AUFTRAGSVERARBEITUNGSVERTRAG NACH ART. 28 DSGVO






zwischen dem Verantwortlichen

[bitte eintragen]

nachfolgend „Auftraggeber“ genannt –





und dem Auftragsverarbeiter

[bitte eintragen]

nachfolgend „Auftragnehmer“ genannt –.

– nachfolgend zusammen die „Parteien“ genannt –

Präambel

Für diesen Auftragsverarbeitungsvertrag gelten die Begriffe und Definitionen der Verordnung (EU) 2016/679 (nachfolgend „DSGVO“), insbesondere des Art. 4 DSGVO.

1.GEGENSTAND

1.1 Gegenstand dieses Auftragsverarbeitungsvertrages ist die Festlegung des datenschutzrechtlichen Rahmens für die vertraglichen Beziehungen zwischen den Parteien.

1.2 Die Beschreibung des jeweiligen Auftrags mit den Angaben über Gegenstand des Auftrags, Umfang, Art und Zweck der Datenverarbeitung, Art der personenbezogenen Daten sowie Kategorien der betroffenen Personen befindet sich in der Anlage unter der Ziffer 1.

2.ORT DER DATENVERARBEITUNG

Die vertraglich vereinbarte Verarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, sofern sich aus der Anlage nichts Anderes ergibt. Jede Verlagerung der Verarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers in schriftlicher Form und darf nur erfolgen, wenn die besonderen Voraussetzungen für die Übermittlung in ein Drittland nach Art. 44 ff. DSGVO erfüllt sind.

3.LAUFZEIT

3.1 Dieser Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Partei mit einer Frist von drei Monaten gekündigt werden. Soweit im Zeitpunkt der Kündigung noch ein Hauptvertrag oder mehrere Hauptverträge, bei denen der Auftragnehmer im Auftrag personenbezogene Daten des Auftraggebers verarbeitet, in Kraft sind, gelten die Bestimmungen dieses Vertrages bis zu der regulären Beendigung des Hauptvertrages/der Hauptverträge fort.

3.2 Der Auftraggeber kann diesen Vertrag ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.



4.WEISUNG

4.1 Der Auftragnehmer verarbeitet die personenbezogenen Daten nur im Rahmen der vom Auftraggeber erteilten Weisungen. Dies gilt nicht, soweit der Auftragnehmer durch das Recht der EU oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die Mitteilung ist durch das betreffende Recht wegen eines wichtigen öffentlichen Interesses verboten.

4.2 Falls Weisungen die unter Ziffer 1 der Anlage dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Vereinbarung in schriftlicher Form erfolgt.

4.3 Unabhängig von der Form der Erteilung dokumentieren sowohl der Auftragnehmer als auch der Auftraggeber jede Weisung des Auftraggebers in Textform. Die Weisungen sind für ihre Geltungsdauer dieses Vertrages und anschließend noch für drei Jahre aufzubewahren.

4.4 Der Auftragnehmer weist den Auftraggeber unverzüglich darauf hin, wenn eine vom Auftraggeber erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. In einem solchen Fall ist der Auftragnehmer nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung geändert hat oder diese bestätigt. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.

4.5 Der Auftraggeber legt den oder die Weisungsberechtigten fest. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen.

5.UNTERSTÜTZUNGSPFLICHTEN DES AUFTRAGNEHMERS

5.1 Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen.

5.2 Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung, der Datenschutz-Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.

5.3 Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Auftragnehmer wendet, informiert der Auftragnehmer den Auftraggeber hierüber unverzüglich und stimmt die weiteren Schritte mit ihm ab.

6. PRÜFUNGSRECHTE DES AUFTRAGGEBERS

6.1 Der Auftragnehmer stellt dem Auftraggeber auf dessen Anfrage alle erforderlichen Informationen zum Nachweis der in diesem Vertrag und Art. 28 DSGVO geregelten Pflichten zur Verfügung. Insbesondere erteilt der Auftragnehmer dem Auftraggeber Auskünfte über die gespeicherten Daten und die Datenverarbeitungsprogramme.

