Firma / Name:
Anschrift:
PLZ / Ort:
Vertreten durch:
– nachfolgend „Verantwortlicher" genannt –
— und —
DP – Media Consulting Cologne UG (haftungsbeschränkt)
Marke „Denkprozesse"
Santo-Tirso-Ring 69
64823 Groß-Umstadt
Deutschland
Vertreten durch: Philip Jannik Deprosse
E-Mail: brand@denkprozesse.de · Telefon: 06078 3920950
– nachfolgend „Auftragsverarbeiter" genannt –
– Verantwortlicher und Auftragsverarbeiter nachfolgend einzeln „Partei" und gemeinsam „Parteien" –
Die Parteien haben einen Vertrag über die Erbringung von Leistungen geschlossen (nachfolgend „Hauptvertrag", z. B. Konzeption, Erstellung und Betrieb von Websites und Landingpages, Online-Marketing, Suchmaschinen- und KI-Sichtbarkeit, Betrieb von CRM- und Automatisierungssystemen, Bereitstellung von Web-Tools sowie damit verbundene Beratungs- und Umsetzungsleistungen). Im Rahmen der Durchführung dieses Hauptvertrags verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag und nach Weisung des Verantwortlichen im Sinne von Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, „DSGVO").
Dieser Vertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Parteien für die im Rahmen des Hauptvertrags stattfindende Auftragsverarbeitung. Er gilt für alle Tätigkeiten, die mit dem Hauptvertrag zusammenhängen und bei denen der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen verarbeitet. Bei Widersprüchen zwischen diesem AVV und Regelungen des Hauptvertrags gehen hinsichtlich des Datenschutzes die Regelungen dieses AVV vor.
(1) Gegenstand, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten sowie die Kategorien betroffener Personen ergeben sich aus Anlage 1 zu diesem Vertrag.
(2) Die Verarbeitung findet ausschließlich innerhalb der Europäischen Union (EU) bzw. des Europäischen Wirtschaftsraums (EWR) statt, sofern in Anlage 3 nichts Abweichendes geregelt ist. Eine Verlagerung der Verarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und der Einhaltung der Voraussetzungen der Art. 44 ff. DSGVO (siehe § 11).
(3) Die Dauer dieses Vertrags (Laufzeit) entspricht der Laufzeit des Hauptvertrags, sofern sich aus den Bestimmungen dieses Vertrags nicht darüber hinausgehende Verpflichtungen ergeben. Der Vertrag kann von beiden Parteien jederzeit ohne Einhaltung einer Frist gekündigt werden, sofern und soweit die Auftragsverarbeitung eingestellt wird; eine Kündigung des Hauptvertrags gilt zugleich als Kündigung dieses AVV.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierten Weisungen des Verantwortlichen, es sei denn, er ist nach dem Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
(2) Der Verantwortliche ist im Rahmen dieses Vertrags für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung („Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO), allein verantwortlich.
(3) Die Weisungen werden anfänglich durch diesen Vertrag und den Hauptvertrag festgelegt und können vom Verantwortlichen danach in schriftlicher Form oder in einem dokumentierten elektronischen Format (z. B. per E-Mail) gegenüber der vom Auftragsverarbeiter benannten Stelle geändert, ergänzt oder ersetzt werden (Einzelweisung). Mündliche Weisungen sind unverzüglich in dokumentierter Form zu bestätigen.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Verantwortlichen angewiesen, soweit er nicht gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist.
(2) Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen gemäß Art. 32 DSGVO; diese sind in Anlage 2 beschrieben.
(3) Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitsverpflichtung besteht auch nach Beendigung des Vertrags fort.
(4) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten und unter Berücksichtigung der Art der Verarbeitung bei der Erfüllung der Pflichten des Verantwortlichen, insbesondere bei der Beantwortung von Anträgen betroffener Personen zur Wahrnehmung ihrer Rechte (Art. 12–23 DSGVO), bei der Sicherheit der Verarbeitung (Art. 32 DSGVO), bei der Meldung und Benachrichtigung von Datenschutzverletzungen (Art. 33, 34 DSGVO) sowie bei etwaigen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen (Art. 35, 36 DSGVO).
(5) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht und unterstützt Überprüfungen einschließlich Inspektionen nach Maßgabe von § 7.
(6) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
(7) Der Auftragsverarbeiter hat – soweit gesetzlich erforderlich – ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung gemäß Art. 30 Abs. 2 DSGVO zu führen. Soweit eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht, benennt der Auftragsverarbeiter einen solchen und teilt dessen Kontaktdaten dem Verantwortlichen mit.
(8) Berichtigung, Löschung und Einschränkung der Verarbeitung von Daten darf der Auftragsverarbeiter nur nach dokumentierter Weisung des Verantwortlichen vornehmen. Richtet eine betroffene Person derartige Ersuchen unmittelbar an den Auftragsverarbeiter, leitet dieser das Ersuchen unverzüglich an den Verantwortlichen weiter.
