Auftragsverarbeitungsvereinbarung (AVV)

Der Auftragnehmer ist ein Unternehmen, welches die Durchführung von Leistungen in den Bereichen Onlineunterweisungen anbietet. Zwischen den Parteien werden hierzu ein Vertrag für die Durchführung dieser Leistungen abgeschlossen (nachstehend: Hauptvertrag). Der Auftragnehmer verarbeitet im Zusammenhang mit der Durchführung des Hauptvertrages unter anderem personenbezogene Daten im Sinne von Art. 4 DSGVO im Auftrag des Auftraggebers.

Mit dieser Vereinbarung regeln die Parteien die Rechte und Pflichten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten im Sinne der Regelung in Art. 28 DSGVO. Der Hauptvertrag kann auftragsspezifische Ergänzungen und Konkretisierungen zu dieser Vereinbarung enthalten.

Diese Vereinbarung wird mit Beauftragung des Hauptvertrages gültig. Eine separate Beauftragung oder Unterzeichnung ist nicht notwendig.

(1) Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind konkret beschrieben im Hauptvertrag sowie ergänzend in Anlage 1 zu dieser Vereinbarung (Konkretisierung der Verarbeitung). Bei Widersprüchen zwischen Hauptvertrag und Anlage 1 hat der Hauptvertrag Vorrang.

(2) Diese Vereinbarung wird unbefristet geschlossen und ist an die Laufzeit des Hauptvertrages gekoppelt. Sie endet automatisch mit der vollständigen Beendigung des Hauptvertrages einschließlich etwaiger Beendigungsleistungen.

(3) Eine isolierte ordentliche Kündigung dieser Vereinbarung ist nicht möglich; sie folgt den Kündigungsregelungen des Hauptvertrages.

(4) Sonderkündigungsrecht: Der Auftraggeber ist berechtigt, diese Vereinbarung und den Hauptvertrag ohne Einhaltung einer Frist außerordentlich zu kündigen, wenn

• der Auftragnehmer gegen wesentliche Pflichten dieser Vereinbarung oder gegen Bestimmungen der DSGVO oder anderer datenschutzrechtlicher Vorschriften schwerwiegend oder wiederholt verstößt;
• der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will und keine Einigung über eine alternative Vorgehensweise erzielt werden kann;
• die zuständige Aufsichtsbehörde rechtskräftig eine Anordnung erlässt, die eine Fortsetzung der Verarbeitung beim Auftragnehmer unzumutbar macht;
• der Auftragnehmer Unterauftragnehmer entgegen den Bestimmungen dieser Vereinbarung einsetzt und den vertragswidrigen Zustand auch nach angemessener Fristsetzung nicht beseitigt.

Dem Auftragnehmer ist eine angemessene Heilungsfrist einzuräumen, sofern der Verstoß behebbar ist und keine erheblichen Risiken für die Rechte und Freiheiten der betroffenen Personen bestehen.

(1) Der Auftragnehmer verarbeitet und nutzt personenbezogene Daten, soweit dies zur Erfüllung der Pflichten des Auftragnehmers aus dem jeweiligen Hauptvertrag im Wege der weisungsgebundenen Auftragsverarbeitung im Sinne von Art. 28 DSGVO für den Auftraggeber (nachstehend: „Auftragsverarbeitung") erforderlich ist.

(2) Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten sind folgende Datenarten / -kategorien:

• Personenstammdaten
• Kommunikationsdaten (z.B. Telefon, E-Mail)
• Vertragsstammdaten (Vertragsbeziehung, Vertragsinteresse)
• Nutzungsdaten der Plattform (Login-Zeiten, IP-Adresse, Browser/User-Agent)
• Lern- und Prüfungsdaten (bearbeitete Kurse, Lernfortschritt, Prüfungsergebnisse, Teilnahmebescheinigungen)

Eine ausführliche Konkretisierung mit Zweckbestimmung enthält Anlage 1.

(3) Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst:

• Beschäftigte
• Ansprechpartner
• Ehrenamtliche und externe Mitarbeitende des Auftraggebers, soweit unterweisungspflichtig
• Administratoren des Auftraggebers

(4) Die Verarbeitung und Nutzung der personenbezogenen Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DSGVO erfüllt sind.

