Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO
als Anlage zu einem oder mehreren von dem Auftraggeber genutztem Vertrag oder Verträgen
Zwischen der Firma
1&1 Internet SE
Elgendorfer Straße 57
56410 Montabaur
Deutschland
– Nachfolgend „Auftragnehmer“ genannt –
und
Anyess von Bock
Barbarossastrasse 36a
10779 Berlin
Deutschland
Kundenummer: 161416094
– Nachfolgend „Auftraggeber“ genannt –
Präambel
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im
Einzelvertrag (nachstehend „Vertrag“) in ihren Einzelheiten beschriebenen
Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in
Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers, oder durch den
Auftragnehmer Beauftragte personenbezogene Daten (nachstehend „Daten“) des Auftraggebers
verarbeiten.
Diese Anlage ist nur gültig in Verbindung mit einem aktiven Vertrag über die folgenden Produkte:
Server
Cloud Server, Virtual Server Cloud, Managed Cloud Hosting, Dedicated Server (& Managed), Bare
Metal Server, Dynamic Cloud Server, Virtual Server (Lin/Win), Container Cluster
Webhosting & Homepage
Webhosting, WordPress Hosting, MyWebsite, E-Shop, ipayment
Office & Online Marketing
Online-Buchhaltung, E-Mail Marketing
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
(1)
Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung.
Gegenstand dieser Anlage ist nicht die originäre Nutzung oder Verarbeitung von
personenbezogenen Daten durch den Auftragnehmer. Als Hosting Dienstleister und Administrator von
Server-Systemen kann auf Seiten des Auftragnehmers ein Zugriff auf
personenbezogene Daten allerdings nicht ausgeschlossen werden.
Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den
Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.
§ 2 Anwendungsbereich und Verantwortlichkeit
(1)
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies
umfasst Tätigkeiten, die im Vertrag
und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses
Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der
Datenverarbeitung allein verantwortlich („Verantwortlicher“ i.S.v. Art. 4 Nr.7 DS-GVO).
(2)
Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form,
oder in einem elektronischen Format („Textform“) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt, oder ersetzt
werden („Einzelweisung“).
§ 3 Pflichten des Auftragnehmers
(1)
Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und
der Weisungen des Arbeitgebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne von Art.
28 Abs. 3 lit. a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich,
wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt.
Die Durchführung von rechtswidrigen Weisungen darf der Auftragnehmer ablehnen.
(2)
Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation
so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird
technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des
Auftraggebers treffen, die den Anforderungen der Datenschutzgrundverordnung (Art. 32 DS-GVO) genügen.
Der Auftragnehmer hat technische und organisatorische Maßnahmen zu
treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und
Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
(3)
Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur
Minderung möglicher nachteiliger Folgen der betroffenen Personen.
(4)
Die Beschreibung Technischer und Organisatorischen Maßnahmen gemäß Anhang 1 ist
Bestandteil dieser Vereinbarung.
Der Auftragnehmer wird die Einhaltung der vereinbarten Schutzmaßnahmen und deren
geprüfter Wirksamkeit durch Bereitstellung eines Zertifikates zu Datenschutz und
Informationssicherheit nachweisen.
EineÄnderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer
vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte
Schutzniveau nicht unterschritten wird.
Der Auftragnehmer unterstützt soweit erforderlich den Auftraggeberim Rahmen seiner Möglichkeiten
bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemäß Kapitel III der DS-GVO sowie bei der Einhaltung der in Art.
33 und 34 DS-GVO genannten Pflichten.
(5)
Der Auftragnehmer stellt sicher, dass es den mit der Verarbeitung der Daten des Auftraggebers
befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die
Daten außerhalb der Weisung zu verarbeiten. Ferner stellt der Auftragnehmer sicher, dass sich
die zur Verarbeitung der personenbezogenen Daten befugten Pers
onen zur Vertraulichkeit verpflichtet haben, oder einer angemessenen gesetzlichen Schweigepflicht unterliegen.
Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.
(6)
Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.
(7)
Für alle im Rahmen dieser Anlage anfallenden Datenschutzfragen ist der Ansprechpartner:
1&1 Internet SE
Der Datenschutzbeauftragte
Elgendorfer Str. 57
56410 Montabaur
datenschutz@1und1.de
(8)
Der Auftragnehmer stellt sicher, seinen Pflichten nach Art. 32 Abs.1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen
Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der
Verarbeitung einzusetzen.
(9)
Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der
Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine
datenschutzkonforme Lösung oder eine entsprechende Einschränkung der Datenverarbeitung
nicht möglich, übernimmt der Auftragnehmer die datenschutzk
onforme Vernichtung von
Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den
Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im
Vertrag bereits vereinbart.
In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw.
Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag
bereits vereinbart.
(10)
Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf
Verlangen des Auftraggebers entweder herauszugeben oder zu löschen.
(11)
Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO,
verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
§ 4 Pflichten des Auftraggebers
(1)
Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er in den
Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
(2)
Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
etwaiger Ansprüche nach Art. 82 DS-GVO, gilt § 3Abs.11 dieser Anlage entsprechend.
§ 5 Anfragen betroffener Personen
(1)
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung, oder
Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den
Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der
betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person
unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im
Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet bei Erfüllung seiner Pflichten nicht
dafür, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig, oder nicht fristgerecht beantwortet wird.
§ 6 Nachweismöglichkeiten
(1)
Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten
Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten, ohne Störung des
Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit
durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener
Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der
Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen
abhängig machen. Für die Unterstützung bei der Durchführung einer Inspektion darf der
Auftragnehmer eine Vergütung verlangen. Der Aufwand einer Inspektion ist für den
Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
(2)
Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des
Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 1 entsprechend. Eine
Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer
berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
§ 7 Drittstaatentransfer
(1)
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet
überwiegend in einem Mitgliedsstaat der Europäischen Union oder in einem anderen
Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Ausnahmen sind der Liste
gem. §8 Abs. 2 dieser Anlage zu entnehmen.
§ 8 Subunternehmer (weitere Auftragsverarbeiter)
(1)
Mit der Hinzuziehung von verbundenen und fremden Unternehmen zur Wartung, Pflege der
Rechenzentrumsstruktur, Telekommunikationsdienstleistungen und Benutzerservice durch
den Auftragnehmer ist der Auftraggeber einverstanden.
(2)
Eine Liste der aktuell eingesetzten Unterauftragnehmer steht dem Auftraggeber im
Kundenportal stets zum Abruf zur Verfügung.
Diese Liste wird quartalsweise aktualisiert.
(3)
Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer,
seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
Die volle Verantwortung für die vom Auftragnehmer eingeschalteten
Subunternehmer bleibt beim Auftragnehmer.
§ 9 Informationspflichten, Schriftformklausel, Rechtswahl
(1)
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder
Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren, oder durch sonstige Ereignisse,
oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber
unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang
Verantwortlichen unverzüglich drüber informieren, dass die Hoheit und das Eigentum an den
Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der DS-GVO
liegen.
(2)
Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den
Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt
dies die Wirksamkeit dieser Anlage zum Datenschutz im Übrigen nicht.
(3)
Es gilt deutsches Recht.
(4)
Diese Anlage ersetzt alle vorangegangenen
Vereinbarungen dieser Art
§ 10 Haftung und Schadensersatz
(1)
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen
entsprechend der in Art. 82 DS-GVO getroffenen Regelung.
Dieser Vertrag wird elektronisch geschlossen und ist ohne Unterschrift gültig