Vertrag über die Verarbeitung personenbezogener Daten
im Auftrag gemäß Art. 28 DSGVO der Soflink GmbH

§ 1 Vertragsgegenstand

  1. Der Auftragnehmer, die Soflink GmbH erbringt als Betreiber der modularen Web-Anwendung SetLnk (setlnk.de/com) und der gleichnamigen mobilen App (im Folgenden: „Software“) für den Auftraggeber Leistungen auf Grundlage der ebenfalls vereinbarten AGB (nachfolgend „Hauptvertrag“ genannt). Dabei verarbeitet der Auftragnehmer personenbezogene Daten i.S.d. Art. 4 Nr. 4 DSGVO für den Auftraggeber (nachfolgend „Auftraggeber-Daten“ genannt) ausschließlich im Auftrag und nach Weisung des Auftraggebers. Rahmen und Umfang der Datenverarbeitung ergeben sich aus dem Hauptvertrag. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
  2. Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit den Auftraggeber-Daten in Erfüllung des Hauptvertrages.

§ 2 Dauer der Verarbeitung

  1. Laufzeit und Kündigung dieses Vertrags richten sich nach den Bestimmungen zu Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrages. Eine isolierte Kündigung dieses Vertrages ist ausgeschlossen.

§ 3 Umfang, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen

  1. Der Auftragnehmer verarbeitet die Auftraggeber-Daten ausschließlich im Auftrag und nach dokumentierter Weisung des Auftraggebers. Der Auftraggeber bleibt Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO.
  2. Die Verarbeitung der Auftraggeber-Daten im Rahmen der Auftragsverarbeitung erfolgt entsprechend der in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art und Zweck der Datenverarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der Auftraggeber-Daten und die dort aufgeführten Kategorien betroffener Personen.
  3. Die Verarbeitung der Auftraggeber-Daten findet im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

§ 4 Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

  1. Für die Beurteilung der Zulässigkeit der Verarbeitung sowie für die Wahrung der Rechte der betroffenen Personen aus den Art. 12 bis 22 DSGVO ist der Auftraggeber allein verantwortlich.
  2. Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer im Rahmen dieser Vereinbarung erfolgt ausschließlich nach Weisung des Auftraggebers gemäß Art. 28 Abs. 3 S. 2 lit. a DSGVO, es sei denn, der Auftragnehmer ist nach dem Recht der Europäischen Union oder dem Recht des Mitgliedstaates, dem er unterliegt, zur weiteren Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
  3. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art und Zwecke der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann.
  4. Einzelweisungen nach Abschluss des Vertrages bedürfen der Textform und sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren.
  5. Die Weisungsberechtigten und Weisungsempfänger ergeben sich aus Anlage 2. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen.
  6. Erteilt der Auftraggeber Einzelweisungen hinsichtlich des Umgangs mit Auftraggeber-Daten, die über den im Hauptvertrag vereinbarten Leistungsumfang hinausgehen sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.
  7. Den Auftragnehmer trifft keinerlei Verpflichtung, Weisungen des Auftraggebers (datenschutz-)rechtlich zu prüfen. Ist der Auftragnehmer jedoch der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, wird er den Auftraggeber darauf hinweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis die Weisung bestätigt oder geändert wird. Räumt der Auftraggeber auf die Information über eine nach Ansicht des Auftragnehmers rechtswidrige Weisung die Bedenken des Auftragnehmers nicht aus, kann dieser die Durchführung der betreffenden Weisung ablehnen, soweit sie seine Verantwortungssphäre betrifft.
  8. Der Auftraggeber informiert den Auftragnehmer unverzüglich und vollständig, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer oder seiner Weisungen feststellt.