6.2 Der Auftraggeber oder von ihm beauftragte Dritte sind – grundsätzlich nach Terminvereinbarung – berechtigt, die Einhaltung der Pflichten aus diesem Vertrag und aus Art. 28 DSGVO zu überprüfen und beim Auftragnehmer Inspektionen vor Ort durchzuführen. Der Auftragnehmer ermöglicht dies und trägt dazu bei.

6.3 Der Auftragnehmer hat dem Auftraggeber auf Anforderung geeigneten Nachweis über die Einhaltungen der Verpflichtungen gemäß Art. 28 Abs. 1 und Abs. 4 DSGVO zu erbringen. Dieser Nachweis kann durch die Bereitstellung von Dokumenten und Zertifikaten, die genehmigte Verhaltensregeln i. S. v. Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren i. S. v. Art. 42 DSGVO abbilden, erbracht werden.

7.DATENSCHUTZBEAUFTRAGTER DES AUFTRAGNEHMERS

Der Datenschutzbeauftragte des Auftragnehmers ist in der Anlage dieses Vertrages unter Ziffer 3 angeführt, soweit für den Auftragnehmer ein Datenschutzbeauftragter bestellt sein muss oder freiwillig bestellt ist.

8.VERTRAULICHKEIT

8.1 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er wahrt bei der Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis sowie die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertragsverhältnisses fort.

8.2 Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er verpflichtet diese Mitarbeiter durch schriftliche Vereinbarung für die Zeit der Tätigkeit und auch nach Beendigung des Beschäftigungsverhältnisses zur Wahrung der Vertraulichkeit, sofern sie nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Unternehmen.

8.3 Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung, oder Zustimmung in einem elektronischen Format, durch den Auftraggeber erteilen.

9.TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

9.1 Der Auftragnehmer führt geeignete technische und organisatorische Maßnahmen so durch, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Er gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und ein angemessenes Schutzniveau erreicht wird. Insbesondere hat der Auftragnehmer unter Berücksichtigung des jeweiligen Stands der Technik die angemessene Sicherheit der Verarbeitung, insbesondere die Vertraulichkeit (inklusive Pseudonymisierung und Verschlüsselung), Verfügbarkeit, Integrität, und Belastbarkeit der für die Datenverarbeitung verwendeten Systeme und Dienstleistungen sicherzustellen.

9.2 Die vollständig ausgefüllte Vorlage für technische und organisatorische Maßnahmen in der Anlage oder ein eigenes Sicherheitskonzept des Auftragnehmers wird als verbindlich festgelegt. Die Auswahl zwischen diesen beiden Alternativen kann in Ziffer 5 der Anlage getroffen werden.

9.3 Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen Weiterentwicklung angepasst werden. Dabei müssen die angepassten Maßnahmen mindestens dem Sicherheitsniveau der in der Anlage unter der Ziffer 5 vereinbarten Maßnahmen entsprechen. Wesentliche Änderungen sind in schriftlicher Form oder einem elektronischen Format zu vereinbaren.



10.INFORMATIONSPFLICHTEN DES AUFTRAGNEHMERS UND VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN

10.1 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Verstöße oder vermutete Verstöße gegen diesen Vertrag oder Vorschriften, die den Schutz personengezogener Daten betreffen.

10.2 Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.

10.3 Sollten die personenbezogenen Daten die unter dieser Vereinbarung verarbeitet werden beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich auch darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt.

10.4 Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht feststellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren.

10.5 Diese Ziffer 10 gilt entsprechend für Vorkommnisse bei Prozessen, die von Unterauftragnehmern ausgeführt werden.

11.UNTERAUFTRAGNEHMER

11.1 Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer erfolgt nur nach Zustimmung des Auftraggebers in schriftlicher oder elektronischer Form.

11.2 Der Auftragnehmer hat vertraglich sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Der Vertrag des Auftragnehmers mit dem Subunternehmer muss schriftlich oder in elektronischem Format abgeschlossen werden.

11.3 Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

11.4 Der Auftraggeber erteilt hiermit seine Zustimmung zur Beauftragung der in der Anlage unter der Ziffer 4 aufgeführten Unterauftragnehmer.

