Rechtsdokument

Auftragsverarbeitungsvertrag (AVV)

Stand: 17. Juni 2026

Als PDF herunterladen

Dies ist die aktuell gültige Fassung. Frühere Fassungen findest du im Archiv unten.

Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

Zwischen der

cubic solutions GmbH Ringstr. 1 92318 Neumarkt i.d.OPf.

– im Folgenden „Auftragnehmer” bzw. „Auftragsverarbeiter” –

Und dem Auftraggeber (bzw. „Verantwortlichen”)

wird folgende Vereinbarung geschlossen:

1. Zusammenarbeit und Auswahl des Auftragsverarbeiters

Mit Begriffen wie „Auftragsverarbeiter” können Personen männlichen und weiblichen Geschlechts gleichermaßen gemeint sein; aus Gründen der einfacheren Lesbarkeit wird im Folgenden nur die männliche Form verwendet. „Auftragsverarbeiter” und andere männliche Begriffe sind generisch maskuline Personenbezeichnungen, die so dem Gesetz entnommen wurden.

  • Zwischen dem Auftraggeber und der cubic solutions GmbH als Auftragnehmer besteht eine Zusammenarbeit über Leistungen im IT-Umfeld. Da es im Rahmen der Durchführung dieser Leistungen möglich oder für die Auftragserfüllung notwendig ist, dass der Auftragnehmer Zugriff auf personenbezogene Daten erhält, bedarf es gemäß Art. 28 Abs. 3 DS-GVO zwischen dem Auftraggeber als Verantwortlichen und dem Auftragnehmer als Auftragsverarbeiter einer vertraglichen Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag.
  • Der Auftragsverarbeiter hat die DS-GVO in seinem Unternehmen umgesetzt. Hierüber existiert eine umfangreiche Dokumentation, die beim Auftragsverarbeiter eingesehen werden kann. Damit erfüllt der Auftragsverarbeiter die Anforderungen nach Art. 28 Abs. 1 DS-GVO.
  • Die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie die Wahrung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO obliegt allein der Verantwortung des Auftraggebers.

2. Gegenstand und Dauer des Auftrags

  • Der Auftragnehmer erbringt seine Leistungen für den Auftraggeber auf der Grundlage der seitens des Auftraggebers erteilten Aufträge oder der zwischen den Parteien geschlossenen Dienstleistungsverträge.
  • Für den Fall, dass die Leistungen Microsoft Onlinedienste zum Inhalt haben, regeln dabei der zwischen Microsoft und dem Auftraggeber geschlossene Microsoft Kundenvertrag und das zwischen dem Auftragnehmer und Microsoft geltende Microsoft Partner Agreement die Leistungserbringung.
  • Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers gemäß dem vorliegenden Vertrag.
  • Die Vertragslaufzeit richtet sich nach der Laufzeit der erteilten Aufträge oder der geschlossenen Dienstleistungsverträge.
  • Darüber hinaus ist eine vorzeitige Beendigung dieses Auftrags, ohne Einhaltung einer Kündigungsfrist im Falle einer schwerwiegenden Verletzung von gesetzlichen oder vertraglichen Datenschutzbestimmungen zulässig, sofern ein Festhalten an dieser Vereinbarung für die jeweilige Vertragspartei nicht zumutbar ist.
  • Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt eine schwerwiegende Verletzung dar.

3. Form der Auftragserteilung

  • Der Auftraggeber erteilt seine Aufträge, Teilaufträge und Weisungen schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen werden unverzüglich schriftlich oder in einem dokumentierten elektronischen Format bestätigt.
  • Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich festzulegen.

4. Art und Zweck der Verarbeitung, Kategorien betroffener Personen

  • Der Umfang, die Art und der Zweck der Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten richtet sich nach den zwischen den Parteien konkret vereinbarten Leistungen und den Bestimmungen und Vorgaben des Microsoft Partner Agreements. Der Auftragnehmer erbringt für den Auftraggeber die Leistungen, die in den erteilten Aufträgen beschrieben sind.
  • Der Auftraggeber ist dafür verantwortlich, die Datenkategorien und die Kategorien der Betroffenen, die im Rahmen der Vertragserfüllung durch den Auftragnehmer im Auftrag verarbeitet werden, in der Anlage 1 zu diesem Vertrag auszuweisen. Darüber hinaus besteht die Pflicht zur fortlaufenden Prüfung und Ergänzung der Anlage, soweit durch weitere Beauftragungen neue Kategorien hinzukommen.