§ 5 Pflichten des Auftragnehmers

  1. Der Auftragnehmer stellt sicher, dass die Verarbeitung der Auftraggeber-Daten im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, der die Unterauftragnehmer nach § 9 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrages erfolgt.
  2. Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Antrag die erforderlichen Informationen, einschließlich Zertifizierungen sowie Überprüfungs- und Inspektionsergebnisse, die dem Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten dienen, zur Verfügung zu stellen.
  3. Der Auftragnehmer hat die zur Verarbeitung von Auftraggeber-Daten befugten Personen gemäß Art. 28 Abs. 3 lit. b DSGVO schriftlich zur Vertraulichkeit zu verpflichten, sofern diese nicht bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  4. Der Auftragnehmer ist verpflichtet, einen fachkundigen und zuverlässigen Datenschutzbeauftragten schriftlich zu bestellen, der seine Tätigkeit gemäß der Art. 37, 38 und 39 DSGVO sowie § 38 BDSG-neu ausüben kann, sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind. Der Auftragnehmer wird die aktuellen Kontaktdaten des Datenschutzbeauftragten auf seiner Webseite leicht zugänglich hinterlegen (Art. 37 Abs. 7 DSGVO).
  5. Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DSGVO enthält. Diese Pflicht besteht nicht, wenn die Voraussetzungen von Art. 30 Abs. 5 DSGVO erfüllt sind.
  6. Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  7. Der Auftragnehmer ist verpflichtet den Auftraggeber, im Rahmen des Zumutbaren und Erforderlichen sowie gegen Erstattung der dem Auftragnehmer hierdurch entstehenden Aufwände und Kosten, bei der Erfüllung von dessen Pflichten aus Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO zu unterstützen. Die Unterstützung erfolgt unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen sowie nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen, insbesondere bei der Beantwortung von Anträgen auf Wahrnehmung der entsprechend in Art. 12 bis 22 DSGVO genannten Rechte der betroffenen Personen (§ 10).

§ 6 Technische und organisatorische Maßnahmen

  1. Der Auftragnehmer trifft die erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO, insbesondere die in Anlage 3 aufgeführten Maßnahmen der Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungskontrolle.
  2. Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 3 festgelegten Maßnahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen Zustimmung des Auftraggebers.

§ 7 Mitzuteilende Verstöße des Auftragnehmers

  1. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Auftraggeber-Daten gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus diesem Vertrag verstoßen haben, sofern die Gefahr einer Verletzungen des Schutzes personenbezogener Daten des Auftraggebers im Sinne des Art. 4 Nr. 12 DSGVO besteht.
  2. Soweit den Auftraggeber aufgrund eines Vorkommnisses nach Absatz (1) gesetzliche Informationspflichten wegen einer unrechtmäßigen Kenntniserlangung von Auftraggeber-Daten (insbesondere nach Art. 33 und 34 DSGVO) treffen, hat der Auftragnehmer den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragnehmer hierdurch entstehenden Aufwände und Kosten zu unterstützen.
  3. Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
  4. Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers durchführen.

§ 8 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber überzeugt sich auf eigene Kosten vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers gemäß Anlage 3 und dokumentiert das Ergebnis. Dies geschieht durch Einholung einer Selbstauskunft des Auftragnehmers, die dieser auch durch Vorlage eines geeigneten Zertifikats eines Sachverständigen erfüllen kann.
  2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung alle erforderlichen Auskünfte und Informationen bezüglich seiner Pflichten aus dieser Vereinbarung zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen der Anlage 3 nachzuweisen. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 oder Zertifizierungen nach gemäß Art. 42 DSGVO; aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz), erfolgen.
  3. Der Auftraggeber oder ein entsprechend Beauftragter haben das Recht vorgenannte Kontrollen zu den üblichen Geschäftszeiten vorzunehmen. Diese Kontrollen sind rechtzeitig (in der Regel mindestens zwei Wochen vorher) anzukündigen und haben den Betriebsablauf beim Auftragnehmer so wenig wie möglich zu beeinträchtigen.
  4. Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aus diesem Vertrag verpflichtet ist. Zudem hat er den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.

§ 9 Unterauftragsverhältnisse

  1. Der Auftraggeber stimmt der Beauftragung der in Anlage 4 aufgeführten Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 1 bis 4 DSGVO ausdrücklich zu. Dem Auftragnehmer ist die Beauftragung weiterer Unterauftragnehmer (weitere Auftragsverarbeiter) gestattet.
  2. Der Auftragnehmer wird den Auftraggeber unverzüglich über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Unterauftragnehmer informieren. Gegen derartige Änderungen darf der Auftraggeber aus wichtigem, dem Auftragnehmer nachzuweisenden Grund, Einspruch erheben. Der Einspruch ist binnen einer Frist von einer Woche ab Zugang einer entsprechenden Mitteilung des Auftragnehmers schriftlich auszusprechen.
  3. Keiner Mitteilung bedarf die Einschaltung von Unterauftragnehmern, bei denen der Unterauftragnehmer lediglich eine Nebenleistung zur Unterstützung bei der Leistungserbringung nach dem Hauptvertrag in Anspruch nimmt, z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder zur Entsorgung von Datenträgern sowie für sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen, auch wenn dabei ein Zugriff auf Auftraggeber-Daten nicht ausgeschlossen werden kann. Der Auftragnehmer wird auch diese mit der gebotenen Sorgfalt auswählen und im erforderlichen Umfang Vereinbarungen treffen, um einen angemessenen Schutz der Auftraggeber Daten zu gewährleisten.
  4. Im Fall der Hinzuziehung eines Unterauftragnehmers erlegt der Auftragnehmer diesem, im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats, dieselben Datenschutzpflichten auf, die in diesem Vertrag festgelegt sind. Der Vertrag ist so auszugestalten, dass es dem Auftraggeber möglich ist, im Bedarfsfall angemessene Überprüfungen und Inspektionen beim Unterauftragnehmer, auch vor Ort durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.
  5. Sofern eine Einbeziehung von Unterauftragnehmern in einem Drittstaat erfolgen soll, stellt der Auftragnehmer sicher, dass beim Unterauftragnehmer ein entsprechendes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis von EU-Standarddatenschutzklauseln).
  6. Auf Verlangen wird der Auftragnehmer dem Auftraggeber den Abschluss der vorgenannten Vereinbarungen mit seinen Unterauftragnehmern nachweisen.

