Verantwortlicher (Kunde):
Der jeweils auftraggebende Kunde (nachfolgend „Verantwortlicher“ genannt)
und
Auftragsverarbeiter:
Prechtl CI GmbH
An der B20, Nr. 1
83404 Ainring
(nachfolgend „Auftragsverarbeiter“ genannt)
Durch die Annahme des Angebots des Auftragsverarbeiters erklärt der Verantwortliche, diesen AVV anzuerkennen und zu akzeptieren. Eine gesonderte Unterzeichnung ist nicht erforderlich.
(1) Der Verantwortliche ist verpflichtet, bei der Inanspruchnahme von Leistungen, die eine Verarbeitung personenbezogener Daten im Sinne der DSGVO einschließen, mit dem Dienstleister einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abzuschließen.
(2) Der Auftragsverarbeiter erbringt für den Verantwortlichen IT-Dienstleistungen, z. B. E-Mail-Archivierung, Serverhosting, Cloud-Backups sowie weitere Managed Services, bei denen personenbezogene Daten verarbeitet werden.
(1) Gegenstand dieses AVV sind sämtliche personenbezogene Daten, die der Verantwortliche im Rahmen der mit dem Auftragsverarbeiter vereinbarten IT-Dienstleistungen verarbeiten lässt, einschließlich E-Mail-Archivierung, Serverhosting, Cloud-Backups und sonstiger Managed Services.
(2) Die Dauer der Verarbeitung richtet sich nach der Laufzeit des zugrundeliegenden Dienstleistungs- oder Hauptvertrags. Dieser AVV endet automatisch mit Beendigung des Vertragsverhältnisses, sofern nicht ausdrücklich etwas anderes vereinbart wird.
(1) Die Art der Verarbeitung umfasst sämtliche für die vertraglich vereinbarten Leistungen erforderlichen Vorgänge wie Erheben (soweit im Auftrag möglich), Speichern, Organisieren, Auslesen, Verwenden, Übermitteln, Sperren, Löschen von personenbezogenen Daten.
(2) Zweck der Verarbeitung ist die Erfüllung der im Hauptvertrag vereinbarten IT-Dienstleistungen des Auftragsverarbeiters, insbesondere zur Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit der Daten.
(1) Es können u. a. folgende Kategorien personenbezogener Daten verarbeitet werden:
(2) Von der Verarbeitung betroffen können Mitarbeiter, Kunden, Lieferanten und sonstige Personen sein, deren Daten der Verantwortliche im Rahmen seiner Tätigkeit verarbeitet.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen (z. B. im Rahmen der vereinbarten Leistungen, per E-Mail oder schriftlich erteilte Weisungen).
(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er der Meinung ist, eine Weisung verstoße gegen geltendes Datenschutzrecht.
(1) Der Auftragsverarbeiter ergreift angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese umfassen insbesondere:
Zugangskontrollen (physisch, logisch)
Zugriffskontrollen (rollenbasierte Berechtigungen, Authentifizierung)
Weitergabekontrollen (verschlüsselte Übertragungen, Protokollierung)
Eingabekontrollen (Protokollierung von Datenverarbeitungsaktivitäten)
Verfügbarkeitskontrollen (Backups, Notfallpläne, Redundanzen)
Trennungskontrollen (logische oder physische Trennung von Daten verschiedener Auftraggeber)
(2) Die TOMs werden regelmäßig überprüft und den aktuellen Gegebenheiten angepasst.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Erfüllung von Betroffenenrechten (Art. 12-23 DSGVO), insbesondere bei Auskunfts-, Berichtigungs-, Löschungs- oder Datenübertragbarkeitsanfragen.
(2) Erhält der Auftragsverarbeiter direkte Anfragen von Betroffenen, leitet er diese unverzüglich an den Verantwortlichen weiter, ohne selbst inhaltlich darauf zu reagieren, es sei denn, der Verantwortliche hat ihn hierzu ausdrücklich angewiesen.
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Meldung von Datenschutzverletzungen gemäß Art. 33, 34 DSGVO, bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35, 36 DSGVO) sowie anderen gesetzlichen Pflichten, soweit dies im Einflussbereich des Auftragsverarbeiters liegt.
(2) Der Auftragsverarbeiter stellt dem Verantwortlichen alle dafür erforderlichen Informationen zur Verfügung und ermöglicht auf Verlangen Audits, soweit diese unter Wahrung von Betriebs- und Geschäftsgeheimnissen zumutbar sind.
(1) Die Beauftragung von Unterauftragsverarbeitern (Subunternehmern) durch den Auftragsverarbeiter ist nur mit Genehmigung des Verantwortlichen zulässig, sofern nicht bereits im Hauptvertrag eine allgemeine Genehmigung erteilt wurde.
(2) Unterauftragsverarbeiter müssen vertraglich mindestens die gleichen Datenschutzstandards einhalten wie in diesem AVV vereinbart.
(1) Eine Übermittlung von personenbezogenen Daten in Drittländer erfolgt nur unter Einhaltung der in Art. 44 ff. DSGVO festgelegten Voraussetzungen (z. B. Angemessenheitsbeschlüsse, Standardvertragsklauseln).
(2) Der Verantwortliche wird vorab über geplante Übermittlungen in ein Drittland informiert, sofern dies nicht bereits im Hauptvertrag geregelt ist.
(1) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, über alle Verletzungen des Schutzes personenbezogener Daten, die dem Auftragsverarbeiter bekannt werden und den Verantwortlichen betreffen.
(1) Nach Beendigung des Auftragsverhältnisses oder auf Weisung des Verantwortlichen löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
(2) Entsprechendes gilt auch für etwaige vorhandene Sicherungskopien, soweit technisch und organisatorisch möglich.
(1) Der Auftragsverarbeiter stellt sicher, dass alle Personen, die Zugriff auf personenbezogene Daten haben, auf Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Verpflichtung unterliegen.
(2) Diese Verpflichtung gilt auch nach Beendigung dieses Vertragsverhältnisses fort.
(1) Die Haftung richtet sich nach den vertraglichen Vereinbarungen des Hauptvertrags sowie den gesetzlichen Bestimmungen.
(2) Der Auftragsverarbeiter haftet für das Verschulden von Unterauftragsverarbeitern wie für eigenes Verschulden.
(1) Änderungen und Ergänzungen dieses AVV bedürfen der Textform.
(2) Sollten einzelne Bestimmungen dieses AVV unwirksam oder undurchführbar sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Anstelle der unwirksamen Regelung tritt eine Regelung, die dem Sinn und Zweck am nächsten kommt.
(3) Es gilt das im Hauptvertrag festgelegte anwendbare Recht. Der Gerichtsstand richtet sich nach den Vereinbarungen des Hauptvertrags.
Stand: 12/2024