Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28, 29 DSGVO

zwischen

Beispielhafte Einrichtung
Exemplarische Straße 123
98765 Musterstadt

— Verantwortlicher, nachfolgend auch „Auftraggeber“ genannt —

und

SoSci Survey GmbH
Marianne-Brandt-Str. 29
80807 München

vertreten durch die Geschäftsführer Dr. Dominik Leiner und Stefanie Leiner

— Auftragsverarbeiter, nachfolgend auch „Auftragnehmer“ genannt —

Beide Vertragsparteien werden in nachstehender Vereinbarung auch einzeln als Partei und gemeinsam als Parteien gezeichnet.

Präambel

Zwischen Auftraggeber und Auftragnehmer wurde ein Hauptvertrag geschlossen, welcher die Nutzung der Dienstleistung des Auftragnehmers als Software-as-a-Service (SaaS, auch Cloud-Service) regelt. Gegenstand der Dienstleistung sind Onlineumfrageprojekte im Rahmen und auf Grundlage der hierfür vom Auftragnehmer zur Verfügung gestellten Software, wobei der Hauptvertrag eine oder mehrere Umfragen (Befragungsprojekte) umfassen kann.

Der Hauptvertrag kam durch Registrierung eines Benutzerkontos auf Basis der Allgemeinen Geschäftsbedingungen (AGB) der SoSci Survey GmbH zustande. Der Hauptvertrag wurde auf unbestimmte Zeit geschlossen. Die vertraglichen Vereinbarungen des Hauptvertrags ergeben sich aus den AGB.

Der Hauptvertrag sieht für die Vertragserfüllung notwendig unter anderem eine Verarbeitung von Daten durch den Auftragnehmer im Auftrag des Auftraggebers vor. Der Auftraggeber beauftragt den Auftragnehmer mit der Auftragsverarbeitung im Zusammenhang mit dem dieser Vereinbarung zugrundeliegenden Hauptvertrags, wie vorab beschrieben. Die im Zusammenhang mit dem Hauptvertrag erhobenen personenbezogenen Daten sind nach Art, Zweck und Umfang in Anlage 1 zu dieser Vereinbarung näher beschrieben.

Folgende Vereinbarung erläutert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus der Beauftragung des Auftragnehmers durch den Hauptvertrag ergeben. Diese Vereinbarung zur Auftragsverarbeitung (im Folgenden kurz: „AVV“) ergänzt den Hauptvertrag/Haupttätigkeit in datenschutzrechtlicher Hinsicht. Diese AVV findet Anwendung auf sämtliche Tätigkeiten, bei denen der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet. Begriffsdefinitionen richten sich nach der DSGVO und dem Bundesdatenschutzgesetz in seiner neuen Fassung oder alternativ den Landesdatenschutzgesetzen, sofern deren Anwendbarkeit eröffnet ist.

Die DSGVO gilt ab dem 25. Mai 2018. Sofern die Parteien bereits eine Vereinbarung über die Auftragsdatenverarbeitung (ADV) geschlossen haben, die zum Stichtag 25. Mai 2018 grundsätzlich noch Laufzeit hat, ersetzt dieser Vertrag die ADV ab Geltung der DSGVO.

Dies vorausgeschickt vereinbaren die Parteien wie folgt:

  1. Anwendungsbereich, Auftragsgegenstand (Art. 28 Abs. 1 DSGVO)

    1. Im Rahmen der Leistungserbringung nach dem, dieser AVV zugrundeliegenden Hauptleistung, ist es erforderlich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers, seiner insoweit eingebundenen Angestellten, Umfrageteilnehmer oder sonstiger betroffener Dritter erhält oder bei Inanspruchnahme der Hauptleistung durch Nutzung der Software des Auftragnehmers personenbezogene Daten erhält. Diese Daten werden nachfolgend einheitlich (personenbezogene) Daten genannt. Im Zuge der Durchführung der Haupttätigkeit/Hauptvertrag wird der Auftragnehmer vom Auftraggeber mit der Verarbeitung der vertragsgegenständlichen Daten im Rahmen der angebotenen Softwarelösung beauftragt. Diese AVV konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Vertragsparteien bei der Durchführung der Hauptleistung.

    2. Gegenstand der Tätigkeit des Auftragnehmers ist nicht die originäre Verarbeitung von personenbezogenen Daten. Im Zuge der Leistungserbringung des Auftragnehmers im Rahmen der Hauptleistung kann ein Zugriff auf personenbezogene Daten jedoch nicht ausgeschlossen werden.

    3. Alle Begrifflichkeiten dieser AVV werden im Sinn und im Verständnis nach der europäischen Datenschutzgrundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, im Folgenden: kurz DSGVO) verwendet, wobei insbesondere

      • „personenbezogene Daten“ gemäß Art 4 Ziffer 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen bedeutet. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

      • „Verarbeitung“ gemäß Art 4 Ziffer 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung bedeutet.