11.5 Der Auftragnehmer stellt sicher, dass der Auftraggeber gegenüber dem Unteraufragnehmer dieselben Weisungsrechte und Kontrollrechte wie gegenüber dem Auftragnehmer nach diesem Vertrag hat. Kommt ein Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.

12.LÖSCHUNG UND RÜCKGABE PERSONENBEZOGENER DATEN

12.1 Der Auftragnehmer ist nach Abschluss der jeweils im Hauptvertrag vereinbarten Verarbeitungsleistungen verpflichtet, alle personenbezogenen Daten, die er im Zuge der Auftragsverarbeitung erhalten hat, nach Wahl des Auftraggebers an den Auftraggeber zurückzugeben oder zu löschen. Dies schließt insbesondere die Ergebnisse der Datenverarbeitung, überlassene Dokumente und überlassene Datenträger und Kopien der personenbezogenen Daten mit ein. Die Pflicht zur Löschung oder Rückgabe besteht nicht, sofern der Auftragnehmer nach dem Recht der EU oder der Mitgliedstaaten zur weiteren Speicherung der Daten gesetzlich verpflichtet ist. Besteht eine weitere Verpflichtung zur Speicherung, hat der Auftragnehmer die Verarbeitung der personenbezogenen Daten einzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Pflichten zur Sicherheit der Verarbeitung bestehen für den Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt.

12.2 Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind.

12.3 Die Vorgänge sind mit Angabe von Datum und durchführender Person zu protokollieren. Die Protokolle sowie ein Nachweis der Durchführung in schriftlicher Form sind dem Auftraggeber innerhalb von 48 Stunden nach Durchführung der Vorgänge zur Verfügung zu stellen.

13.HAFTUNG

Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen für Schäden, die infolge schuldhaften Verhaltens gegen die Datenschutzbestimmungen oder gegen diese Datenschutzvereinbarung entstehen. Ebenso haftet er für schuldhaftes Verhalten seiner Unterauftragnehmer sowie deren Unterauftragnehmer.

14.SCHLUSSBESTIMMUNGEN

14.1 Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten ausgeschlossen.

14.2 Die Anlage oder im Falle mehrerer abgeschlossener Hauptverträge die Anlagen zu diesem Vertrag sind wesentlicher Bestandteil desselben.

    1. Für Änderungen oder Nebenabreden ist die Schriftform oder ein elektronisches Format erforderlich. Dies gilt auch für Änderungen dieses Formerfordernisses.

14.4 Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht.







Für den Auftraggeber: Für den Auftragnehmer:





______________, ______________ ______________, ______________

Ort, Datum Ort, Datum







[Unterschrift einfügen] [Unterschrift einfügen]

_____________________________ _____________________________

[Name/Position des Unterzeichnenden] [Name/Position des Unterzeichnenden]

ANLAGE ZUM AUFTRAGSVERARBEITUNGSVERTRAG

vom [Datum einfügen]

zwischen


[Auftraggeber einfügen]

– (nachfolgend „Auftraggeber“ genannt) –

und

[Auftragnehmer einfügen]

– (nachfolgend „Auftragnehmer“ genannt) –

– nachfolgend zusammen die „Parteien“ genannt –

  1. GEGENSTAND DES AUFTRAGES

    1. Gegenstand des Auftrages:

[bitte fügen Sie hier die Beschreibung des Auftrags ein]

    1. Umfang, Art (Art. 4 Nr. 2 DSGVO) und Zweck der Datenverarbeitung:

[bitte fügen Sie hier die Beschreibung des Auftrags ein]

    1. Art der Daten:

 

Datenkategorie

Auflistung konkret verarbeiteter Daten

Beispiele

Berufliche Kontakt- und (Arbeits-) Organisationsdaten

 

Name, Vorname, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Personalnummern, Anwesenheit

Daten zu beruflichen Verhältnissen

 

Berufsbezeichnung, beruflicher Werdegang, Betriebszugehörigkeit, Aufgaben, Tätigkeiten, Log-File-Auswertung, Eintritts- und Austrittsdaten, Qualifikationen, Beurteilungen, Tarifgruppe, Entgeltabrechnung, Sonderzahlungen, Pfändung, tägliche Anwesenheitszeiten, Abwesenheitsgründe

Private Kontakt- und Identifikationsdaten

 

