Vertrag ueber die Auftragsverarbeitung personenbezogener Daten nach EU Datenschutz-Grundverordnung (AV-Vertrag)


Vertrag ueber die Auftragsverarbeitung personenbezogener Daten


zwischen


siehe getaetigte Formular-Eingaben
(im Folgenden Auftraggeber genannt)


und


bowlingonline.de
(im Folgenden Auftragnehmer genannt)


1 Einleitung, Geltungsbereich, Definitionen


(1) Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden "Parteien" genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.

(2) Dieser Vertrag findet auf alle Taetigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.

(3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklaeungen im Folgenden "schriftlich" zu erfolgen haben, ist die Schriftform nach Paragraph 126 BGB gemeint. Im uebrigen koennen Erklaerungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewaehrleistet ist.


2 Gegenstand und Dauer der Verarbeitung


2.1 Gegenstand

Der Auftragnehmer uebernimmt folgende Verarbeitungen:

• siehe getaeigte Formular-Eingaben

Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag (im Folgenden "Hauptvertrag").

2.2 Dauer

Die Verarbeitung beginnt am 25.11.2025 und erfolgt auf unbestimmte Zeit bis zur Kuendigung dieses Vertrags oder des Hauptvertrags durch eine Partei.


3 Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung:


3.1 Art und Zweck der Verarbeitung

Die Verarbeitung ist folgender Art: Erhebung, Erfassung und Speicherung
Die Verarbeitung dient folgendem Zweck: Kontaktaufnahme zum Auftragnehmer

3.2 Art der Daten

Es werden folgende Daten verarbeitet:

• siehe getaetigte Formular-Eingaben

3.2.1 Kategorien der betroffenen Personen

Von der Verarbeitung betroffen sind:

• siehe getaetigte Formular-Eingaben


4 Pflichten des Auftragnehmers


(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschliesslich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen fuer ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darueber hinaus die zur Verarbeitung ueberlassenen Daten fuer keine anderen, insbesondere nicht fuer eigene Zwecke.

(2) Der Auftragnehmer bestaetigt, dass ihm die einschlaegigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsaetze ordnungsgemaesser Datenverarbeitung.

(3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit zu wahren.

(4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten koennen, haben sich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlaegigen Geheimhaltungspflicht unterliegen.

(5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Der Auftragnehmer traegt dafuer Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfuellung der Datenschutzanforderungen laufend angemessen angeleitet und ueberwacht werden.

(6) Wird der Auftraggeber durch Aufsichtsbehoerden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenueber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstuetzen, soweit die Verarbeitung im Auftrag betroffen ist.

(7) Die Auftragsverarbeitung erfolgt grundsaetzlich innerhalb der EU oder des EWR.




5 Technische und organisatorische Massnahmen


(1) Die in Anlage 1 beschriebenen Datensicherheitsmassnahmen werden als verbindlich festgelegt.

(2) Die Datensicherheitsmassnahmen koennen der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Aenderungen hat der Auftragnehmer unverzueglich umzusetzen. Aenderungen sind dem Auftraggeber unverzueglich mitzuteilen.

(3) Soweit die getroffenen Sicherheitsmassnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genuegen, benachrichtigt der Auftragnehmer den Auftraggeber unverzueglich.

(4) Der Auftragnehmer fuehrt den Nachweis der Erfuellung seiner Pflichten.


6 Regelungen zur Berichtigung, Loeschung und Sperrung von Daten


(1) Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, loeschen oder sperren.

(2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch ueber die Beendigung dieses Vertrages hinaus Folge leisten.


7 Unterauftragsverhältnisse


(1) Die Beauftragung von Subunternehmern ist zugelassen.

(2) Die Beauftragung ist nur moeglich, wenn dem Subunternehmer vertraglich mindestens Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind. Der Auftraggeber erhaelt auf Verlangen Einsicht in die relevanten Vertraege zwischen Auftragnehmer und Subunternehmer.