5. Ort der Datenverarbeitung

  • Die Verarbeitung und Nutzung der Daten durch den Auftragnehmer findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.
  • Die Übermittlung personenbezogener Daten in ein Drittland oder an internationale Organisationen bedarf der vorherigen Zustimmung des Auftraggebers. Sie wird nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 bis 50 DS-GVO erfüllt sind.
  • Soweit der Auftraggeber Microsoft Onlinedienste im Einsatz hat, beruht die Datenverarbeitung auf den geltenden Bestimmungen von Microsoft und dem Microsoft Kundenvertrag. Microsoft erfüllt gegenüber allen Kunden mit Wirkung vom 25. Mai 2018 die Verpflichtungen aus (a) der „Verarbeitung personenbezogener Daten; GDPR” des Abschnitts „Datenschutzbestimmungen” in den Bestimmungen für Onlinedienste und (b) aus den Bestimmungen der EU-Datenschutz-Grundverordnung in Anlage 4 der Bestimmungen für Onlinedienste. Die jeweils aktuell geltende Version der Bestimmungen für Onlinedienste ist unter https://www.microsoft.com/de-de/licensing/product-licensing/products.aspx verfügbar. Microsoft stellt für alle Kunden die mit der EU-Kommission abgestimmten EU-Standardvertragsklauseln bereit und sichert damit zu, dass ein angemessenes Datenschutzniveau international gewährleistet ist. Alle Übertragungen personenbezogener Daten an ein Drittland oder eine internationale Organisation unterliegen entsprechend angemessenen Absicherungen, wie sie Art. 46 DS-GVO voraussetzt.

6. Pflichten des Auftragnehmers als Auftragsverarbeiter

  • Der Auftragnehmer und ihm unterstellte Personen, die Zugang zu den personenbezogenen Daten haben, werden die personenbezogenen Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind (Art. 29 DS-GVO).
  • Der Auftragnehmer beachtet, dass alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, auf die für die Auftragsverarbeitung einschlägigen rechtlichen Vorschriften der DS-GVO und das Datengeheimnis verpflichtet sind und über die sich aus diesem Auftrag ergebende Weisungs- bzw. Zweckbindung belehrt wurden.
  • Der Auftragnehmer wird die Datenverarbeitung mittels geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DS-GVO durchführen.
  • Der Auftragnehmer wird den Auftraggeber nach Möglichkeit dabei unterstützen, dass dieser seinen Pflichten hinsichtlich der in Art. 16 bis 20 und Art. 32 bis 36 DS-GVO genannten Rechte der betroffenen Personen nachkommen kann.
  • Der Auftragnehmer wird dem Auftraggeber alle erforderlichen Informationen im Hinblick auf die Kontrollverpflichtungen des Auftraggebers zur Verfügung stellen und Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und unterstützen. Der Auftraggeber hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung der gesetzlichen Pflichten und dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
  • Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen als die vereinbarten, insbesondere nicht für eigene Zwecke.
  • Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, sind als solche kenntlich zu machen.
  • Der Auftragnehmer wird den Auftraggeber darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 S. 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
  • Der Auftragnehmer teilt dem Auftraggeber Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit.
  • Die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO oder eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 DS-GVO kann als Faktor herangezogen werden, um hinreichende Garantien im Sinne des Art. 28 DS-GVO nachzuweisen.

