Auftragsverarbeitungsvertrag (AVV)

Stand: Januar 2020

zwischen



outbox AG

Emil-Hoffmann-Straße 1a, 50996 Köln

Deutschland/Germany


nachfolgend: "Auftragnehmer"


und


gesetzlich vertreten durch

nachfolgend: "Auftraggeber" oder "Kunde"


Auftraggeber und Auftragnehmer werden nachfolgend jeweils als "Partei", gemeinsam als "Parteien" bezeichnet.


§ 1 – Gegenstand

1. Leistungsvertrag/AVV

Diese AVV regelt die Verpflichtungen der Parteien bei der Verarbeitung personenbezogener Daten des Auftraggebers durch den Auftragnehmer für den Betrieb der foncloud Telefonanlage.
Die Modalitäten der Auftragsverarbeitung im Zusammenhang mit diesem Leistungsvertrag sind in Anlage B niedergelegt. Vertragsbestandteil ist ferner Anlage A.

2. Vorrangregelung

Die Bestimmungen dieser AVV einschließlich ihrer Anlagen haben Vorrang gegenüber Regelungen im Leistungsvertrag. Von dieser AVV abweichende Regelungen gehen ihr nur dann vor, wenn und soweit diese Regelungen ausdrücklich auf diese AVV Bezug nehmen.

3. Umfang

Gegenstand, Umfang sowie Art und Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragnehmer ergeben sich aus der Anlage B und der Leistungsbeschreibung des Leistungsvertrags.

§ 2 – Pflichten des Auftraggebers, Weisungsrechte

1. Verantwortlichkeit

Der Auftraggeber ist Verantwortlicher im Sinne des Datenschutzrechts. Er ist insbesondere für die Beurteilung der Zulässigkeit der Verarbeitung der personenbezogenen Daten sowie für die Wahrung der Rechte der betroffenen Personen (Betroffene) verantwortlich.

2. Weisungen

Der Auftraggeber hat das Recht, umfassend Weisungen über Art, Umfang und Verfahren der Verarbeitung zu erteilen. Die weisungsberechtigten Personen des Auftraggebers sowie die zuständigen Weisungsempfänger beim Auftragnehmer sind in der Anlage B genannt. Änderungen der weisungsberechtigten oder -empfangenden Personen werden die Parteien unverzüglich schriftlich anzeigen und die Anlage B entsprechend anpassen.

3. Berichtigung, Sperrung und Löschung von Daten.

Der Auftragnehmer hat die im Auftrag verarbeiteten personenbezogenen Daten ausschließlich nach Weisung des Auftraggebers zu berichtigen, zu löschen oder zu sperren und dies zu dokumentieren.

4. Schriftform

Der Auftraggeber erteilt den Auftrag zur Verarbeitung durch Abschluss dieser AVV.

§ 3 – Pflichten des Auftragnehmers

1. Weisungsgebundenheit, Zweckbindung.

Der Auftragnehmer verarbeitet personenbezogene Daten des Auftraggebers ausschließlich für die sich aus dem Leistungsvertrag ergebenden sowie die in der Anlage B genannten Zwecke nach den dokumentierten Weisungen des Auftraggebers, sofern er nicht durch zwingendes Recht zu einer bestimmten Verarbeitung verpflichtet ist. Der Auftragnehmer teilt dem Auftraggeber eine solche gesetzliche Verpflichtung mit, sofern ihm dies nicht gesetzlich untersagt ist. Etwaige spezielle Weisungen zu Vertragsbeginn sind in der Anlage B festgelegt. Der Auftragnehmer stellt sicher, dass die für ihn und/oder Unterauftragnehmer tätigen, zur Verarbeitung der personenbezogenen Daten befugten Mitarbeiter/innen, diese personenbezogenen Daten ausschließlich im Rahmen der Weisungen des Auftraggebers verarbeiten, es sei denn, dass sie rechtlich zu einer bestimmten Verarbeitung verpflichtet sind; § 3 Abs. 1 Satz 2 gilt entsprechend.