    4. Die Vertragsparteien ergänzen und konkretisieren mit der gegenständlichen AVV die gegenseitigen Pflichten im generellen Umgang mit den vom Auftraggeber zur Verfügung gestellten Daten oder den für ihn erhobenen Daten. Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Vereinbarung und denjenigen der Hauptleistung gehen die Bestimmungen dieser AVV denjenigen der Hauptleistungsvereinbarung vor.

    5. Der Geltungsbereich dieses AVV ist auf die Verarbeitung personenbezogener Daten im Rahmen des Befragungsprojekts

      Muster-Erhebung anlässlich Covid-19

      beschränkt. Gegenstand ist, wie in Anlage 1 konkretisiert, im Wesentlichen die Verarbeitung von Adressdaten zum Zweck der elektronischen Kontaktaufnahme (Versand von Serienmails oder SMS) im Rahmen der oben genannten Onlinebefragung.

  2. Bestimmung des Auftragsgegenstandes, Laufzeit

    1. Umfang, Art und Zweck der Aufgaben des Auftragnehmers zur Verarbeitung von Daten in Bezug auf den Auftragsgegenstand ergeben sich aus dem Hauptvertrag. Die Verarbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der einschlägigen datenschutzrechtlichen Vorschriften, insbesondere die Vorschriften zu übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen, erfüllt sind.

    2. Die vertragsgegenständlichen Daten werden vom Auftragnehmer ausschließlich im Auftrag und nach Weisungen des Auftraggebers im Sinne von Art. 28, 29 DSGVO (Auftragsverarbeitung) verarbeitet. Verantwortlicher im datenschutzrechtlichen Sinn bleibt der Auftraggeber und dieser trägt somit die Verantwortung für die Rechtmäßigkeit der auftragsgemäßen Verarbeitung der vertragsgegenständlichen Daten. Der Auftragnehmer wird diese Daten daher nur auf Weisung des Auftraggebers verarbeiten, wie nachstehend in Ziffer 5 weiter festgelegt. Die Verantwortlichkeit des Auftraggebers bezieht sich insbesondere darauf, dass die vertrags- und weisungsgemäße Datenverarbeitung rechtmäßig ist, die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden und deren Einhaltung nachgewiesen werden kann.

    3. Die Art der betroffenen vertragsgegenständlichen Daten und die Kategorien der durch die Verarbeitung betroffenen Personen sind in Anlage 1 abschließend normiert.

    4. Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Befragungsprojekts, für welches dieser AVV gemäß Ziffer 1.5 Gültigkeit besitzt. Der Vertrag beginnt mit der Unterzeichnung der vorliegenden Vereinbarung, nicht jedoch vor Wirksamkeit der zugrunde liegenden Hauptleistungsvereinbarung. Ziffer 14.1 bleibt hiervon unberührt.

    5. Die Parteien sind sich bewusst, dass die Auftragsverarbeitung nicht ohne wirksame AVV erfolgen darf, sodass die Auftragsverarbeitung im Falle der Beendigung der gegenständlichen AVV bis zum Abschluss einer neuen AVV über die Verarbeitung personenbezogener Daten im Auftrag trotz bestehender Hauptleistungsvereinbarung nicht erfolgen darf. Spiegelbildlich ist Gegenstand dieser AVV nicht die originäre Nutzung oder Verarbeitung von personenbezogenen Daten durch den Auftragnehmer, dennoch kann im Zuge der Hauptleistungserbringung ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden. Erfolgt damit keine zu erbringende Hauptleistung während der Laufzeit dieser AVV, berechtigt diese AVV allein den Auftragnehmer ebenfalls nicht zur Verarbeitung personenbezogener Daten im Auftrag. Hierfür bedarf es einer zugrundeliegenden Hauptleistung.

  3. Technische und organisatorische Maßnahmen (TOM)

    1. Der Auftragnehmer gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den Anforderungen des Datenschutzes gerecht wird. Er trifft dabei technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten vor Missbrauch und Verlust, die den Anforderungen der DSGVO entsprechen. Soweit es den Parteien erforderlich erscheint, kann dem Auftraggeber ein Verzeichnis der technisch-organisatorischen Maßnahmen mit Vertragsschluss übergeben werden.

    2. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer ist verpflichtet, die technischen und organisatorischen Maßnahmen dem Stand der Technik anzupassen. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Bei geringfügigen Änderungen an den technischen und organisatorischen Maßnahmen (z.B. Ersatz der Schließanlage durch eine neue, jedoch gleichwertige) ist die Änderung lediglich zu dokumentieren. Bei wesentlichen Änderungen (z.B. grundlegende Änderung von Verschlüsselungssystemen) ist vorab die schriftliche Zustimmung des Auftraggebers einzuholen. Der Auftragnehmer hat auf Anforderung des Auftraggebers an der Erstellung der Verarbeitungsverzeichnisse des Auftragsgebers, die die Auftragsverarbeitung nach dieser Vereinbarung betreffen, mitzuwirken, insbesondere die hierfür erforderlichen Angaben des Auftraggebers zur Verfügung zu stellen.

