie die Wahrung der Betroffenenrechte ist er allein verantwortlich.
5. Die erfassten Daten werden ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR-Abkommens verarbeitet. Eine Verarbeitung außerhalb der genannten Staaten und Gebieten erfolgt nur mit vorheriger Zustimmung des Auftraggebers sowie unter den Bedingungen des Kapitels 5 DSGVO (Art. 44 ff.).

§ 2 Weisungen des Auftraggebers

1. In Bezug auf die Art, den Umfang und weitere Modalitäten der Datenverarbeitung steht dem Auftraggeber ein uneingeschränktes Weisungsrecht gegenüber dem Auftrags-verarbeiter zu. Insbesondere kann er jederzeit die sofortige Berichtigung, Sperrung, Löschung oder Herausgabe der vertragsgegenständlichen Daten verlangen. Sofern dem keine berechtigten gesetzlichen oder vertraglichen Interessen entgegenstehen, ist der Auftragsverarbeiter verpflichtet, den Weisungen Folge zu leisten.
2. Falls der Auftragsverarbeiter der Auffassung ist, dass eine Weisung des Auftraggebers gegen gesetzliche Vorschriften verstößt, hat der dies dem Auftraggeber unverzüglich mitzuteilen. Hat der Auftragsverarbeiter jedoch begründete Zweifel an Rechtmäßigkeit einer Weisung des Auftraggebers, ist er berechtigt, die Ausführung auszusetzen, bis der Auftraggeber die Weisung erneut ausdrücklich bestätigt oder anpasst.
3. Der Auftraggeber hat Weisungen grundsätzlich in schriftlicher oder elektronischer Form (z. B. Fax, E-Mail) zu erteilen. Mündliche Vereinbarungen sind durch alle Vertragsparteien schriftlich festzuhalten oder elektronisch zu bestätigen. Beteiligte Personen, Datum und Uhrzeit der mündlichen Weisung sind durch den Auftragsverarbeiter schriftlich und in angemessener Form zu protokollieren.
4. Auf Verlangen des Auftragsverarbeiters hat der Auftraggeber eine oder mehrere weisungsbefugte Personen zu benennen. Etwaige Änderungen sind dem Auftraggeber unverzüglich mitzuteilen.

§ 3 Kontrollbefugnisse des Auftraggebers

1. Vor Beginn der Datenverarbeitung und während der Vertragslaufzeit darf die Einhaltung der gesetzlichen sowie vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit in angemessenem Umfang durch den Auftraggeber oder durch Dritte regelmäßig kontrolliert werden. Der Auftragsverarbeiter ist verpflichtet, diese Kontrollen zu dulden, in angemessenem Umfang zu unterstützen sowie dem Auftraggeber alle relevanten Auskünfte vollständig und wahrheitsgemäß zu erteilen. Zu Kontrollzwecken muss der Auftragsverarbeiter dem Auftraggeber zudem Einsicht in die über ihn gespeicherten Daten und Datenverarbeitungsprogramme und -systeme gewähren und ihm zudem Kontrollen vor Ort ermöglichen. Wurde die Verarbeitung der Daten außerhalb der Geschäftsräume (z. B. Privatwohnung) vereinbart, darf der Auftraggeber auch diese Räume zu Kontrollzwecken begehen.
2. Kontrollen, insbesondere Vor-Ort-Kontrollen, durch den Auftraggeber haben zu den üblichen Geschäftszeiten und nach vorheriger Terminvereinbarung mit angemessener Fristsetzung zu erfolgen. Ausgenommen sind Kontrollen, denen eine vorherige Ankündigung widerspricht. Der Auftraggeber hat dafür Sorge zu tragen, dass die Kontrollmaßnahmen verhältnismäßig sind und den Auftragsverarbeiter sowie seinen Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.
3. Sämtliche Ergebnisse von Weisungen und Kontrollen sind von allen Vertragsparteien in angemessener Form zu protokollieren.

