Allgemeine Vertragsbedingungen zur Verarbeitung von personenbezogenen Daten bei der Auftragsdatenverarbeitung

Die allgemeinen Vertragsbedingungen bilden die Grundlage bei der Verarbeitung von personenbezogenen Daten bei der Verarbeitung der Aufträge unserer Kunden (Auftraggeber) durch die Firma Bernhard Fleischer HRMService & Projekte (Auftragnehmer).

  • 1 Allgemeines

Der Auftragnehmer führt hin und wieder Arbeiten auf IT-Systemen seiner Auftraggeber durch. Dies erfolgt sowohl im Rahmen bestehender Serviceverträgen als auch auf Abruf ohne Servicevertrag. Im Wesentlichen sind das Arbeiten zur Analyse von ungewolltem Programmverhalten, Fehlerbehebung und Qualitätssicherungsarbeiten. Die Arbeiten erfolgen sowohl vor Ort oder nach vorheriger Freigabe durch den Auftraggeber mittels einer Fernwartungsverbindung. Die Parteien stellen klar, dass die Datenverarbeitung ausschließlich im Auftrag des Auftraggebers erfolgt (Auftragsdatenverarbeitung). Zwingende datenschutzrechtliche Gesetze, Verordnungen, Richtlinien, insbesondere die Datenschutzgrundverordnung (DSGVO) und das Bundes-Datenschutzanpassungs- und Umsetzungsgesetz-EU (BDSG-EU) werden nicht berührt und sind im Zweifel bei der Auslegung Ergänzung heranzuziehen.

  • 2 Gegenstand

Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Kategorien betroffener Personen

Art der Daten Art und Zweck der Verarbeitung Kategorien betroffener Personen
Personenstammdaten (Name, Kontaktdaten, Kontoverbindung, Krankenkasse, Steuerklasse, Kirchen- steuermerkmal), die zur Gehaltsabrechnung, Berechnung von Rente, zur allg. Personalverwaltung (Kommunikationsdaten, Bewertungen, Abmahnungen, Gesundheitsdaten) und Verwaltung von Bewerberdaten aufgrund gesetzlicher Vorgaben und/oder vertraglichen Vereinbarungen benötigt werden. Dienstleistungen in Zusammenhang mit einem Produkt des Herstellers SPData, rhv, oder hilfsweise auch von Microsoft, welche durch den Auftragnehmer verkauft und betreut werden, sowohl mit als auch ohne Servicevertrag.

Analyse von ungewolltem Programmverhalten und Fehlerbehebung. Die Arbeiten erfolgen vor Ort oder per Remote-Support (Freischaltung des Auftragnehmers durch den Auftraggeber erforderlich).

Die Datenverarbeitung erfolgt zum Zwecke des Beschäftigungsverhältnisses nach § 26 Abs. 1 BDSG neu für die Beschäftigten des Auftraggebers und/oder mit diesem verbundenen Unternehmen im Sinne von § 26 Abs. 8 BDSG neu.
  • 3 Pflichten des Auftragnehmers/Weisungen

1)  Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf schriftliche oder elektronische (Textform) Weisung des Auftraggebers. Weisungen können bereits im Vertrag formuliert werden.

2)  Der Auftragnehmer dokumentiert alle Weisungen des Auftraggebers.

3)  Ist der Auftragnehmer durch das Recht der Union oder dem Recht der Bundesrepublik Deutschland zur Verarbeitung oder Übermittlung verpflichtet, teilt er dem Auftraggeber die Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

4)  Dem Auftragnehmer unterstellte Personen, die Zugang zu personenbezogenen Daten haben, verarbeiten diese nur auf Weisung des Auftraggebers, es sei denn, sie sind nach dem Recht der Union oder der Bundesrepublik Deutschland zur Verarbeitung verpflichtet. Jede dem Auftragnehmer unterstellte Person erhält vor Aufnahme ihrer Tätigkeit eine Abschrift sämtlicher Weisungen.

5)  Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DSGVO oder ein anderes Datenschutzgesetz der Union oder der Bundesrepublik Deutschland verstößt.

6)  Bis zur Klärung, ob die vom Auftragnehmer beanstandete Weisung gegen die DSGVO oder ein anderes Datenschutzgesetz der Union oder der Bundesrepublik Deutschland verstößt, ruht die Verpflichtung des Auftraggebers zur Auftragsdatenverarbeitung.

7)  Hat der Auftraggeber das Ruhen zu verantworten, stehen dem Auftragnehmer Schadensersatzansprüche zu. Anstelle eines konkreten Schadens kann der Auftragnehmer für jeden Tag des Ruhens pauschal 5% des Auftragswertes als Schadensersatz verlangen. Dem Auftraggeber bleibt der Nachweis eines geringeren Schadens vorbehalten.

  • 4 Vertraulichkeit

1)  Der Auftragnehmer gewährleistet, dass er die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet hat bzw. diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

2)  Eine Liste sämtlicher Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind, wird dem Vertrag beigefügt. Der Auftragnehmer ist verpflichtet, die Liste stets zu aktualisieren.

