1. Gegenstand und Dauer des Auftrags

  1. Der Auftragnehmer führt die im Anhang 1 beschriebenen Dienstleistungen für den Auftraggeber durch.
  2. Da der Auftragnehmer in Erfüllung seiner Aufgaben, Daten im Auftrag, nach Weisung und im Interesse des Auftraggebers verarbeitet bzw. ein Zugriff auf personenbezogene Daten bei der Auftragserfüllung nicht ausgeschlossen werden kann, erfolgt die Dienstleistung als Auftragsdatenverarbeitung nach den für den Auftraggeber einschlägigen deutschen Datenschutzgesetzen.
  3. Dieser Vertrag beginnt mit Unterzeichnung beider Parteien und gilt, solange der Auftragnehmer für den Auftraggeber personenbezogene Daten im Auftrag verarbeitet. Er endet jedoch nicht vor Erfüllung der Lösch- und Rückgabepflichten nach Ziff. 10.

2. Umfang, Art und Zweck der Datenverarbeitung, Datenarten und Betroffenenkreis

Umfang, Art und Zweck der Datenverarbeitung, die Art der Daten sowie der Kreis der Betroffenen werden in Anhang 1 beschrieben.

3. Technische und organisatorische Maßnahmen

  1. Der Auftragnehmer verpflichtet sich, für die zu verarbeitenden Daten angemessene und dem Stand der Technik entsprechende technische und organisatorische Sicherheitsmaßnahmen nach den für den Auftraggeber einschlägigen deutschen Datenschutzgesetzen (siehe Anhang 2) zu treffen.
  2. Der Auftragnehmer hat an der Erstellung des Verfahrensverzeichnisses des Auftraggebers mitzuwirken, soweit es die Dokumentation der technischen und organisatorischen Sicherheitsmaßnahmen betrifft. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen.

4. Berichtigung, Löschung und Sperrung von Daten

Der Auftragnehmer darf die Daten, die er im Auftrag des Auftraggebers verarbeitet, nur berichtigen, löschen und sperren, wenn der Auftraggeber dies anweist. Der Auftragnehmer darf hiervon abweichend in Ausnahmefällen die Daten, die er im Auftrag des Auftraggebers verarbeitet, berichtigen, löschen oder sperren, wenn er aus rechtlichen Gründen dazu verpflichtet ist, E-Mail-Adressen aus der Datenbank zu entfernen und auf eine schwarze Liste zu setzen, wenn eine E-Mail an eine bestimmte und gleiche E-Mail-Adresse dreimal in Folge als unzustellbar zurückkommt (sog. Hardbounces) oder Beschwerden von Empfängern vorliegen.

5. Pflichten des Auftragnehmers

  1. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
  2. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und diese auf das Datengeheimnis verpflichtet sind. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.
  3. Soweit gesetzlich vorgeschrieben, bestellt der Auftragnehmer schriftlich einen Beauftragten für den Datenschutz. Die Kontaktdaten des Beauftragten für den Datenschutz werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt.
  4. Der Auftragnehmer darf die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erheben, verarbeiten oder nutzen. Die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten in einem Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen den für den Auftraggeber einschlägigen deutschen Datenschutzgesetzen erfüllt sind.
  5. Der Auftragnehmer unterstützt den Auftraggeber bei allen gesetzlichen Informations-und Auskunftspflichten, die im Zusammenhang mit der Auftragsdatenverarbeitung stehen. Auskünfte an Betroffene oder Dritte darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers erteilen. Soweit ein Betroffener seine Rechte nach den einschlägigen Datenschutzgesetzen unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

6. Berechtigung zur Begründung von Unterauftragsverhältnissen

  1. Der Auftragnehmer darf Unterauftragnehmer beauftragen, wenn sichergestellt ist, dass die vertraglichen Vereinbarungen mit dem Unterauftragnehmer, den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer entsprechen. Der Auftragnehmer prüft die Einhaltung der Vertragspflichten durch den Unterauftragnehmer regelmäßig.
  2. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen oder Reinigungskräfte. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
  3. Für den Fall, dass der Auftragnehmer andere Unterauftragnehmer beauftragt oder weitere Unterauftragnehmer einschaltet, hat er dies dem Auftraggeber unverzüglich in Textform mitzuteilen.