(3) Die Rechte des Auftraggebers muessen auch gegenueber dem Subunternehmer wirksam ausgeuebt werden koennen. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzufuehren oder durch Dritte durchfuehren zu lassen.

(4) Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.

(5) Eine weitere Subbeauftragung durch den Subunternehmer ist zulaessig.

(6) Der Auftragnehmer waehlt den Subunternehmer sorgfaeltig aus.

(7) Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschliesslich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 4 (10) und (11) dieses Vertrages genannten Bedingungen moeglich. Sie ist insbesondere nur zulaessig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet.

(8) Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers bei Auftragserteilung zu ueberpruefen.

(9) Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfuer der Auftragnehmer gegenueber dem Auftraggeber nicht.

(10) Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschaeftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenueber Subunternehmern bleiben unberuehrt.

(11) Unterauftragsverhaeltnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Faellen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberuehrt.


8 Rechte und Pflichten des Auftraggebers


(1) Fuer die Beurteilung der Zulaessigkeit der beauftragten Verarbeitung sowie fuer die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

(2) Der Auftraggeber erteilt alle Auftrawge, Teilauftraege oder Weisungen dokumentiert. In Eilfaellen koennen Weisungen muendlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzueglich dokumentiert bestaetigen.

(3) Der Auftraggeber informiert den Auftragnehmer unverzueglich, wenn er Fehler oder Unregelmaessigkeiten bei der Pruefung der Auftragsergebnisse feststellt.

(4) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften ueber den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskuenften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermoeglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskuenfte zu erteilen, Ablaeufe zu demonstrieren und Nachweise zu fuehren, die zur Durchfuehrung einer Kontrolle erforderlich sind.

(5) Kontrollen beim Auftragnehmer haben ohne vermeidbare Stoerungen seines Geschaeftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gruenden anders angezeigt, finden Kontrollen nach angemessener Vorankuendigung und zu Geschaeftszeiten des Auftragnehmers, sowie nicht haeufiger als alle 24 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 (8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschraenken.


9 Mitteilungspflichten


(1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzueglich mit. Auch begruendete Verdachtsfaelle hierauf sind mitzuteilen. Sie muss mindestens folgende Angaben enthalten:

a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit moeglich mit Angabe der Kategorien und der ungefaehren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefaehren Zahl der betroffenen personenbezogenen Datensaetze;

b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle fuer weitere Informationen;

c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Massnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Massnahmen zur Abmilderung ihrer moeglichen nachteiligen Auswirkungen

(2) Ebenfalls mitzuteilen sind erhebliche Stoerungen bei der Auftragserledigung sowie Verstoesse des Auftragnehmers oder der bei ihm beschaeftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

(3) Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstuetzen.


10 Weisungen


(1) Der Auftraggeber behaelt sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

(2) Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen ausschliesslich befugten Personen in Anlage 3.

(3) Der Auftragnehmer wird den Auftraggeber unverzueglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstoesst. Der Auftragnehmer ist berechtigt, die Durchfuehrung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestaetigt oder geaendert wird.

(4) Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.


11 Beendigung des Auftrags


(1) Bei Beendigung des Auftragsverhaeltnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten zu vernichten. Ebenfalls zu vernichten sind saemtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr moeglich ist. Eine physische Vernichtung erfolgt gemaess DIN 66399.

(2) Der Auftragnehmer ist verpflichtet, die unverzuegliche Loeschung auch bei Subunternehmern herbeizufuehren.

(3) Dokumentationen, die dem Nachweis der ordnungsgemaessen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch ueber das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende uebergeben.


12 Verguetung


Die Verguetung des Auftragnehmers ist abschliessend im Hauptvertrag geregelt. Eine gesonderte Verguetung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.


13 Haftung


(1) Fuer den Ersatz von Schaeden, die eine Person wegen einer unzulaessigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhaeltnisses erleidet, haftet der Auftraggeber.