§ 10 Rechte der betroffenen Personen

  1. Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen.
  2. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zur Wahrnehmung ihrer Rechte gemäß der Art. 12 bis 22 DSGVO der sie betreffenden Daten wenden sollte, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen.
  3. Im Übrigen gilt § 5 Abs. (7) dieser Vereinbarung.

§ 11 Haftung

  1. Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.
  2. Für den Ersatz von Schäden, die eine betroffene Person wegen einer nach dem geltenden Datenschutzrecht unzulässigen oder unrichtigen Verarbeitung von Auftraggeber-Daten im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber verantwortlich.
  3. Der Auftraggeber verpflichtet sich, den Auftragnehmer im Innenverhältnis von allen Ansprüchen Dritter frei zu stellen, solange und soweit er nicht nachweist, dass der Auftragnehmer seinen speziell den Auftragnehmer treffenden Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung einer rechtmäßig erteilten Weisung des Auftraggebers oder gegen eine rechtmäßig erteilte Weisung gehandelt hat.
  4. Sollte eine Datenschutzbehörde oder ein Gericht gegen den Auftragnehmer eine Geldbuße auf Grund einer Datenverarbeitung des Auftragnehmers verhängen, die auf einer Weisung des Auftraggebers beruht, hat der Auftraggeber dem Auftragnehmer den entsprechenden Betrag auf schriftliche Mitteilung hin in voller Höhe innerhalb von 30 Tagen ab der schriftlichen Mitteilung zu erstatten.
  5. Der Auftraggeber hat dem Auftragnehmer sämtliche sich aus der von ihm zu vertretenden Rechtsverletzung gemäß Absatz 3 und 4 ergebenden Kosten zu erstatten, einschließlich der Kosten der Rechtsverfolgung.
  6. Unbeschränkte Haftung: Der Auftragnehmer haftet unbeschränkt für Vorsatz und grobe Fahrlässigkeit, bei Verletzung einer vertraglich gewährten Garantie sowie nach Maßgabe des Produkthaftungsgesetzes. Für leichte Fahrlässigkeit haftet der Auftragnehmer bei Schäden aus der Verletzung des Lebens, des Körpers und der Gesundheit von Personen. Im Übrigen gilt folgende beschränkte Haftung: Bei leichter Fahrlässigkeit haftet der Auftragnehmer nur im Falle der Verletzung einer wesentlichen Vertragspflicht des Hauptvertrages, deren Erfüllung die ordnungsgemäße Durchführung des Hauptvertrages überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf (Kardinalpflicht). Die Haftung für leichte Fahrlässigkeit ist der Höhe nach beschränkt auf die bei Vertragsschluss vorhersehbaren Schäden, mit deren Entstehung typischerweise gerechnet werden muss.

§ 12 Rückgabe und Löschung überlassener Auftraggeber – Daten

  1. Der Auftragnehmer hat sämtliche Auftraggeber-Daten nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des Hauptvertrags), nach Wahl des Auftraggebers, zurückzugeben oder zu löschen und bestehende Kopien zu vernichten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der Daten besteht.
  2. Der Auftragnehmer hat die Löschung bzw. Vernichtung von Auftraggeber-Daten zu dokumentieren und den Nachweis dem Auftraggeber auf Anforderung nachzuweisen.
  3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

§ 13 Sonstiges

  1. Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus diesem Vertrag vor.
  2. Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

Anlagen:

Anlage 1: Zwecke und Art der Datenverarbeitung, Art der Daten und Kategorien betroffener Personen

Anlage 2: Technische und organisatorische Maßnahmen

Anlage 3: Zulässige Unterauftragnehmer

AVV zum Download (inkl. Anlagen)