Datenschutz-Vereinbarung zur Verarbeitung von Daten im A ... / Datenschutz-Vereinbarung zur Verarbeitung von Daten im Auftrag gemäß Art. 28 DSGVO

Hinweis: Es handelt sich lediglich um ein Muster eines Vertrags. Füllen Sie es an den entsprechenden Stellen aus und kontrollieren Sie alle anderen Aussagen, insbesondere auch solche mit kursiven Hinweisen. Entfernen Sie die kursiven Hinweise abschließend.

…

– nachstehend Auftraggeber genannt –

und

…

– nachstehend Auftragnehmer genannt –

vereinbaren Folgendes:

1. Gegenstand und Dauer des Auftrags

1.1 Gegenstand

Der Gegenstand des Auftrags ergibt sich aus der Vereinbarung/dem Auftrag/der Leistungsvereinbarung ....................... vom ....................... (Datum), auf die hier verwiesen wird (im Folgenden Leistungsvereinbarung).

– oder –

Gegenstand des Auftrags ist die Durchführung folgender Aufgaben durch den Auftragnehmer: ....................... (Nennung des Auftrags).

1.2 Dauer

Die Dauer dieses Auftrags entspricht der Laufzeit der Leistungsvereinbarung.

– oder –

Der Auftrag wird einmalig ausgeführt.

– oder –

Die Dauer dieses Auftrags ist befristet bis zum ....................... (Datum).

– oder –

Der Auftrag wird unbefristet erteilt und kann von beiden Parteien mit einer Frist von ....................... zum ....................... gekündigt werden.

2. Konkretisierung des Auftragsinhalts

2.1 Art und Zweck der vorgesehenen Verarbeitung von Daten

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben in der Leistungsvereinbarung vom ....................... (Datum)

– oder –

Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind: ....................... (Nennung der Aufgaben)

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. Das angemessene Schutzniveau in ....................... (Drittland)

(bitte Zutreffendes markieren)

□ ist festgestellt durch einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DSGVO)

□ wird hergestellt durch verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 Buchst. b in Verbindung mit Art. 47 DSGVO)

□ wird hergestellt durch Standarddatenschutzklauseln (Art. 46 Abs. 2 Buchst. c und d DSGVO)

□ wird hergestellt durch genehmigte Verhaltensregeln (Art. 46 Abs. 2 Buchst. e in Verbindung mit Art. 40 DSGVO)

□ wird hergestellt durch einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 Buchst. f in Verbindung mit Art. 42 DSGVO)

□ wird hergestellt durch sonstige Maßnahmen: ....................... (Art. 46 Abs. 2 Buchst. a, Abs. 3 Buchst. a und b DSGVO).

2.2 Art der Daten

Die Arten der verwendeten personenbezogenen Daten sind in der Leistungsvereinbarung konkret beschrieben unter ....................... (Nennung der Nummer/Ziffer/Seite).

– oder –

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten bzw. Datenkategorien (bitte Zutreffendes markieren):

□ Personenstammdaten

□ Kommunikationsdaten (z.  B. Telefon, E-Mail)

□ Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)

□ Kundenhistorie

□ Vertragsabrechnungs- und Zahlungsdaten

□ Planungs- und Steuerungsdaten

□ Auskunftsangaben (von Dritten, z.  B. Auskunfteien, oder aus öffentlichen Verzeichnissen)

□ ....................... (Aufzählung/Beschreibung von weiteren Datenkategorien).

2.3 Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen sind in der Leistungsvereinbarung konkret beschrieben unter ....................... (Nennung der Nummer/Ziffer/Seite).

– oder –

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen (bitte Zutreffendes markieren):

□ Kunden

□ Interessenten

□ Abonnenten

□ Beschäftigte

□ Lieferanten

□ Handelsvertreter

□ Ansprechpartner

□ ....................... (Aufzählung/Beschreibung von weiteren Betroffenen).

3. Technisch-organisatorische Maßnahmen

3.1 Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

3.2 Der Auftragnehmer hat die Sicherheit gemäß Art. 28 Abs. 3 Buchst. c, 32 DSGVO, insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO, herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belast...