Auftragsverarbeitungsvertrag
Stand: 01.09.2025
Präambel
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung auf Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten im Auftrag des Auftraggebers verarbeiten.
§ 1 Vertragsgegenstand
(1) Gegenstand der Verarbeitung ist die Erbringung der im Hauptvertrag vereinbarten Leistungen.
(2) Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist der jeweilige Auftraggeber gemäß des Hauptvertrages.
(3) Art, Umfang und Zweck der Verarbeitung personenbezogener Daten ergeben sich aus der jeweils gültigen Leistungsbeschreibung und den ergänzenden Informationen des Hauptvertrages. Die Verarbeitung erfolgt ausschließlich im Rahmen der vertraglich vereinbarten Zwecke und auf dokumentierte Weisung des Auftraggebers. Eine eigenständige Entscheidung über die Zwecke und Mittel der Verarbeitung durch den Auftragnehmer ist ausgeschlossen.
(4) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages einschließlich eventueller Nachwirkungsfristen. Eine über die Vertragslaufzeit hinausgehende Speicherung erfolgt nur, sofern gesetzliche Aufbewahrungspflichten bestehen oder der Auftraggeber eine anderweitige Weisung erteilt hat.
(5) Betroffen von der Verarbeitung sind insbesondere folgende Kategorien betroffener Personen:
▪ Beschäftigte des Auftraggebers (einschließlich Bewerber),
▪ Beschäftigte von Fremdfirmen/Dienstleistern,
▪ Kunden und Interessenten,
▪ Lieferanten/Dienstleister und deren Beschäftigte,
▪ Website-Besucher und Nutzer von Onlineformularen,
▪ Kommunikationspartner des Auftraggebers (z. B. per E-Mail),
▪ sowie sonstige Personen, deren personenbezogene Daten im Rahmen der Kommunikation oder Nutzung der bereitgestellten Systeme verarbeitet werden.
(6) Die Kategorien der im Rahmen dieses Vertrages verarbeiteten personenbezogenen Daten können insbesondere folgende umfassen:
▪ Kontakt- und Identifikationsdaten (z. B. Name, Geburtsdatum, Geburtsort, Adresse, E-Mail-Adresse, Telefonnummer),
▪ Kommunikations- und Inhaltsdaten (z. B. Nachrichteninhalte und Dateianhänge aus Kontaktformularen und E-Mails, Supportanfragen, Chatverläufe),
▪ Netzwerk- und Protokolldaten (z. B. IP-Adressen, Zeitstempel, Logdaten, User-Agents, Referrer, DNS-Einträge, Mailheader, Zustellinformationen, SSL-Zertifikatsdaten),
▪ Vertrags- und Abrechnungsdaten (z. B. Rechnungs- und Zahlungsinformationen, Kundennummern),
▪ technische Kontodaten (z. B. Mailbox- und Aliaszuordnungen, Benutzername, Passwort-Hash, Systemeinstellungen).
(7) Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO sowie von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO ist nicht Gegenstand dieses Vertrages. Sofern der Auftraggeber eine solche Verarbeitung vorsieht, hat er dies dem Auftragnehmer vorab ausdrücklich schriftlich mitzuteilen und mit diesem geeignete Schutzmaßnahmen zu vereinbaren.
(8) Der Auftraggeber kann den zugrundeliegenden Hauptvertrag und den AVV jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender, nicht innerhalb angemessener Frist abstellbarer Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses AVV vorliegt.
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO allein verantwortlich.
(2) Die Weisungen werden durch die Leistungsbeschreibung festgelegt und können vom Auftraggeber danach schriftlich oder in Schriftform an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Schriftform vom Auftraggeber zu bestätigen.
(3) Der Auftragnehmer haftet nicht für Verstöße gegen Datenschutzpflichten, die auf unzureichende oder fehlerhafte Weisungen des Auftraggebers zurückzuführen sind.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf personenbezogene Daten, die Gegenstand des Auftrags sind, nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor und dessen Voraussetzungen werden gewahrt.