Name, Vorname, Geschlecht, Anschrift, E-Mail-Adresse, Telefonnummer, Mobiltelefonnummer, Geburtsdatum/-ort, Identifikationsnummern, Nationalität

Vertragsdaten

 

gekaufte Produkte, Datum Kaufvertrag, Kaufpreis, Garantien

Positionsdaten

 

GPS, Funknetz-Ortung, Bewegungsprofil, WLAN-Hotspot-Ortung

Daten zu persönlichen Verhältnissen

 

Daten zum Ehegatten oder Kindern, Familienstand, Portraitfoto, Ehrenamt

Bonitäts- und Bankdaten

 

Zahlungsverhalten, Bilanzen, Daten von Auskunfteien, Vermögensverhältnisse, Kontoverbindung, Kreditkartennummer

Besonders sensible
personenbezogene Daten

 

Art. 9 Abs. 1 DSGVO: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Sonstiges

  
    1. Kreis der Betroffenen:

 

Betroffenengruppe

Beschreibung

Beispiele

Mitarbeiter des Auftraggebers/des Verantwortlichen

Eigene Mitarbeiter des Auftraggebers/ des Verantwortlichen

Arbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte

Mitarbeiter anderer Unternehmen

Mitarbeiter anderer Unternehmen, deren personenbezogene Daten für den Auftraggeber/den Verantwortlichen verarbeitet werden

Arbeitnehmer, Auszubildende, Bewerber, ehem. Beschäftigte

Kunden des Auftraggebers/des Verantwortlichen

Jede Person, mit der eine Kunden-Geschäftsbeziehung besteht (mit der jeweiligen verantwortlichen Stelle)

Käufer, Versicherungsnehmer, Mieter, Kunden einer Dienstleistung

Sonstige Geschäftspartner

Jede natürliche Person, mit der eine Geschäftsbeziehung besteht (mit dem Auftraggeber) außer Kunden

Lieferanten, Importeure, Dienstleister, Vermittler, Freelancer

Außenstehende

Jede Person, die in keiner Geschäftsbeziehung mit der jeweiligen Konzerngesellschaft (verantwortlichen Stelle) steht

Besucher, Gäste, Interessenten

Kinder

Personen unter 16 Jahren

 


  1. WEISUNGSBERECHTIGTE PERSONEN

2.1 Weisungsberechtigte Personen des Auftraggebers sind:

[Name, Organisationseinheit, Funktion, Telefon, E-Mail eintragen]

[Name, Organisationseinheit, Funktion, Telefon, E-Mail eintragen]

2.2 Weisungsempfänger beim Auftragnehmer sind:

[Name, Organisationseinheit, Funktion, Telefon, E-Mail eintragen]

[Name, Organisationseinheit, Funktion, Telefon, E-Mail eintragen]

  1. Datenschutzbeauftragter

3.1 Datenschutzbeauftragter des Auftraggebers ist:

[Datenschutzbeauftragten eintragen, soweit vorhanden]

3.2 Datenschutzbeauftragter des Auftragnehmers ist:

[Datenschutzbeauftragten eintragen, soweit vorhanden]

  1. Unterauftragnehmer

Es werden keine Unterauftragnehmer eingesetzt.

Zum Kreis der genehmigten Unterauftragnehmer bei Abschluss dieses Vertrages gehören:

Nr.

Unterauftragnehmer (Name, Anschrift, Ansprechpartner)

Verarbeitete Datenkategorien

Beschreibung der Tätigkeit

Ort der Datenverarbeitung

     
     
     
     
     
     
  1. Technische und organisatorische Maßnahmen

5.1 Der Auftragnehmer

fügt dieser Anlage sein eigenes Sicherheitskonzept bei

oder

füllt die nachfolgende Vorlage für die technischen und organisatorischen Maßnahmen aus (Ziffer 5.2).

5.2 Vorlage für die technischen und organisatorischen Maßnahmen:

5.2.1 Zutrittskontrolle zu Räumlichkeiten und Einrichtungen, in denen Daten verarbeitet werden

Ein unbefugter Zutritt ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.

 

Der Auftragnehmer hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

[Bitte tragen Sie hier die Maßnahmen ein, die Sie als Auftragnehmer umsetzen]




5.2.2 Zugangs- und Zugriffskontrolle

Das Eindringen Unbefugter in die Datenverarbeitungs(DV)-Systeme (IT-Systeme) ist zu

verhindern. Ebenso sind Tätigkeiten in DV-Systemen (IT-Systemen) außerhalb eingeräumter Berechtigungen sowie unerlaubte Zugriffe auf das System von außen zu verhindern.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

[Bitte tragen Sie hier die Maßnahmen ein, die Sie als Auftragnehmer umsetzen]







5.2.3 Eingabekontrolle

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten.

Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

[Bitte tragen Sie hier die Maßnahmen ein, die Sie als Auftragnehmer umsetzen]

5.2.4 Auftragskontrolle

Die weisungsgemäße Auftragsdatenverarbeitung ist zu gewährleisten. Eine Datenverarbeitung durch Dritte (vgl. Art. 28 DSGVO) ist gemäß den Anweisungen des Auftraggebers/Datenexporteurs erlaubt. Maßnahmen (technisch und organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber/Datenexporteur und Auftragnehmer/Datenimporteur.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

[Bitte tragen Sie hier die Maßnahmen ein, die Sie als Auftragnehmer umsetzen]

      1. Getrennte Verarbeitung von Daten/Trennungskontrolle

Die getrennte Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden, muss sichergestellt werden. Maßnahmen zur getrennten Verarbeitung der Daten unterschiedlicher Auftraggeber sind zu gewährleisten.


Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

[Bitte tragen Sie hier die Maßnahmen ein, die Sie als Auftragnehmer umsetzen]

      1. Weitergabekontrolle

Aspekte der Weitergabe personenbezogener Daten sind zu regeln (elektronische Übertragung, Datentransport, Übermittlungskontrolle usw.), um einen Verlust, eine Veränderung oder eine unbefugte Veröffentlichung zu verhindern. Maßnahmen zu Transport, Übertragung, Übermittlung oder Speicherung auf Datenträgern (manuell oder elektronisch) sowie zur nachträglichen Überprüfung sind zu treffen.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

[Bitte tragen Sie hier die Maßnahmen ein, die Sie als Auftragnehmer umsetzen]





      1. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)



Die Daten sind gegen zufällige Zerstörung und Verlust zu schützen. Maßnahmen zur Datensicherung (physikalisch/logisch).

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

[Bitte tragen Sie hier die Maßnahmen ein, die Sie als Auftragnehmer umsetzen]

      1. Privacy by Default

Treffen Sie Maßnahmen zur Einhaltung der Anforderung Privacy by Default?

Privacy by Default bedeutet übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Das heißt, bereits die Werkseinstellungen sollen datenschutzfreundlich ausgestaltet werden. Hierdurch sollen vor allem die Nutzer geschützt werden.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:

[Bitte tragen Sie hier die Maßnahmen ein, die Sie als Auftragnehmer umsetzen]

      1. Organisationskontrolle

Wie wird die reibungslose Organisation des Datenschutzes und der Sicherheit der Daten im Unternehmen sichergestellt?


Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:



[Bitte tragen Sie hier die Maßnahmen ein, die Sie als Auftragnehmer umsetzen]

      1. Wirksamkeitskontrolle

Alle Handlungen, die zu einem Nachweis führen, dass die eingesetzten Maßnahmen funktionieren.

Der Auftragsverarbeiter hat folgende Maßnahmen ergriffen – detaillierte Beschreibung:



[Bitte tragen Sie hier die Maßnahmen ein, die Sie als Auftragnehmer umsetzen]



      1. Ergänzende oder erklärende Dokumente und/oder Zertifikate

Der Auftragsverarbeiter hat folgende Dokumente/Zertifikate erhalten:



[Bitte tragen Sie hier die betreffenden Dokumente/Zertifikate ein]

Für den Auftraggeber:

[Name/Position der unterzeichnenden Person einfügen]

_______________________________

Unterschrift/Ort/Datum

Für den Auftragnehmer:
[Name/Position der unterzeichnenden Person einfügen]

_________________________________

Unterschrift/Ort/Datum

Jetzt Termin finden