§ 4 Pflichten des Auftragsverarbeiters

1. Grundlage der Verarbeitung der vertragsgegenständlichen Daten sind ausschließlich die vertraglich getroffenen Vereinbarungen sowie die gegebenenfalls erteilten Weisungen des Auftraggebers. Wird, aufgrund zwingender europäischer oder mitgliedsstaatlicher Rechtsvorschriften (z. B. im Falle von Ermittlungen durch Strafverfolgungs- oder Staatsschutzbehörden) eine abweichende Verarbeitung nötig, hat der Auftragsverarbeiter diesen Umstand unverzüglich dem Auftraggeber mitzuteilen, sofern die Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verboten wird.
2. Der Auftragsverarbeiter ist bei der Durchführung des Auftrags zur Einhaltung sämtlicher gesetzlicher Vorschriften verpflichtet. Soweit dies gesetzlich geregelt ist, hat er die nach Art. 32 DSGVO notwendigen technischen und organisatorischen Maßnahmen umzusetzen und das nach Art. 30 Abs. 2 DSGVO erforderliche Verzeichnis von Verarbeitungstätigkeiten zu führen.
3. Ist der Auftragsverarbeiter nach DSGVO oder anderen bestehenden Gesetzen dazu verpflichtet, einen Datenschutzbeauftragten zu benennen, versichert er, dass dieser den gesetzlichen Vorschriften entspricht. Der Auftragsverarbeiter hat dem Auftraggeber die Kontaktdaten des Datenschutzbeauftragten zu nennen und alle Änderungen über Person oder Kontaktdaten unverzüglich mitzuteilen.
4. Jegliche Datenverarbeitung außerhalb der Betriebsstätten des Auftragsverarbeiters oder der Subunternehmer und/oder in Privatwohnungen (z. B. Fernzugriff oder Homeoffice) bedarf der Zustimmung des Auftraggebers. Wird eine Remote-Leistung in Home-Office oder ähnliches durchgeführt, stellt der Auftragnehmer sicher, dass die Umsetzung technischer Sicherheitsmaßnahmen, wie VPN-Nutzung und Verschlüsselung jederzeit gewährleistet ist.
5. Es ist die Pflicht des Auftragsverarbeiters zu gewährleisten, dass sämtliche Personen, die personenbezogene Daten verarbeiten, sich der Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 DSGVO). Die Unterwerfung unter die Verschwiegenheitspflicht ist zwingend erforderlich, damit Personen Zugriff auf die vom Auftraggeber überlassenen personenbezogenen Daten erhalten.
6. Der Auftragsverarbeiter verpflichtet sich, die Erfüllung aller Anforderungen regelmäßig und selbstständig zu kontrollieren und in angemessener Form zu dokumentieren.
7. Gemäß Art. 28 Abs. 3 lit. e DSGVO wird der Auftragsverarbeiter den Auftraggeber bei dessen Pflichten zur Wahrung der Betroffenenrechte nach DSGVO Art. 12 bis Art. 22 unterstützen. Insbesondere betrifft dies die Erteilung von Auskünften sowie die Löschung, Berichtigung und Einschränkung personenbezogener Daten. Der Umfang der Unterstützungspflicht erfolgt im Einzelfall unter Berücksichtigung der Art der Verarbeitung.
8. Gemäß Art. 28 Abs. 3 lit. f DSGVO hat der Auftragsverarbeiter den Auftraggeber bei seinen Pflichten gemäß DSGVO Art. 32 bis Art. 36 zu unterstützen. Hiervon sind insbesondere die Meldepflichten betroffen. Der Umfang der Unterstützungspflicht erfolgt im Einzelfall unter Berücksichtigung der Art der Verarbeitung sowie den Informationen, die dem Auftragsverarbeiter zur Verfügung stehen.

§ 5 Technische und organisatorische Maßnahmen

1. Zur Einhaltung eines angemessenen Schutzniveaus ist der Auftragsverarbeiter verpflichtet, entsprechende technische und organisatorische Maßnahmen zu treffen. Die Maßnahmen finden sich in der Anlage „Technische und organisatorische Maßnahmen“. Sie entsprechen den Vorgaben nach Art. 32 DSGVO und wurden mit dem Auftraggeber abgestimmt.
2. Die durch den Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen werden anlassbezogen und bei Bedarf überprüft und in erforderlichem Maße angepasst. Sämtliche Anpassungen sind durch den Auftragsverarbeiter zu dokumentieren und dem Auftraggeber auf Nachfrage zur Verfügung zu stellen. Sofern Anpassungen das Schutzniveau verringern könnten, sind diese vorab mit dem Auftraggeber abzustimmen.

