Ihre Browserversion ist veraltet. Wir empfehlen, Ihren Browser auf die neueste Version zu aktualisieren.

Vertrag zur Verarbeitung von Daten (DSGVO) im Auftrag zwischen Auftraggeber und 1A-Control-Service GmbH  (gemeinsam nachfolgend: „die Parteien“)

 

Vertrag zur Verarbeitung von Daten im Auftrag, von ... zwischen siehe Angaben zum Auftraggeber und 1A-Control-Service GmbH  (gemeinsam nachfolgend: „die Parteien“)

1 Ziel dieses Vertrages

Mit diesem (Rahmen-)Vertrag zur Verarbeitung von Daten im Auftrag (nachfolgend  „(Rahmen-)AV-Vertrag“ genannt) beabsichtigen die Parteien ihre datenschutzrechtlichen Rechte und Pflichten in Bezug auf die durch den Auftragnehmer im Auftrag des Auftraggebers verarbeiteten Daten zu regeln und somit die gesetzlichen Anforderungen, insbesondere des Bundesdatenschutzgesetzes („BDSG“) und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („DSGVO“) (vgl. dort die Anforderungen des Art. 28 Abs.3 DSGVO) zu erfüllen. Dieser (Rahmen-)AV-Vertrag findet Anwendung auf alle Tätigkeiten, bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten des Auftraggebers im Auftrag des Auftraggebers verarbeiten.

Hierzu vereinbaren die Parteien Folgendes:

2 Gegenstand und Dauer der  Auftragsverarbeitung, Laufzeit

1. Dieser (Rahmen-)AV-Vertrag regelt  die datenschutzrechtlichen Rechte und Pflichten der Parteien in Bezug auf die durch den Auftragnehmer im Auftrag des Auftraggebers erhobenen, verarbeiteten oder genutzten personenbezogenen Daten des Auftraggebers, im Rahmen der Leistungsbeschreibungen und der jeweiligen zwischen den Parteien geschlossenen vertraglichen Vereinbarungen (insbesondere Geschäftsbedingungen des Auftragnehmers, Bestellungen von Agenda-Anwendungen und IT-Lösungen sowie (Einzel-)Verträge über individuelle Leistungen).  Dieser (Rahmen-)AV-Vertrag konkretisiert insbesondere die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus den Leistungsbeschreibungen zum jeweiligen Hauptvertrag im Einzelnen beschriebener Leistung ergeben.

2. Eine weitergehende Beauftragung durch den Auftraggeber kann darüber hinaus durch weitere Einzelverträge geregelt werden. Die Modalitäten der Auftragsverarbeitung im Zusammenhang mit Einzelverträgen sind in den jeweiligen Verträgen geregelt. Der vorliegende (Rahmen-)AV-Vertrag bildet dann in Verbindung mit der Beschreibung der technischen und organisatorischen Maßnahmen und der jeweiligen Leistungsbeschreibung jeweils einen eigenen Einzel-AV-Vertrag.

3. Bei etwaigen Widersprüchen zwischen Leistungsbeschreibungen oder Regelungen in Einzelverträgen haben die Bestimmungen dieses (Rahmen-) AV-Vertrages Vorrang. Abweichende Regelungen haben nur dann Vorrang vor diesem (Rahmen-)AV-Vertrag, wenn sie ausdrücklich auf diesen (Rahmen-)AV-Vertrag Bezug nehmen.

4. Dieser (Rahmen-)AV-Vertrag gilt für die Dauer des Hauptvertrages. Die Laufzeit der jeweiligen Einzel-AV richtet sich nach der Dauer des Einzelvertrages. Soweit durch den Auftragnehmer faktisch über die Laufzeit des (Rahmen-) AV-Vertrages oder einer Einzel-AV hinaus personenbezogene Daten des Auftraggebers verarbeitet werden, gelten die vertraglichen Vereinbarungen zur Zweckbindung und Einhaltung der technischen und organisatorischen Maßnahmen fort.