(1) Der Auftragsverarbeiter trifft die in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen und hält diese während der Laufzeit des Vertrags aufrecht. Die Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung.
(2) Dem Auftragsverarbeiter ist es gestattet, die getroffenen Maßnahmen anzupassen und weiterzuentwickeln, solange das vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren.
(1) Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter (Unterauftragsverarbeiter) hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses genehmigten Unterauftragsverarbeiter sind in Anlage 3 aufgeführt.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter (z. B. in Textform per E-Mail). Der Verantwortliche kann einer solchen Änderung innerhalb von 14 Tagen aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Änderung als genehmigt. Im Fall eines berechtigten Widerspruchs sind die Parteien um eine einvernehmliche Lösung bemüht; gelingt diese nicht, steht jeder Partei ein Sonderkündigungsrecht hinsichtlich der betroffenen Leistung zu.
(3) Der Auftragsverarbeiter legt dem Unterauftragsverarbeiter durch Vertrag dieselben Datenschutzpflichten auf, die in diesem Vertrag festgelegt sind, insbesondere die Gewährleistung hinreichender technischer und organisatorischer Maßnahmen (Art. 28 Abs. 4 DSGVO). Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten dieses Unterauftragsverarbeiters.
(4) Nicht als Unterauftragsverhältnisse im Sinne dieses Paragraphen gelten Nebenleistungen, die der Auftragsverarbeiter als reine Hilfs- oder Annexleistungen in Anspruch nimmt (z. B. Telekommunikations-, Post-/Transport-, Wartungs- und Reinigungsdienstleistungen). Der Auftragsverarbeiter ist gleichwohl verpflichtet, auch hierbei den Schutz und die Sicherheit der Daten des Verantwortlichen zu gewährleisten.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen.
(2) Soweit eine betroffene Person Ansprüche auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch unmittelbar gegenüber dem Auftragsverarbeiter geltend macht, verweist der Auftragsverarbeiter die betroffene Person an den Verantwortlichen, sofern eine Zuordnung zum Verantwortlichen möglich ist, und leitet das Ersuchen unverzüglich weiter.
(1) Der Verantwortliche überzeugt sich vor der Aufnahme der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sowie der vertraglichen Pflichten. Der Auftragsverarbeiter stellt hierfür die erforderlichen Informationen auf Anfrage zur Verfügung und weist die Einhaltung der Maßnahmen nach.
(2) Der Nachweis kann durch die Vorlage aktueller Testate, Berichte oder Berichtsauszüge unabhängiger Stellen (z. B. Wirtschaftsprüfer, Auditoren, Datenschutzbeauftragter), durch geeignete Zertifizierungen oder durch Selbstauskunft des Auftragsverarbeiters erbracht werden.
(3) Reichen die Nachweise nach Absatz 2 im Einzelfall nicht aus, ist der Verantwortliche berechtigt, sich nach rechtzeitiger Vorankündigung (in der Regel mindestens 14 Tage im Voraus) während der üblichen Geschäftszeiten ohne Störung des Betriebsablaufs selbst oder durch einen zur Vertraulichkeit verpflichteten Dritten von der Einhaltung der Maßnahmen zu überzeugen. Der Auftragsverarbeiter ist verpflichtet, im erforderlichen Umfang mitzuwirken. Aufwendungen für über die reine Auskunft hinausgehende Vor-Ort-Prüfungen kann der Auftragsverarbeiter angemessen in Rechnung stellen.
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen jede Verletzung des Schutzes personenbezogener Daten, die im Rahmen der Auftragsverarbeitung eintritt, unverzüglich nach Bekanntwerden, in der Regel innerhalb von 24 Stunden. Die Meldung enthält mindestens die nach Art. 33 Abs. 3 DSGVO erforderlichen Angaben, soweit dem Auftragsverarbeiter bekannt.
(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei dessen Pflichten gemäß Art. 33 und 34 DSGVO (Meldung an die Aufsichtsbehörde, Benachrichtigung der betroffenen Personen) und trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen.
(3) Meldungen an die zuständige Aufsichtsbehörde oder an betroffene Personen nimmt allein der Verantwortliche vor, sofern er nicht im Einzelfall etwas anderes anweist.
(1) Mündliche Weisungen bestätigt der Verantwortliche unverzüglich in dokumentierter Form (mindestens Textform).
(2) Weisungsberechtigte und weisungsempfangende Personen können von den Parteien benannt werden. Ändern sich die benannten Personen, wird dies der jeweils anderen Partei unverzüglich in Textform mitgeteilt.
(1) Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder nach Beendigung dieses Vertrags – früher auf Anforderung des Verantwortlichen, spätestens mit Beendigung des Hauptvertrags – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Daten, Datenträger sowie erstellte Verarbeitungs- und Nutzungsergebnisse nach Wahl des Verantwortlichen entweder zu löschen oder ihm zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der Daten besteht.