    3. Solange das angemessene und vereinbarte Schutzniveau nicht unterschritten wird und dem Stand der Technik entspricht, hat der Auftraggeber seine Zustimmung zu erteilen, außer wichtige Gründe stehen der Einführung entgegen. Geringfügige Änderungen werden nur als Ergänzung zu den technisch-organisatorischen Maßnahmen vom Auftragnehmer dokumentiert. Alle Vorabversionen der technisch-organisatorischen Maßnahmen werden vom Auftragnehmer zum Nachweis geringfügiger Abweichungen dokumentiert

    4. Bei der Verarbeitung personenbezogener Daten ist der Auftragnehmer verpflichtet, die datenschutzrechtlichen Grundsätze einzuhalten sowie die Sicherheit herzustellen, die zum Schutz personenbezogener Daten erforderlich ist. Insgesamt handelt es sich bei allen zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme (Art. 32 Abs. 1 lit. b DSGVO). Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.

  4. Qualitätsmanagement, Verpflichtungen des Auftragnehmers

    Ergänzend zur Einhaltung der Regelungen dieser Vereinbarung hat der Auftragnehmer weitere datenschutzrechtliche Pflichten. Er gewährleistet insbesondere die Einhaltung folgender Vorgaben:

    1. Soweit gesetzlich vorgeschrieben, die Bestellung eines Datenschutzbeauftragten (in schriftlicher Form), der seine Tätigkeit nach Maßgabe der datenschutzrechtlichen Vorschriften ausüben kann. Eine Neubesetzung des Datenschutzbeauftragten und/oder dessen Kontaktdaten während der Dauer dieser Vereinbarung ist dem Auftraggeber unverzüglich schriftlich mitzuteilen. Sofern keine Bestellung erfolgt, benennt der Auftragnehmer einen Ansprechpartner oder eine Ansprechpartnerin für den Datenschutz.

    2. Die Wahrung der Vertraulichkeit, wobei der Auftragnehmer bei der Ausführung der Arbeiten ausschließlich Beschäftigte einsetzt, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

    3. Die Umsetzung und Berücksichtigung aller für diese Vereinbarung notwendigen technischen und organisatorischen Maßnahmen entsprechend dem Stand der Technik.

    4. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diese Vereinbarung beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

    5. Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen durch den Auftragnehmer im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung der AVV.

    6. Auf Anfrage Auskunft über die getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber. Hierfür kann der Auftragnehmer auch geeignete und aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT- Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete und aktuelle Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) vorlegen.

  5. Weisungsbefugnis des Auftraggebers

    1. Die Daten sind ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung gemäß Art 28, 29 DSGVO des Auftraggebers zu verarbeiten. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, welches er durch Einzelweisungen näher bestimmen kann. Veränderungen des Verarbeitungsgegenstands und Verfahrensanpassungen sind zwischen den Parteien gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen bedürfen der vorherigen schriftlichen Genehmigung seitens des Auftraggebers.

    2. Weisungen des Auftraggebers erfolgen ausschließlich in Textform (schriftlich oder per E-Mail). Dem Auftragnehmer ist es untersagt, die Daten für andere Zwecke zu nutzen und er ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate dürfen ohne Wissen des Auftraggebers nicht erstellt werden, ausgenommen davon sind Sicherheitskopien, jedoch nur, sofern und soweit diese zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, und Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

    3. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung dieser Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

    4. Bei einer wesentlichen Änderung des Auftrags durch eine Weisung hinsichtlich der Datenverarbeitung steht dem Auftragnehmer ein Widerspruchsrecht zu. Besteht der Auftraggeber trotz des Widerspruchs des Auftragnehmers auf der Änderung, etwa die Umprogrammierung der Verarbeitungssoftware für Onlineumfragen, so ist diese Änderung als wichtiger Grund für den Auftragnehmer anzusehen und erlaubt eine fristlose Kündigung des von der Weisung betroffenen AVV sowie der von der AVV betroffenen Bestandteile des entsprechenden Hauptvertrages.

    5. Ansprechpartner beim Auftraggeber für die Durchführung dieses Vertrages ist/sind

      Marianne Musterfrau
      Telefon: +49 123 456789
      E-Mail: musterfrau@example.com
      Anschrift wie Auftraggeber

      Der Ansprechpartner ist zugleich die Person, die gegenüber dem Auftragnehmer berechtigt ist, datenschutzrechtliche Weisungen nach diesem Vertrag zu erteilen.

    6. Ansprechpartner beim Auftragnehmer für die Durchführung dieses Vertrages ist:

      Dr. Dominik Leiner
      Telefon: +49 (163)7952646
      E-Mail: info@soscisurvey.de
      Anschrift wie Auftragnehmer

      Der Ansprechpartner ist zugleich die Person, die gegenüber dem Auftraggeber berechtigt ist, datenschutzrechtliche Weisungen nach diesem Vertrag zu empfangen.

