Auftragsverarbeitungsvertrag
zwischen
der
Verantwortliche
Nutzer des Dienstes
als Verantwortlicher
und
F3 Netze e.V.
Am Hafen 6
97437 Haßfurt
als Auftragsverarbeiter.
Der Auftragsverarbeiter verarbeitet aufgrund einer Gefälligkeit ohne primären Anspruch des Verantwortlichen personenbezogene Daten (pbD) für den Verantwortlichen. Zweck der Verarbeitung und Inhalt der Verarbeitung, ergeben sich aus der Funktion des jeweils genutzten Dienstes in der jeweils erbrachten Form. Die Dauer der Verarbeitung richtet sich nach der Dauer der Inanspruchnahme oder Bereitstellung, je nachdem was früher endet.
Folgende Arten pbD werden verarbeitet:
- technische Daten wie IP-Adressen
- Nutzerkennungen
- Inhaltsdaten
Die Verarbeitung der pbD dient folgenden Zwecken:
- Erbringung des vom Verantwortlichen in Anspruch genommenen Dienstes
- Sicherstellung der IT-Sicherheit
Die Verarbeitung erfolgt lediglich im Rahmen des zu Grunde liegenden Rechtsverhältnisses sowie dieses Vertrages.
Die Verarbeitung erfolgt nur auf dokumentierte Weisung des Verantwortlichen, wobei auch die Regelungen dieses Vertrags und des zu Grunde liegenden Rechtsverhältnisses als solche gelten uns die konkludent durch Dienstenutzung erklärten Weisungen auch als dokumentierte Weisungen dienen. Weitere Dokumentation erfordert mindestens Textform oder, im Falle der Notwendigkeit unverzüglichen Handelns, eine unverzügliche Bestätigung in Textform. Vorstehendes gilt auch in Bezug auf die Übermittlung pbD an ein Drittland oder an eine internationale Organisation, sofern nicht der Auftragsverarbeiter durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zu der Übermittlung verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragsverarbeiter verpflichtet sich auf die einschlägigen Inhalte der Absätze 2 und 4 von Art. 28 DSGVO hinsichtlich der Nutzung weiterer Auftragsverarbeiter. Zum Zeitpunkt des Vertragsschlusses sind folgende weiteren Auftragsverarbeiter vereinbart:
| Auftragsverarbeiter | Tätigkeit |
|---|---|
| siehe jeweilige Dienstebeschreibung | siehe jeweilige Dienstebeschreibung |
Der Verantwortliche stimmt der Hinzuziehung dieser und den Anforderungen entsprechender weiterer Auftragsverarbeiter zu, sofern er nicht nach einer Information über eine beabsichtigte Änderung zeitnah Einspruch erhebt.
Der Auftragsverarbeiter unterstützt je nach konkreter Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen.
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.
Der Auftragsverarbeiter wird nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben und die vorhandenen Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Regelmäßig wird eine Rückgabe wegen fehlender dezidierter Datenträger nicht in Betracht kommen. Für diesen Fall stimmt der Verantwortliche bereits jetzt der Löschung statt Rückgabe zu.
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden und trägt hierzu bei. Der Verantwortliche hat bei der Durchführung von Inspektionen auf die Belange des Auftragsverarbeiters Rücksicht zu nehmen. Dieses gilt insbesondere auch bei der Auswahl eines Prüfers, welcher auf Verschwiegenheit zu Gunsten des Auftragsverarbeiters zu verpflichten ist. Soweit die Überprüfungen oder Inspektionen ein für die Beziehung zwischen den Parteien übliches Maß überschreiten, hat der Auftragsverarbeiter einen Aufwandserstattungsanspruch in Höhe der üblichen Vergütungssätze.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen diese Verordnung oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.
Der Auftragsverarbeiter setzt angemessene technische und organisatorische Maßnahmen um, um den Schutz der pbD sicherzustellen. Als Mindestschutzniveau vereinbaren die Parteien hierzu folgendes:
- eigenübliche Sorgfalt des Auftragsverarbeiters
Da die Dienste des Auftragsverarbeiters grundsätzlich auch anonym wahrgenommen werden können, ist die Wahrnehmung der Rechte des Veranwortlichen abhängig von der identifizierten Inanspruchnahme der Dienste je nach den Umständen des Einzelfalls.
Die Haftung des Auftragsverarbeiters ist beschränkt auf Vorsatz und grobe Fahrlässigkeit, soweit nicht eine Verletzung des Körpers oder des Lebens anspruchsbegründend ist. Haftungsmaßstab ist eigenübliche Sorgfalt. Die Dienste sind - sofern sie nicht im Einzelfall Clientseitig zusätzliche technische Maßnahmen implementieren - zur Verarbeitung besonderer pbD im Sinne von Art. 9 DSGVO nicht geeignet und bestimmt.
Dieser Vertrag wird in Textform bereitgestellt und durch konkludentes Handeln geschlossen.