2. Rechte an Daten

Der Auftragnehmer erkennt an, dass Rechte zur Nutzung der personenbezogenen Daten ausschließlich dem Auftraggeber als Inhaber der Daten zustehen. Der Auftragnehmer wird selbst keine Rechte an den personenbezogenen Daten oder an den Ergebnissen der Verarbeitung geltend machen.

3. Löschung, Rückgabe

Nach Abschluss der vertraglichen Leistungen des Auftragnehmers für den Auftraggeber oder nach vorheriger Aufforderung durch den Auftraggeber hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände mit personenbezogenen Daten des Auftraggebers ihm nach seiner Wahl zurückzugeben oder datenschutzgerecht zu vernichten bzw. zu löschen, soweit gesetzliche Aufbewahrungsfristen nicht entgegenstehen.

4. Datenschutzbeauftragter

Der Auftragnehmer bestätigt, dass er entweder, soweit gesetzlich erforderlich, einen betrieblichen Datenschutzbeauftragten bestellt hat, oder zumindest einen Ansprechpartner für datenschutzrechtliche Belange ernannt hat. Dies ist Herr/Frau
Dieter Behr
Zwerchgasse 3
71332 Waiblingen

Datenschutzbeauftragter der
outbox AG
Emil-Hoffmann-Straße 1a
50996 Köln
datenschutz@l-edv.de

5. Verarbeitung in Drittländern

Die Verarbeitung der personenbezogenen Daten durch den Auftragnehmer und die durch den Auftraggeber genehmigten Unterauftragnehmer findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verarbeitung in einem sonstigen Land (Drittland) bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die gesetzlichen Voraussetzungen für Datenübermittlungen in Drittländer erfüllt sind. Dafür sind Angaben in Anlage B erforderlich und ggf. zusätzliche (Vertrags-)Unterlagen beizufügen.

6. Datengeheimnis

Der Auftragnehmer ist verpflichtet, dieser AVV unterliegende personenbezogene Daten vertraulich zu behandeln. Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung des Auftraggebers erteilen, soweit der Auftragnehmer nicht gesetzlich zu Auskünften an Dritte verpflichtet ist. Der Auftragnehmer hat die mit der Durchführung der Arbeiten beschäftigten Mitarbeiter/innen mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut zu machen und auf die Vertraulichkeit und das Datengeheimnis schriftlich zu verpflichten. Die entsprechende Erklärung ist dem Auftraggeber jederzeit auf Verlangen vorzulegen.

7. Unterstützung des Auftraggebers bei der Erfüllung von Pflichten nach der DSGVO

Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Wahrung der in Kapitel III der DSGVO genannten Rechte der Betroffenen nachzukommen. Er wird den Auftraggeber ferner unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unterstützen. Die von dem Auftragnehmer mindestens zu treffenden Maßnahmen zur Unterstützung des Auftraggebers ergeben sich aus Anlage B.
Der Auftragnehmer wird den Auftraggeber im Übrigen bei der Beantwortung von behördlichen oder gerichtlichen Anfragen oder sonstigen behördlichen oder gerichtlichen Maßnahmen unterstützen und erforderliche Informationen unverzüglich zur Verfügung stellen.

8. Einhaltung gesetzlicher Vorschriften

Weiterhin ist der Auftragnehmer verpflichtet, sämtliche ihn betreffende anwendbare gesetzliche Vorschriften zu beachten und dies dem Auftraggeber auf Verlangen in geeigneter Form nachzuweisen. Soweit die DSGVO weitergehende Verpflichtungen enthält als sie in dieser AVV vorgesehen sind, gelten diese weitergehenden Verpflichtungen.

§ 4 – Haftung

Haftung

Der Auftragnehmer haftet unbegrenzt nach den gesetzlichen Vorschriften bei Verletzungen von Pflichten zum Schutz personenbezogener Daten, die sich aus dieser AVV oder aus gesetzlichen Bestimmungen zum Schutz personenbezogener Daten ergeben, soweit diese im Zusammenhang mit dem jeweiligen Vertragsgegenstand Anwendung finden.

