Vertrag zur Auftragsverarbeitung
Verband................................................................................................
- Verantwortlicher - nachstehend Auftraggeber genannt -
und dem/der
Kleingartenverein................................................................................................
- Auftragsverarbeiter - nachstehend Auftragnehmer genannt -
Präambel
Der Auftragnehmer ist als weisungsgebundener Dienstleister des Auftraggebers tätig. Der vorliegende Vertrag zur Auftragsverarbeitung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien aus dem zugrundeliegenden Verwaltungsauftrag vom ….. Er findet Anwendung auf alle Tätigkeiten, die mit der Dienstleistungsbeziehung in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten des Auftraggebers verarbeiten.
Der Gegenstand des Auftrags ergibt sich aus dem Verwaltungsauftrag vom ..................., auf den hier verwiesen wird (im Folgenden Verwaltungsauftrag).
2.1 Art und Zweck der vorgesehenen Verarbeitung von Daten
Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben in dem Verwaltungsauftrag vom ...................
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DS-GVO erfüllt sind.
Die Art der verwendeten personenbezogenen Daten ist in dem Verwaltungsauftrag konkret beschrieben unter.
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
□ Pächter des Auftraggebers
□ Mitglieder des Auftragnehmers
3.1 Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und
erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung,
insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem
Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die
dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des
Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu
treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem
Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der
Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die
Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die
unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.
und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate
Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht
unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. Der Auftraggeber kann
jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und
organisatorischen Maßnahmen anfordern.
Maßnahmen ist als ANLAGE 1 zu diesem Vertrag beigefügt.
4.1 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig
sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren
Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den
Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den
Auftraggeber weiterleiten.
4.2 Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden,
Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers
unmittelbar durch den Auftragnehmer sicherzustellen.
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche
Pflichten gemäß Artt. 28 bis 33 DS-GVO; insofern gewährleistet er insbesondere die Einhaltung
folgender Vorgaben:
a) Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten
verpflichtet. Als Ansprechpartner beim Auftragnehmer wird
Herr/Frau………………………………………………………………………………………
……………………………………………………………………………………….. benannt.
b) Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO.
Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Personen ein,
die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten
Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und
jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen
Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des
Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten
Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen
und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO
[Einzelheiten in Anlage 1].
d) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der
Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
e) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und
Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies
gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeitsoder
Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der
Auftragsverarbeitung beim Auftragnehmer ermittelt.
f) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem
Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen
Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der
Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer
nach besten Kräften zu unterstützen.
g) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die
technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die
Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen
des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen
Person gewährleistet wird.
h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen
gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7
dieses Vertrages.
6.1 Der Auftraggeber hat das Recht, in Abstimmung mit dem Auftragnehmer Überprüfungen
durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das
Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der
Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu
überzeugen.
des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet
sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und
insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36
der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei
Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören
u.a.
a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und
organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die
prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch
Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten
Verletzungsereignissen ermöglichen
b) die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den
Auftraggeber zu melden
c) die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber
dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante
Informationen unverzüglich zur Verfügung zu stellen
d) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der
Aufsichtsbehörde
8.1 Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
8.2 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung
ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die
Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den
Auftraggeber bestätigt oder geändert wird.
9.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt.
Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer
ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die
Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
den Auftraggeber – spätestens mit Beendigung des Verwaltungsauftrages – hat der
Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und
Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis
stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht
zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf
Anforderung vorzulegen.
Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen
Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner
Entlastung bei Vertragsende dem Auftraggeber übergeben.
Ort/Datum: ________________________ Ort/Datum: ________________________
Auftraggeber Auftragnehmer
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.:Schlüssel, Alarmanlagen,
Videoanlagen;
Zugangskontrolle
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische
Sperrmechanismen, Verschlüsselung von Datenträgern;
Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems,
z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von
Zugriffen;
Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden,
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer
Übertragung oder Transport, z.B.: Verschlüsselung, Virtual Private Networks (VPN),
elektronische Signatur;
Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme
eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung,
Dokumentenmanagement;
Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.B.: Backup-Strategie
(online/offline; on-site/off-site), unterbrechungsfreie Stromversorgung (USV), Virenschutz,
Firewall, Meldewege und Notfallpläne;
Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO);
d DS-GVO; Art. 25 Abs. 1 DS-GVO)
Datenschutz-Management;
Störungs- und Fehlermanagement;
Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)
Auftragskontrolle
Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes
Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht,
Nachkontrollen.
