Global searching is not enabled.
Skip to main content

Auftragsverarbeitung gemäß Art. 28 DS-GVO



Dieser Auftragsverarbeitungsvertrag findet Anwendung auf die zwischen Ihnen (Verantwortlicher - nachstehend Auftraggeber genannt) und uns, der mip Consult GmbH, Wilhelm-Kabus-Str. 9, 10829 Berlin, HRB 121869, USt.-Identnr. DE249276018 (Auftragsverarbeiter - nachstehend Auftragnehmer genannt) über unsere Schulungsplattform geschlossenen Verträge über Online-Schulungen.

1. Datenverarbeitung in der EU

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.

2. Technisch-organisatorische Maßnahmen

(1) Der Auftragnehmer hat die Umsetzung der nach DS-GVO erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren. Diese Maßnahmen sind Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

(2) Es handelt es sich bei den zu treffenden Vorkehrungen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.

(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

(4) Der Auftragnehmer verpflichtet sich zur Umsetzung und weiteren Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO. Die Prüfung der getroffenen technischen und organisatorischen Maßnahmen durch den Auftraggeber erfolgt im Rahmen seiner Kontrollbefugnisse nach Ziffer 6 dieses Vertrages.

3. Berichtigung, Einschränkung und Löschung von Daten

(1) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich oder bezüglich anderer Betroffenenrechte unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit die Parteien dies in einem Vertrag separat vereinbart haben, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

4. Weitere Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags seine gesetzlichen Pflichten aus Art. 28 bis 33 DS-GVO zu erfüllen; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  1. Sofern gesetzlich erforderlich, erfolgt die schriftliche Bestellung eines Datenschutz-beauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Die Kontaktdaten des Datenschutzbeauftragten des Auftragnehmers sind Punkt 10 dieser Vereinbarung zu entnehmen. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

  2. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO zu wahren. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich durch EU-Recht oder nationales Recht des Auftragsverarbeiters zur Verarbeitung verpflichtet sind.

  3. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

  4. Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

  5. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

  6. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

5. Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

(2) Der Auftraggeber erteilt dem Auftragnehmer die allgemeine Genehmigung, weitere Unterauftragnehmer in Anspruch zu nehmen, wenn

  • mit dem Unterauftragnehmer eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird,

  • der Auftragnehmer den Auftraggeber in Textform informiert ? zum Beispiel per E-Mail/Newsletter bzw. über einen Link -, wenn er die Hinzuziehung weiterer oder die Ersetzung von Unterauftragnehmern beabsichtigt.

Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben, wobei dies nicht ohne wichtigen datenschutzrechtlichen Grund erfolgen darf. Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 14 Tagen nach Bereitstellung der Information über die Änderung gegenüber dem Auftragnehmer in Textform an die unten unter Punkt 10 genannten Kontaktdaten des Datenschutzbeauftragten zu erheben. Im Falle des Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung für den Auftragnehmer nicht zumutbar ist - die Leistung gegenüber dem Auftraggeber innerhalb von 4 Wochen nach Zugang des Einspruchs einstellen und die Leistungsvereinbarung fristlos und mit sofortiger Wirkung kündigen.

(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(5) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Auftragnehmers (mind. Textform) oder einer allgemeinen Genehmigung des Auftragnehmers analog Absatz 2. Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

6. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig (grundsätzlich mindestens zwei Wochen Vorlauf) anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. Betriebs- und Geschäftsgeheimnisse des Auftragnehmers, die dem Auftraggeber bei einer Überprüfung bekannt werden, sind vom Auftraggeber streng vertraulich zu behandeln. Es dürfen keine Aufzeichnungen über solche Geheimnisse gemacht werden, es sei denn, dies ist absolut notwendig, um das Kontrollrecht seitens des Auftraggebers auszuüben.

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Datenschutzbeauftragter, Wirtschaftsprüfer, Revision, IT-Sicherheits-abteilung, Datenschutzauditoren, Qualitäts­auditoren).

(4) Der Zutritt zu den Betriebsstätten des Auftragnehmers erfolgt ausschließlich in ständiger Anwesenheit eines Vertreters des Auftragnehmers. Dieser Vertreter ist befugt zu entscheiden, wie die Überprüfung in dem erforderlichen Umfang ablaufen soll, um Störungen des Geschäftsbetriebs des Auftragnehmers zu vermeiden und die Geheimhaltungspflichten des Auftragnehmers gegenüber Dritten zu wahren.

(5) Regelmäßige Kontrollen durch den Kunden vor Ort sind maximal einmal pro Kalenderjahr zulässig. Zusätzliche Kontrollen durch den Kunden können nur aus einem wichtigen vom Kunden nachzuweisenden Grund durchgeführt werden.


7. Mitteilung bei Verstößen des Auftragnehmers

Wenn nötig, insbesondere weil die relevanten Informationen dem Auftraggeber nicht anderweitig zur Verfügung stehen, und unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragnehmer den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.


  1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen

  2. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden

  3. die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen

  4. die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung

  5. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde


8. Weisungsbefugnis des Auftraggebers

(1) Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).

(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

9. Löschung und Rückgabe von personenbezogenen Daten

(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber ? spätestens mit Beendigung der Leistungsvereinbarung ? hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten, es sei denn, die Rechtsvorschriften der EU oder des nationalen Rechts erfordern die Speicherung personenbezogener Daten.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.



10. Konkretisierung des Auftragsinhalts, Unterauftragnehmer und Datenschutzbeauftragter

Gegenstand des Auftrags

Gegenstand des Auftrags zum Datenumgang ist die Durchführung von Online-Schulungen zu Themen des Datenschutzes und der Informationssicherheit.

Dauer des Auftrags

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Vertrags über die jeweilige Online-Schulung.

Art und Zweck der vorgesehenen Verarbeitung von Daten

Der Auftragnehmer benötigt die Daten, um einen Account für die Bereitstellung der Schulung in seiner Schulungsplattform anzulegen und für die erfolgreiche Durchführung einer Schulung ein Zertifikat (Dokumentation) auszustellen. Die Daten werden online über die Schulungsplattform erhoben und nach Beendigung des Schulungsvertrags gelöscht.

Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen: Mitarbeiter des Kunden, die das Schulungsportal nutzen.

Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:

  • Name des Mitarbeiters

  • E-Mail des Mitarbeiters

  • Anschrift des Unternehmens

  • Vertragsabrechnungs- und Zahlungsdaten

Eingesetzte Unterauftragnehmer

Betrieb, Weiterentwicklung und support des Schulungssystems:

media impuls KG

Plauener Straße 163-165
Haus G
13053 Berlin

Telefon:+49 30 44 35 19 49 0 / Telefax: +49 30 44 35 19 49 50

info@media-impuls.com
www.media-impuls.com



Hosting des Schulungssystems:

netcup GmbH

Daimlerstraße 25

D-76185 Karlsruhe

Telefon: +49 721 / 7540755 - 0 Telefax: +49 721 / 7540755 - 9

Web: www.netcup.de

E-Mail: mail@netcup.de


Datenschutzbeauftragter des Auftragnehmers

Herr Yanick Röhricht, mip Consult GmbH, Wilhelm-Kabus-Str. 9, 10829 Berlin, 030-2088999-00, datenschutz@mip-consult.de