3 Anwendungsbereich und Verantwortlichkeit

 1. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Gegenstand der Auftragsverarbeitung, Art der Daten, Art und Zweck der Datenverarbeitung (Erhebung, Verarbeitung und Nutzung personenbezogener Daten) werden im Hauptvertrag ggfs. in Verbindung mit dem jeweiligen Einzelvertrag und der dazugehörigen Leistungsbeschreibung konkretisiert.

2. Dem Auftraggeber ist bewusst, dass er im Rahmen des Hauptvertrages als verantwortliche Stelle („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO) alleine die Verantwortung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere die Verantwortung für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer, sowie die Rechtmäßigkeit der Datenverarbeitung trägt.

3. Dem Auftraggeber steht die Weisungsbefugnis aus dem Hauptvertrag zu. Die Weisungen werden durch den Hauptvertrag festgelegt und können vom Auftraggeber in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden („Einzelanweisung“). Weisungen, die im Hauptvertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich in Schriftform zu bestätigen.

4 Pflichten des Auftragnehmers

 1. Der Auftragnehmer darf Daten nur im Rahmen des in der jeweiligen Leistungsbeschreibung genannten Zwecks bzw. gemäß der Vereinbarungen im Hauptvertrag sowie des jeweiligen Einzelvertrages gemäß der Weisungen des Auftraggebers verarbeiten, sofern nicht ein Ausnahmefall nach Art. 28 Abs.3 lit.a DSGVO vorliegt. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen anwendbare Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber schriftlich bestätigt oder geändert wird. Sofern der Auftragnehmer der Auffassung ist, dass eine weisungsgerechte Verarbeitung zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, ist er berechtigt, die weitere Verarbeitung bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.

2. Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis Art. 36 DSGVO genannten Pflichten. Der Auftragnehmer ist berechtigt, dem Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde.

3. Die vom Auftragnehmer mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen werden vom Auftragnehmer auf die Wahrung des Datengeheimnisses verpflichtet. Den Mitarbeitern des Auftragnehmers wird dabei untersagt, Daten des Auftraggebers außerhalb der Weisung zu verarbeiten. Die Mitarbeiter sind vertraglich dazu verpflichtet, Daten des Auftraggebers vertraulich zu behandeln. Diese Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

4. Der Auftragnehmer nennt dem Auftraggeber einen Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Soweit gesetzlich vorgeschrieben wird der Auftragnehmer einen Beauftragten für Datenschutz bestellen. Als Beauftragter für den Datenschutz ist beim Auftragnehmer bestellt: Detlef Zelinski

Ein Wechsel des Beauftragten für den Datenschutz bzw. des genannten Ansprechpartners für Datenschutzfragen ist dem Auftraggeber unverzüglich mitzuteilen.

5. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

6. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer, den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. Der Auftragnehmer ist berechtigt, dem Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde.

5 Pflichten des Auftraggebers

 1. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

2. Der Auftraggeber nennt dem Auftragnehmer auf Anfrage einen ausreichend bevollmächtigten Ansprechpartner für sämtliche im Rahmen des (Rahmen-)AV-Vertrages anfallende Datenschutzfragen. Ein Wechsel des Ansprechpartners ist dem Auftragnehmer vom Auftraggeber unverzüglich mitzuteilen.

3. Sollte der Auftragnehmer durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO in Anspruch genommen werden, verpflichtet sich der Auftraggeber, den Auftragnehmer bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

6 Technische und organisatorische Maßnahmen zum Datenschutz  (Art.  32 DSGVO)

 1. Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den Anforderungen des Datenschutzes im erforderlichen Maße gerecht wird. Hierfür wird der Auftragnehmer technische und organisatorische Maßnahmen zum angemessenen Schutz der im Auftrag des Auftraggebers verarbeiteten Daten treffen, die den Anforderungen des Art. 32 DSGVO genügen, insbesondere die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung sicherstellen. Der Auftragnehmer wird, um seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, die Wirksamkeit seiner technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung regelmäßig überprüfen.