    7. Die Parteien können ihre Ansprechpartner jederzeit ändern. Es können mehrere Ansprechpartner benannt werden, die jeweils einzeln weisungs- bzw. empfangsberechtigt sind. Ist der Ansprechpartner einer Partei mehr als nur vorübergehend nicht erreichbar, hat die Partei den Ansprechpartner jedenfalls für die Dauer der Nichterreichbarkeit zu ändern. Die Änderung eines Ansprechpartners hat in dokumentierter Form zu erfolgen.

  6. Überprüfungsrechte des Auftragsgebers, Kontrollrechte und Auftraggeberpflicht

    Der Auftraggeber hat den Auftragnehmer unter dem Aspekt ausgewählt, dass dieser geeignete technische und organisatorische Maßnahmen aufgesetzt hat, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. Der Auftraggeber ist befugt, im Vorfeld der Datenverarbeitung und sodann regelmäßig die Einhaltung der datenschutzrechtlichen Pflichten des Auftragnehmers zu kontrollieren oder durch im Einzelfall zu benennende Prüfer kontrollieren zu lassen. Die Kontrollen beziehen sich insbesondere auf die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen, die er gemäß den Bestimmungen dieser AVV treffen muss, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der Auftraggeber ist zudem befugt, durch Stichprobenkontrollen und sonstige, auch Vor-Ort-Kontrollen, die rechtzeitig anzumelden sind, die Einhaltung dieser AVV durch den Auftragnehmer in dessen Geschäftsbetrieb zu überprüfen. Der Auftragnehmer ist verpflicht, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.

  7. Betroffenenrechte

    Der Auftragnehmer ist verpflichtet, die Daten, die im Auftrag des Auftraggebers verarbeitet werden, nur nach dessen Weisung zu berichtigen, zu löschen, zu vernichten oder die Verarbeitung einzuschränken. Soweit sich ein Betroffener zur Wahrnehmung seiner Betroffenenrechte (z.B. auf Auskunft, Berichtigung oder Löschung) unmittelbar an den Auftragnehmer wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

  8. Unterstützungs- und Mitteilungspflichten, Datenschutz-Folgenabschätzung

    Der Auftragnehmer hat den Auftraggeber bei der Erfüllung der datenschutzrechtlichen Pflichten zur Sicherheit personenbezogener Daten zu unterstützen, ebenso bei Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Zudem hat er Meldepflichten bei Datenpannen. Zu seinen Pflichten im Zusammenhang gehören insbesondere:

    1. die Wahrung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, welche die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,

    2. die Verpflichtung, Verletzungen insbesondere der Vertraulichkeit personenbezogener Daten unverzüglich an den Auftraggeber zu melden,

    3. die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen,

    4. die Unterstützung des Auftraggebers bei dessen Datenschutz-Folgenabschätzung, sowie

    5. die Unterstützung des Auftraggebers im Rahmen von Konsultationen der Aufsichtsbehörde. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat der Auftragnehmer ihn nach besten Kräften zu unterstützen. Der Auftraggeber wird dem Auftragnehmer hierfür unverzüglich nach Erhalt eines Auskunftsersuchens, jedoch spätestens 14 Tage vor Ablauf der Monatsfrist gemäß Art. 12 Abs.3 DSGVO, mitteilen, wozu er konkret Auskünfte erteilen soll.

  9. Verpflichtung zur Datenlöschung, Rückgabe von Datenträgern

    1. Während eines laufenden Befragungsprojekts im Rahmen der Beauftragung durch den Hauptvertrag wird der Auftragnehmer die vertragsgegenständlichen Daten nur auf Anweisung des Auftraggebers berichtigen, löschen, vernichten oder deren Verarbeitung einschränken.

    2. Der Auftraggeber legt die Maßnahmen zur Rückgabe der überlassenen Daten und/oder deren Löschung der gespeicherten Daten nach Beendigung einer Onlineumfrage im Rahmen der Beauftragung durch den Hauptvertrag vertraglich oder durch Weisung fest. Der Auftragnehmer berichtigt oder löscht demgemäß die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies von seinem Weisungsrahmen umfasst ist.

    3. Dem Auftraggeber steht im System bei Zugängen, die ihm durch den Auftragnehmer eingerichtet worden sind, selbst die vollständige Löschmöglichkeit der Daten einer Onlineumfrage zur Verfügung, wofür ihm deswegen die eigene Datenlöschungspflicht obliegt. Sobald er seiner Löschungspflicht, die Daten in der software-as-a-service-Anwendung des Auftragnehmers zu löschen Gebrauch macht, hat der dies dem Auftragnehmer schriftlich zu bestätigen.