§ 5 – Technische und organisatorische Maßnahmen zur Datensicherheit

Umfang, Dokumentation

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Datenschutzniveaus. Die Festlegung der geeigneten Maßnahmen erfolgt in Abstimmung mit dem Auftraggeber unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Diese Maßnahmen schließen insbesondere in Artikel 32 DSGVO vorgesehene Maßnahmen ein. Der Auftragnehmer ist verpflichtet, die in Anlage A i.V.m. Anlage B vertraglich vereinbarten Maßnahmen vor Beginn der Verarbeitung und sodann fortwährend umzusetzen und diese ggf. adäquat anzupassen, sofern dies zur Gewährleistung eines angemessenen Datenschutzniveaus erforderlich ist. Der Auftragnehmer hat solche Anpassungen zu dokumentieren und diese Dokumentation dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

§ 6 – Unterauftragnehmer

1. Einschaltung von Unterauftragnehmern

Der Auftraggeber erteilt hiermit seine schriftliche Genehmigung, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen verbundene Unternehmen des Auftragnehmers einschaltet bzw. Dritte mit Leistungen unterbeauftragt (Unterauftragnehmer) darf, soweit die Einhaltung der § 6 Abs. 2 und Abs. 3 dieser AVV gewährleistet sind. Die zum Zeitpunkt der Unterzeichnung dieser AVV beauftragten Unterauftragnehmer, die mit der Verarbeitung personenbezogener Daten befasst sind, sind in Anlage B genannt.
Über beabsichtigte Beauftragungen weiterer Unterauftragnehmer zur Verarbeitung personenbezogener Daten im Zusammenhang mit dieser AVV ist der Auftraggeber zu informieren.

2. Verträge mit Unterauftragnehmern

Der Auftragnehmer hat die vertraglichen Vereinbarungen mit Unterauftragnehmern so zu gestalten, dass sie mindestens dasselbe Schutzniveau wie diese AVV i.V.m. Anlage B und des Leistungsvertrags aufweist.

3. Kontrollrechte gegenüber Unterauftragnehmern

Bei der Einschaltung von Unterauftragnehmern sind dem Auftraggeber Kontrollrechte gegenüber dem jeweiligen Unterauftragnehmer einzuräumen, die denjenigen entsprechen, die der Auftraggeber nach dieser AVV gegenüber dem Auftragnehmer hat. Die Wahrnehmung der Kontrollrechte des Auftraggebers gegenüber Unterauftragnehmern erfolgt entsprechend den in § 7 dieser der AVV beschriebenen Kontrollrechte. Führt der Auftragnehmer Kontrollen durch, sind diese zu dokumentieren und die Dokumentation der Kontrollen dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

4. Haftung

Kommt ein Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragnehmers.

§ 7 – Kontrollrechte des Auftraggebers

1. Kontrollrechte und Unterstützung

Der Auftraggeber darf die Einhaltung der Regelungen dieser AVV und der datenschutzrechtlichen Vorschriften durch den Auftragnehmer im Rahmen dieser Vorschrift kontrollieren bzw. kontrollieren lassen. Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zur Verfügung, die zum Nachweis der Einhaltung der datenschutzrechtlichen Vorschriften erforderlich sind, und ermöglichen Überprüfungen – einschließlich Inspektionen –, die von einen vom Auftraggeber beauftragten unabhängigen Prüfer durchgeführt werden.

2. Durchführung

Kontrollen beim Auftragnehmer sind rechtzeitig anzukündigen und dürfen deren Geschäftsbetrieb nicht unverhältnismäßig beeinträchtigen.

3. Verzeichnis von Verarbeitungstätigkeiten

Der Auftragnehmer erstellt ein genaues Verzeichnis aller Verarbeitungstätigkeiten, welches mindestens den Anforderungen von Artikel 30 Abs. 1 bis 3 DSGVO entspricht.

§ 8 – Hinweispflichten

1. Rechtswidrige Weisungen.

Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine vom Auftraggeber erteilte Weisung gegen gesetzliche Vorschriften zum Datenschutz verstößt.