2. Der Auftragnehmer hat sein Sicherheitskonzept vorgelegt, welches alle Aspekte der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO beschreibt. Dem Auftraggeber sind diese Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese ein angemessenes Schutzniveau für das Risiko der mit dem Auftragnehmer vereinbarten Verarbeitungsvorgängen einhalten. Der Auftragnehmer ist berechtigt, die Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich ist, insbesondere die entsprechend Art. 32 DSGVO getroffenen Sicherheitsmaßnahmen jederzeit zu ändern, sofern sichergestellt ist, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer wird den Auftraggeber über wesentliche Überarbeitungen des Sicherheitskonzepts informieren.

7 Berichtigung, Löschung und  Sperrung von Daten

 1. Der Auftragnehmer hat nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren, sofern dies vom Weisungsrahmen des Auftraggebers umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber. Der Auftragnehmer ist berechtigt, dem Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde.

2. Nach Beendigung des Auftrages wird der Auftragnehmer auf Verlangen des Auftraggebers alle Daten löschen oder herausgeben. Der Auftragnehmer ist berechtigt, dem Auftraggeber die für eine Herausgabe der Daten bzw. die bei abweichenden Vorgaben des Auftraggebers für eine Herausgabe oder Löschung der Daten entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde.

3. Soweit eine gesetzliche Aufbewahrungsfrist einer Löschung entgegensteht, werden die Daten erst nach Ablauf der gesetzlichen Aufbewahrungsfrist gelöscht.

8 Begründung von Unterauftragsverhältnissen

 1. Die Begründung von Unterauftragsverhältnissen mit verbundenen Unternehmen oder Dritten (d.h. mit Dienstleistern, die den Auftragnehmer bei der Leistungserbringung unterstützen und dabei Zugriff auf die Daten erhalten, z.B. Rechenzentren) ist dem Auftragnehmer jederzeit gestattet. Über beabsichtigte Beauftragungen weiterer verbundener Unternehmen oder Dritter bzw. entsprechende Änderungen ist der Auftraggeber zu informieren. Nicht als Unterauftragsverhältnisse im Sinne Ziff. 8 sind solche Dienstleistungen zu verstehen, die der Auftragnehmer als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt und bei denen eine Verarbeitung von personenbezogenen Daten ausgeschlossen ist.

2. Der Auftragnehmer wird mit den Unterauftragnehmern Regelungen zur Auftragsdatenverarbeitung treffen, die mindestens den Anforderungen der vorliegenden Bedingungen entsprechen. Insbesondere wird der Auftragnehmer die Unterauftragnehmer verpflichten, die Weisungen des Auftraggebers zu beachten, ihm Informationen zu erteilen, erforderlichenfalls auch Einsicht in relevante Vertragsunterlagen zu geben, sowie im Rahmen des Erforderlichen Kontrollmaßnahmen entsprechend Ziff. 8 dieses (Rahmen-) AV-Vertrags zu gestatten.

3. Der Auftragnehmer ist berechtigt, personenbezogene Daten des Auftraggebers an Unterauftragnehmer in einem Drittland zu übermitteln, sofern die zwingenden gesetzlichen Vorschriften für Datenexporte in Drittländer erfüllt sind. Hierzu sind ferner dem Auftraggeber die erforderlichen Angaben und Informationen vorab zur Verfügung zu stellen.