    4. Mit Abschluss des Hauptvertrags oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Auftragsverarbeitung – hat der Auftragnehmer dem Auftragsgeber auf Weisung alle Unterlagen in seinem Besitz, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, zu übergeben oder nach vorheriger schriftlicher Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Die Löschung bzw. Vernichtung von Datenträgern und Material mit personenbezogenen Daten hat der Auftragnehmer dem Auftraggeber mit Datumsangabe schriftlich zu bestätigen. Der Auftragnehmer ist dabei weiter verpflichtet sicherzustellen, dass Datenträger und Material mit personenbezogenen Daten entweder durch eigene Datenvernichter (Reißwolf) oder von qualifizierten Entsorgungsunternehmen vernichtet werden, welche die Vernichtung schriftlich garantieren und bestätigen. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

    5. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, insbesondere aus Aufbewahrungsverpflichtungen aus Unionsrecht oder dem für den Auftragnehmer geltendem nationalen Recht folgen, sind durch den Auftragnehmer über die Beendigung der Vereinbarung hinaus aufzubewahren. Der entsprechende Zeitraum bestimmt sich nach den entsprechenden Aufbewahrungsfristen. Der Auftragnehmer kann sie zu seiner Entlastung bei Beendigung der Vereinbarung dem Auftraggeber übergeben. Dies gilt für die Rückgabe überlassener Datenträger und Equipment analog.

    6. Der Auftragnehmer ist verpflichtet, ein Löschkonzept vorzuhalten und unmittelbar sicherzustellen, dass die Rechte auf Auskunft und auf Berichtigung sowie, soweit aufgrund datenschutzrechtlicher Bestimmungen vorgeschrieben, auf Vergessenwerden und Datenportabilität erfüllt werden können, es sei denn die Parteien haben dies ausdrücklich und schriftlich vom Leistungsumfang ausgeschlossen.

    7. Entstehen nach Vertragsbeendigung oder dem Ende einer Onlineumfrage im Rahmen eines laufenden Hauptvertrags zusätzliche Kosten durch die Herausgabe oder Löschung der Daten, so trägt der Auftraggeber die hierdurch entstehenden Kosten, sofern und soweit es sich um Daten des Auftragsverhältnisses handelte, die er selbst löschen konnte. Die Parteien dieser Vereinbarung sind sich darüber einig, dass der Auftraggeber alle im Rahmen einer Onlineumfrage übermittelten oder erhobenen personenbezogenen Daten selbst in der zur Verfügung gestellten Software-as-a-Service-Lösung direkt löschen kann. Eine eventuelle Verlängerung der Aufbewahrungsdauer aufgrund von Sicherheitskopien (Backups) ist dem Löschkonzept des Auftragnehmers zu entnehmen.

  10. Subunternehmer

    1. Der Auftragnehmer nimmt zurzeit folgende weitere Auftragsverarbeiter als Subauftragnehmer in Anspruch:

      • PartnerGate GmbH (VPS-Hosting Webserver)
        Wilhelm-Wagenfeld-Str. 16
        80807 München

      • LOX24 GmbH (Versand von SMS)
        Seestraße 109
        13353 Berlin

    2. Zum Zeitpunkt des Abschlusses dieser Vereinbarung sind die vorstehenden aufgeführten Unternehmen als Unterauftragnehmer für Teilleistungen für den Auftragnehmer tätig und verarbeiten und/oder nutzen in diesem Zusammenhang auch unmittelbar die Daten des Auftraggebers. Für diese Unterauftragnehmer gilt die Einwilligung für das Tätigwerden als erteilt. Eine Datenübermittlung in ein Drittland findet hierdurch nicht statt.

    3. Der Auftragnehmer ist berechtigt, weitere Unterauftragnehmer hinzuzuziehen oder die in Anspruch genommenen Unterauftragnehmer durch andere Unterauftragnehmer zu ersetzen. Der Auftragnehmer informiert den Auftraggeber jedoch vorab über die beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung und darüber, ob hierdurch eine übermittlung in ein Drittland stattfindet. Der Auftraggeber kann gegen die beabsichtigte Änderung Widerspruch erheben. Der Widerspruch ist innerhalb einer Ausschlussfrist von sechs Wochen ab Erhalt der Information über die beabsichtigte Änderung zu erheben. Sowohl die Information als auch der Widerspruch bedürfen der Textform, wobei der Auftragnehmer den Auftraggeber in der Information noch einmal auf die Ausschlussfrist hinweisen wird. Erhebt der Auftraggeber ohne wichtigen Grund Widerspruch gegen die Änderung, ist der Auftragnehmer mit einer Frist von sechs Wochen zur vorzeitigen Kündigung sowohl dieses Vertrages als auch des Hauptvertrages berechtigt.

    4. Die Beauftragung von Auftragnehmern/Subunternehmern außerhalb der EU/des EWR wird ausgeschlossen.

    5. Der Auftragnehmer wird den Unterauftragnehmern im Wege eines Vertrages dieselben Datenschutzpflichten auferlegen, die in diesem Vertrag zwischen den Parteien festgelegt sind.

    6. Dienstleistungen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Durchführung der AVV in Anspruch nimmt, stellen keine Subunternehmerverhältnisse im Sinne dieser Regelung dar. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte oder Prüfer. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten den Auftraggeber auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

  11. Besondere Vorschriften bei Fernwartung

    Folgende Bestimmungen und ergänzende Vorgaben finden Anwendung im Falle eines Fernwartungszugriffs durch den Auftragnehmer, sofern und soweit dies für die Vertragserfüllung des Hauptvertrags oder diese Vereinbarung erforderlich ist oder erforderlich werden kann.