§ 6 Subunternehmer (Unterauftragsverhältnisse)

1. Der Einsatz von Unterauftragsverarbeitern (Subunternehmern) durch den Auftragsverarbeiter darf nur mit Zustimmung des Auftraggebers erfolgen. In der Anlage „Verarbeitungstätigkeiten als Auftragsverarbeiter“ finden sich alle zum Zeitpunkt des Vertragsabschlusses bestehenden Unterauftragsverhältnisse, die durch den Auftrag-geber ausdrücklich bestätigt wurden. Mit Vertragsunterzeichnung stimmt der Auftraggeber dem Einsatz der Subunternehmer, die in der Anlage „Verarbeitungs-tätigkeiten als Auftragsverarbeiter“ genannt werden, zu. Der Einsatz oder Ersetzung von Subunternehmern durch den Auftragsverarbeiter muss dem Auftraggeber angezeigt werden. Der Auftraggeber kann – innerhalb einer Frist von zehn Werktagen – aus wichtigem Grund – gegenüber der vom Auftraggeber bezeichneten Stelle widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben.
2. Der Auftragsverarbeiter ist verpflichtet, bei der Auswahl seiner Subunternehmer die gesetzlichen und vertraglichen Vorgaben zu beachten. Nicht zu den Subunternehmer-verhältnissen zählen Nebenleistungen, die der Auftragsverarbeiter zur Ausübung seiner geschäftlichen Tätigkeiten in Anspruch nimmt. Zu diesen Nebenleistungen zählen Post- und Transportdienstleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Hauptleistung, Wartung und Benutzerservice sowie sonstige Maßnahmen, die die Vertraulichkeit Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung haben. Bei diesen Nebenleistungen hat der Auftraggeber jedoch die Einhaltung der gesetzlichen Datenschutzstandards sicher-zustellen.
3. Alle Verträge zwischen dem Auftragsverarbeiter und Subunternehmern gilt, dass sie sowohl den Anforderungen dieses Vertrags als auch den gesetzlichen Vorschriften entsprechen müssen. Insbesondere gilt dies für die Implementierung technischer und organisatorischer Maßnahmen im Betrieb des Subunternehmers (gem. Art. 32 DSGVO). Weiterhin müssen die Subunternehmerverträge gewährleisten, dass sämtliche in diesem Vertrag beschlossenen Weisungs- und Kontrollbefugnisse durch den Auftraggeber vollumfänglich gegenüber dem Subunternehmer ausgeübt werden können. Fordert der Auftraggeber den Auftragsverarbeiter dazu auf, ist dieser verpflichtet Auskunft über die datenschutzrechtlich relevanten Verpflichtungen der Subunternehmer zu erteilen. Der Auftraggeber kann zudem Einsicht in die betreffenden Vertragsunterlagen, Kontroll- und Aufsichtsergebnisse sowie in die Dokumentationen, Protokolle und Verzeichnisse des Auftragsverarbeiters verlangen oder die Übermittlung aller betreffenden Unterlagen in Kopie verlangen.
4. Sämtliche Verantwortlichkeiten des Subunternehmers sind vertraglich festzuhalten, damit der Auftraggeber diese überprüfen kann. Zudem ist vertraglich festzusetzen, dass der Auftraggeber gegenüber dem Subunternehmer die gleichen Kontrollrechte hat, wie gegenüber dem Auftragsverarbeiter. Es ist die Pflicht des Auftragsverarbeiters sicher-zustellen, dass sämtliche von Auftraggeber erteilten Weisungen auch vom Subunter-nehmer befolgt und protokolliert werden. Der Auftragsverarbeiter kontrolliert und dokumentiert dies regelmäßig.
5. Erst wenn der Subunternehmer seine Pflichten nach DSGVO Art. 32 Abs. 4 und Art. 29 gegenüber den ihm unterstellten Personen erfüllt hat, werden Daten an ihn übermittelt.
6. Der Auftragsverarbeiter ist dafür verantwortlich, dass die von ihm eingesetzten Subunternehmer die Datenschutzbestimmungen einhalten. Gegenüber dem Auftraggeber haftet er für die Einhaltung der gesetzlichen und vertraglichen Datenschutz-pflichten.
7. Soweit dies gesetzlich vorgeschrieben ist, ist der Auftragsverarbeiter dazu verpflichtet zu prüfen, ob die von ihm beauftragten Subunternehmer einen Datenschutzbeauftragten eingesetzt haben.
8. Sofern die gesetzlichen Bedingungen nach DSGVO Art. 44 ff. eingehalten werden und der Auftraggeber zugestimmt hat, darf der Auftragsverarbeiter Subunternehmer in Dritt-staaten beauftragen.

