Mustervereinbarung Auftragsdatenverarbeitung
Diese Mustervereinbarung soll als Orientierungshilfe für Auftragsdatenverarbeitungen und für Wartungsverträge (§ 11 Abs. 5 BDSG) dienen. Sie basiert auf der Mustervereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach § 11 BDSG des Hessischen Datenschutzbeauftragten.
Bitte nach Bedarf oder an konkrete Einzelfälle oder länderspezifische Gesetzgebungen anpassen. Auswahlmöglichkeiten / Ergänzungen sind kursiv dargestellt.
Mustervereinbarung
Vereinbarung zur Auftragsdatenverarbeitung
gemäß § 11 Bundesdatenschutzgesetz
zwischen
- .........................................................................................
- - nachstehend Auftraggeber genannt -
und
- .........................................................................................
- - nachstehend Auftragnehmer genannt -
§ 1 Gegenstand der Vereinbarung
1. Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene Daten im Auftrag des Auftraggebers.
2. Gegenstand des Auftrages
Genaue Definition der Aufgaben und der vom Auftragnehmer zu erbringenden Leistungen
3. Vertragsdauer
Der Vertrag beginnt am ...................... und endet am ......................
- oder
Der Vertrag beginnt am ...................... und endet mit Auftragserledigung.
- oder
Der Vertrag wird auf unbestimmte Zeit geschlossen.
Der Vertrag ist mit einer Frist von ..... Monaten zum Quartalsende kündbar.
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers vertragswidrig verweigert.
- oder
Der Auftraggeber ist zu einer außerordentlichen Kündigung des Vertrags berechtigt, wenn der Auftragnehmer trotz schriftlicher Aufforderung die vereinbarten Leistungen nach § 1 nicht ordnungsgemäß erbringt oder seine Pflichten nach § 3 verletzt.
4. Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung
detaillierte Beschreibung über Umfang, Art und Zweck der Auftragsdatenverarbeitung
5. Art der Daten
detaillierte Beschreibung der im Rahmen der Auftragsdatenverarbeitung verwendeten Daten
6. Kreis der Betroffenen
detaillierte Beschreibung der im Rahmen der Auftragsdatenverarbeitung Betroffenen
Ausfüllhinweis zu 4. bis 6.
Die Angaben sind so präzise zu gestalten, dass der Auftraggeber seiner Rolle als verantwortliche Stelle gerecht wird. Erfolgt die Datenerhebung, -verarbeitung oder -nutzung für verschiedene Zwecke sind die Art der Daten und der Kreis der Betroffenen jeweils gesondert anzugeben, gegebenenfalls ist hierbei zwischen den einzelnen Phasen der Datenverwendung (Erhebung, Speicherung, Veränderung, Übermittlung, Sperrung, Löschung, Nutzung) zu differenzieren, unter anderem sind auch etwaige Löschroutinen vorzugeben. Alternativ oder ergänzend zu entsprechenden Angaben an dieser Stelle kann auf eine entsprechende Leistungsvereinbarung oder die betreffende Passage in einem separaten Dienstvertrag verwiesen werden. In dem Dienstvertrag ist die Vereinbarung nach § 11 BDSG als Anlage zu kennzeichnen. |
§ 2 Rechte und Pflichten des Auftraggebers
1. Für die Beurteilung der Zulässigkeit der Datenerhebung / - verarbeitung / -nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.
2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und entsprechend § 1 dieses Vertrages schriftlich festzulegen.
3. Der Auftraggeber hat das Recht, in folgendem Umfang Weisungen gegenüber dem Auftragnehmer zu erteilen:
.....
4. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Die schriftliche Bestätigung der mündlichen Weisungen sollte von Auftraggeber und Auftragnehmer zusammen mit der Vereinbarung so aufbewahrt werden, dass alle maßgeblichen Regelungen jederzeit verfügbar sind.
Weisungsberechtigte Personen des Auftraggebers sind:
.........................................................................................
(Name, Organisationseinheit, Funktion, Telefon)
Weisungsempfänger beim Auftragnehmer sind:
.........................................................................................
(Name, Organisationseinheit, Funktion, Telefon)
- oder
Die in Anlage ..... aufgeführten Personen sind Weisungsberechigte des Auftraggebers.