2. Kontrolle durch Aufsichtsbehörde

Der Auftragnehmer informiert den Auftraggeber unverzüglich über alle Kontrollen und Maßnahmen von Aufsichtsbehörden, sofern dies gesetzlich erlaubt ist.

3. Fehler und Unregelmäßigkeiten

Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung für den Auftraggeber feststellt und/oder der begründete Verdacht einer sonstigen Verletzung des Schutzes personenbezogener Daten besteht. Die Information ist gemäß der beschriebenen Unterstützungspflicht an den in der Anlage B genannten Kontakt zu richten. Der Auftragnehmer hat dem Auftraggeber unverzüglich mitzuteilen, wenn er – einschließlich der bei ihm beschäftigten Personen – gegen Vorschriften zum Schutz personenbezogener Daten oder gegen diese AVV verstößt. Dies gilt insbesondere für Fälle, in denen der Auftraggeber einer gesetzlichen Meldepflicht von Datenschutzverstößen unterliegt.

§ 9 – Laufzeit

1. Laufzeit

Diese AVV gilt für die Dauer des Leistungsvertrags.

2. Fortgeltung

Soweit der Auftragnehmer faktisch über die Laufzeit dieser AVV hinaus personenbezogene Daten des Auftraggebers weiterverarbeitet, gelten die vertraglichen Vereinbarungen zur Zweckbindung und Einhaltung der technischen und organisatorischen Maßnahmen zur Datensicherheit entsprechend fort.

§ 10 – Sonstiges

1. Änderungen

Änderungen dieser AVV bedürfen der Schriftform.

2. Anpassungen

Soweit Anpassungen dieser AVV notwendig sind, damit die Parteien den ihnen obliegenden gesetzlichen Pflichten entsprechen, werden die Parteien die erforderlichen Anpassungen unverzüglich vornehmen.

3. Salvatorische Klausel

Sollten einzelne Teile dieser AVV unwirksam sein oder werden, so berührt dies die Wirksamkeit der AVV im Übrigen nicht.

4. Anwendbares Recht, Gerichtsstand

Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Ausschließlicher Gerichtsstand ist derjenige des Auftragnehmers.

5. Anlagen

Die nachstehend genannten Anlagen sind Vertragsbestandteil.
Anlage A: Technische und organisatorische Maßnahmen gem. Artikel 32 DSGVO: Link
Anlage B: Beschreibungen der Auftragsverarbeitung



Anlage B: Beschreibung der Auftragsverarbeitung

1. Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Datenverarbeitung:

Art der Daten Art und Zweck der Datenverarbeitung Kategorien betroffener Personen
Kundenstammdaten:
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kunden-Aktivierung, Tech. Betrieb, Support, Fehlersuche, Account beenden, Auskunftsersuchen, Rechnungsstellung Test-Kunden, Kunden, Nutzer
Konfigurationsdaten:
Personenstammdaten, Teilnehmerdaten (Ausstattung HW, SW), Rufnummernpläne, Routing-Regeln, Portierungsdaten, Ansagetexte, Telefonbucheinträge, Tastenbezeichnungen, etc.)
Kunden-Aktivierung, Tech. Betrieb, Support, Fehlersuche, Account beenden, Auskunftsersuchen, Rechnungsstellung Test-Kunden, Kunden, Nutzer
Betriebsdaten:
Inhaltsdaten / Content (Faxe, Anrufbeantworter-Nachrichten, Rufverhalten)
Techn. Betrieb, Support, Fehlersuche, Account beenden, Auskunftsersuchen, Rechnungsstellung Test-Kunden, Kunden, Nutzer


2. Spezielle Weisungen des Auftraggebers an den Auftragnehmer:

Weisungen über Art, Umfang und Verfahren der Verarbeitung


3. Weisungsberechtigte Personen des Auftragnehmers:

foncloud Support
Tel. +49 661 968 990-0

4. Weisungsberechtigte Personen des Auftraggebers:


Vereinbarung

Ich habe den Vertragstext für die Auftragsdatenverarbeitung und die dazugehörigen Anlage A und Anlage B gelesen und verstanden. Ich akzeptiere die Vertragsinhalte.