7. Technische und organisatorische Maßnahmen

  • Der Auftragnehmer ist gemäß Art. 28 Abs. 3 S. 2 lit. c DS-GVO verpflichtet, diejenigen technischen und organisatorischen Maßnahmen (TOM) zu treffen und während der Vertragslaufzeit aufrechtzuerhalten, die erforderlich sind, um die in Art. 32 DS-GVO genannten Anforderungen zu gewährleisten. Die TOM des Auftragnehmers sind als gesondertes, versioniertes Dokument unter /tom veröffentlicht und dort jeweils in aktueller Fassung abrufbar.
  • Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
  • Die technischen und organisatorischen Maßnahmen unterliegen dem Stand der Technik und dem technischen Fortschritt. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen und Produkte um- und einzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und dem Auftraggeber mitzuteilen.
  • Für alle Cloud-Dienste dritter Cloudanbieter gelten zusätzlich die Sicherheitsbestimmungen der Cloudanbieter. Die Cloudanbieter werden angemessene technische und organisatorische Maßnahmen zum Schutz von Kundendaten und personenbezogenen Daten treffen und aufrechterhalten. Für die Microsoft Onlinedienste gelten die in Anhang B der Bestimmungen für Onlinedienste beschriebenen Sicherheitsmaßnahmen zum Schutz der Kundendaten.

8. Unterauftragsverhältnisse

  • Der Auftragnehmer kann zur Leistungserfüllung Subunternehmer beauftragen. Hat dies datenschutzrechtliche Relevanz, wird sich der Auftragnehmer vor Bestellung mit dem Auftraggeber abstimmen und solche Unterstützung nicht ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch nehmen. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragnehmer den Auftraggeber vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
  • Nimmt der Auftragnehmer die Dienste eines Subunternehmers in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag zwischen dem Auftraggeber als Verantwortlichen und dem Auftragnehmer als Auftragsverarbeiter festgelegt sind. Dabei müssen insbesondere hinreichende Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DS-GVO erfolgt. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer als Auftragsverarbeiter gegenüber dem Auftraggeber als Verantwortlichen für die Einhaltung der Pflichten des Subunternehmers.
  • Bei der Unterbeauftragung sind dem Auftraggeber Kontroll- und Überprüfungsrechte entsprechend dieser Vereinbarung beim Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.
  • Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.
  • Für die bereits zum Zeitpunkt des Abschlusses dieses Vertrages feststehenden Subunternehmer erfolgt die schriftliche Genehmigung für die in der gesondert veröffentlichten Subprozessoren-Liste (unter /subprozessoren, versioniert) benannten juristischen oder natürlichen Personen.
  • Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme, vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

9. Benennung eines Datenschutzbeauftragten

  • Der Auftragnehmer verpflichtet sich zur schriftlichen Benennung eines Datenschutzbeauftragten, soweit gesetzlich vorgeschrieben, gemäß Art. 37 DS-GVO.
  • Die Kontaktdaten des bestellten Datenschutzbeauftragten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme im jeweiligen Auftrag bzw. Hauptvertrag mitgeteilt.

10. Rechte und Pflichten des Auftraggebers

  • Der Auftraggeber ist im Verhältnis zum Auftragnehmer wie ein Eigentümer der Daten anzusehen (§ 903 BGB analog) und Inhaber aller etwaigen Rechte.
  • Der Auftraggeber als Verantwortlicher ist gemäß Art. 5 Abs. 2 DS-GVO für die Einhaltung der in Art. 5 Abs. 1 DS-GVO festgeschriebenen Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich (Rechenschaftspflicht).
  • Der Auftraggeber ist für die rechtmäßige Erhebung, Verarbeitung und Nutzung der Daten sowie für die Implementierung eigener geeigneter technischer und organisatorischer Maßnahmen und die Wahrung der Betroffenenrechte verantwortlich.
  • Der Auftraggeber hat den Auftragnehmer unverzüglich darüber zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
  • Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über Geschäftsgeheimnisse und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung des Vertrags bestehen.

11. Weisungsbefugnis des Auftraggebers

  • Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers gemäß Art. 29 DS-GVO. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, dass er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren.
  • Der Weisungsberechtigte auf Seiten des Auftraggebers sowie der Weisungsempfänger auf Seiten des Auftragnehmers und die zuständigen Datenschutzbeauftragten, soweit eine gesetzliche Benennungspflicht besteht, sind schriftlich zu fixieren. Dies erfolgt im jeweiligen Auftrag bzw. Hauptvertrag. Bei einem Wechsel der zuständigen Ansprechpartner ist dem Vertragspartner unverzüglich und schriftlich der jeweilige Nachfolger mit Kontaktdaten mitzuteilen.