3)  Ebenfalls Gegenstand des Vertrages sind die Verschwiegenheitserklärungen derjenigen Personen, die zur Verarbeitung der personenbezogenen Daten befugt sind.

4)  Vor Eintragung in die Liste und Abschluss der Verschwiegenheitserklärung wird keine Person mit der Verarbeitung personenbezogener Daten betraut.

5)  Der Auftragnehmer trägt Sorge dafür, dass die Verschwiegenheitsverpflichtung auch nach Beendigung des Auftrages fortbesteht.

6)  Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für betroffene Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

  • 5 Datenschutzbeauftragter

1)Ein Datenschutzbeauftragter muss im Moment für mein Unternehmen nicht bestellt werden.

  • 6 Sicherheit

1)  Unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen wird der Auftragnehmer die technischen und organisatorischen Maßnahmen zu einem dem Risiko angemessenen Schutzniveau gewährleisten.

2)  Die organisatorischen und technischen Maßnahmen entwickeln sich stets weiter. Dem Auftragnehmer ist es gestattet, alternative Maßnahmen umzusetzen, wenn sie das Schutzniveau der festgelegten Maßnahme nicht unterschreitet. 3)  Der Auftragnehmer gewährleistet ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der organisatorischen und technischen Maßnahmen.

  • 7 Unterauftragsdatenverarbeitung

1)  Als Unterauftragsdatenverarbeitung im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistung, Post-/Transportdienstleistung, Wartung und Benutzungsservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

2)  Der Auftragsnehmer darf Unterauftragsdatenverarbeiter nur nach vorheriger ausdrücklicher schriftlicher Zustimmung des Auftraggebers einschalten.

  • 8 Unterstützungsleistungen des Auftragnehmers

1)  Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei dessen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Personen.

2)  Der Auftragnehmer dokumentiert die Datenverarbeitung und protokolliert dazu mindestens die folgenden Datenverarbeitungsvorgänge, sofern sie im Rahmen des Auftrages erfolgen

–  Erhebung

–  Veränderung

–  Abfrage

–  Offenlegung, einschl. Übermittlung

–  Kombination und

–  Löschung

3)  Die Protokolle nach Abs. 2 werden ausschließlich für die Überprüfung der Rechtmäßigkeit der Datenverarbeitung durch die Datenschutzbeauftragte oder den Datenschutzbeauftragten, die Bundesbeauftragte oder den Bundesbeauftragten und die betroffene Person, die für die Eigenüberwachung, für die Gewährleistung der Integrität und Sicherheit der personenbezogenen Daten und für Strafverfahren zuständig sind, überlassen.

4)  Die Protokolldaten sind am Ende des auf deren Generierung folgenden Jahres zu löschen.

5)  Unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Auftraggeber ferner bei Einhaltung der in den Artikeln 32- 36 DSGVO und

  • § 64 bis 67 und 69 BDSG-EU genannten Pflichten.

6)  Wenn und soweit der Auftragnehmer die Informationen nicht zur gleichen Zeit bereitstellen kann, kann er diese

Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

7)  Der Auftragnehmer meldet dem Auftraggeber unverzüglich eine ihm bekannte Verletzung des Schutzes personenbezogener Daten und dokumentiert die Verletzung einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen.

8)  Der Auftragnehmer stellt die von ihm gefertigte Dokumentation dem Auftraggeber so zur Verfügung, dass der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen des Artikels 33 DSGVO möglich ist.

9)  Der Auftragnehmer verwendet einen Report zur Information für den Fall der Verletzung des Schutzes personenbezogener Daten.

10)  Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so unterstützt der Auftragnehmer den Auftraggeber bei der unverzüglichen Benachrichtigung der betroffenen Personen von der Verletzung.

11)  Hat eine Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, unterstützt der Auftragnehmer den Auftraggeber auch bei der vorab durchzuführenden Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten.

12)  Für den Fall, dass infolge der Datenschutz-Folgenabschätzung aus der Verarbeitung ein hohes Risiko resultiert, unterstützt der Auftragnehmer den Auftraggeber insbesondere durch Zurverfügungstellung folgender Unterlagen:

    • –  Angaben zu den jeweiligen Zuständigkeiten des an der Verarbeitung beteiligten Auftragsverarbeiters,
    • –  Systematische Beschreibung der geplanten Verarbeitungsvorgänge,
    • –  Angaben zum Zweck und Mittel der beabsichtigten Verarbeitung,
    • –  Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf deren Zweck,
    • –  Bewertung der Gefahren für die Rechtsgüter der betroffenen Personen,
    • –  Die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß der DSGVO/BDSG vorgesehenen

Maßnahmen und Garantien, Sicherheitsvorkehrungen und Verfahren, die den Schutz der persönlichen Daten sicherstellen,

    • –  Nachweis für die Einhaltung der gesetzlichen Vorgaben,
    • –  Kontaktdaten des Datenschutzbeauftragten,
    • –  Datenschutzfolgeabschätzung,
    • –  sonstige von der Aufsichtsbehörde angeforderte Informationen.

