Ansichts-Muster zur Auftragsverarbeitung personenbezogener Daten nach EU Datenschutz-Grundverordnung (AV-Vertrag)

Vereinbarung zwischen der

Digital printing hall
Copy-Repro-Center Berlin GmbH
Ansbacher Str. 8
10787 Berlin

vertreten durch: 

(einschl. deren Filialen) als Auftragnehmer und dem im Schlusstext angegebenen Auftraggeber für sämtliche Auftragsarbeiten (ergänzend zu den Allgemeinen Geschäftsbedingungen des Auftragnehmers) bezüglich Datenschutz.


1. Einleitung, Geltungsbereich, Definitionen

Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag - i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO).
Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2. Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand
Umfang und Art der Verarbeitung wird in dem jeweils aktuellen vom den Auftraggeber erteilten Dienstleistungsauftrag bestimmt.

2.2 Dauer
Die Verarbeitung beginnt am im Schlusstext genannten Tag und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags durch eine Partei. Eine Kündigung dieses Vertrages betrifft keine sonstigen Verträge zwischen Auftraggeber und Auftragnehmer, sondern schränkt diese ggfs. nur in der Möglichkeit der Erbringung von Dienstleistungen für den Auftraggeber durch den Auftragnehmer ein.

2.3 Der Auftragnehmer verpflichtet sich, die ihm im Rahmen der Auftragsverarbeitung bekannt gewordenen personenbezogenen Daten und Informationen, welche der Auftragnehmer durch den Auftraggeber oder von ihm beauftragte Dritte im Rahmen der Auftragserteilung und Auftragsverarbeitung erlangt, geheim zu halten und alle unter 5. genannten Maßnahmen zu ergreifen. Ausgenommen hiervon sind jedoch solche Daten und Informationen, die im Zeitpunkt der Unterzeichnung dieser Vereinbarung öffentlich bekannt sind oder zu einem späteren Zeitpunkt ohne Mitwirkung der Parteien in rechtmäßiger Weise öffentlich bekannt werden, oder die der Auftragnehmer durch berechtigte Dritte ohne Verstoß gegen eine Geheimhaltungsverpflichtung bekannt gegeben werden, oder bei denen der Auftraggeber nachweisen kann, über diese bereits zum Zeitpunkt des Empfanges berechtigterweise zu verfügen bzw. verfügt zu haben, bzw. sie zu diesem Zeitpunkt bereits selbst entwickelt zu haben. Ausgenommen sind auch solche Daten und Informationen welche vom Auftragnehmer aufgrund zwingender gesetzlicher Vorschriften, eines Urteils oder einer verbindlichen behördlichen Entscheidung oder Verfügung offenbart werden müssen.

2.4 Unter die Verpflichtung fallen alle Daten und Informationen unabhängig von ihrer Form, Übermittlung, Dokumentation und Art der Aufbewahrung (wie z. B. auf Papier oder auf Datenträgern, etc.) die dem Auftragnehmer oder seinen Mitarbeitern selbst oder über Dritte im Rahmen der Auftragsabwicklung zur Kenntnis gebracht werden oder zur Kenntnis gelangen.

2.5 Für die Beurteilung der Zulässigkeit der Datenverarbeitung, die Wahrung der Rechte der Betroffenen, die datenschutzrechtliche Freigabe, die Einhaltung der sonstigen gesetzlichen Datenschutzvorschriften ist allein der Auftraggeber verantwortlich. Er wird dabei auf Verlangen in den ihm obliegenden Pflichten nach Artikel 32 bis 36 DSGVO vom Auftragnehmer unterstützt.

2.6 Die Parteien verpflichten sich zur vertrauensvollen Zusammenarbeit.

3. Pflichten des Auftragnehmers

3.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach den Weisungen des Auftraggebers. Er bewahrt die überlassenen Daten nicht länger auf, als es der Auftraggeber oder ein Gesetz bestimmt und er hat personenbezogene Daten zu berichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies in einer Vereinbarung oder mittels einer Weisung verlangt.

3.2 Der Auftragnehmer verpflichtet sich, nur die zur Erfüllung des Auftrags notwendigen Daten und Informationen, unter Beachtung der in Deutschland geltenden datenschutzrechtlichen Bestimmungen zu bearbeiten, er verpflichtet sich insbesondere zur Wahrung der in Art. 5 DSGVO genannten Grundsätze sowie zur Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften.