Die in Anlage ..... aufgeführten Personen sind Weisungsempfänger des Auftragnehmers.
Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen. Falls Weisungen die unter § 1 dieses Vertrages getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Festlegung erfolgt.
5. Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (siehe § 4) zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen.
6. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
7. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.
§ 3 Pflichten des Auftragnehmers
1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er hat personenbezogene Daten zu berichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen Vereinbarung (siehe § 1) oder einer Weisung verlangt.
Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.
2. Der Auftragnehmer hat insbesondere folgende Kontrollen durchzuführen:
Ausfüllhinweis
Hier sind konkrete Kontrollpflichten des Auftragnehmers gemäß der technisch-organisatorischen Maßnahmen nach § 9 BDSG anzuführen. § 9 BDSG und die Anlage zu § 9 Satz 1 BDSG sind als Anlage beizufügen. Die Kontrollpflichten umfassen insbesondere: |
3. An der Erstellung der Verfahrensverzeichnisse hat der Auftragnehmer mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten.
4. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden - automatisierten - Verwaltung. Eingang und Ausgang werden dokumentiert.
5. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
6. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
7. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen mitwirkt.
8. Die Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung des Auftraggebers im Einzelfall gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist der Zugang zur Wohnung durch den Auftraggeber vorher mit dem Auftragnehmer abzustimmen. Der Auftragnehmer sichert zu, dass auch die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.
9. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen,
dem Auftraggeber auszuhändigen.
- oder
wie folgt zu löschen:
...............................................................................
Ausfüllhinweis: Verweis auf die Festlegungen unter § 1 Nr. 4 möglich |
Testdaten sowie Datensicherungskopien sind nach Abschluss der vertraglichen Arbeiten
dem Auftraggeber auszuhändigen.
- oder
wie folgt zu löschen:
...............................................................................
Ausfüllhinweis: Verweis auf die Festlegungen unter § 1 Nr. 4 möglich |
Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich zu bestätigen.
10. Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers zugelassen. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer Namen und Anschrift des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer versichern, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt hat. Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. Insbesondere muss der Auftraggeber berechtigt sein, Kontrollen vor Ort beim Subunternehmer durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragnehmer hat die Einhaltung der Pflichten regelmäßig zu überprüfen.
...............................................................................
Ausfüllhinweis: Verweis auf die Festlegungen unter § 1 Nr. 4 möglich |
Das Ergebnis der Überprüfungen ist zu dokumentieren.
Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach § 11 BDSG erfüllt hat. In dem Vertrag mit dem Subunternehmer sind die Angaben gemäß § 1 Nr. 4 bis 6, § 3 Nr. 9 und § 4 Nr. 1 so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern.
Subunternehmer sind die der Anlage ..... mit Namen, Anschrift und Auftragsinhalt bezeichnet und mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.
11. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind.
Falls ein Subunternehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den Bestimmungen in § 3 Nr. 10.
12. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind mit dem Auftraggeber abzustimmen.
13. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz
Herr/Frau
.........................................................................................
(Name, Organisationseinheit, Funktion, Telefon)
bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
- oder
Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die Voraussetzungen für eine Bestellung nicht vorliegen.
14. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Er verpflichtet sich, auch folgende Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen:
.........................................................................................
15. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften des BDSG bekannt sind. Der Auftragnehmer bestätigt, dass ihm auch folgende datenschutzrechtliche Vorschriften bekannt sind:
.........................................................................................
Ausfüllhinweis: Hier sind ggf. konkrete Angaben zu machen.
Achtung: Dies enthebt den Auftraggeber nicht von konkreten Vorgaben unter § 1 Nr. 4 bis 6, so dass der Auftragnehmer weiß, was er zur Umsetzung der Spezialvorschriften zu beachten hat. |
Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der hier angegebenen datenschutzrechtlichen Vorschriften.
16. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.
§ 4 Technische und organisatorische Maßnahmen nach § 9 BDSG
Für die auftragsgemäße Bearbeitung personenbezogener Daten nutzt der Auftragnehmer folgende Einrichtungen:
.........................................................................................
(Benennung der verwendeten Hardware und Software)
1. Das als Anlage beigefügte Datensicherheitskonzept (mit den Festlegungen entsprechend der Anlage zu § 9 BDSG) des Auftragnehmers wird als verbindlich festgelegt.
