Auftragsverarbeitungsvertrag

—Vertragsparteien

§ 1Gegenstand und Dauer des Vertrags

1. 1.Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Rahmen der Auftragsverarbeitung gemäß Art. 28 DSGVO.
2. 2.Gegenstand ist die Bereitstellung und der Betrieb digitaler Dienste im Bereich internationales Nachlassmanagement.
3. 3.Die Laufzeit richtet sich nach dem zugrundeliegenden Hauptvertrag.

§ 2Art, Zweck und Umfang der Verarbeitung

§ 3Weisungsrecht des Auftraggebers

1. 1.Der Verarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung, sofern er nicht durch EU- oder Mitgliedstaatenrecht dazu verpflichtet ist.
2. 2.Weisungen werden schriftlich oder per E-Mail erteilt. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.
3. 3.Bei Auffassung, dass eine Weisung gegen Datenschutzrecht verstößt, informiert der Verarbeiter den Auftraggeber unverzüglich.

§ 4Pflichten des Verarbeiters

1. 1.Der Verarbeiter wahrt Vertraulichkeit (Art. 28 Abs. 3 lit. b DSGVO).
2. 2.Der Verarbeiter ergreift alle erforderlichen TOMs gemäß Art. 32 DSGVO. Die aktuellen TOMs sind in Anlage 1 dokumentiert.
3. 3.Bei Betroffenenanträgen (Art. 15–22 DSGVO) werden Anfragen unverzüglich, spätestens innerhalb von 48 Stunden, weitergeleitet.

§ 5Einsatz von Unterauftragsverarbeitern

1. 1.Der Verarbeiter ist berechtigt, Unterauftragsverarbeiter einzusetzen. Die aktuell eingesetzten sind in Anlage 2 aufgeführt.
2. 2.Änderungen werden mit mindestens 14 Tagen Vorlauf angekündigt.

§ 6Datenpannen und Meldepflichten

1. 1.Verletzungen des Schutzes personenbezogener Daten werden unverzüglich, spätestens innerhalb von 24 Stunden, gemeldet.
2. 2.Die Meldung enthält: Art der Verletzung, Kategorien und Anzahl betroffener Personen, wahrscheinliche Folgen, ergriffene Abhilfemaßnahmen.

§ 7Verarbeitung in Drittländern

Eine Datenverarbeitung außerhalb der EU/des EWR findet nur statt, soweit erforderlich und ein angemessenes Datenschutzniveau gewährleistet ist. Unterauftragsverarbeiter mit Drittlandtransfer sind in Anlage 2 aufgeführt. Absicherung über EU-US Data Privacy Framework oder SCCs gemäß Art. 46 Abs. 2 lit. c DSGVO.

§ 8Löschung und Rückgabe von Daten

1. 1.Nach Beendigung löscht oder gibt der Verarbeiter auf Wahl alle personenbezogenen Daten zurück.
2. 2.Die Rückgabe erfolgt in einem gängigen, maschinenlesbaren Format (CSV, PDF, JSON).
3. 3.Der Verarbeiter bestätigt die vollständige Löschung schriftlich innerhalb von 14 Tagen nach Vertragsbeendigung.

§ 9Pflichten des Auftraggebers

1. 1.Der Auftraggeber ist allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung (Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO).
2. 2.Der Auftraggeber stellt sicher, dass er über eine geeignete Rechtsgrundlage verfügt und informiert betroffene Personen gemäß Art. 13/14 DSGVO.

§ 10Haftung

Die Haftung richtet sich nach dem Hauptvertrag sowie Art. 82 DSGVO. Der Verarbeiter haftet für Schäden, die durch weisungswidrige Verarbeitung oder Verstöße gegen diesen Vertrag entstehen.

§ 11Laufzeit und Beendigung

1. 1.Dieser Vertrag tritt mit Unterzeichnung in Kraft und läuft parallel zum Hauptvertrag.
2. 2.Nach Vertragsbeendigung gelten die Pflichten aus § 8 (Löschung/Rückgabe) und § 4 Abs. 1 (Vertraulichkeit) fort.

§ 12Schlussbestimmungen

1. 1.Änderungen und Ergänzungen bedürfen der Schriftform.
2. 2.Es gilt deutsches Recht. Gerichtsstand: Mönchengladbach.

—Unterschriften