Reading:
Auftragsdatenverarbeitung (ADV)

Auftragsdatenverarbeitung (ADV)

Artikel geschrieben von Marvin Bolduan
07.07.2021

Erfahren Sie hier mehr über die Auftragsdatenverarbeitung gem. Art. 28 Abs. 3 DSGVO. Aus Gründen der besseren Lesbarkeit haben wir uns im AVV für die männliche Form der Anrede entschieden.

Begriffsbestimmungen

  1. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
  2. betroffene Person ist jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
  3. Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
  4. AG & AN Auftraggeber (Kunde des AN) & Auftragnehmer (§1)

§ 1 – Gegenstand und Dauer der Datenverarbeitung

  1. Der Auftragnehmer ist der Betreiber und Software-Hersteller von CloudTime.

    Bolduan Web Solutions GmbH
    vertreten durch den Geschäftsführer Sönke Bolduan
    Dorfstraße 29b, 24217 Höhndorf

    Ein Unternehmen der Bolduan Holding GmbH

    support@cloudtime.io – +49 (0) 4344 818 784 8
  2. Gegenstand der Vereinbarung sind sowohl Rechte als auch Pflichten des AN und seiner Kunden (AG) im Rahmen der Leistungserbringung. Der Gegenstand und die Dauer des Auftrags, die Art und der Zweck der Verarbeitung, die Art der Daten und die Kategorien der Betroffenen ergeben sich aus dem Hauptvertrag zwischen den Parteien. Der Auftrag endet mit Beendigung des Hauptvertrages.
  3. Die Dauer dieses AVV richtet sich jeweils nach der Dauer des vertraglichen Verhältnisses zwischen dem AN und AG.
  4. CloudTime erbringt im Zusammenhang mit der Hauptdienstleistung weitere Dienstleistungen, bei denen bestimmte Mitarbeiter Zugriff auf personenbezogene Daten haben. Deshalb ist nach Art. 28 DSGVO der Abschluss einer Vereinbarung von Auftragsdaten verpflichtend.

§ 2 – Art, Zweck & Betroffene der Datenverarbeitung

Art der Verarbeitung Die Verarbeitung ist folgender Art: Erheben, Erfassen, Organisieren, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Darstellung, Löschung oder Vernichtung von Daten im Rahmen der Erbringung des Dienstes CloudTime.

DatenartDatenfragmenteBetroffene
Daten für Benutzerkonten (Registrierung, Anmelden)Vorname, Nachname, E-Mail, Telefonnummer(n), Geburtsdaten, Adresse (zur Vervollständigung)Mitarbeiter/Angestellte des AG
Kontaktinformationen des AGVorname, Nachname, E-Mail, Telefonnummer(n), Geburtsdaten, Adresse (zur Vervollständigung), Technischer AnsprechpartnerAG als nat. / jur. Person, Mitarbeiter/Angestellte des AG
Bankinformationen des AGBankverbindung für Zahlungsdaten (abhängig vom jeweiligen Abonnement)AG als nat. / jur. Person, Mitarbeiter/Angestellte des AG
Technische Daten zur SoftwarenutzungLog-Dateien, Protokollierung von Anmeldungen, Abfragen von IP-AdressenAG als nat. / jur. Person, Mitarbeiter/Angestellte des AG
Daten der Endkunden (Terminbucher)Vorname, Nachname, E-Mail, Telefonnummer(n), Geburtsdaten, Adresse (zur Vervollständigung), TerminhistorieEndkunden des AG (Terminbucher)

§ 3 – Pflichten des Auftragnehmers

  1. Der AN verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom AG angewiesen, es sei denn, der AN ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der AN diese dem AG vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der AN verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
  2. Der AN bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
  3. Der AN verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
  4. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
  5. Der AN sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der AN trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
  6. Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der AN den AG soweit erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutzfolgeabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem AG auf Anforderung unverzüglich zuzuleiten.
  7. Wird der AG durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der AN den AG im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
  8. Auskünfte an Dritte oder den Betroffenen darf der AN nur nach vorheriger Zustimmung durch den AG erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den AG weiterleiten.
  9. Die Auftragsverarbeitung erfolgt ausschließlich innerhalb der EU oder des EWR. Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.
  10. Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

§ 4 – Sicherheit der Verarbeitung

  1. Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom AN geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
  2. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der AN unverzüglich umzusetzen. Änderungen sind dem AG unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
  3. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des AG nicht oder nicht mehr genügen, benachrichtigt der AN den AG unverzüglich.
  4. Der AN sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
  5. Kopien oder Duplikate werden ohne Wissen des AG nicht erstellt. Ausgenommen sind technisch notwendige oder vertraglich geschuldete, temporäre Vervielfältigungen (z.B. Sicherheits-Backups o. vertraglich vereinbarte Backups), soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