    1. Fernwartungsarbeiten dürfen nur mit Genehmigung des Auftraggebers erfolgen. Fernwartung erfolgt dergestalt, dass der Auftraggeber dem Auftragnehmer für ein Befragungsprojekt im Rahmen der Software des Auftragnehmers Verwaltungszugriff einräumt. Ein Fernwartungszugriff des Auftragnehmers auf Datenverarbeitungsanlagen des Auftraggebers selbst erfolgt hierbei nicht.

    2. Die Fernwartung ist mindestens durch die gleichen Sicherheitsmaßnahmen (Benutzername und Passwort, verschlüsselte Datenübertragung) geschützt wie der Zugriff des Auftraggebers auf das Befragungsprojekt.

    3. Dem Auftragnehmer werden durch den Auftraggeber Zugriffsrechte eingeräumt, die dieser zur Durchführung der Fernwartungsarbeiten tatsächlich benötigt. Der Auftraggeber stellt sicher, dass der Auftragnehmer nur insoweit auf gespeicherte personenbezogene Daten zugreifen kann, als dies zur Durchführung der Fernwartungsarbeiten unerlässlich notwendig ist.

    4. Der Auftragnehmer darf von den ihm eingeräumten Zugriffsrechten nur insoweit für die Durchführung der Fernwartungsarbeiten unerlässlich notwendigen Gebrauch machen.

    5. Der Auftraggeber ist berechtigt, die Fernwartungsarbeiten von einem Kontrollbildschirm aus zu verfolgen und jederzeit abzubrechen. Soweit der Auftragnehmer daran mitwirken muss, gewährleistet er, dass dies möglich ist.

  12. Haftung

    1. Auftraggeber und Auftragnehmer haften für den Schaden, der durch eine nicht den Datenschutzgesetzen entsprechende Verarbeitung verursacht wird, gemeinsam im Außenverhältnis gegenüber dem jeweils Betroffenen. Der Auftragnehmer haftet dabei ausschließlich für Schäden, die auf einer von ihm durchgeführten Verarbeitung beruhen, bei der

      • er den aus der DSGVO resultierenden und speziell für Auftragsverarbeiter auferlegten Pflichten nicht nachgekommen ist oder

      • er unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Auftraggebers handelte oder

      • er gegen die rechtmäßig erteilten Anweisungen des Auftraggebers gehandelt hat.

    2. Kommt ein weiterer Auftragsverarbeiter (Subunternehmer) seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters (Subunternehmers).

    3. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff auf den Auftragnehmer vorbehalten. Im Innenverhältnis zwischen Auftraggeber und Auftragnehmer haftet der Auftragnehmer für den durch eine Verarbeitung verursachten Schaden jedoch nur, wenn er

      • seinen ihm speziell durch die DSGVO auferlegten Pflichten nicht nachgekommen ist oder

      • unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Auftraggebers oder gegen diese Anweisungen gehandelt hat.

    4. Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.

  13. Kosten

    1. Der Auftragnehmer erbringt die Umsetzung der durch den Hauptvertrag festgelegten Weisungen und sorgt für die Einhaltung der allgemeinen und technischen und organisatorischen Maßnahmen, ohne dem Auftraggeber dafür Kosten nach diesem Vertrag zu berechnen. Insoweit sind die Tätigkeiten des Auftragnehmers also schon durch die Vergütung nach Maßgabe des Hauptvertrages abgegolten. Das gleiche gilt für Einzelweisungen, die der Auftraggeber über das Verarbeitungssystem des Auftragnehmers nach dem Hauptvertrag selbst umsetzen kann und auch selbst umsetzt (bspw. eigene Löschungspflicht von Daten gemäß Ziffer 9.3).

    2. Dagegen fallen Kosten für die Umsetzung von Einzelweisungen und sonstiger Verlangen, welche über den Regelbetrieb hinausgehen beziehungsweise nicht Gegenstand des Hauptvertrags sind, dem Auftraggeber zur Last. Dies gilt insbesondere für die Unterstützung bei der Beantwortung von Betroffenenanträgen und bei der Einhaltung sonstiger Pflichten, die dem Auftraggeber obliegen, für die Rückgabe und Vernichtung von Daten entsprechend Ziffer 9.7, soweit diese über eine Löschung im System des Auftragnehmers hinausgeht, für die Zurverfügungstellung von Informationen, soweit diese nicht überwiegend im Interesse des Auftragnehmers liegt, und für das Ermöglichen und Beitragen zu Prüfungen einschließlich Inspektionen, soweit diese über eine verhältnismäßige Prüfung beim Auftragnehmer hinausgehen.

    3. Auf Verlangen wird der Auftragnehmer dem Auftraggeber vorab eine Kostenschätzung geben. Zu den Kosten gehört auch eine angemessene Vergütung des Arbeitsaufwands. Der Stundensatz beträgt 120 € zzgl. USt. Abweichende Kostenregelungen aus dem Hauptvertrag oder einer in den Hauptvertrag einbezogenen Preisliste, die sich auf datenschutzrechtliche Maßnahmen beziehen, gehen dieser Kostenregelung vor. Ebenso fallen die Kosten für Maßnahmen, deren Erforderlichkeit eine Partei schuldhaft verursacht hat, dieser Partei zur Last. Ein Mitverschulden der jeweils anderen Partei ist jedoch zu berücksichtigen.