3.3 Der Auftragnehmer bearbeitet die überlassenen Daten und Informationen ausschließlich in der Weise, dass sie jederzeit von sonstigen Datenbeständen getrennt bereitgestellt werden können.

3.4 Der Auftragnehmer verpflichtet sich, die Daten und Informationen nur zu den im Auftrag angegebenen Zwecken und nicht zu anderen Zwecken unmittelbar oder mittelbar zu bearbeiten, verwerten oder zu verwenden.

3.5 Der Auftragnehmer ist berechtigt die Daten und Informationen ihren mit der Bearbeitung
beauftragten Mitarbeitern und denen gleich gestellten Personen und Subunternehmern zugänglich zu machen. Die Verpflichtung zur Geheimhaltung gilt auch für sämtliche Mitarbeiter und denen gleichgestellten Personen sowie die Subunternehmer des Auftragnehmers, die Zugang zu den Informationen haben. Der Auftragnehmer sichert zu, dass die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter und denen gleichgestellten Personen und Subunternehmer mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut sind. Der Auftragnehmer hat seine Mitarbeiter und die denen gleichgestellten Personen und Subunternehmer gleichlautend auf das Datengeheimnis verpflichtet. Mit Subunternehmern sind vertragliche Regelungen über die Auftragsverarbeitung zu schließen.

3.6 Der Auftragnehmer wird, soweit er durch den Auftraggeber dazu schriftlich aufgefordert ist, alle Daten und Informationen die er im Rahmen der Zusammenarbeit von dem Auftraggeber oder seitens des Auftraggebers beauftragter Dritter erhalten hat, oder die er schriftlich oder sonst wie festgehalten oder gespeichert hat und die der Vertraulichkeitsverpflichtung gemäß Ziffer 2.3 dieser Vereinbarung unterliegen, an den Auftraggeber herausgeben, löschen oder vernichten und die Löschung oder Vernichtung auf Wunsch des Auftraggebers schriftlich bestätigen.

3.7 Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber nach Anmeldung dazu berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der von ihm getroffenen Weisungen zu überprüfen. Der Auftragnehmer gewährleistet das für die Durchführung der Kontrollen erforderliche Betretungsrecht, die Einsichtnahme in diesbezügliche Unterlagen, die Vorführung der im Rahmen der Auftragsverarbeitung erfolgenden betrieblichen Abläufe und unterstützt das mit der Durchführung der Kontrolle beauftragte Personal hinsichtlich ihrer Tätigkeit.

4. Technische und organisatorische Maßnahmen

4.1 Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren. Diese Verpflichtung gilt auch nach Beendigung des Auftrags fort.

4.2 Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.

4.3 Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

4.4 Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.

4.5 Sämtliche gespeicherte Daten und Informationen werden nach Erfüllung des Auftrags oder spätestens nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht. Hierzu ist der Auftragnehmer ohne weitere Rücksprache mit dem Auftraggeber berechtigt.

5. Regelungen zur Berichtigung, Löschung und Sperrung von Daten

5.1 Sämtliche im Rahmen eines Dienstleistungsauftrages verarbeitete Daten wird der Auftragnehmer nach dessen Fertigstellung löschen, sofern durch Weisung des Auftraggebers nicht anderes verfügt wurde.

5.2 Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

6. Unterauftragsverhältnisse

6.1 Die Beauftragung von Subunternehmern ist nur mit Zustimmung des Auftraggebers im Einzelfall zugelassen.

6.2 Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

7. Rechte und Pflichten des Auftraggebers

7.1 Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

7.2 Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.

7.3 Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

8. Mitteilungspflichten

8.1 Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

8.2 Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.

8.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

8.4 Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

9. Weisungen

9.1 Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

9.2 Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

9.3 Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

10. Beendigung des Auftrags

10.1 Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.

10.2 Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.

10.3 Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. 

11. Sonderkündigungsrecht

11.1 Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

11.2 Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.

11.3 Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kündigung wie in diesem Abschnitt beschrieben berechtigt.

12. Sonstiges

12.1 Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

12.2 Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

12.3 Für Nebenabreden ist die Schriftform erforderlich.

12.4 Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

12.5 Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

12.6 Dieser Vertrag wurde elektronisch über die Website www.copy-center.de erstellt und ist ohne Unterschriften gültig.


Auftraggeber: Ihre Daten