(3) Die Löschung ist datenschutzgerecht und nicht wiederherstellbar vorzunehmen. Auf Verlangen weist der Auftragsverarbeiter die ordnungsgemäße Löschung oder Rückgabe in Textform nach. Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend den jeweiligen Aufbewahrungsfristen auch über das Vertragsende hinaus aufzubewahren.
(1) Eine Verarbeitung personenbezogener Daten in einem Drittland (außerhalb der EU/des EWR) findet nur statt, soweit dies in Anlage 3 ausdrücklich vorgesehen oder vom Verantwortlichen angewiesen wurde.
(2) Erfolgt eine solche Übermittlung, stellt der Auftragsverarbeiter sicher, dass die Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind, insbesondere durch einen Angemessenheitsbeschluss der Europäischen Kommission oder durch geeignete Garantien (z. B. Standardvertragsklauseln nebst etwaiger zusätzlicher Schutzmaßnahmen).
(1) Für die Haftung gelten die Regelungen des Art. 82 DSGVO. Im Verhältnis der Parteien untereinander gelten ergänzend die Haftungsregelungen des Hauptvertrags, soweit sie diesem AVV und zwingendem Datenschutzrecht nicht entgegenstehen.
(2) Der Verantwortliche stellt den Auftragsverarbeiter von Ansprüchen Dritter frei, die darauf beruhen, dass der Verantwortliche dem Auftragsverarbeiter eine rechtswidrige Weisung erteilt oder die Daten unter Verstoß gegen datenschutzrechtliche Bestimmungen erhoben oder übermittelt hat, es sei denn, der Auftragsverarbeiter hat den Schaden zu vertreten.
(1) Änderungen und Ergänzungen dieses Vertrags und seiner Anlagen bedürfen der Textform; dies gilt auch für die Aufhebung dieses Textformerfordernisses.
(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Bestimmung eine wirksame Regelung zu treffen, die dem mit der unwirksamen Bestimmung verfolgten wirtschaftlichen Zweck am nächsten kommt.
(3) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist – soweit gesetzlich zulässig – der Sitz des Auftragsverarbeiters.
(4) Bei etwaigen Widersprüchen gehen die Regelungen dieses AVV zum Datenschutz den Regelungen des Hauptvertrags vor. Im Übrigen bleiben die Regelungen des Hauptvertrags unberührt.
Gegenstand und Art der Verarbeitung: Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen, Auslesen, Abfragen, Verwenden, Übermitteln (im vereinbarten Rahmen), Abgleichen, Einschränken sowie Löschen personenbezogener Daten zur Durchführung des Hauptvertrags – insbesondere im Zusammenhang mit der Erstellung und dem Betrieb von Websites/Landingpages, Formular- und Lead-Verarbeitung, Newsletter-/E-Mail-Versand, Betrieb von CRM-/Automatisierungssystemen, Reichweitenmessung sowie Online-Marketing.
Zweck der Verarbeitung: Erbringung der im Hauptvertrag vereinbarten Leistungen für den Verantwortlichen.
Kategorien betroffener Personen (je nach beauftragter Leistung, vom Verantwortlichen zu konkretisieren):
Arten personenbezogener Daten (je nach beauftragter Leistung):
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO): Eine Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich nicht Gegenstand des Auftrags und nur nach gesonderter, ausdrücklicher Weisung und unter zusätzlichen Schutzmaßnahmen zulässig.
Der Auftragsverarbeiter trifft – unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung – insbesondere die folgenden Maßnahmen:
Die konkreten Maßnahmen werden fortlaufend an den Stand der Technik angepasst. Der jeweils aktuelle Stand kann beim Auftragsverarbeiter angefragt werden.
Zum Zeitpunkt des Vertragsschlusses sind die folgenden Unterauftragsverarbeiter genehmigt:
Etwaige darüber hinausgehende Unterauftragsverarbeiter (z. B. für Versanddienste oder zusätzliche Funktionen) werden dem Verantwortlichen vor ihrem Einsatz gemäß § 5 dieses Vertrags mitgeteilt. Werden im Rahmen des Hauptvertrags ausdrücklich vom Verantwortlichen gewünschte Drittdienste eingebunden (z. B. externe Terminbuchung, externe E-Mail- oder Marketing-Dienste), gelten diese als vom Verantwortlichen angewiesen; die datenschutzrechtliche Verantwortung für deren Auswahl trägt insoweit der Verantwortliche.
Die Parteien bestätigen mit ihrer Unterschrift die Geltung dieses Auftragsverarbeitungsvertrags einschließlich der Anlagen 1 bis 3.
Sie können diesen Vertrag herunterladen, ausfüllen und unterzeichnen. Für den verbindlichen Abschluss benötigen wir ein von beiden Seiten unterschriebenes Exemplar. Bei Fragen erreichen Sie uns unter brand@denkprozesse.de.