(2) Der Auftraggeber traegt die Beweislast dafuer, dass ein Schaden nicht Folge eines von Auftragnehmr zu vertretenden Umstandes ist, soweit die relevanten Daten von Auftragnehmer unter dieser Vereinbarung verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftraggeber den Auftragnehmer von allen Anspruechen frei, die im Zusammenhang mit der Auftragsverarbeitung gegen den Auftraggeber erhoben werden.

(3) Der Auftragnehmer haftet dem Auftraggeber fuer Schaeden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchfuehrung Beauftragten im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.

(4) Nummer (3) gilt nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.


14 Vertragsstrafe


(1) Bei Verstoss gegen die Abmachungen dieses Vertrages wird eine verschuldensunabhaengige Vertragsstrafe von € 1,- je Einzelfall vereinbart. Die Vertragsstrafe wird insbesondere bei Maengeln in der Umsetzung der vereinbarten technischen und organisatorischen Massnahmen verwirkt. Bei dauerhaften Verstoessen gilt jeder Kalendermonat, in dem der Verstoss ganz oder teilweise vorliegt, als Einzelfall.

(2) Die Vertragsstrafe deckt alle aus einem Verstoss herleitbaren Forderungen oder Ansprueche des Auftraggebers ab.


15 Sonderkuendigungsrecht


(1) Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kuendigen ("ausserordentliche Kuendigung"), wenn ein schwerwiegender Verstoss des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmaessige Weisung des Auftraggebers nicht ausfuehren kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

(2) Ein schwerwiegender Verstoss liegt insbesondere vor, wenn der Auftragnehmer die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Massnahmen in erheblichem Masse nicht erfuellt oder nicht erfuellt hat.

(3) Bei unerheblichen Verstoessen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur ausserordentlichen Kuendigung wie in diesem Abschnitt beschrieben berechtigt.

(4) Der Auftragnehmer hat dem Auftraggeber mit Zahlung der vereinbarten Vertragsstrafe alle eventuelle Kosten beglichen, die diesem durch die verfruehte Beendigung des Hauptvertrages oder dieses Vertrages in Folge einer ausserordentlichen Kuendigung durch den Aufraggeber entstehen.


16 Sonstiges


(1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhaeltnisses erlangten Kenntnisse von Geschaeftsgeheimnissen und Datensicherheitsmassnahmen der jeweils anderen Partei auch ueber die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

(2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Massnahmen Dritter (etwa durch Pfaendung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefaehrdet werden, so hat der Auftragnehmer den Auftraggeber zu verstaendigen.

(3) Fuer Nebenabreden ist die Schriftform erforderlich.

(4) Die Einrede des Zurueckbehaltungsrechts i. S. v. Paragraph 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten ausgeschlossen.

(5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so beruehrt dies die Wirksamkeit der Vereinbarung im Oebrigen nicht.


Anlage 1 - technische und organisatorische Massnahmen


Im Folgenden werden die technischen und organisatorischen Massnahmen zur Gewaehrleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewaehrleistung insbesondere der Vertraulichkeit, Integritaet und Verfuegbarkeit der im Auftrag verarbeiteten Informationen.

Fuer die Vernichtung gem. DIN 66399 gilt Schutzklasse 1.

1. Organisation der Informationssicherheit
2. Personalsicherheit
3. Verwaltung der Werte
4. Zugangssteuerung
5. Kryptographie
6. Physische und umgebungsbezogene Sicherheit
7. Betriebssicherheit
8. Kommunikationssicherheit
9. Anschaffung, Entwicklung und Instandhaltung von Systemen
10. Lieferantenbeziehungen
11. Handhabung von Informationssicherheitsvorfällen
12. Informationssicherheitsaspekte beim Business Continuity Management
13. Compliance



Anlage 2 - Zugelassene Subdienstleister


siehe Angaben im Impressum


Anlage 3 - Weisungsberechtige Personen


Folgende Personen sind zur Erteilung und Entgegennahme von Weisungen befugt:

siehe Angaben im Impressum




© by activemind.de (Kostenlose Datenschutz Mustervorlagen)