(5) Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO werden im Rahmen der vertragsgemäßen Nutzung nicht verarbeitet. Eine solche Verarbeitung ist ausgeschlossen, soweit nicht im Einzelfall ausdrücklich schriftlich vereinbart.

(1) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(2) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen [Einzelheiten in Anlage 3].

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/ Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Zum Zeitpunkt der AVV-Vereinbarung werden durch den Auftragnehmer die in Anlage 4 benannten Unterauftragnehmer eingesetzt.

(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(4) Dem Unterauftragnehmer werden im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter festgelegt sind (vgl. Art. 28 Abs. 4 S. 1 DSGVO). Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(5) Eine weitere Auslagerung durch den Unterauftragnehmer ist nicht gestattet.

(6) Kontrollrechte gegenüber Unterauftragnehmern: Der Auftragnehmer stellt durch geeignete vertragliche Regelungen sicher, dass der Auftraggeber die Einhaltung der Pflichten aus Art. 28 DSGVO auch beim Unterauftragnehmer prüfen kann. Insbesondere räumt der Auftragnehmer dem Auftraggeber oder einem von diesem beauftragten und zur Berufsverschwiegenheit verpflichteten Prüfer Auskunfts-, Einsichts- und Kontrollrechte gegenüber dem Unterauftragnehmer ein. Vor-Ort- Prüfungen sind nach angemessener Vorankündigung während der üblichen Geschäftszeiten möglich. Auf Verlangen weist der Auftragnehmer dem Auftraggeber die entsprechenden vertraglichen Regelungen mit dem Unterauftragnehmer in geeigneter Form nach (z. B. durch Vorlage relevanter Vertragsauszüge unter Schwärzung von Geschäftsgeheimnissen).

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO, aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

(4) Gemäß den anwendbaren Datenschutzvorschriften unterliegen der Auftraggeber und der Auftragnehmer öffentlichen Kontrollen durch die zuständige Aufsichtsbehörde. Der Auftragnehmer unterwirft sich zusätzlich zu der für ihn bestehenden gesetzlichen Datenschutzaufsicht der Kontrolle der für den Auftraggeber bestehenden Datenschutzaufsicht und der Kontrolle durch die/den Datenschutzbeauftragten des Auftraggebers mit Ausnahme der Bereiche, die keinerlei Bezug zur Auftragserfüllung haben. Der Auftragnehmer wird insbesondere auf Verlangen des Auftraggebers ihm selbst oder der Aufsichtsbehörde unmittelbar alle Informationen im Zusammenhang mit diesem Vertrag geben und entsprechende Auskünfte erteilen und der Aufsichtsbehörde die Möglichkeit einräumen, Prüfungen in demselben Umfang durchzuführen, wie sie die Aufsichtsbehörde bei dem Auftraggeber durchführen darf. Der Auftragnehmer verpflichtet sich, der zuständigen Aufsichtsbehörde auch in diesem Rahmen alle erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte zu gewähren. Falls die Aufsichtsbehörde beim Auftragnehmer Kontrollhandlungen, Ermittlungen oder Maßnahmen durchführt, die Auftraggeber-Daten betreffen, hat der Auftragnehmer den Auftraggeber darüber so früh wie möglich und in der Regel unverzüglich nach Erhalt der Ankündigung der Aufsichtsmaßnahmen durch die Behörde zu informieren. Des Weiteren verpflichtet er sich, die Regelungen des jeweiligen Landesdatenschutzgesetzes zu befolgen.

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,
2. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden,
3. die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen,
4. die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung,
5. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

(2) Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

(1) Der Umgang mit den personenbezogenen Daten im Rahmen der Auftragsverarbeitung erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers (vgl. Art. 28 Abs. 3 DSGVO). Weisungsberechtigt sind alle vom Auftraggeber schriftlich benannten, sowie alle gesetzlich vertretungsberechtigten Personen. Die Benennung der weisungsberechtigten Personen des Auftraggebers und der weisungsempfangenden Personen des Auftragnehmers erfolgt mittels Formblatt (Anlage 2). Eine Aktualisierung der benannten Personen erfordert keinen Nachtrag zu dieser Vereinbarung; sie erfolgt allein durch Austausch des Formblatts. Bis zum Zugang einer aktualisierten Fassung gilt die zuletzt benannte Person als weiterhin zuständig. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, welches er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.