9 Nachweismöglichkeiten und  Kontrollrechte

 1. Der Auftragnehmer hat dem Auftraggeber auf dessen Verlangen gegen Aufwandsentschädigung innerhalb angemessener Frist die Einhaltung seiner Pflichten nach diesem (Rahmen-)AV-Vertrag mit geeigneten Mitteln seiner Wahl, beispielsweise durch Durchführung eines Selbstaudits, Vorlage eines aktuellen Testats, durch Berichten oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) Zertifikate zum Datenschutz und/oder Informationssicherheit  (z.B. nach BSI-Grundschutz oder ISO 270001) oder Zertifikate nach Art. 42 DSGVO nachzuweisen.

2. Sollten im Einzelfall Kontrollen des Auftraggebers oder durch einen von diesem auf seine Kosten beauftragten Prüfers zur Einhaltung der Pflichten dieses (Rahmen-)AV-Vertrags, insbesondere der getroffenen technischen und organisatorischen Maßnahmen, erforderlich sein, werden diese zu den üblichen Geschäftszeiten des Auftragnehmers, ohne Störung dessen Betriebsablaufs, nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf Kontrollmaßnahmen des Auftraggebers von der vorherigen Anmeldung mit angemessener Vorlaufzeit und Benennung mindestens dreier alternativer Termine sowie von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Kontrollen des Auftraggebers vor Ort sind im Regelfall auf einen Tag pro Kalenderjahr zu begrenzen.

3. Der Auftragnehmer ist berechtigt, dem Auftraggeber die für Kontrollmaßnahmen entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde. Dies gilt auch für Inspektionen oder Kontrollen des Auftraggebers durch eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde.

10 Anfragen betroffener Personen

 1. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Löschung seiner Daten oder Auskunft wenden sollte, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer wird das Ersuchen des Betroffenen unverzüglich an den Auftraggeber weiterleiten.

2. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer ist berechtigt, dem Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde.

3. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

11 Maßnahmen Dritter oder Rechte Dritter im Hinblick auf Daten

Sollten Gegenstände, die Daten enthalten, durch Maßnahmen Dritter (etwa Pfändungen oder Beschlag-nahmungen) oder von Rechten Dritter (Sicherungsübereignung) betroffen sein, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung liegen.

12 Pseudonymisierungsvereinbarung

Die 1A-Control-Service GmbH hat das Recht, die von dieser Vereinbarung betroffenen personenbezogenen Daten für eigene Zwecke zu verwenden, sofern die primären Identifikationsmerkmale der personenbezogenen Daten soweit entfernt werden, wie dies für den jeweiligen Datenverarbeitungsvorgang möglich ist und die Identifikationsmerkmale zur Wiederherstellung eines Personenbezuges gesondert aufbewahrt und gesichert werden (Pseudonymisierung). Unter Wahrung der Pseudonymität kann die 1A-Control-Service GmbH die so entstandenen Daten, insbesondere für Maßnahmen der Qualitätssicherung, Produktentwicklung, statistische Auswertungen oder vergleichbare Zwecke verarbeiten und nutzen. 1A-Control-Service GmbH wird mit angemessenen technischen und organisatorischen Maßnahmen dafür sorgen, dass die aggregierten Daten nicht mit den Daten zusammengeführt werden, die eine Re-Identifizierung ermöglichen.

13 Supportanfragen/Wartung und Pflege  von Systemen des Auftraggebers

Im Rahmen des Hauptvertrages bzw. in Verbindung mit dem Hauptvertrag führt der Auftragnehmer auf Anfrage vom Auftraggeber von Zeit zu Zeit Wartungs- und/oder Pflegeleistungen, insbesondere Supportleistungen durch. Hierfür ist manchmal der Fernzugriff auf Systeme (Client- und Server-Rechner, manchmal integrierte Dritt-Lösungen) beim Auftraggeber nötig. Erhält der Auftragnehmer vom Auftraggeber hierbei, insbesondere im Rahmen von Supportanfragen, Daten, die einen Zugang bzw. Zugriff auf Systeme des Auftragnehmers (insbesondere TeamViewer Zugangsdaten bzw. Permanentzugänge, Windows und/oder Agenda-Benutzernamen und -Passwörter) ermöglichen (im Weiteren: „Zugangsdaten“), verpflichtet sich der Auftragnehmer seine Betriebsabläufe so zu gestalten, dass diese Zugangsdaten vor unbefugter Kenntnisnahme Dritter angemessen geschützt werden. Sofern keine abweichende Weisung des Auftraggebers erfolgt, ist der Auftragnehmer berechtigt, Zugangsdaten für zukünftige, in Absprache mit dem Auftraggeber, oder auf dessen Weisung durchzuführende Wartungs- und Pflegeleistungen zu speichern, sofern er angemessene technische und organisatorische Maßnahmen zum Schutz dieser Zugangsdaten trifft.  