13) Der Auftragnehmer rechnet den nachgewiesenen Aufwandes zu den vereinbarten Konditionen (Stundensätzen) ab.

  • 9 Löschung/Rückgabe der personenbezogenen Daten

1) Der Auftragnehmer ist verpflichtet, nach Abschluss der Erbringung der Verarbeitungsleistungen alle personen- bezogenen Daten nach Weisung des Auftraggebers entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem deutschen Datenschutzrecht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

  • 10 Pflichten des Auftraggebers

1)  Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

2)  Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO verpflichtet sich der Auftraggeber den Auftragnehmer bei der Abwehr des Anspruchs im Rahmen seiner Möglichkeiten zu unterstützen.

3)  Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner und dessen Kontaktdaten für im Rahmen des Vertrages anfallende Datenschutzfragen. Der Auftraggeber trägt Sorge für die Aktualität dieser Informationen.

  • 11 Informations- und Nachweispflicht

1)  Der Auftragnehmer dokumentiert die Verzeichnisse und Unterlagen sowohl in schriftlicher als auch elektronischer Form.

2)  Der Auftragnehmer ist verpflichtet, dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der vorliegenden Vereinbarung zur Verfügung zu stellen.

3)  Der Auftragnehmer ist verpflichtet, Überprüfungen, einschließlich Inspektionen, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen.

4)  Der Auftraggeber wird Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden. Auf die Betriebsabläufe des Auftragnehmers hat er Rücksicht zu nehmen. Sind die Prüfer nicht zur Amtsverschwiegenheit verpflichtet, hat der Auftraggeber deren Verschwiegenheit durch eine geeignete strafbewehrte Verpflichtungserklärung sicherzustellen.

5)  Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine angemessene Vergütung verlangen, sofern nicht Anlass der Inspektion der dringende Verdacht eines Datenschutzvorfalls im Verantwortungsbereich des Auftragnehmers war. Der Auftraggeber hat entsprechende Verdachtsmomente mit der Ankündigung der Inspektion vorzutragen.

  • 12 Geheimhaltung

1)  Auftraggeber und Auftragnehmer sind wechselseitig verpflichtet, alle Informationen, die sie im Zusammenhang mit der Durchführung des Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden.

2)  Sie sind weiterhin verpflichtet, Informationen, die sie im Zusammenhang mit der Durchführung des Vertrages erhalten oder Teile davon nicht an Dritte weiterzugeben, auch nicht unter einem entsprechenden Geheimhaltungsvertrag.

3)  Beiden ist es ferner untersagt, Informationen oder Teile davon ohne vorherige schriftliche Zustimmung des jeweils anderen in irgendeiner Form unmittelbar oder mittelbar zu verwerten.

4)  Vorstehende Verpflichtung gilt nicht für solche Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein oder die öffentlich bekannt bzw. allgemein zugänglich waren.

5)  Die Beweislast für das Vorliegen eines Ausnahmetatbestandes trägt derjenige, der sich hierauf beruft.

6)  Der Auftragnehmer hat alle Beschäftigten und beauftragten Personen, die Leistungen im Zusammenhang mit dem vorliegenden Auftrag erbringen, in schriftlicher Form verpflichtet, alle Daten des Auftraggebers, insbesondere die für den Auftraggeber verarbeiteten personenbezogenen Daten vertraulich zu behandeln.

7)  Die Geheimhaltungsverpflichtungen bleiben von einer Beendigung des Vertrages, gleich aus welchem Grunde, unberührt.

8)  Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung, Beschlagnahme, Insolvenz- oder

Vergleichsverfahren oder durch sonstige Ereignisse Dritter gefährdet werden, so unterrichtet der Auftragnehmer den Auftraggeber darüber unverzüglich. Der Auftragnehmer unterrichtet alle in diesem Zusammenhang Verantwortlichen darüber, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne des Datenschutzes liegen.

9)  Nebenabreden wurden keine getroffen. Änderungen und Ergänzungen des Vertrages bedürfen zu ihrer Wirksamkeit der Schriftform. Das soll auch für das Abbedingen des Schriftformerfordernisses gelten.

  • 13 Anpassungsklausel

1)  Sollten eine oder mehrere Bestimmungen des Vertrages, einschließlich der vorliegenden allgemeinen Vertragsbedingungen, gegen geltendes Recht oder künftig geltendes Recht verstoßen, bleibt hiervon die Gültigkeit der übrigen Bestimmungen unberührt. In diesem Fall werden die Parteien die ungültige Bestimmung durch eine gesetzlich statthafte Regelung ersetzen, die dem mit der unwirksamen Bestimmung verfolgten Zweck am nächsten kommt.

2)  Diese Regelung gilt sinngemäß auch im Falle einer von beiden Parteien übereinstimmend festgestellten Vertragslücke.

3) Es gilt deutsches Recht.