Consupport GmbH Computer Service & IT-Dienstleistungen

Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO

zwischen dem Kunden (Verantwortlicher) und der Consupport GmbH, Friedrichstraße 19b, 80801 München (Auftragsverarbeiter).

1. Gegenstand und Dauer der Verarbeitung

  1. Gegenstand dieses Vertrages ist die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen im Rahmen der vereinbarten IT-Dienstleistungen, Support- und Projektleistungen sowie Managed Services.
  2. Die Dauer dieses Vertrages entspricht der Laufzeit des jeweiligen Hauptvertrages; darüber hinaus bis zur vollständigen Beendigung der Datenverarbeitung (Löschung oder Rückgabe).

2. Art und Zweck der Verarbeitung

Die Verarbeitung erfolgt ausschließlich zur Erfüllung der im Hauptvertrag, SEA, SLA/SLO-Dokumenten, SOWs und Servicebeschreibungen definierten Leistungen, insbesondere:

3. Art der personenbezogenen Daten und Kategorien betroffener Personen

Die Art der personenbezogenen Daten und die Kategorien betroffener Personen hängen von den jeweiligen Systemen und Anwendungen des Verantwortlichen ab und können insbesondere umfassen:

4. Weisungsrecht des Verantwortlichen

  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten hierzu verpflichtet ist.
  2. Weisungen sind grundsätzlich schriftlich oder in Textform zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
  3. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, eine Weisung verstoße gegen Datenschutzvorschriften.

5. Pflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten ausschließlich im vereinbarten Rahmen und nach Maßgabe dieses Vertrages zu verarbeiten.
  2. Er stellt sicher, dass sich die zur Verarbeitung befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  3. Er ergreift geeignete technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (siehe Anlage „Technische und organisatorische Maßnahmen“).
  4. Er unterstützt den Verantwortlichen, soweit möglich, bei der Erfüllung der Betroffenenrechte (Art. 12–23 DSGVO) und bei der Einhaltung der Pflichten nach Art. 32–36 DSGVO.
  5. Er informiert den Verantwortlichen unverzüglich bei Verletzungen des Schutzes personenbezogener Daten („Data Breach“) mit allen verfügbaren Informationen.

6. Unterauftragsverhältnisse (Subunternehmer)

  1. Die Einschaltung von Subunternehmern zur Verarbeitung personenbezogener Daten ist nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen zulässig.
  2. Der Auftragsverarbeiter verpflichtet Subunternehmer vertraglich auf dieselben datenschutzrechtlichen Verpflichtungen, die in diesem AV-Vertrag festgelegt sind.
  3. Der Verantwortliche wird über geplante Änderungen hinsichtlich der Hinzuziehung oder Ersetzung von Subunternehmern informiert und kann aus wichtigem datenschutzrechtlichem Grund widersprechen.

7. Technische und organisatorische Maßnahmen (TOM)

  1. Der Auftragsverarbeiter dokumentiert die implementierten technischen und organisatorischen Maßnahmen in einer Anlage zu diesem Vertrag.
  2. Er ist berechtigt, die Maßnahmen anzupassen, sofern das Sicherheitsniveau nicht unterschritten wird. Wesentliche Änderungen sind dem Verantwortlichen mitzuteilen.

8. Unterstützung des Verantwortlichen

Der Auftragsverarbeiter unterstützt den Verantwortlichen bei:

9. Kontrollrechte des Verantwortlichen

  1. Der Verantwortliche ist berechtigt, sich durch Stichprobenkontrollen oder Audits von der Einhaltung der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.
  2. Audits sind mit angemessener Frist anzukündigen und in einer Weise durchzuführen, die den Geschäftsbetrieb des Auftragsverarbeiters nicht unverhältnismäßig beeinträchtigt.
  3. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten nach Art. 28 DSGVO zur Verfügung.

10. Meldung von Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten bekannt werden. Die Meldung enthält, soweit möglich, mindestens die in Art. 33 Abs. 3 DSGVO geforderten Informationen.

11. Löschung und Rückgabe von Daten

  1. Nach Abschluss der Erbringung der Verarbeitungsleistungen und nach Weisung des Verantwortlichen löscht oder gibt der Auftragsverarbeiter sämtliche personenbezogenen Daten zurück, sofern keine gesetzliche Pflicht zur Aufbewahrung besteht.
  2. Dokumentationen, die als Nachweis ordnungsgemäßer Verarbeitung dienen, können der Auftragsverarbeiter auch über das Vertragsende hinaus aufbewahren.

12. Haftung

Für die Haftung der Parteien gelten die gesetzlichen Bestimmungen sowie ergänzend die Vereinbarungen im Hauptvertrag/SEA und den AGB der Consupport GmbH.

13. Schlussbestimmungen

Änderungen und Ergänzungen dieses AV-Vertrages bedürfen der Schriftform. Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt das Recht der Bundesrepublik Deutschland.

Anlage: Technische und organisatorische Maßnahmen (TOM)

In einer separaten Tabelle oder Dokumentation werden insbesondere geregelt: