Auftragsverarbeitungsvertrag (AVV)
nach Art. 28 Datenschutz-Grundverordnung (DSGVO)
Vertragsparteien
Zwischen
Kunde
(nachfolgend „Verantwortlicher“ genannt)
Der Verantwortliche ist hierbei das Unternehmen, mit dem ein wirksamer Vertrag für die Zurverfügungstellung von Schulungsinhalten auf der E-Learning-Plattform „AberSi“ geschlossen wurde.
UBS Unternehmensberatung Matthias Stoll
Frankensteiner Weg 26, 31319 Sehnde
(nachfolgend „Auftragsverarbeiter“ genannt)
§ 1 Gegenstand und Dauer der Verarbeitung
1.1 Der Auftragsverarbeiter betreibt im Auftrag des Verantwortlichen das digitale Schulungsportal „AberSi“, das zur Durchführung, Dokumentation und Verwaltung von E-Learning-Maßnahmen genutzt wird.
1.2 Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen dieses Vertrags und den dokumentierten Weisungen des Verantwortlichen.
1.3 Die Laufzeit dieses Vertrags richtet sich nach der Hauptvereinbarung und endet mit deren Beendigung, sofern keine abweichende Vereinbarung getroffen wurde.
§ 2 Art und Zweck der Verarbeitung
2.1 Zweck der Verarbeitung ist die technische Bereitstellung und der Betrieb der E-Learning-Plattform AberSi, einschließlich Nutzerverwaltung, Fortschrittsverfolgung, Zertifikatsausstellung und Support.
2.2 Die Verarbeitung umfasst insbesondere folgende Tätigkeiten:
- – Erhebung und Verwaltung von Nutzerstammdaten
- – Speicherung von Lernfortschritten und Testergebnissen
- – Versand von Benachrichtigungen und E-Mails (z. B. Passwort-Reset, Kursinformationen)
- – Protokollierung von Zugriffen
- -Statusberichte zu Schulungsständen
§ 3 Art der Daten und Kategorien betroffener Personen
3.1 Verarbeitete Datenkategorien:
- – Stammdaten (z. B. Name, Vorname, E-Mail-Adresse)
- – Unternehmen, indem die Kursteilnehmer beschäftigt sind.
- – Zugangsdaten (Benutzername, gehashte Passwörter)
- – Nutzungsdaten (Login-Zeitpunkte, Kursfortschritt, Testergebnisse, Zertifikate)
- – Kommunikationsdaten (z. B. Nachrichten an Support oder Administratoren)
3.2 Kategorien betroffener Personen:
- – Mitarbeitende und Geschäftsführung des Verantwortlichen
- – ggf. Zeitarbeitnehmer/innen
- – Teilnehmende an Online-Schulungen
§ 4 Pflichten des Auftragsverarbeiters
4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist gesetzlich zur anderweitigen Verarbeitung verpflichtet.
4.2 Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet wurden.
4.3 Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten gem. Art. 32 DSGVO ein (siehe Anlage 1).
4.4 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Wahrung der Rechte betroffener Personen, bei Datenschutz-Folgenabschätzungen und im Rahmen der Zusammenarbeit mit Aufsichtsbehörden.
4.5 Der Auftragsverarbeiter ist berechtigt, die Durchführung von Weisungen, die seiner Meinung nach gegen datenschutzrechtliche Vorschriften verstoßen, solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber schriftlich bestätigt oder geändert werden. Im Falle der Aussetzung einer Weisung hat er den Auftraggeber über den Verstoß der Weisung gegen datenschutzrechtliche Bestimmungen zu informieren. Eine Mitteilung erfolgt an denjenigen Mitarbeiter des Auftraggebers, der die Weisung erteilt hat. Die Mitteilung erfolgt in Textform (E-Mail an support@abersi.de).
4.6 Der Auftragsverarbeiter ist nicht befugt, die ihm überlassenen Daten an Dritte weiterzugeben, sofern dies nicht zur Erbringung der vereinbarten Leistungen unbedingt erforderlich ist. Kopien und Duplikate der Daten bedürfen der vorherigen Zustimmung des Auftraggebers. Hiervon ausgenommen sind Sicherungskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, deren Speicherung im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
4.7 Der Auftragsverarbeiter nennt dem Auftraggeber seinen Datenschutzverantwortlichen für im Rahmen dieses Vertrages anfallende Datenschutzfragen. Ein Wechsel dieser Kontaktperson wird dem Auftraggeber unverzüglich mitgeteilt.
4.8 Der Auftragsverarbeiter verpflichtet sich bei der Datenverarbeitung das Datengeheimnis, das Sozialgeheimnis nach § 35 Abs. 1 SGB I sowie das Fernmeldegeheimnis nach § 88 TKG zu wahren, die bei der Datenverarbeitung beschäftigten Personen bei der Aufnahme ihrer Beschäftigung auf das Datengeheimnis zu verpflichten und sie entsprechend zu unterrichten. Die Verpflichtung gilt auch 5 Jahre nach Beendigung der AVV fort.
4.9 Der Auftragsverarbeiter gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragsverarbeiter tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Außerdem gewährleistet der Auftragsverarbeiter, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Vertraulichkeits- und Verschwiegenheitsverpflichtung besteht auch nach Beendigung des Hauptvertrages und der AVV fort.
4.10 Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden oder in Fällen von Unregelmäßigkeiten bei der Auftragsverarbeitung, schwerwiegenden Betriebsstörungen und bei Verdacht auf Datenschutzverletzungen.
4.11 Der Auftragsverarbeiter verpflichtet sich, den Auftraggeber nach Möglichkeit auf der Basis der ihm zur Verfügung stehenden Informationen mit geeigneten technischen und organisatorischen Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen und die in Art. 32 bis 36 DSGVO genannten Pflichten einzuhalten. Der Auftragsverarbeiter informiert den Auftraggeber außerdem unverzüglich über jegliche Kommunikation der Aufsichtsbehörden (z.B. Anfragen, Mitteilung von Maßnahmen oder Auflagen) gegenüber dem Auftragsverarbeiter im Zusammenhang mit der Datenverarbeitung unter dieser AVV. Auskünfte an Dritte, auch an Aufsichtsbehörden, darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch und in Abstimmung mit dem Auftraggeber erteilen. Zwingende gesetzliche Auskunfts- und Herausgabepflichten des Auftragsverarbeiters bleiben unberührt.
4.12 Der Auftragsverarbeiter berichtigt, sperrt oder löscht die vertragsgegenständlichen Daten auf Weisung des Auftraggebers, wenn dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragsverarbeiter die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung auf Kosten des Auftraggebers oder gibt diese Datenträger an den Auftraggeber zurück.
4.13 Nach Ablauf des Hauptvertrages oder früher nach Aufforderung durch den Auftraggeber hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht löschen bzw. zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen (HGB, AO) über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
4.14 Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragsverarbeiter im Rahmen seiner Möglichkeiten den Auftraggeber bei der Abwehr des Anspruchs zu unterstützen. Die dadurch entstehenden Kosten, hat der Auftraggeber zu tragen.
4.15 Der Auftragsverarbeiter weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten datenschutzrechtlichen Pflichten mit geeigneten Mitteln nach. Er erstellt und führt ein Verzeichnis zu allen Kategorien der von ihm im Auftrag des Auftraggebers durchgeführten Tätigkeiten mit den Pflichtvorgaben des Art. 32 Abs. 2 DSGVO.
§ 5 Unterauftragsverhältnisse
5.1 Der Auftragsverarbeiter nutzt für das Hosting von AberSi die Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen (Deutschland) als Unterauftragsverarbeiter.
5.2 Ein AVV zwischen dem Auftragsverarbeiter und Hetzner besteht und erfüllt die Anforderungen von Art. 28 DSGVO.
5.3 Weitere Unterauftragsverarbeiter dürfen nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen eingesetzt werden.
§ 6 Recht und Pflichten des Verantwortlichen
6.1 Der Auftraggeber ist der „Verantwortliche“ i. S. d. Art. 4 Nr. 7 DSGVO. Er ist für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragsverarbeiter sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er ist außerdem verantwortlich für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen. Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Auftragsverarbeiter unverzüglich in den Stammdaten der Software ein Nachfolger bzw. der Vertreter einzutragen.
6.2 Der Auftraggeber stellt die Daten dem Auftragsverarbeiter über die von diesem eingesetzte Software durch Eingabe über Formulare bzw. Uploads oder per E-Mail zur Verfügung bzw. ermöglicht die Verarbeitung der Daten durch den Auftragsverarbeiter. Sämtliche Daten, die der Auftraggeber über die Felder in den Formularen einträgt, werden nach dem Betätigen des „Absenden“ – oder „Speichern“ – Buttons über das Verschlüsselungsprotokoll Secure Sockets Layer (SSL) über eine verschlüsselte Verbindung in die Software des Auftragsverarbeiters übertragen.
6.3 Die Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragsverarbeiter mit personenbezogenen Daten gerichtete Anordnung des Auftraggebers. Die Weisungen des Auftraggebers sind schriftlich, per Onlineformular oder per E-Mail an support@abersi.de zu erteilen. Mündlich erteilte Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
6.4 Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Die Weisungen werden anfänglich durch den Hauptvertrag und die AVV festgelegt und können vom Auftraggeber danach in Schriftform oder in Textform (E-Mail) an die vom Auftragsverarbeiter bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt.
6.5 Der Verantwortliche hat das Recht, nach vorheriger Ankündigung angemessene Kontrollen durchzuführen oder durch unabhängige Prüfer durchführen zu lassen.
6.6 Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen alle erforderlichen Auskünfte zur Verfügung zu stellen und auf Wunsch Nachweise über die Einhaltung der vertraglichen Pflichten vorzulegen.
6.7 Kontrollen vor Ort beim Auftragsverarbeiter können nach gemeinsamer Absprache zwischen den Parteien zu den üblichen Bürozeiten des Auftragsverarbeiters stattfinden. Hierbei achtet der Auftraggeber darauf, dass er den üblichen Betrieb des Auftragsverarbeiters soweit durch die Kontrollmaßnahmen nicht beeinträchtigt. Der Auftragsverarbeiter unterstützt den Auftraggeber insbesondere bei Datenschutzkontrollen durch die Aufsichtsbehörde, soweit es sich um die Datenverarbeitung im Rahmen dieser Vereinbarung handelt, und setzt Anforderungen der Aufsichtsbehörde in Abstimmung mit dem Auftraggeber unverzüglich um.
6.8 Bei Kontrollen des Auftraggebers vor Beginn der Datenverarbeitung und während der Laufzeit der AVV stellt der Auftragsverarbeiter sicher, dass sich der Auftraggeber von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragsverarbeiter dem Auftraggeber auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden. Dem Auftraggeber sind diese Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragsverarbeiter unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
6.9 Die Kosten für alle Kontrollmaßnahmen hat der Auftraggeber zu tragen. Zu den Kosten zählen auch die Aufwände, die dem Auftragsverarbeiter auf Grund der durchzuführenden Kontrollen entstehen. Hiervon ausgenommen sind Aufwände, die für eine optionale Nachweiserbringung in Form von Testaten, von Berichten oder Berichtsauszügen unabhängiger Instanzen oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit anfallen. Kontrollmaßnahmen sind vor ihrer Durchführung hinsichtlich der Art und Weise sowie den zu erwartenden Aufwänden zwischen den Parteien abzustimmen.
6.10 Der Auftraggeber hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er bei der Prüfung Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
§ 7 Mitteilungspflichten
7.1 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Datenschutzverletzungen, insbesondere bei Verletzungen des Schutzes personenbezogener Daten.
7.2 Der Auftragsverarbeiter informiert den Verantwortlichen ebenfalls unverzüglich über behördliche Maßnahmen, soweit diese sich auf die im Auftrag verarbeiteten Daten beziehen, sofern rechtlich zulässig.
§ 8 Anfragen betroffener Personen
8.1 Die Rechte der durch die Datenverarbeitung beim Auftragsverarbeiter betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen. Er ist verantwortlich für die Wahrung dieser Rechte. Wendet sich eine betroffene Person mit Forderungen zur Berechtigung, Löschung oder Auskunft an den Auftragsverarbeiter, verweist dieser die betroffene Person an den Auftraggeber, sofern eine Zuordnung an den Auftraggeber anhand der Angaben der betroffenen Person möglich ist. Der Auftragsverarbeiter leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter.
