Auftragsverarbeitungsvertrag (AVV)

(1) Gegenstand der Verarbeitung sind die Leistungen des Auftragsverarbeiters gemäß dem Hauptvertrag, insbesondere Konzeption, Entwicklung, Hosting, Wartung, Support und Weiterentwicklung der Website des Verantwortlichen.

(2) Die Laufzeit dieses AVV richtet sich nach der Laufzeit des Hauptvertrags, sofern sich aus den Bestimmungen dieses AVV nicht darüberhinausgehende Verpflichtungen ergeben.

(3) Gegenstand der Datenverarbeitung sind insbesondere:

(1) Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt ausschließlich zu den im Hauptvertrag beschriebenen Zwecken, insbesondere:

• Betrieb und Hosting der Website des Verantwortlichen (einschließlich Zugriff auf Server-Logs zu Sicherheits-, Fehler- und Wartungszwecken)
• Bereitstellung und Wartung des Content-Management-Systems
• Bearbeitung von Support-Anfragen und Fehlerbehebung
• Erstellung technischer Reports und Performance-Analysen
• Umsetzung datenschutz- und sicherheitsrelevanter Maßnahmen

(2) Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Verantwortlichen danach in schriftlicher Form oder in einem elektronischen Format (Textform) geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.

(3) Der Auftragsverarbeiter verwendet die Daten nicht für eigene Zwecke und gibt diese nicht an Dritte weiter, soweit dies nicht zur Vertragserfüllung oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.

(1) Gegenstand der Verarbeitung können insbesondere folgende Datenarten sein:

• Stammdaten (Name, Anschrift)
• Kontaktdaten (E-Mail, Telefon)
• Nutzungsdaten (IP-Adresse, Zugriffszeitpunkte, Browsertyp)
• Inhaltsdaten (Formular-Eingaben, hochgeladene Dateien)
• Mediendaten
• IT-Nutzungsdaten, Log-Daten und Protokolldateien
• Vertragsdaten, soweit diese über die Website übermittelt werden

(2) Zu den Kategorien betroffener Personen zählen insbesondere Kunden, Interessenten, Mitarbeiter und sonstige Besucher der Website des Verantwortlichen.

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 lit. a DSGVO). Der Hauptvertrag gilt als Grundweisung. Einzelweisungen können in Textform erteilt werden. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt, und darf die Umsetzung der Weisung so lange aussetzen, bis sie bestätigt oder abgeändert wurde.

(2) Der Auftragsverarbeiter stellt sicher, dass die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrags fort.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrnehmung der Rechte der betroffenen Personen (Art. 12 bis 23 DSGVO) sowie bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten (Art. 28 Abs. 3 lit. e und f DSGVO).

(4) Der Auftragsverarbeiter teilt dem Verantwortlichen Verletzungen des Schutzes personenbezogener Daten unverzüglich – spätestens innerhalb von 24 Stunden nach Kenntnisnahme – mit und trifft die erforderlichen Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für betroffene Personen (Art. 33 Abs. 2 DSGVO).

(5) Der Auftragsverarbeiter gewährleistet, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen einzusetzen (Art. 32 Abs. 1 lit. d DSGVO).

(6) Der Auftragsverarbeiter berichtigt oder löscht die vertragsgegenständlichen Daten auf Weisung des Verantwortlichen, soweit dies vom Weisungsrahmen umfasst ist.

(7) Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie – nach Wahl des Verantwortlichen – zurück, sofern nicht eine gesetzliche Aufbewahrungspflicht besteht (Art. 28 Abs. 3 lit. g DSGVO).

(8) Im Falle einer Inanspruchnahme des Verantwortlichen durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO verpflichtet sich der Auftragsverarbeiter, den Verantwortlichen bei der Abwehr des Anspruchs im Rahmen seiner Möglichkeiten zu unterstützen.

(1) Der Verantwortliche hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellt.

(2) Der Verantwortliche ist für die Einhaltung der für ihn geltenden Datenschutzgesetze allein verantwortlich, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter.

