Zwischen [Auftraggeber]
[Anschrift]
nachfolgend "Verantwortlicher" genannt –
und [Auftragsverarbeiter]
[Anschrift]
nachfolgend "Auftragsverarbeiter" genannt –
wird folgender Vertrag geschlossen:
Präambel
Diese Vereinbarung regelt die Rechte und Pflichten von Verantwortlichem und Auftragsverarbeiter beim Da-tenschutz und bei der Datensicherheit im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO.
1. Gegenstand und Dauer des Auftrags
1.1 Gegenstand
Der Gegenstand des Auftrags ergibt sich aus der Vereinbarung/dem Auftrag/der Leistungsvereinbarung ....................... vom ....................... (Datum), auf die hier verwiesen wird (im Folgenden Leistungsvereinbarung).
– oder –
Gegenstand des Auftrags ist die Durchführung folgender Aufgaben durch den Auftragsverarbeiter: ....................... (Nennung des Auftrags).
1.2 Dauer
Die Dauer dieses Auftrags entspricht der Laufzeit der Leistungsvereinbarung.
– oder –
Der Auftrag wird einmalig ausgeführt.
– oder –
Die Dauer dieses Auftrags ist befristet bis zum ....................... (Datum).
– oder –
Der Auftrag wird unbefristet erteilt und kann von beiden Parteien mit einer Frist von ....................... zum ....................... gekündigt werden.
2. Konkretisierung des Auftragsinhalts
2.1 Art und Zweck der vorgesehenen Verarbeitung von Daten
Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen sind konkret beschrieben in der Leistungsvereinbarung vom ....................... (Datum)
– oder –
Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen sind: ....................... (Nennung der Aufgaben)
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das angemessene Schutzniveau in ....................... (Drittland)
(bitte Zutreffendes markieren)
□ ist festgestellt durch einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 Abs. 3 DSGVO)
□ wird hergestellt durch verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 Buchst. b in Verbindung mit Art. 47 DSGVO)
□ wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 Buchst. c und d DSGVO)
□ wird hergestellt durch genehmigte Verhaltensregeln (Art. 46 Abs. 2 Buchst. e in Verbindung mit Art. 40 DSGVO)
□ wird hergestellt durch einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 Buchst. f in Verbindung mit Art. 42 DSGVO)
□ wird hergestellt durch sonstige Maßnahmen: ....................... (Art. 46 Abs. 2 Buchst. a, Abs. 3 Buchst. a und b DSGVO).
2.2 Art der Daten
Die Arten der verwendeten personenbezogenen Daten sind in der Leistungsvereinbarung konkret beschrieben unter ....................... (Nennung der Nummer/Ziffer/Seite).
– oder –
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten bzw. Datenkategorien (bitte Zutreffendes markieren):
□ Personenstammdaten
□ Kommunikationsdaten (z. B. Telefon, E-Mail)
□ Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
□ Kundenhistorie
□ Vertragsabrechnungs- und Zahlungsdaten
□ Planungs- und Steuerungsdaten
□ Nutzungsdaten
□ Metadaten
□ Auskunftsangaben (von Dritten, z. B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
□ ....................... (Aufzählung/Beschreibung von weiteren Datenkategorien).
2.3 Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen sind in der Leistungsvereinbarung konkret beschrieben unter ....................... (Nennung der Nummer/Ziffer/Seite).
– oder –
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen (bitte Zutreffendes markieren):
□ Kunden
□ Interessenten
□ Abonnenten
□ Beschäftigte
□ Lieferanten
□ Handelsvertreter
□ Ansprechpartner
□ ....................... (Aufzählung/Beschreibung von weiteren Betroffenen).
3. Technisch-organisatorische Maßnahmen
3.1 Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung oder ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
3.2 Der Auftragsverarbeiter hat die Sicherheit gemäß Art. 28 Abs. 3 Buchst. c, 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO, herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung e...