Präambel

Der Kunde möchte die vom Auftragsverarbeiter angebotene Software „BauStuL“ nutzen. Über diese Software kann der Kunde bestimmte Daten erfassen, die zur Erstellung von Bautagebüchern bzw. Tätigkeitsnachweisen erforderlich sind. Die Daten können hierbei innerhalb der Software über (mobile) Endgerät eingegeben und erfasst und über eine Verwaltungsoberfläche vom Kunden abgerufen und ausgewertet werden (Desktop-Anwendung).

Über die konkrete Nutzung der Software haben die Vertragsparteien bereits eine separate Nutzungsvereinbarung getroffen.

Im Rahmen der Nutzung der Software können auch personenbezogene Daten erfasst und verarbeitet werden. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

1. Begriffsbestimmungen

In diesem Vertrag verwendete Begriffe, die in Art. 4, 9 und 10 DSGVO definiert werden, sind im Sinne dieser gesetzlichen Definition zu verstehen.

2. Vertragsgegenstand

2.1. Diese Vereinbarung legt die Rechte und Pflichten fest, die für den Umgang des Auftragsverarbeiters mit personenbezogenen Daten im Auftrag des Kunden gelten.

2.2. Diese Vereinbarung soll sicherstellen, dass die Vertragsparteien die Vorgaben des Art. 28 Abs. 3 DSGVO einhalten.

2.3. Die Tätigkeit des Auftragsverarbeiters im Rahmen dieser Vereinbarung bestimmt sich nach der Beschreibung von Art und Inhalt der Datenverarbeitung, die sich aus den jeweils zwischen den Parteien geschlossenen Vereinbarungen ergeben. Der Auftragsverarbeiter erhält im Rahmen der Durchführung dieser Dienstleistungen Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Kunden.

2.4. Dieser AV-Vertrag und die jeweiligen Vereinbarungen zur Erbringung der jeweils beauftragten Leistungen sind voneinander abhängig. Insbesondere kann dieser AV-Vertrag nicht separat gekündigt werden. Dieser AV-Vertrag kann jedoch – ohne Kündigung der jeweiligen Vereinbarungen für die jeweils beauftragten Leistungen – durch einen alternativen, gem. Art. 28 Abs. 3 DSGVO gültigen AV-Vertrag ersetzt werden.

3. Art der verarbeiteten Daten, Kreis der betroffenen Personen

3.1 Im Rahmen der Durchführung des zwischen den Vertragsparteien geschlossenen Hauptvertrags erhält der Auftragsverarbeiter Zugriff auf personenbezogenen Daten von betroffenen Personen.

3.2 Abhängig von den zu Grunde liegenden Vereinbarungen kann der Auftragsverarbeiter im Rahmen der Vertragserfüllung Einblick und Zugriff auf folgende personenbezogenen Daten des Kunden erhalten:

• Personenstammdaten
• Kommunikationsdaten
• Vertragsstammdaten
• Vertragliche Abrechnungs- und Zahlungsdaten
• Planungs- und Steuerungsdaten
• Längere Abwesenheitszeiten der Anwender der Applikation

3.3 Hierbei können – abhängig von den zu Grunde liegenden Vereinbarungen - folgende Kategorien betroffener Personen von der Auftragsverarbeitung umfasst sein:

• Kunden
• Beschäftigte i.S.d. § 26 Abs. 8 BDSG
• Lieferanten
• Handelsvertreter

4. Weisungsrecht

4.1 Der Auftragsverarbeiter darf Daten nur im Rahmen des Hauptvertrages und gemäß den Weisungen des Kunden erheben, nutzen oder auf sonstige Weise verarbeiten.

4.2 Die Weisungen des Kunden werden anfänglich durch diesen Vertrag festgelegt und können vom Kunden danach in schriftlicher Form oder in dokumentierter elektronischer Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisungen). Mündliche Einzelweisungen bedürfen zur ihrer Wirksamkeit der unverzüglichen schriftlichen oder in Textform erteilten Bestätigung durch den Kunden.

4.3 Der Kunde ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen im Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.

4.4 Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Kunden an den Auftragsverarbeiter entstehen, bleiben unberührt.

4.5 Ist der Auftragsverarbeiter der Ansicht, dass eine Weisung des Kunden gegen datenschutzrechtliche Bestimmungen verstößt, wird der Auftragsverarbeiter den Kunden möglichst zeitnah hierauf hinweisen. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Kunden bestätigt oder geändert wird. Der Auftragsverarbeiter darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

5. Schutzmaßnahmen durch den Auftragsverarbeiter

5.1 Der Auftragsverarbeiter ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Kunden erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

5.2 Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass diese den besonderen Anforderungen des Datenschutzes gerecht wird und gewährleistet, dass alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Kunden gem. Art. 32 DSGVO, insbesondere mindestens die in der Anlage „Technische und organisatorische Maßnahmen“ aufgeführten Maßnahmen, getroffen wurden. Sofern auch besondere Kategorien personenbezogener Daten verarbeitet werden, trifft der Auftragsverarbeiter zusätzlich die sich aus § 22 Abs. 2 BDSG ergebenden angemessenen und spezifischen Maßnahmen.