§ 7 Mitteilungspflichten des Auftragsverarbeiter

1. Der Auftraggeber ist unverzüglich zu informieren, wenn gegen diesen Vertrag, gegen Weisungen des Auftraggebers oder sonstige datenschutzrechtliche Bestimmungen verstoßen wurde oder hierfür ein begründeter Verdacht besteht. Hierbei ist es unerheblich, ob der Verstoß durch den Auftragsverarbeiter, einer beim Auftrags-verarbeiter angestellten Person, einem Subunternehmer oder einer anderen Person, die er zur Erfüllung seiner vertraglichen Pflichten eingesetzt hat, begangen wurde.
2. Bei der Erfüllung der gesetzlichen Informationspflichten nach DSGVO Art. 33 und Art. 34 hat der Auftragsverarbeiter den Auftraggeber zu unterstützen. Erst nach vorheriger Weisung des Auftraggebers darf der Auftragsverarbeiter eigenständig Meldungen an Betroffene oder Behörden nach DSGVO Art. 33 und 34 durchführen.
3. Der Auftragsverarbeiter leitet Anfragen von Behörden oder sonstigen Dritten, die um Auskunft, Berichtigung, Sperrung oder Löschung bitten, umgehend an den Auftraggeber weiter. Jegliche Handlung oder Auskunft ohne die Zustimmung des Auftraggebers ist dem Auftragsverarbeiter untersagt.
4. Stehen Aufsichtshandlungen oder andere Maßnahmen einer Behörde bevor, die die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggeber zur Verfügung gestellten personenbezogenen Daten betreffen könnten, hat der Auftragsverarbeiter den Auftraggeber umgehend zu informieren. Diese Informationspflicht besteht zudem bei allen anderen Ereignissen oder Maßnahmen Dritter, die die vertragsgegenständlichen Daten beeinträchtigen oder gefährden könnten.

§ 8 Vertragsbeendigung, Löschung und Rückgabe der Daten

Alle personenbezogenen Daten des Auftraggebers müssen nach Abschluss der vertrags-gegenständlichen Datenverarbeitung oder nach Vertragsende gelöscht oder zurückgegeben werden. Hiervon ausgeschlossen sind Daten, die der gesetzlichen Verpflichtung zur Speicherung unterliegen, insbesondere gesetzliche Aufbewahrungsfristen. Der Auftraggeber darf die Löschung seiner Daten in geeigneter Weise überprüfen.

§ 9 Datengeheimnis und Vertraulichkeit

1. Alle im Rahmen der Vertragsbeziehung erlangten personenbezogenen Daten sind vom Auftragsverarbeiter vertraulich zu behandeln. Der Auftraggeber hat zudem einschlägige Geheimnisschutzregeln (z. B. § 203 StGB) zu beachten. Diese Verpflichtungen des Auftragsverarbeiters gelten unbefristet und über das Ende des Vertrags hinaus. Bei der Auftragserteilung ist der Auftragsverarbeiter verpflichtet, den Auftraggeber auf bestehende relevante Geheimnisschutzregeln hinzuweisen.
2. Der Auftragsverarbeiter hat seine Mitarbeiter vor Aufnahme ihrer Tätigkeit über die Datenschutzregeln und Geheimnisschutzregeln vertraut zu machen und hat sie zur Verschwiegenheit zu verpflichten.
3. Die unter dieser Ziffer genannten Maßnahmen sind vom Auftragsverarbeiter in geeigneter Weise zu dokumentieren und dem Auftraggeber auf Verlangen vorzuzeigen.

§ 10 Schlussbestimmungen

1. Nebenabreden sowie Änderungen an diesem Vertrag bedürfen der schriftlichen oder elektronischen Form. Aus dieser muss hervorgehen, welche Änderung oder Ergänzung der vorliegenden Bedingungen erfolgen soll.
2. Sofern die in Bezug genommenen gesetzlichen Regelungen oder die DSGVO während der Vertragslaufzeit angepasst, geändert oder reformiert werden, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen.
3. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein oder unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit der Vereinbarung im Übrigen unberührt.
4. Sämtliche Anlagen zu dieser Vereinbarung sind Vertragsbestandteil.

Diese Regelung ist ohne Unterschrift gültig.