E-Mail oder Benutzername: Passwort: Passwort vergessen?
ODER Login mit Google
  • Kostenlos registrieren
  • Hilfe & Service
Kostenlose Anfrage
Fragen?
Rufen Sie uns an!
Mo - Fr 9:00 bis 18:00 Uhr:
0761 21 609 789-0

Oder schicken Sie uns eine E-Mail an
kundenservice@yourxpert.de

» Kundenservice / Häufige Fragen

Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

Auftragnehmer (Auftragsverarbeiter):

yourXpert GmbH
Friedrichring 40
79098 Freiburg im Breisgau

Auftraggeber (Verantwortlicher)

Experte, der auf yourXpert als solcher registriert ist.

1. Gegenstand und Dauer der Vereinbarung

Der Auftrag umfasst Folgendes:

  • Erbringung von Hosting-, Beratungs- und sonstigen Dienstleistungen gemäß gesondertem Nutzungsvertrag

Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der Zustimmung des Auftraggebers.

Dieser Auftragsverarbeitungssvertrag beginnt mit Annahme der "Besonderen Nutzungsbedingungen für Experten" und endet drei Monate nach Beendigung der Expertentätigkeit des Auftraggebers auf yourXpert.

Der Auftraggeber kann den Vertrag ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

Die Verarbeitung der personenbezogenen Daten erfolgt im Rahmen der Erbringung von Hosting-, Beratungs- und sonstigen Dienstleistungen gemäß gesondertem Nutzungsvertrag.

Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):

Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung bzw. andere Formen der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen und Vernichtung

Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-GVO):

  • Personenbezogene Daten i.S.d. Art. 4 Nr. 1 DS-GVO
  • alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen
  • keine genetischen Daten, keine biometrischen Daten, keine Gesundheitsdaten

Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):

  • Kunden / Interessenten
  • Mitarbeiter
  • Dienstleister und Lieferanten
  • sonstige Vertragspartner des Auftragsgebers

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Der Auftragnehmer leitet Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, an diesen weiter.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen werden gemeinsam zwischen Auftraggeber und Auftragnehmer abgestimmt und schriftlich oder in einem dokumentierten elektronischen Format festgelegt.

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Der Auftraggeber ist berechtigt, sich wie unter Ziffer 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers

Weisungsberechtigte Personen des Auftraggebers sind:

  • Experte, der auf yourXpert als solcher registriert ist.

Weisungsempfänger beim Auftragnehmer sind:

Für Weisung zu nutzende Kommunikationskanäle:

  • Bernhard Finkbeiner, Friedrichring 4079098 Freiburg im Breisgau
    info@yourxpert.de, Telefon: 0761 21 609 789-0
  • Stefan Schütt, Friedrichring 4079098 Freiburg im Breisgau
    info@yourxpert.de, Telefon: 0761 21 609 789-0

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner werden dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitgeteilt. Die Weisungen werden für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufbewahrt.

5. Pflichten des Auftragnehmers

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers wirkt der Auftragnehmer im notwendigen Umfang mit und unterstützt den Auftraggeber soweit möglich in angemessener Art und Weise (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO).

Der Auftragnehmer macht den Auftraggeber darauf aufmerksam, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

Der Auftragnehmer berichtigt, löscht oder schränkt die Verarbeitung an personenbezogene Daten aus dem Auftragsverhältnis ein, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen erteilt der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber.

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).

Der Auftragnehmer wirkt, soweit erforderlich, bei diesen Kontrollen unterstützend mit.

Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz-rechtlichen Vorschriften der DS-GVO bekannt sind.

Der Auftragnehmer wahrt bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragnehmer macht die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut und verpflichtet diese für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer teilt dem Auftraggeber Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer unterstützt den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO in angemessener Art und Weise (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber führt der Auftragnehmer nur nach vorheriger Weisung gem. Ziffer 4 dieses Vertrages durch.

7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer gestattet.

Der Auftragnehmer teilt dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mit. Der Auftragnehmer trägt dafür Sorge, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt.

Zurzeit sind für den Auftragnehmer die in Anlage "Subunternehmern zur Verarbeitung von Daten" mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.

Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).

8. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

Der Auftragnehmer führt bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durch (Art. 32 Abs. 1 lit. d DS-GVO). Das Ergebnis wird dem Auftraggeber mitgeteilt.

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren werden zwischen Auftragnehmer und Auftraggeber abgestimmt.

Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

Wesentliche Änderungen stimmt der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) ab.

9. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

Nach Abschluss der vertraglichen Arbeiten löscht der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, in datenschutzgerechter Art und Weise.

10. Vergütung

Die Vergütung wird gesondert zwischen den Parteien vereinbart.

11. Haftung

Die Haftung ergibt sich aus Art. 82 DS-GVO. Ergänzend gelten die gesetzlichen Vorschriften.

12. Sonstiges

Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Anhang

Subunternehmern zur Verarbeitung von Daten

  • Cortex Media GmbH, Karlstraße 22, 89073 Ulm, Deutschland
    Technischer Dienstleister für das Expertentelefon von yourXpert.