5.3 Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragsverarbeiter vorbehalten, wobei sichergestellt wird, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

5.4 Beim Auftragsverarbeiter ist als betrieblicher Datenschutzbeauftragte bestellt:

5.5 Den bei der Datenverarbeitung durch den Auftragsverbeiter beschäftigen Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu nutzen oder auf sonstige Weise zu verarbeiten. Der Auftragsverarbeiter wird alle Personen, die vom Auftragsverarbeiter mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (nachfolgend „Beschäftigte“), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und über die sich aus diesem Vertrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehren sowie mit der gebotenen Sorgfalt die Einhaltung der vorgenannten Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Beschäftigten und dem Auftragsverarbeiter bestehen bleiben.

6. Regelungen zur Arbeit außerhalb der Betriebsräume

6.1. Der Auftragsverarbeiter darf seinen Beschäftigten, die mit der Verarbeitung von personenbezogenen Daten für den Kunden beauftragt sind die Verarbeitung personenbezogener Daten außerhalb der Betriebsräume (z.B. Home-Office, mobiles Arbeiten etc.) erlauben.

6.2. Der Auftragsverarbeiter hat sicherzustellen, dass die Einhaltung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen auch außerhalb der Betriebsräume des Auftragsverarbeiters gewährleistet ist.

6.3. Der Auftragsverarbeiter trägt insbesondere dafür Sorge, dass bei einer Verarbeitung von personenbezogenen Daten außerhalb von Betriebsräumen die Speicherorte so konfiguriert werden, dass eine lokale Speicherung von Daten auf IT-Systemen, die außerhalb der Betriebsräume des Auftragsverarbeiters verwendet werden, ausgeschlossen ist. Sollte dies nicht möglich sein, hat der Auftragsverarbeiter dafür Sorge zu tragen, dass die lokale Speicherung ausschließlich verschlüsselt erfolgt und andere außerhalb der Betriebsräume am jeweiligen Arbeitsplatz des Beschäftigten des Auftragsverarbeiters befindliche Personen keinen Zugriff auf diese Daten erhalten.

6.4. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist der Zugang zur Wohnung des Beschäftigten zu Kontrollzwecken sicherzustellen. Dabei sind jedoch die Persönlichkeitsrechte der Beschäftigten sowie der weiteren im jeweiligen privaten Umfeld gegenwärtigen Personen angemessen zu berücksichtigen.

7. Informationspflichten des Auftragsverarbeiters

7.1 Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragsverarbeiters, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung von personenbezogenen Daten den Auftragsverarbeiter, bei dem Auftragsverarbeiter im Rahmen des Auftrags beschäftigte Personen oder durch Dritte wird der Auftragsverarbeiter den Kunde unverzüglich in Schriftform oder dokumentierter elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragsverarbeiters durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält soweit möglich folgende Informationen:

• a. Eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
• b. Eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
• c. Eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

7.2 Der Auftragsverarbeiter trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Person(en), informiert hierüber den Kunden und ersucht diesen um weitere Weisungen.

7.3 Der Auftragsverarbeiter ist darüber hinaus verpflichtet, dem Kunden jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.

7.4 Der Auftragsverarbeiter unterstützt den Kunden bei der Erfüllung seiner Pflichten nach Art. 33 und 34 DSGVO in angemessener Weise (Art. 28 Abs. 3 S. 2 lit. f DSGVO). Meldungen für den Kunden nach Art. 33 oder 34 DSGVO darf der Auftragsverarbeiter nur nach vorheriger Weisung seitens des Kunden gem. Ziffer 4 dieses Vertrages durchführen.

7.5 Sollten die Daten des Kunden beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Kunden unverzüglich darüber zu informieren, sofern dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragsverarbeiter wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Kunden als „Verantwortlichem“ im Sinne der DSGVO liegt.

7.6 Über wesentliche Änderungen der Sicherheitsmaßnahmen hat der Auftragsverarbeiter den Kunden unverzüglich zu unterrichten.

7.7 Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten ist dem Kunden unverzüglich mitzuteilen.

7.8 An der Erstellung des Verfahrensverzeichnisses durch den Kunden sowie bei der Erstellung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gem. Art. 36 DSGVO hat der Auftragsverarbeiter im angemessenen Umfang mitzuwirken. Er hat dem Kunden die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.

8. Kontrollrechte des Kunden

8.1. Der Kunde hat das Recht, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Hierfür kann er Auskünfte vom Auftragsverarbeiter einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder interne Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen der Auftragsverarbeiters zu den üblichen Geschäftszeiten (montags bis freitags von 08:00 Uhr bis 12:00 Uhr und 13:00 Uhr bis 17:00 Uhr) selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser Dritte nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter steht.