(3) Dem Verantwortlichen obliegen die aus Art. 33 und 34 DSGVO resultierenden Informationspflichten gegenüber Aufsichtsbehörden und betroffenen Personen.

(4) Es obliegt dem Verantwortlichen, rechtzeitig vor Vertragsende Sicherungskopien seiner Daten anzufertigen und diese zu sichern. Der Verantwortliche hat selbst Zugriff auf seine Daten.

(5) Der Verantwortliche benennt dem Auftragsverarbeiter einen Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

(1) Ist der Verantwortliche auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Verarbeitung von Daten dieser Person zu erteilen, unterstützt der Auftragsverarbeiter den Verantwortlichen dabei, sofern der Verantwortliche dies schriftlich oder in Textform angefordert und die durch diese Unterstützung entstehenden Kosten erstattet hat. Der Auftragsverarbeiter wird Auskunftsverlangen betroffener Personen nicht selbst beantworten und diese insoweit an den Verantwortlichen verweisen.

(2) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragsverarbeiter, verweist dieser die betroffene Person an den Verantwortlichen und leitet den Antrag unverzüglich weiter. Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom Verantwortlichen nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

(1) Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(2) Die Maßnahmen werden regelmäßig überprüft und dem Stand der Technik entsprechend angepasst.

(1) Der Auftragsverarbeiter ist berechtigt, zur Erbringung seiner Leistungen Unterauftragsverarbeiter einzusetzen. Der Verantwortliche stimmt dem Einsatz der nachfolgend genannten Unterauftragsverarbeiter zu:

(2) Vor der Hinzuziehung weiterer oder der Ersetzung aufgeführter Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Verantwortlichen mindestens vier Wochen vor Wirksamwerden in Textform. Der Verantwortliche kann gegen die Änderung aus wichtigem datenschutzrechtlichem Grund binnen zwei Wochen in Textform Widerspruch einlegen.

(3) Der Auftragsverarbeiter verpflichtet jeden Unterauftragsverarbeiter vertraglich auf ein mit diesem AVV vergleichbares Datenschutzniveau (Art. 28 Abs. 4 DSGVO).

(4) Bei Übermittlung personenbezogener Daten in ein Drittland sorgt der Auftragsverarbeiter für geeignete Garantien im Sinne der Art. 44 ff. DSGVO (z. B. EU-Standardvertragsklauseln).

(1) Der Verantwortliche kann sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von der Einhaltung dieses AVV durch den Auftragsverarbeiter überzeugen und das Ergebnis dokumentieren. Hierzu kann der Auftragsverarbeiter insbesondere aktuelle Zertifikate, Testate unabhängiger Stellen oder dokumentierte technische und organisatorische Maßnahmen vorlegen.

(2) Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf schriftliche Anforderung innerhalb einer angemessenen Frist alle erforderlichen Auskünfte und Nachweise zur Verfügung zu stellen. Der Aufwand einer Prüfung ist für den Auftragsverarbeiter grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich und weist alle in diesem Zusammenhang Verantwortlichen darauf hin, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Verantwortlichen liegen.

Für die Haftung der Parteien gelten die Regelungen des Hauptvertrags sowie Art. 82 DSGVO.

(1) Sollten einzelne Bestimmungen dieses AVV unwirksam sein oder werden, berührt dies die Gültigkeit der übrigen Bestimmungen nicht.

(2) Änderungen und Ergänzungen dieses AVV bedürfen der Textform, einschließlich des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung oder Ergänzung handelt. Dies gilt auch für den Verzicht auf das Textformerfordernis.

(3) Bei Widersprüchen zwischen diesem AVV und dem Hauptvertrag gehen die Regelungen dieses AVV in Datenschutzfragen vor.

(4) Im Übrigen gelten die Allgemeinen Geschäftsbedingungen (AGB) des Auftragsverarbeiters.

(5) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz des Auftragsverarbeiters.