Auftragsverarbeitungsvereinbarung gemäß Art. 28 DSGVO

zwischen dem Verantwortlichen und der VENAX UG (haftungsbeschränkt)

1. Vertragsparteien und Geltungsbereich

Diese Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten zwischen der VENAX UG (haftungsbeschränkt), Pestalozzistraße 25, 22305 Hamburg, vertreten durch Amida Mukanda Mputu, nachfolgend Auftragsverarbeiter genannt, und dem jeweiligen Vertragspartner, nachfolgend Verantwortlicher genannt, im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen bestehender Vertragsverhältnisse gemäß Art. 28 Datenschutz-Grundverordnung.

Diese Vereinbarung gilt ergänzend zu dem jeweils zwischen den Parteien geschlossenen Hauptvertrag sowie zu den Allgemeinen Geschäftsbedingungen der VENAX UG (haftungsbeschränkt) und konkretisiert die datenschutzrechtlichen Anforderungen an die Verarbeitung personenbezogener Daten, soweit diese im Auftrag des Verantwortlichen erfolgt. Soweit einzelne Regelungen dieser Vereinbarung speziellere datenschutzrechtliche Anforderungen enthalten als der zugrunde liegende Hauptvertrag oder die Allgemeinen Geschäftsbedingungen, gehen die Regelungen dieser Vereinbarung im Anwendungsbereich der Auftragsverarbeitung vor.

Diese Vereinbarung findet ausschließlich Anwendung auf Vertragsverhältnisse mit Unternehmern im Sinne des § 14 Bürgerliches Gesetzbuch sowie juristischen Personen des öffentlichen Rechts oder öffentlich-rechtlichen Sondervermögen.

2. Gegenstand und Zweck der Verarbeitung personenbezogener Daten

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der vertraglich vereinbarten Leistungen insbesondere im Zusammenhang mit der technischen Konzeption, Entwicklung, Bereitstellung, Wartung, Betreuung, Absicherung sowie Weiterentwicklung von Websites, digitalen Anwendungen, Hosting-Leistungen, Systemumgebungen, Kommunikationslösungen, Automatisierungsprozessen sowie weiteren digitalen Dienstleistungen.

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich zum Zweck der ordnungsgemäßen Durchführung des zwischen den Parteien bestehenden Hauptvertrages sowie der Sicherstellung der Funktionsfähigkeit der technischen Infrastruktur einschließlich der Gewährleistung von Stabilität, Integrität, Sicherheit und Verfügbarkeit der bereitgestellten Systeme.

Eine Verarbeitung personenbezogener Daten zu eigenen Zwecken des Auftragsverarbeiters erfolgt nicht, es sei denn eine solche Verarbeitung ist gesetzlich vorgeschrieben oder ausdrücklich datenschutzrechtlich zulässig.

3. Art der verarbeiteten personenbezogenen Daten sowie Kategorien betroffener Personen

Im Rahmen der Durchführung des Hauptvertrages können insbesondere personenbezogene Daten verarbeitet werden, die im Zusammenhang mit der Nutzung digitaler Anwendungen, Websites, Kommunikationssysteme oder sonstiger technischer Infrastrukturen stehen, insbesondere Kontaktdaten, Kommunikationsdaten, Vertragsdaten, Nutzungsdaten, Zugriffsdaten, technische Protokolldaten sowie Inhalte digitaler Eingabemasken oder vergleichbarer Systeme.

Von der Verarbeitung können insbesondere Interessenten, Kunden, Mitarbeiter, Geschäftspartner oder sonstige Nutzer digitaler Systeme betroffen sein, deren personenbezogene Daten im Rahmen der Nutzung der durch den Verantwortlichen betriebenen Anwendungen verarbeitet werden.

Der konkrete Umfang der Verarbeitung richtet sich nach Art und Umfang der jeweils vereinbarten Leistungen.

4. Dauer der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt ausschließlich für die Dauer des zugrunde liegenden Hauptvertrages sowie darüber hinaus nur insoweit und solange gesetzliche Aufbewahrungspflichten bestehen oder berechtigte Interessen zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dies erfordern.

Mit Beendigung des Hauptvertrages endet auch diese Vereinbarung automatisch ohne dass es einer gesonderten Kündigung bedarf.

5. Weisungsrecht des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen im Sinne des Art. 28 Datenschutz-Grundverordnung.

Weisungen erfolgen grundsätzlich in Textform. Soweit Weisungen mündlich erteilt werden, sind diese unverzüglich in Textform zu bestätigen.

Der Auftragsverarbeiter ist berechtigt die Umsetzung einer Weisung auszusetzen sofern er begründete Zweifel an deren datenschutzrechtlicher Zulässigkeit hat und informiert den Verantwortlichen hierüber unverzüglich.