§ 5 – Regelungen zur Berichtigung, Löschung und Sperrung von Daten

  1. Im Rahmen des Auftrags verarbeitete Daten wird der AN nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des AG berichtigen, löschen oder sperren.
  2. Der AN hat nur nach Weisung des AG die Daten, die im Auftrag verarbeitet werden, zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken. Soweit ein Betroffener sich unmittelbar an den AN zwecks Berichtigung oder Löschung seiner Daten oder der Einschränkung der Verarbeitung wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
  3. Der AN wird den AG im Falle der Geltendmachung gesetzlicher Betroffenenrechte unterstützen; dies umfasst insbesondere die Unterstützung bei der Beantwortung von Anträgen auf Wahrung der Betroffenenrechte mittels geeigneter technisch-organisatorischer Maßnahmen.
  4. Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

§ 6 – Einsatz von Subunternehmen

  1. Als Subvertragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die unmittelbar mit der Erbringung der im Vertrag beschriebenen Dienstleistung in Zusammenhang stehen und durch verbundene oder fremde (Sub-)Unternehmer erbracht werden.
  2. Der AG erklärt sich damit einverstanden, dass der AN Subunternehmer ohne Genehmigung hinzuziehen bzw. beauftragen darf. Der AN informiert den AG von der Beauftragung, sodass dieser innerhalb einer Frist von 14 Tagen widersprechen kann.
  3. Der AN wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus. Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
  4. Eine Liste der aktuell eingesetzten Subunternehmer inklusive deren jeweiliger Unternehmenssitz finden Sie hier. Diese Liste wird bei etwaigen Erweiterungen oder Anpassungen zeitnah aktualisiert.
  5. Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der AN dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat. Der AN hat dem AG die Dokumentation unaufgefordert vorzulegen.
  6. Beauftragt der AN Subunternehmen so obliegt es dem AN, seine aus diesem AVV hervorgehenden datenschutzrechtlichen Verpflichtungen auf Diesen zu übertragen. In diesem Zusammenhang verpflichtet sich der AN dem Untervertragsverhältnis einen vertraglichen Rahmen gemäß Art. 28 Abs. 2-4 zu Grunde zu legen. Der AN behält die volle Verantwortung für die von ihm eingesetzten Subunternehmen.

§ 7 – Rechte und Pflichten des Auftraggebers

  1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der AG verantwortlich.
  2. Der AG erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der AG unverzüglich dokumentiert bestätigen.
  3. Der AG informiert den AN unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
  4. Der AG ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige vorher abgestimmte Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom AN soweit erforderlich Zutritt und Einblick zu ermöglichen. Der AN ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der AN ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.
  5. Kontrollen beim AN haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom AG zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des AN, sowie nicht häufiger als alle 12 Monate statt.
  6. Der AG ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erfahrenen Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des AN vertraulich zu behandeln. Diese Verpflichtung hat auch nach Beendigung des Vertragsverhältnisses Bestand.
  7. Bei einem erheblichen Verstoß gegen gesetzliche Datenschutzbestimmungen und im Speziellen gegen Bestimmungen des vorliegenden Vertrages kann der AG das Vertragsverhältnis ohne Einhaltung einer Frist schriftlich kündigen.

§ 8 – Beendigung des AVV

  1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des AG hat der AN die im Auftrag verarbeiteten Daten nach Wahl des AG entweder zu vernichten oder an den AG zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandenen Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen ohne unverhältnismäßig hohen Aufwand nicht mehr möglich ist.
  2. Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmen herbeizuführen.
  3. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den AN den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren.

§ 9 – Haftung

Auftragnehmer und Auftraggeber haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelungen.‌


§ 10 Schlussbestimmungen

  1. Erweiterungen und Änderungen dieses Vertrages sind zu ihrer Wirksamkeit schriftlich zu formulieren und dem Auftraggeber unverzüglich mitzuteilen.
  2. Sollte das Eigentum oder die zu verarbeitenden Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlicher im Sinne der DSGVO liegen.
  3. Es gilt ausschließlich das deutsche Recht.
  4. Für Rechtsstreitigkeiten aus einem Vertrag mit dem Anbieter wird der Gerichtsstand am Sitz des Anbieters vereinbart, sofern die Vertragspartner Kaufleute, juristische Personen des öffentlichen Rechts oder des öffentlich-rechtlichen Sondervermögens sind.
  5. Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages den Regelungen der Allgemeinen Geschäftsbedingungen vor.
  6. Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Statt den unwirksamen oder undurchführbaren Klauseln gelten diejenigen wirksamen und durchführbaren Regelungen, deren Wirkung der wirtschaftlichen Zielsetzung am nächsten kommt, die die Vertragsparteien mit den unwirksamen bzw. undurchführbaren Bestimmungen verfolgt haben. Die vorstehenden Bedingungen gelten gleichermaßen im Falle einer Vertragslücke.
Fanden Sie diesen Artikel hilfreich?
0 von 0 Personen fanden dies hilfreich
Sie haben noch Fragen? Den Support kontaktieren

Ähnliche Artikel

Arrow-up