  14. Vertragsbeendigung, Schlussbestimmungen

    1. Unbeschadet sonstiger Bestimmungen des Vertrags, insbesondere Ziffer 2.4, ist der Auftraggeber berechtigt, den Hauptleistungsvertrag und diese AVV jederzeit ohne Einhaltung einer Frist zu kündigen, wenn der Auftragnehmer schwerwiegend gegen eine Bestimmung dieser AVV verstößt, eine datenschutzrechtliche Weisung gemäß Ziffer 5 dieser AVV nicht umsetzt oder Kontrollen des Auftraggebers gemäß vorstehender Ziffer 6 dieser AVV verweigert.

    2. Weisungen des Auftraggebers, die als wesentliche Vertragsänderungen durch den Auftraggeber zu verstehen sind, insbesondere aber nicht abschließend bei einer Weisung entsprechend der Regelung in Ziffer 5.4, ist der Auftragnehmer seinerseits zur außerordentlichen Kündigung dieser AVV wie des zugrundeliegenden Hauptvertrags berechtigt.

    3. Sollten die Daten des Auftraggebers bei dem Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder vergleichbare Verfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der Datenschutzgrundverordnung liegen.

    4. Änderungen, Ergänzungen und die Aufhebung dieses Vertrages müssen in dokumentierter Form erfolgen. Dies gilt entsprechend für die Änderung dieser Formklausel. Dokumentierte Form im Sinne dieses Vertrages meint mindestens die Textform. Auf Verlangen einer Partei ist eine in Textform abgegebene Erklärung schriftlich zu bestätigen.

Für den Auftraggeber

München, den 29.05.2020

Dr. Dominik Leiner
Geschäftsführer

Für den Auftragnehmer

29.05.2020

Marianne Musterfrau

Anlagen

zu dieser Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag.

Anlage 1: Art und Zweck der Auftragsverarbeitung

Anlage 2: Verpflichtungserklärung

Anlage 1: Art und Zweck der Daten und Verarbeitung

  1. Art der vertragsgegenständlichen Daten, die der Auftragnehmer verarbeitet

    • Namen
    • Kommunikationsdaten (E-Mail-Adressen, Telefonnummern)
    • Kategorisierung in Ziel- oder Experimentalgruppen

  2. Kategorien von der Verarbeitung betroffener Personen

    • Personen, die zur Teilnahme an dem Befragungsprojekt eingeladen werden sollen
    • Personen, die ihre Kontaktdaten im Rahmen des Befragungsprojekts angeben.

  3. Art und Zweck der Auftragsverarbeitung, Art der vertragsgegenständlichen Daten und Kategorien von der Verarbeitung betroffener Personen

    1. Umfang, Art und Zweck der Aufgaben des Auftragnehmers in Bezug auf den Auftragsgegenstand ergeben sich aus dem Hauptvertrag/Haupttätigkeit i.V.m Ziffer 1.1. vorstehender AVV:

      Bereitstellung der Softwarelösung SoSci Survey als Software-as-a-Service-Lösung (Cloud Service), die Umfragebetreiber bei der professionellen Durchführung ihrer Onlinebefragung unterstützt, indem diese

      • die Erstellung von Onlinefragebögen ermöglicht,

      • Einladungen sowie ggf. Nachfassaktionen versendet und

      • Datendownload der Umfrageergebnisse ermöglicht.

    2. Sofern im Hauptvertrag keine individuelle Datenauswertung vereinbart wurde, ist Art, Umfang und Zweck dieser AVV ist nicht die originäre Nutzung oder Verarbeitung von personenbezogenen Daten durch den Auftragnehmer. Der Auftragnehmer stellt eine Infrastruktur (Cloud-Dienstleistung) zur Verfügung, welche dem Auftraggeber die Eingabe und Erhebung von personenbezogenen Daten und deren weitere Verarbeitung auf Systemen des Auftragnehmers ermöglicht.

      Im Zuge der Leistungserbringung, insbesondere der Wartung, kann jedoch nicht ausgeschlossen werden, dass Mitarbeiter des Auftragnehmers Kenntnis von personenbezogenen Daten erhalten.

Anlage 2: Verpflichtungserklärung

  1. Verpflichtungserklärung nach der Datenschutzgrundverordnung (nachfolgend „DSGVO“ genannt)

    Über die Bedeutung und die Vorschriften der DSGVO und des Bundesdatenschutzgesetzes (nachfolgend „BDSG n.F.“ genannt) ist der Auftragnehmer informiert. Danach ist es dem Auftragnehmer untersagt – unbeschadet sonstiger Geheimhaltungsverpflichtungen – unbefugt personenbezogene Daten, die dem Auftragnehmer aufgrund seines Vertragsverhältnisses und/oder im Zusammenhang mit seinem Vertragsverhältnis bekannt sind oder noch bekannt werden, zu verarbeiten (Verschwiegenheitspflicht nach Art. 28 Abs. 3 lit. b DSGVO). Die Verschwiegenheitspflicht gilt für sämtliche personenbezogene Daten, die durch den Auftraggeber und/oder die mit dem Auftraggeber gemäß §§ 15ff. Aktiengesetz (nachfolgend „AktG“ genannt) verbundenen Unternehmen verarbeitet werden. Zur Einhaltung dieser Verschwiegenheitspflicht verpflichtet sich der Auftragnehmer mit seiner Unterschrift.