12. Zusammenarbeit mit den Aufsichtsbehörden / Verarbeitungsverzeichnisse

  • Dem Auftragnehmer ist bekannt, dass er gemäß Art. 31 DS-GVO verpflichtet ist, auf Anfrage mit dem Auftraggeber und der Aufsichtsbehörde bei der Erfüllung von Aufgaben zusammenzuarbeiten.
  • Dem Auftragnehmer ist bekannt, dass er gemäß Art. 30 Abs. 2 DS-GVO verpflichtet ist, ein eigenes Verzeichnis von Verarbeitungstätigkeiten für alle Kategorien von im Auftrag durchgeführten Tätigkeiten der Verarbeitung zu führen. Diese müssen der Aufsichtsbehörde auf Anfrage vorgelegt werden.

13. Maßnahmen bei Datenschutzverletzungen

  • Der Auftragnehmer ist gemäß Art. 33 Abs. 2 DS-GVO verpflichtet, jede ihm bekanntwerdende Verletzung des Schutzes personenbezogener Daten unverzüglich an den Verantwortlichen zu melden.
  • Der Auftragnehmer erstattet dem Auftraggeber in allen Fällen und unverzüglich eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind.
  • Der Auftragnehmer verpflichtet sich darüber hinaus unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen, den Auftraggeber bei den zu ergreifenden Maßnahmen und Meldepflichten gemäß Art. 33 und 34 DS-GVO zu unterstützen.
  • Der Auftragnehmer hält von ihm festgestellte Datenschutzverletzung schriftlich fest.

14. Haftung

  • Die nachfolgenden Haftungsklauseln betreffen ausschließlich das Vertragsverhältnis zwischen dem Auftraggeber und dem Auftragnehmer. Sie stellen keine Ausschlussklausel im Hinblick auf die Betroffenenrechte nach Art. 82 Abs. 1 DS-GVO dar.
  • Die Haftung des Auftragnehmers, gleich aus welchem Rechtsgrund, ist unbegrenzt für Schäden, die vorsätzlich oder grob fahrlässig verursacht werden oder die aus der schuldhaften Verletzung des Lebens, des Körpers oder der Gesundheit resultieren.
  • Der Auftragnehmer haftet nicht bei leichter Fahrlässigkeit. Dieser Ausschluss für die Haftung bei leichter Fahrlässigkeit gilt jedoch dann nicht, wenn es sich um die Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht) handelt. Kardinalpflichten bzw. wesentliche Vertragspflichten sind solche Pflichten des Auftragnehmers, deren Erfüllung die ordnungsgemäße Durchführung dieses konkreten Vertrages überhaupt erst ermöglichen und auf deren Einhaltung der Kunde regelmäßig vertrauen darf; mithin also Pflichten, deren Verletzung ein Erreichen des Vertragszwecks gefährden würde.
  • Wenn und soweit der Auftragnehmer für leichte Fahrlässigkeit haftet, ist die Haftung bei Sach- und Vermögensschäden auf den vertragstypischen und vorhersehbaren Schaden beschränkt. Die Haftung für sonstige entfernte Folgeschäden ist ausgeschlossen.
  • Alle Schadensersatzansprüche des Auftraggebers gegen den Auftragnehmer verjähren in 24 Monaten ab Schadensfall. Dies gilt nicht für Ansprüche wegen unerlaubter Handlung oder vorsätzlicher Schädigung.
  • Soweit die Haftung des Auftragnehmers ausgeschlossen ist, gilt dies auch für die persönliche Haftung der Angestellten, Arbeitnehmer, Mitarbeiter, Vertreter und Erfüllungsgehilfen des Auftragnehmers.
  • Der Auftragnehmer haftet im Innenverhältnis zum Auftraggeber dann nicht, wenn er den Nachweis nach Art. 82 Abs. 3 DS-GVO erbringt.
  • Sollten Betroffene gegen den Auftragnehmer Ansprüche aufgrund datenschutzrechtlicher Pflichtverletzungen geltend machen, die nicht in die Verarbeitungssphäre des Auftragnehmers fallen, wird der Auftraggeber den Auftragnehmer von diesen Ansprüchen freistellen.
  • Für den Ersatz von Schäden, die ein Betroffener wegen einer nach dem BDSG oder EU-DSGVO für den Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, ist der Auftraggeber gegenüber dem Betroffenen verantwortlich. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm im Rahmen der oben vereinbarten Haftung der Rückgriff beim Auftragnehmer vorbehalten.