8.2. Der Kunde wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragsverarbeiters nehmen. Der Kunde verpflichtet sich insbesondere, sämtliche im Rahmen der Kontrollen bekannt gewordenen Betriebs- oder Geschäftsgeheimnisse des Auftragsverarbeiters streng geheim zu halten. Bedient sich der Kunde Dritten, hat er diese Dritten schriftlich zu verpflichten, dass auch diese die Geschäfts- und Betriebsgeheimnisse des Auftragsverarbeiters streng geheim halten. Auf Verlangen des Auftragsverarbeiters hat der Kunde diese Verpflichtungsvereinbarung unverzüglich vorzulegen.

8.3. Der Kunde ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragsverarbeiters, zu Informationen hinsichtlich Kosten – es sei denn, dass dieses die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen – zu Qualitätsprüfungs- und Vertragsmanagementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragsverarbeiters, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.

8.4. Die Vertragsparteien werden sich rechtzeitig (in der Regel mindestens zwei Wochen vorher) über den Zeitpunkt sowie die Art der Prüfung verständigen.

8.5. Der Kunde dokumentiert das Kontrollergebnis und teilt es dem Auftragsverarbeiter mit. Bei Fehlern oder Unregelmäßigkeiten, die der Kunde insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragsverarbeiter unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Kunde dem Auftragsverarbeiter die notwendigen Verfahrensänderungen unverzüglich mit.

8.6. Der Kunde vergütet dem Auftragsverarbeiter den Aufwand, der dem Auftragsverarbeiter im Rahme der Kontrolle entsteht.

9. Unterauftragsverhältnisse (Einsatz von Subunternehmen)

9.1. Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der in der Anlage „Liste der eingesetzten Subunternehmer“ genannten Subunternehmer durchgeführt. Der Auftragsverarbeiter ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmen („Subunternehmerverhältnisse“) befugt. Bei Begründung eines neues Unterauftragsverhältnisses setzt der Auftragsverarbeiter den Kunden hiervon in Kenntnis.

9.2. Der Auftragsverarbeiter ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragsverarbeiter hat bei der Einschaltung von Subunternehmen diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Kunde seine Rechte aus dieser Vereinbarung wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragsverarbeiter sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist.

9.3. Ein Subunternehmerverhältnis im Sinne dieser Bestimmung liegt nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Kunden erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Kunden genutzt werden.

10. Anfragen und Rechte betroffener Personen

10.1. Der Auftragsverarbeiter unterstützt den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12-22 sowie 32 und 36 DSGVO.

10.2. Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Kunden geltend zu machen. Macht eine betroffene Person Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragsverarbeiter geltend, so reagiert der Auftragsverarbeiter nicht selbständig, sondern verweist die betroffene Person unverzüglich an den Kunden und wartet dessen Weisung ab.

10.3. Der Kunde vergütet dem Auftragsverarbeiter den Aufwand, der dem Auftragsverarbeiter im Rahmen der Unterstützungsleistungen entsteht.

11. Rückgabe und Löschung überlassener Daten und Datenträger

11.1. Bei Beendigung der Tätigkeit des Auftragsverarbeiters für den Kunden ist der Auftragsverarbeiter verpflichtet, nach Wahl des Kunden alle personenbezogenen Daten zu löschen oder an den Kunden zurückzugeben und vorhandene Kopien zu löschen, es sei denn, das EU-Recht oder das Recht eines Mitgliedstaates schreibt eine Speicherung personenbezogener Daten vor.

11.2. Bei Beendigung der Tätigkeit des Auftragsverarbeiters für den Kunden hat der Auftragsverarbeiter ein Protokoll über die Löschung bzw. Vernichtung der entsprechenden Daten bzw. Datenträger zu erstellen, das dem Kunden auf Anforderung vorzulegen ist.

12. Haftung

12.1. Der Kunde und der Auftragsverarbeiter haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

12.2. Die Vertragsparteien stellen sich jeweils von der Haftung frei, wenn und soweit eine Partei nachweist, dass diese in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einer betroffenen Person eingetreten ist, verantwortlich ist. Im Übrigen gilt Art. 82 Abs. 5 DSGVO.

12.3. Sofern vorstehend nichts anderes geregelt, entspricht die Haftung im Rahmen dieses Vertrages der des Hauptvertrages.

13. Außerordentliches Kündigungsrecht

13.1. Der Kunde kann die zu Grunde liegenden Vereinbarung, aus dem sich die entsprechenden Hauptleistungen ergeben, fristlos ganz oder teilweise kündigen, wenn der Auftragsverarbeiter seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO oder sonstige anwendbare Datenschutzvorschriften vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Kunde nicht ausführen kann oder will oder der Auftragsverarbeiter sich den Kontrollrechten des Kunden auf vertragswidrige Weise widersetzt.

13.2. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

14. Schlussbestimmungen

14.1. Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragsverarbeiter im Sinne des § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

14.2. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform oder eines dokumentierten elektronischen Formats. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

14.3. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.

14.4. Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Sitz des Auftragsverarbeiters.