  2. Verpflichtungserklärung nach dem Telekommunikationsgesetz (nachfolgend „TKG“ genannt)

    über die Bedeutung und die Vorschriften des TKG zum Fernmeldegeheimnis ist der Auftragnehmer informiert. Danach ist es dem Auftragnehmer untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste (einschließlich des Schutzes ihrer technischen Systeme) erforderliche Maß hinaus Kenntnis vom Inhalt oder von den näheren Umständen der Telekommunikation zu verschaffen. Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, dürfen nur aufgrund einer gesetzlichen Vorschrift oder einer ausdrücklichen Einwilligung des(r) Betroffenen über das vorgenannte Maß hinaus verwendet und insbesondere an Dritte weitergegeben werden (Fernmeldegeheimnis gemäß § 88 TKG). Zur Einhaltung des Fernmeldegeheimnisses verpflichtet sich der Auftragnehmer mit seiner Unterschrift.

  3. Geheimhaltung von vertraulichen Informationen

    Unbeschadet des Vorgenannten verpflichtet sich der Auftragnehmer mit seiner nachstehenden Unterschrift, Informationen, die ihm bekannt sind oder werden, während des Vertragsverhältnisses weder unbefugt zu verwerten noch unbefugt Dritten mitzuteilen. Dritte sind auch Personen, die mit dem Auftraggeber und/oder mit dem Auftraggeber gemäß §§ 15ff. AktG verbundenen Unternehmen vertraglich verbunden sind, soweit diese nicht jeweils durch ihre Funktion und/oder Tätigkeit zur Entgegennahme derartiger Mitteilungen befugt sind, wobei unbefugt das Fehlen einer Rechtsgrundlage meint.

    Vertrauliche Informationen sind insbesondere Geschäfts- und Betriebsgeheimnisse, Vertragsschlüsse, technische oder kaufmännische Informationen jedweder Art bzw. anderweitige Angaben, die als vertraulich bezeichnet oder ihrer Natur nach als vertraulich anzusehen sind. Diese Geheimhaltungspflicht erstreckt sich auf vertrauliche Informationen des Auftraggebers und/oder der mit dem Auftraggeber gemäß §§ 15ff. AktG verbundenen Unternehmen.

  4. Reichweite und Dauer der Verpflichtungen sowie Hinweise auf Strafvorschriften

    Die vorstehenden Verpflichtungen auf

    • die Verschwiegenheit (Ziffer 1);

    • das Fernmeldegeheimnis (Ziffer 2);

    • die Geheimhaltung von vertraulichen Informationen (Ziffer 3)

    bestehen auch nach Beendigung des Vertragsverhältnisses fort, ungeachtet dessen, welche Ursachen der Beendigung des Vertragsverhältnisses zugrunde liegen.

    Der Auftragnehmer ist sich bewusst, dass Zuwiderhandlungen gegen die DSGVO, das BDSG n.F. (gemäß § 42 BDSG n.F.), das Strafgesetzbuch (gemäß § 203, 206 Strafgesetzbuch, nachfolgend „StGB“ genannt) und das TKG sowie die Verletzung der Geheimhaltungspflicht von vertraulichen Informationen nach verschiedenen Vorschriften, zivil- und strafrechtliche Folgen auslösen können.

    Falls eine der vorstehenden Bestimmungen gesetzlichen und/oder sonstigen Bestimmungen widerspricht, wird hierdurch die Gültigkeit der übrigen Bestimmungen dieser Verpflichtungserklärung auf das Daten- und Fernmeldegeheimnis sowie die Geheimhaltung von vertraulichen Informationen nicht berührt.

    Der Auftragnehmer erklärt mit seiner Unterschrift, die einschlägigen Gesetze, insbesondere DSGVO, BDSG n.F., TKG, StGB und UWG zu beachten. Ein Duplikat dieser von ihm unterzeichneten Verpflichtungserklärung, die sowohl ihn persönlich als auch die Gesellschaft, für die er handelt verpflichtet, hat er zu den Unterlagen genommen und erklärt weiterhin mit seiner Unterschrift, für ihn tätige Mitarbeiter entsprechend verpflichtet zu haben.

München, den 29.05.2020

Dr. Dominik Leiner
(für sich persönlich wie in seiner Funktion als Geschäftsführer für die Gesellschaft handelnd)

Auftragsverarbeitungs-Vertrag für Adressdaten, SoSci Survey GmbH, Vertragsvorlage v1.3.6