14 Haftung

1. Die zwischen den Parteien im Hauptvertrag getroffene Haftungsregelung gilt auch für die vorliegende Auftragsverarbeitung, sofern nicht ausdrücklich eine abweichende Vereinbarung getroffen wurde.

2. Soweit durch eine unzulässige oder unrichtige Datenverarbeitung im Rahmen dieses Auftragsdatenverarbeitungsverhältnisses ein Schaden entsteht und dieser Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist, haftet hierfür alleine der Auftraggeber. Der Auftraggeber stellt den Auftragnehmer auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der konkreten Umsetzung der beauftragten Dienstleistung oder der vom Auftraggeber erteilten Weisung gegen den Auftragnehmer erhoben werden. Unter diesen Voraussetzungen ersetzt der Auftraggeber dem Auftragnehmer ebenfalls sämtliche entstandenen Kosten der Rechtsverteidigung.

15 Beginn der Vereinbarung, Aufhebung bisheriger Vereinbarungen

1. Dieser Vertrag tritt mit Bestätigung des Vertragsschlusses durch den Auftraggeber, frühestens jedoch am 28.05.2018, in Kraft. Die Bestätigung des Vertragsschlusses durch den Auftraggeber kann gemäß Art. 28 DSGVO in einem elektronischen Format erfolgen.

2. Die Parteien vereinbaren einvernehmlich, dass zeitgleich mit dem in Ziff. 15.1 genannten Beginn dieses Vertrages die bisher zwischen den Parteien bestehenden Vereinbarungen zur Auftragsdatenverarbeitung im Sinne von § 11 BDSG einvernehmlich aufgehoben und durch den vorliegenden Vertrag ersetzt werden.

16 Schlussbestimmungen

1. Änderungen und Ergänzungen dieses (Rahmen-)AV-Vertrags und aller seiner Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

2. Es gilt deutsches Recht.

3. Den Parteien ist bekannt, dass insbesondere durch die ab 25.05.2018 in Kraft tretende DSGVO Anpassungen dieses (Rahmen-)AV-Vertrages notwendig werden können, um den gesetzlichen Vorgaben zum Datenschutz zu entsprechen. Die Parteien verpflichten sich, rechtzeitig alle Maßnahmen zu ergreifen bzw. bei Maßnahmen mitzuwirken, die erforderlich oder zweckdienlich sind, um auch nach dem 25.05.2018 sämtliche datenschutzrechtlichen Anforderungen zu erfüllen. Dies gilt insbesondere für Vertrags- oder Verfahrensänderungen sowie für die Durchführung, die Einrichtung und den Nachweis ausreichender technischer und organisatorischer Maßnahmen. Ziel dabei ist es, dass die Verarbeitung personenbezogener Daten im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet wird.

4. Sollten eine Bestimmung oder Teile dieses (Rahmen-)AV-Vertrags unwirksam sein, wird die Wirksamkeit der übrigen Bestimmungen davon nicht berührt. Die Parteien verpflichten sich, anstelle der unwirksamen Bestimmung eine der unwirksamen Bestimmung möglichst nahe kommende, wirksame Bestimmung zu vereinbaren.

Vertrag zur Verarbeitung von Daten (DSGVO)