(2) Mündliche Weisungen des Auftraggebers wird dieser unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(3) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

(4) Aktualisierung der Personen: Jede Partei ist verpflichtet, Änderungen der von ihr benannten Personen (Neubenennung, Vertretung, Nachfolge, Ausscheiden) der jeweils anderen Partei unverzüglich, spätestens innerhalb von zehn (10) Werktagen, durch ein aktualisiertes Formblatt mitzuteilen.

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des jeweiligen Hauptvertrages – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber nach dessen Wahl auszuhändigen oder datenschutzgerecht zu vernichten. Die Entscheidung zwischen Rückgabe und Löschung trifft ausschließlich der Auftraggeber. Er teilt seine Wahl dem Auftragnehmer spätestens dreißig (30) Kalendertage vor dem regulären Vertragsende, bei außerordentlicher Beendigung unverzüglich, schriftlich oder per E-Mail mit. Die Rückgabe erfolgt in einem gängigen, strukturierten und maschinenlesbaren Format. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

(2a) Erfolgt keine Wahl des Auftraggebers innerhalb der genannten Frist, ist der Auftragnehmer berechtigt – aber nicht verpflichtet – nach Ablauf einer weiteren Frist von dreißig (30) Tagen die Daten zu löschen. Vor Löschung weist der Auftragnehmer den Auftraggeber nochmals schriftlich oder per E-Mail auf die bevorstehende Löschung hin. Die Löschung wird durch eine Löschbestätigung mit Löschdatum, Verfahren und betroffenen Datenkategorien dokumentiert.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

(1) Der Auftragnehmer trifft geeignete Vorkehrungen, um die Verfügbarkeit, Integrität und Rückgabefähigkeit der im Auftrag verarbeiteten personenbezogenen Daten auch im Falle von wirtschaftlichen Schwierigkeiten, insbesondere bei drohender Zahlungsunfähigkeit, Insolvenz, Liquidation, Geschäftsaufgabe oder Betriebsübergang, sicherzustellen.

(2) Der Auftragnehmer verpflichtet sich insbesondere:

• den Auftraggeber unverzüglich, spätestens innerhalb von fünf (5) Werktagen, schriftlich oder per E-Mail zu informieren, sobald ein Insolvenzantrag gestellt wird, ein Insolvenzeröffnungsverfahren eingeleitet wird, ein vorläufiger Insolvenzverwalter bestellt wird oder vergleichbare Maßnahmen drohen oder eingeleitet sind;
• dem Auftraggeber im Falle eines solchen Ereignisses unverzüglich auf Verlangen einen vollständigen Export sämtlicher im Auftrag verarbeiteter Daten in einem gängigen, strukturierten und maschinenlesbaren Format zur Verfügung zu stellen;
• durch geeignete vertragliche oder technische Vorkehrungen (z. B. Hinterlegung von Backups, Treuhandlösungen, Notfall-Zugangsverfahren) sicherzustellen, dass der Auftraggeber auch bei Ausfall des Auftragnehmers Zugriff auf die zur Wiederherstellung notwendigen Daten und Konfigurationen erhält.

(3) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage – mindestens einmal jährlich – einen Überblick über die getroffenen Vorkehrungen zur Verfügung.

(1) Änderungen oder Ergänzungen dieser Vereinbarung einschließlich dieser Klausel bedürfen zu ihrer Wirksamkeit der Schriftform, soweit in dieser Vereinbarung nichts Abweichendes geregelt ist (insbesondere § 9 Abs. 1 zur Aktualisierung weisungsberechtigter Personen).

(2) Sollte eine Bestimmung dieser Vereinbarung unwirksam oder lückenhaft sein oder werden, berührt dieser Umstand die Wirksamkeit oder Vollständigkeit der Vereinbarung im Übrigen nicht. Die Vertragspartner werden anstelle der unwirksamen oder lückenhaften Bestimmung eine Regelung vereinbaren, die wirtschaftlich oder rechtlich den mit dieser Vereinbarung verfolgten Zwecken und den Vorstellungen der Vertragspartner in gesetzlich erlaubter Weise am nächsten kommt.

(3) Es gilt das Recht der Bundesrepublik Deutschland.