15. Umgang mit den Daten während und nach Beendigung des Auftrags (Exit-Klausel)

  • Gemäß Art. 28 Abs. 3 S. 2 lit. g DS-GVO wird der Auftragnehmer nach Wahl des Auftraggebers nach Abschluss der Erbringung der Verarbeitungsleistungen, spätestens aber mit Beendigung der Leistungsvereinbarung sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse, sowie Datenbestände dem Auftraggeber aushändigen oder nach vorheriger Zustimmung datenschutzgerecht vernichten, soweit nicht das Unionsrecht oder das Recht der Mitgliedstaaten eine Speicherung der personenbezogenen Daten vorschreibt.
  • Ein Löschen bzw. Vernichten von Daten ist dem Auftraggeber mit Zeitangabe schriftlich zu bestätigen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind darüber hinaus durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

16. Schlussbestimmungen

  • Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelungen eine solche rechtlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelungen am nächsten kommt.
  • Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere einem Hauptvertrag, gehen die Regelungen dieses Vertrags vor. Nebenabreden, Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für die Änderung dieser Schriftformvereinbarung.
  • Der gesamte Text des vorliegenden Vertrags als auch davon abgeleitete Dokumente, einschließlich der Dokumente im Anhang, wurden in deutscher sowie englischer Sprache verfasst. Die beiden Versionen werden als inhaltlich gleichwertig aufgefasst. Für den Fall eines Widerspruchs zwischen den beiden Versionen oder einer gerichtlichen Überprüfung wird festgelegt, dass die deutsche Version den Vorrang erhalten soll.
  • Dieser Vertrag und alle im Rahmen seiner Durchführung geschlossenen Rechtsgeschäfte unterliegen soweit anwendbar deutschem Recht unter Ausschluss des internationalen UN-Kaufrechts (UNCITRAL).
  • Für alle Streitigkeiten aus diesem Vertrag gilt der gesetzliche Gerichtsstand.
  • Die nachfolgende Anlage 1 sowie die gesondert veröffentlichten technischen und organisatorischen Maßnahmen (unter /tom) und die Subprozessoren-Liste (unter /subprozessoren) sind Bestandteil dieses Vertrages.

Anlage 1 — Datenkategorien und betroffene Personen

Welche Datenarten und welche Gruppen betroffener Personen im konkreten Auftrag verarbeitet werden, wird im jeweiligen Auftrag festgelegt. In Betracht kommen typischerweise:

Datenarten

  • Personenstammdaten (z. B. Name, Vorname, Anschrift, Geburtsdatum)
  • Kommunikationsdaten (z. B. Telefon, E-Mail)
  • Vertragsstammdaten (z. B. Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
  • Vertragsabrechnungs- und Zahlungsdaten (z. B. Lohn, Gehalt, Reisekosten)
  • IT-Nutzungsdaten (z. B. User-ID, Passwörter, Rollen)
  • Bankdaten (z. B. Kontoverbindung, Kreditkartennummer)

Betroffene Personen

  • Kunden und Leistungsempfänger des Auftraggebers
  • Beschäftigte des Auftraggebers
  • Lieferanten und Dienstleister des Auftraggebers

Frühere Fassungen

Aktuell gibt es nur diese Fassung. Sobald neue Fassungen veröffentlicht werden, findest du hier das Archiv.

DIN EN ISO/IEC 27001:2022 zertifiziert ISO 27001:2022 zertifiziert 30-Min-Call