8.2 Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber schuldhaft nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
§ 9 Löschung und Rückgabe von Daten
9.1 Nach Beendigung der Auftragsverarbeitung werden alle personenbezogenen Daten auf Weisung des Verantwortlichen entweder datenschutzgerecht gelöscht oder zurückgegeben, sofern keine gesetzliche Aufbewahrungspflicht besteht.
§ 10 Löschung und Rückgabe von Daten
10.1 Die Laufzeit dieser AVV richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieser AVV nicht darüber hinausgehende Verpflichtungen ergeben.
10.2 Es ist den Parteien bewusst, dass ohne Vorliegen eines gültigen AV-Vertrages z. B. bei Beendigung des vorliegenden Vertragsverhältnisses, keine (weitere) Auftragsverarbeitung durchgeführt werden darf.
10.3 Beide Parteien können die AVV mit einer Frist von 1 (einem) Monat kündigen.
10.4 Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. Der Auftraggeber kann diese AVV insbesondere dann außerordentlich und ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieser AVV vorliegt.
10.5 Die Kündigung muss schriftlich erfolgen.
§ 11 Haftung
11.1 Die Haftung des Auftragsverarbeiters gegenüber dem Auftraggeber für schuldhafte Verletzungen dieser AVV regelt sich nach den gesetzlichen Bestimmungen. Die Haftung für sämtliche durch nicht mehr als einfach fahrlässiges Verhalten verursachten Verluste und Schäden wird auf maximal den Betrag aus der Summe der Nutzungsentgelte des betreffenden Kundenkontos für die Leistungen des Auftragsverarbeiters innerhalb der letzten 12 Monate begrenzt. Werden auf Seiten des Auftraggebers durch einen wesentlichen Ausfall nachweisbare Kosten verursacht, die nicht vermeidbar sind, erstattet der Auftragsverarbeiter diese Kosten bis zu einer maximalen Höhe von 1.500 Euro (zzgl. MwSt.).
§ 12 Schlussbestimmungen
12.1 Soweit diese Vereinbarung vor dem 25.05.2018 und damit vor dem Wirksamwerden der DSGVO abgeschlossen wurde, sind sich die Parteien einig, dass bis zu diesem Zeitpunkt das jeweils national geltende Datenschutzrecht entsprechend anzuwenden ist.
12.2 Sollte das Eigentum des Auftraggebers beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu verständigen. Der Auftragsverarbeiter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der EU-Datenschutzgrundverordnung liegen.
12.3 Nebenabreden sind nicht getroffen worden. Änderungen und Ergänzungen dieser AVV und all ihrer Bestandteile bedürfen der Schriftform. Dies gilt auch für die Abänderung des Schriftformerfordernisses selbst.
12.4 Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
12.5 Es gilt deutsches Recht.
12.6 Gerichtsstand ist Hannover.
12.7 Sollten einzelne Teile dieser AVV unwirksam sein oder werden, so berührt dies die Wirksamkeit dieser AVV im Übrigen nicht.
Anlage 1: Technische und organisatorische Maßnahmen (TOMs)
|
Maßnahme |
Beschreibung |
|
Zugangskontrolle |
Serverstandort: Rechenzentrum Hetzner in Deutschland (ISO 27001-zertifiziert) |
|
Zugriffskontrolle |
Dedizierter Server bei Hetzner (Zugriff nur durch UBS) Passwortschutz für Admin- und Nutzerzugänge |
|
Weitergabekontrolle |
Keine unbefugte Weitergabe durch Verschlüsselung und Berechtigungskonzepte |
|
Eingabekontrolle |
Logging und Protokollierung von Datenänderungen (z. B. Profiländerungen, Kursstatus) |
|
Auftragskontrolle |
Abschluss von AVV mit allen Unterauftragnehmern |
|
Verfügbarkeitskontrolle |
Tägliche Backups mit Speicherung an getrennten Standorten |
|
Datentrennung |
Logische Mandantentrennung im System |
|
Pseudonymisierung und Verschlüsselung |
TLS-Verschlüsselung bei Datenübertragung (HTTPS) |
|
Schulung & Sensibilisierung |
Schulung der Mitarbeiter des Auftragsverarbeiters zum Datenschutz |