(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
(3) Der Auftragnehmer wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung nach Art. 32 DSGVO genügen. Der Auftragnehmer hat insbesondere technische und organisatorische Maßnahmen zu treffen, gemessen am Risiko für die Rechte und Freiheiten der betroffenen Personen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer gewährleisten. Der Auftragnehmer hat die erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung zu dokumentieren und dem Auftraggeber zur Prüfung bereitzustellen. Die Einzelheiten dieser technischen und organisatorischen Maßnahmen ergeben sich aus der Anlage „Technische und organisatorische Maßnahmen des Datenschutzes zur Auftragsverarbeitung“ in der jeweils aktuellen Fassung. Diese Anlage ist unter folgender Webseite öffentlich zugänglich:
Die Anlage wird Bestandteil dieses Vertrages. Änderungen dieser Anlage sind zulässig, soweit sie das vereinbarte Sicherheitsniveau nicht unterschreiten und die Änderungen dem Auftraggeber in Schriftform mitgeteilt werden. Der Auftragnehmer dokumentiert entsprechende Anpassungen und macht die jeweils aktuelle Fassung verfügbar.
(4) Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.
(5) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Beschäftigten und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die mit der Verarbeitung der personenbezogenen Daten zuständigen Personen zur Vertraulichkeit verpflichtet haben und diese Vertraulichkeitsverpflichtung auch nach Beendigung des Auftrags fortbesteht.
(6) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.
Eine Meldung von Datenschutzverletzungen muss mindestens enthalten:
▪ eine Beschreibung des Vorfalls, einschließlich Zeitpunkt und Umfang
▪ eine Beschreibung der Art und der Kategorie der Verletzung des Schutzes personenbezogener Daten, soweit bestimmbar
▪ eine Beschreibung der wahrscheinlichen Folgen des gemeldeten Vorfalls
▪ eine Beschreibung der ergriffenen oder geplanten Maßnahmen zur Behebung des Vorfalls sowie ggf. Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen
Die Meldung erfolgt unverzüglich, spätestens jedoch binnen 72 Stunden nach Bekanntwerden.
(7) Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Der Auftragnehmer stellt sicher, dass eingehende Anfragen unverzüglich geprüft und innerhalb angemessener Frist beantwortet werden.
(8) Der Auftragnehmer gewährleistet, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung im Sinne des Art. 32 Abs. 1 lit. d DSGVO einzusetzen.
(9) Während der Vertragslaufzeit berichtigt oder löscht der Auftragnehmer auf Weisung des Auftraggebers die vertragsgegenständlichen Daten. Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist.
(10) Daten, Datenträger sowie sämtliche Dokumente sind nach Auftragsende auf Verlangen in Schriftform des Auftraggebers entweder herauszugeben, sofern sie im Eigentum des Auftraggebers sind, oder zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten feststellt.
(2) Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger Schadensersatzansprüche nach Art. 82 DSGVO, gilt ## § 3 Abs. 4 entsprechend.
§ 5 Anfragen betroffener Personen
Wendet sich eine betroffene Person mit Anträgen gemäß Art. 15 bis 21 DSGVO an den Auftragnehmer, wird der Auftragnehmer die betroffene Person unverzüglich an den Auftraggeber verweisen und leitet den Antrag an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung dieser Anträge der betroffenen Personen im erforderlichen Umfang.
§ 6 Kontrolle, Nachweis und Auditrechte
(1) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die dokumentierten Kontrollen und erforderlichen Auskünfte zur Verfügung zu stellen. Insbesondere ist die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Art 32 DSGVO nachzuweisen.
(2) Der Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten kann erfolgen durch: ▪ aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT- Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
▪ Selbstaudits
▪ eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz, ISO 27001, ISO 27018, ISO 27701)
▪ die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO
▪ die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO
▪ Dokumentation der TOMs in der jeweils aktuellen Fassung
(3a) Der Auftragnehmer verpflichtet sich, den Auftraggeber bei seinen Prüfungen gemäß Art. 28 Abs. 3 Satz 2 lit. h DSGVO zur Einhaltung der Vorschriften zum Datenschutz sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang zu unterstützen.
(3b) Die Prüfungen werden durch den Auftraggeber selbst oder einen von ihm beauftragten Dritten durchgeführt. Sollte der durch den Auftraggeber beauftragte Dritter in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Beauftragte Dritte müssen durch den Auftraggeber zur Verschwiegenheit verpflichtet werden. Dem Auftragnehmer steht das Recht zu, die Abgabe einer separaten Verschwiegenheitserklärung des beauftragten Dritten zu verlangen. Dies gilt insbesondere für die Abgabe von Erklärungen zur berufsrechtlichen oder gesetzlichen Verschwiegenheit.