6. Vertraulichkeit und Verpflichtung der mit der Verarbeitung betrauten Personen

Der Auftragsverarbeiter stellt sicher dass sämtliche mit der Verarbeitung personenbezogener Daten befassten Personen auf Vertraulichkeit verpflichtet sind und personenbezogene Daten ausschließlich im Rahmen der jeweiligen Aufgabenstellung verarbeiten.

Der Zugriff auf personenbezogene Daten erfolgt ausschließlich im erforderlichen Umfang und unter Beachtung des Grundsatzes der Datenminimierung.

7. Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter trifft angemessene technische und organisatorische Maßnahmen im Sinne des Art. 32 Datenschutz-Grundverordnung um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Diese Maßnahmen berücksichtigen insbesondere den Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere möglicher Risiken für die Rechte und Freiheiten betroffener Personen.

Die technischen und organisatorischen Maßnahmen sind Bestandteil dieser Vereinbarung und in einer gesonderten Anlage dokumentiert.

8. Einsatz von Unterauftragsverarbeitern

Der Auftragsverarbeiter ist berechtigt zur Erfüllung der vertraglichen Leistungen weitere Auftragsverarbeiter einzusetzen sofern diese sorgfältig ausgewählt werden und den Anforderungen des Art. 28 Datenschutz-Grundverordnung entsprechen.

Hierzu können insbesondere Anbieter technischer Infrastruktur, Hostinganbieter, Kommunikationsanbieter, Cloudanbieter, Sicherheitsanbieter, Analyseanbieter sowie Anbieter digitaler Plattformlösungen gehören.

Der Auftragsverarbeiter stellt sicher dass Unterauftragsverarbeiter vertraglich verpflichtet werden ein angemessenes Datenschutzniveau zu gewährleisten.

Der Verantwortliche erklärt sich mit dem Einsatz solcher Unterauftragsverarbeiter einverstanden.

9. Verarbeitung personenbezogener Daten in Drittstaaten

Soweit im Rahmen der Leistungserbringung personenbezogene Daten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraumes verarbeitet werden können stellt der Auftragsverarbeiter sicher dass geeignete Garantien im Sinne der Art. 44 ff Datenschutz-Grundverordnung bestehen.

Hierzu gehören insbesondere Standardvertragsklauseln der Europäischen Kommission sowie Angemessenheitsbeschlüsse der Europäischen Kommission.

10. Unterstützungspflichten des Auftragsverarbeiters

Der Auftragsverarbeiter unterstützt den Verantwortlichen im gesetzlich erforderlichen Umfang bei der Wahrnehmung der Rechte betroffener Personen insbesondere bei Auskunftsverlangen Berichtigungsersuchen Löschersuchen Einschränkungsersuchen sowie Widersprüchen gegen Datenverarbeitungen.

Darüber hinaus unterstützt der Auftragsverarbeiter den Verantwortlichen im angemessenen Umfang bei der Einhaltung gesetzlicher Verpflichtungen insbesondere im Zusammenhang mit Datenschutzfolgenabschätzungen sowie Konsultationen mit Aufsichtsbehörden.

11. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist und stellt die zu diesem Zeitpunkt verfügbaren Informationen zur Verfügung soweit diese zur Erfüllung gesetzlicher Meldepflichten erforderlich sind.

12. Kontrollrechte des Verantwortlichen

Der Verantwortliche ist berechtigt die Einhaltung dieser Vereinbarung in angemessenem Umfang zu überprüfen.

Der Auftragsverarbeiter stellt hierfür geeignete Nachweise zur Verfügung insbesondere Dokumentationen technischer und organisatorischer Maßnahmen sowie interne Prüfberichte soweit deren Offenlegung keine Geschäftsgeheimnisse gefährdet.

13. Löschung und Rückgabe personenbezogener Daten

Nach Beendigung des Hauptvertrages löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten oder übermittelt diese nach Wahl des Verantwortlichen sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Soweit umfangreiche technische Maßnahmen zur Datenübertragung erforderlich sind kann der Auftragsverarbeiter hierfür eine angemessene Vergütung verlangen.

14. Haftung

Die Haftung des Auftragsverarbeiters richtet sich nach den Regelungen des zugrunde liegenden Hauptvertrages sowie nach Art. 82 Datenschutz-Grundverordnung.

Bei einfacher Fahrlässigkeit haftet der Auftragsverarbeiter ausschließlich bei Verletzung wesentlicher Vertragspflichten und begrenzt auf den vertragstypischen vorhersehbaren Schaden.

15. Schlussbestimmungen

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform.

Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein bleibt die Wirksamkeit der übrigen Regelungen unberührt.

Es gilt ausschließlich das Recht der Bundesrepublik Deutschland.

Gerichtsstand ist Hamburg sofern der Verantwortliche Kaufmann ist.

Diese Vereinbarung tritt automatisch mit Abschluss des jeweiligen Hauptvertrages in Kraft.