7. Kontrollrechte des Auftraggebers

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber oder eine von ihm beauftragte Person, berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften, die Einsichtnahme in die Datenverarbeitungsprogramme oder durch Zugang zu den Arbeitsräumen des Auftragnehmers.

8. Mitzuteilende Verstöße des Auftragnehmers

Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über Störungen des Betriebsablaufs, die Gefahren für die Daten des Auftraggebers mit sich bringen sowie bei Verdacht auf Datenschutzverletzungen im Zusammenhang mit den Daten des Auftraggebers. Gleiches gilt, wenn der Auftragnehmer feststellt, dass die bei ihm getroffenen Sicherheitsmaßnahmen den gesetzlichen Anforderungen nicht genügen.

9. Weisungen des Auftraggebers

  1. Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzrechts, insbesondere für die Rechtmäßigkeit der Datenverarbeitung sowie für die Wahrung der Betroffenenrechte, allein verantwortlich.
  2. Der Auftraggeber hat das Recht, dem Auftragnehmer Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Grundsätzlich können Weisungen mündlich erteilt werden. Weisungen sind schriftlich oder in Textform zu erteilen, wenn der Auftragnehmer dies verlangt.
  3. Der Auftragnehmer verarbeitet die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich nach den Weisungen des Auftraggebers und im Rahmen der getroffenen Vereinbarungen. Der Auftragnehmer hat hiervon abweichend das Recht, die IP-Adresse des Auftraggebers bei jedem Mailing-Versand zu speichern, beispielsweise zur Kontrolle der Systeme und zur Beweissicherung bei etwaigen Rechtsverstößen. Die gespeicherten E-Mail-Adressen sind zu löschen, wenn der Zweck der Speicherung entfallen ist, sofern der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  4. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
  5. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

10. Beendigung des Auftrags

  1. Nach Abschluss der Auftragsdatenverarbeitung hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Datenträger und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, an den Auftraggeber zurückzugeben. Nicht mehr benötigte Daten sind durch den Auftragnehmer unverzüglich zu löschen, sofern der Löschung keine gesetzlichen Speicherfristen entgegenstehen. Hierüber ist der Auftragnehmer durch den Auftraggeber schriftlich in Kenntnis zu setzen.
  1. Der Auftraggeber kann das Auftragsverhältnis ohne Einhaltung einer Frist kündigen, wenn der Auftragnehmer einen schwerwiegenden Verstoß gegen die Bestimmungen dieses Vertrags oder gegen gesetzliche Bestimmungen der für den Auftraggeber einschlägigen deutschen Datenschutzgesetzen begeht und dem Auftraggeber aufgrund dessen die Fortsetzung der Auftragsdatenverarbeitung bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Auftrags nicht zugemutet werden kann.

11. Schlussbestimmungen

  1. Die Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei vertraulich zu behandeln. Geschäftsgeheimnisse sind alle auf ein Unternehmen bezogene Tatsachen, Umstände und Vorgänge, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung der Geheimnisträger ein berechtigtes Interesse hat. Datensicherheitsmaßnahmen sind alle technischen und organisatorischen Sicherheitsmaßnahmen, die eine Partei nach den für den Auftraggeber einschlägigen deutschen Datenschutzgesetzen getroffen hat. Diese Geheimhaltungspflicht besteht nach Beendigung dieses Vertrags fort.
  2. Sofern eine Partei weiteren Geheimnisschutzregeln unterliegt und sie dies der anderen Partei zu Vertragsbeginn schriftlich mitteilt, ist auch diese Partei verpflichtet, die Geheimnisschutzregeln zu beachten.
  3. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. Ein Zurückbehaltungsrecht ist in Bezug auf Datenträger und Datenbestände des Auftraggebers ausgeschlossen.
  4. Für Vertragsänderungen und Nebenabreden ist die Schriftform erforderlich.
  5. Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.
cool good eh love2 cute confused notgood numb disgusting fail