(3c) Eine Prüfung kann insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch weitere Maßnahmen erfolgen. Zu den weiteren Maßnahmen zählen die Anforderung von Zertifizierungen, Berichte zu Datenschutzaudits und Inspektionen vor Ort. Inspektionen vor Ort nimmt der Auftraggeber mit angemessener Vorankündigung während der üblichen Geschäftszeiten vor. Die Prüfungen müssen ohne Störung des Betriebsablaufs sowie unter Wahrung der Sicherheits- und Vertraulichkeitsinteressen des Auftragnehmers durchgeführt und ist auf eine Prüfung pro Kalenderjahr beschränkt; hiervon unberührt bleiben anlassbezogene Prüfungen aus wichtigem Grund. Ausgenommen sind anlassbezogene Kontrollen. Jede Partei trägt die ihr entstandenen Kosten der Prüfungen in den vorgenannten Fällen inklusive Nachprüfungen selbst.
§ 7 Weitere Auftragsverarbeiter (Subunternehmer und Partner)
(1) Der Auftraggeber stimmt zu, dass der Auftragnehmer Subunternehmer und Partner hinzuzieht. Vor Hinzuziehung oder Ersetzung der Subunternehmer und Partner informiert der Auftragnehmer den Auftraggeber. Die aktualisierte Subunternehmerliste wird dem Auftraggeber in Schriftformmitgeteilt oder kann online eingesehen werden. Der Auftraggeber kann der Änderung innerhalb einer Frist von 14 Tagen aus wichtigem datenschutzrechtlichen Grund gegenüber dem Auftragnehmer widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird dem Auftraggeber ein Sonderkündigungsrecht eingeräumt.
(2) Erteilt der Auftragnehmer Aufträge an Subunternehmer und Partner, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen
(3) Die jeweils aktuelle Liste der vom Auftragnehmer eingesetzten Subunternehmer und Partner ist unter folgender Webseite öffentlich zugänglich:
knallmacher.de/legal/subunternehmer
Die vom Auftragnehmer genutzten Subunternehmer und Partner gelten als genehmigt, soweit sie zum Zeitpunkt des Vertragsschlusses aufgeführt sind.
§ 8 Übermittlung in Drittstaaten
(1) Eine Übermittlung findet nur auf dokumentierte Weisung des Verantwortlichen in Drittstaaten außerhalb der EU und des EWR statt, sofern die Voraussetzungen nach Art. 44 ff. DSGVO eingehalten werden.
(2) Eine Übermittlung personenbezogener Daten in Drittstaaten außerhalb der EU und des EWR erfolgt nur auf dokumentierte Weisung des Auftraggebers und ausschließlich unter Beachtung der Vorgaben der Art. 44 ff. DSGVO. Der Auftragnehmer stellt sicher, dass hierfür stets ein angemessenes Schutzniveau gewährleistet ist, insbesondere durch die Verwendung von Standardvertragsklauseln der Europäischen Kommission oder eine andere geeignete Rechtsgrundlage nach Art. 44 ff. DSGVO.
(3) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage Informationen oder Kopien der geeigneten Garantien für Datenübermittlungen in Drittländer nach Art. 44 ff. DSGVO zur Verfügung.
§ 9 Haftung
(1) Die Haftungsregelungen des Hauptvertrages gelten entsprechend, soweit sie nicht den zwingenden Vorgaben des Art. 82 DSGVO entgegenstehen.
(2) Der Auftragnehmer haftet im Rahmen des Art. 82 DSGVO ausschließlich für Verstöße, die er selbst zu vertreten hat.
(3) Der Auftraggeber stellt den Auftragnehmer von sämtlichen Ansprüchen Dritter frei, soweit der Schaden nicht auf ein vorsätzliches oder grob fahrlässiges Verhalten des Auftragnehmers zurückzuführen ist.
(4) Im Innenverhältnis tragen die Parteien den Schaden in dem Umfang, in dem sie für dessen Entstehung verantwortlich sind.
§ 10 Informationspflichten
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlicher im Sinne der Datenschutz-Grundverordnung liegen.
§ 11 Änderungen des Vertrages
Jegliche Änderungen, Ergänzungen oder Nebenabreden dieses Vertrages bedürfen der Schriftform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.
§ 12 Rechtswahl und Gerichtsstand
(1) Auf den Vertrag ist deutsches Recht anzuwenden.
(2) Für Streitigkeiten aus diesem Vertrag ist das Gericht in Beckum örtlich zuständig.
§ 13 Schlussbestimmungen
Sollten einzelne Bestimmungen dieses Vertrages unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit des Vertrages im Übrigen unberührt. Die Vertragspartner verpflichten sich für diesen Fall, die rechtsunwirksame oder undurchführbare Bestimmung durch eine andere, im wirtschaftlichen Ergebnis möglichst gleichwertige Bestimmung zu ersetzen.