- oder
Die im Anhang beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt.
2. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.
3. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren. § 2 Nr. 2 ist zu beachten.
4. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.
5. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach § 42 a BDSG. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach § 42 a BDSG zu unterstützen.
§ 5 Vergütung und Kostenerstattung
Abmachungen über die Vergütung und Zahlungsweise sowie Aufteilung der Kosten zwischen Auftraggeber und Auftragnehmer
§ 6 Haftung
1. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft verursachen.
2. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder anderen Vorschriften für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegen-über dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff beim Auftragnehmer vorbehalten.
§ 7 Schadensersatz
Bei Verstoß gegen die Abmachungen dieses Vertrages, insbesondere gegen die Einhaltung des Datenschutzes, wird eine Vertragsstrafe von ..... Euro vereinbart.
§ 8 Nichterfüllung der Leistung
1. Bei Nichterfüllung der Auftragsleistung durch den Auftragnehmer ist der Auftraggeber berechtigt, soweit er nicht von seinem Kündigungsrecht nach § 1 Nr. 4 Gebrauch macht, im Benehmen mit dem Auftragnehmer ein anderes Dienstleistungsunternehmen zu beauftragen. Die dabei entstehenden Mehrkosten gehen zu Lasten des Auftragnehmers.
2. Kann der Auftragnehmer die vereinbarte Leistung wegen höherer Gewalt, Krieg, Aufruhr, Streik, Aussperrung oder Stromausfall nicht rechtzeitig erfüllen, so ist er von der Leistung frei. Die Beweislast hierfür obliegt jedoch dem Auftragnehmer. Der Auftraggeber hat in diesem Falle keinen Anspruch auf Schadenersatz. Er hat jedoch das Recht, ein anderes Dienstleistungsunternehmen mit der Auftragsausführung zu beauftragen.
§ 9 Sonstiges
1. Für Nebenabreden ist die Schriftform erforderlich.
2. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
Hinweis: Diese Klausel muss wegen §§ 310 Abs. 1 S. 1 und 2, 307, 309 Nr. 2 lit. b BGB gegebenenfalls individualvertraglich vereinbart werden. |
3. Der Auftragnehmer übereignet dem Auftraggeber zur Sicherung die Datenträger, auf denen sich Dateien befinden, die Daten des Auftraggebers enthalten. Diese Datenträger sind besonders zu kennzeichnen.
4. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
Ansprechpartner des Auftraggebers sind:
.........................................................................................
(Name, Funktion, Erreichbarkeit)
Ansprechpartner beim Auftragnehmer sind:
.........................................................................................
(Name, Funktion, Erreichbarkeit)
Bei einem Wechsel oder einer längerfristigen Verhinderung eines Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen.
§ 10 Wirksamkeit der Vereinbarung
Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
§ 11 Gerichtsstand und Schlussbestimmungen
Vertragsspezifische Besonderheiten; Gerichtsstand
Anlagen
Anlage technische organisatorische Maßnahmen
Rechtliche Aspekte
Zu beachtende bereichsspezifische Vorschriften:
- Verletzung von Privatgeheimnissen (Berufsgeheimnissen) gemäß § 203 Abs. 1 StGB (z.B. für Ärzte)
- § 30 Abgabenordnung (Steuergeheimnis)
- § 80 SGB X (Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag)
- Verletzung des Meldegeheimnisses gemäß § 7 Bundesmeldegesetz (Auftragsverarbeitung abhängig von den Meldegesetzen der Länder)
Weitere Informationen
- Checkliste Datenverarbeitung im Auftrag
- Checkliste Datenverarbeitung Wartung
- Checkliste Technische und organisatorische Maßnahmen
- Auftragsdatenverarbeitung
Weblinks
- Orientierungshilfe Auftragsdatenverarbeitung
- Auftragsdatenverarbeitung: Mustervereinbarungen und Abgleich mit EU-Standardvertragsklauseln
Dieser Text wurde aus dem Datenschutz-Wiki der BfDI übernommen. Bearbeitungen vor dem 16.April 2016 stehen unter der Lizenz Creative Commons Namensnennung 3.0 Deutschland.