Mustervertrag zur Auftragsdatenverarbeitung zwischen öffentlichen Stellen und öffentlichen oder nicht-öffentlichen Auftragnehmern

(Basierend auf ... Empfehlung ... Hess. Datenschutzbeauftragten)

Nachfolgend wurde ... Mustervertrag ... die Verarbeitung personenbezogener Daten ... Auftrag gemäß § 4 HDSG entworfen. ... Inhalt ... Vertrages sind ... Einzelfall aufgabenspezifisch anzupassen. An nicht-öffentliche Stellen darf ... Auftrag nur vergeben werden, wenn weder gesetzliche Regelungen über Berufs- ... besondere Amtsgeheimnisse noch überwiegende schutzwürdige Belange entgegenstehen. Soweit nicht § 4 HDSG, sondern spezialgesetzliche Regelungen ... die Daten, ... im Auftrag verarbeitet werden sollen, Anwendung finden, ist zunächst ... prüfen, ob ... Auftragsdatenverarbeitung grundsätzlich zulässig ist, ... ggf. sind ... spezialgesetzlichen Regelungen bei ... Vertragsgestaltung (z.B. Personal-, Beihilfe- ... Sozialdaten) ... berücksichtigen. Soweit ... BVB (HessStAnz 1994, S. 2050 ff) anzuwenden sind, müssen ... dort vorgesehenen Vertragstypen datenschutzrechtlich ergänzt werden. ... jeweiligen Vertragsbestimmungen sind ... Mustervertrag ... entnehmen. Gem. § 4 Abs. 3 Satz 2 hat ... Auftraggeber ... Hessischen Datenschutzbeauftragten vorab über ... Beauftragung ... unterrichten.

 

 

Vereinbarung

zwischen dem/der

...................................................................................................................................

- nachstehend Auftragnehmer genannt -

... dem/der

....................................................................................................................................

- nachstehend Auftraggeber genannt -

 

 

§ 1 Gegenstand ... Vereinbarung

(1) ... Auftragnehmer verarbeitet personenbezogene Daten ... Auftrag ... Auftraggebers.

(2) ... Auftrag umfasst folgende Arbeiten:

....................................................................................................................................

(Definition ... Aufgaben)

 

§ 2 Pflichten ... Auftraggebers

(1) ... die Beurteilung ... Zulässigkeit ... Datenverarbeitung sowie ... die Wahrung ... Rechte ... Betroffenen ist allein ... Auftraggeber verantwortlich.

(2) ... Auftraggeber erteilt alle Aufträge ... Teilaufträge schriftlich. Änderungen ... Verarbeitungsgegenstandes ... Verfahrensänderungen sind gemeinsam abzustimmen.

(3) ... Auftraggeber hat ... Recht, Weisungen über Art, Umfang ... Verfahren ... Datenverarbeitung ... erteilen. Mündliche Weisungen sind unverzüglich schriftlich ... bestätigen.

Weisungsberechtigte Personen ... Auftraggebers sind:

....................................................................................................................................

Weisungsempfänger beim Auftragnehmer sind:

....................................................................................................................................

Bei einem Wechsel ... einer längerfristigen Verhinderung ... Ansprechpartners ist ... Vertragspartner unverzüglich schriftlich ... Nachfolger bzw. ... Vertreter mitzuteilen.

(4) ... Auftraggeber informiert ... Auftragnehmer unverzüglich, wenn er Fehler ... Unregelmäßigkeiten bei ... Prüfung ... Auftragsergebnisse feststellt.

(5) ... Auftraggeber ist verpflichtet, alle ... Rahmen ... Vertragsverhältnisses erlangten Kenntnisse ... Geschäftsgeheimnissen ... Datensicherheitsmaßnahmen ... Auftragnehmers vertraulich ... behandeln.

 

§ 3 Pflichten ... Auftragnehmers

(1) ... Auftragnehmer verarbeitet personenbezogene Daten ausschließlich ... Rahmen ... getroffenen Vereinbarungen ... nach Weisungen ... Auftraggebers. Er verwendet ... zur Datenverarbeitung überlassenen Daten ... keine anderen Zwecke. Kopien ... Duplikate werden ohne Wissen ... Auftraggebers nicht erstellt.

(2) ... Auftragnehmer sichert ... Bereich ... auftragsgemäßen Verarbeitung ... personenbezogenen Daten ... vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, ... die verarbeiteten Daten ... sonstigen Datenbeständen scharf getrennt werden.

(3) ... Auftragnehmer erklärt sich damit einverstanden, ... der Auftraggeber jederzeit berechtigt ist, ... Einhaltung ... Vorschriften über ... Datenschutz ... der vertraglichen Vereinbarungen ... erforderlichen Umfang ... kontrollieren, insbesondere durch ... Einholung ... Auskünften ... die Einsichtnahme ... die gespeicherten Daten ... die Datenverarbeitungsprogramme.

(4) ... Verarbeitung ... Daten ... Privatwohnungen ist nur mit Zustimmung ... Auftraggebers ... Einzelfall gestattet. Soweit ... Daten ... einer Privatwohnung verarbeitet werden, ist ... Zugang zur Wohnung durch ... Auftraggeber (§ 3 Abs. 3) vorher mit ... Auftragnehmer abzustimmen. ... Auftragnehmer sichert zu, ... auch ... anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.

(5) Nicht mehr benötigte Unterlagen mit personenbezogenen Daten ... Dateien dürfen erst nach vorheriger Zustimmung durch ... Auftraggeber datenschutzgerecht vernichtet werden.

(6) Nach Abschluss ... vertraglichen Arbeiten hat ... Auftragnehmer sämtliche ... seinen Besitz gelangten Unterlagen ... erstellten Verarbeitungs- ... Nutzungsergebnisse, ... im Zusammenhang mit ... Auftragsverhältnis stehen, ... Auftraggeber auszuhändigen. ... Datenträger ... Auftragnehmers sind danach physisch ... löschen. Test- ... Ausschussmaterial ist unverzüglich ... vernichten ... dem Auftraggeber auszuhändigen.

(7) [1. Alternative]

... Einschaltung ... Subauftragnehmern ist ausgeschlossen. ... Beauftragung ... Subunternehmen mit ... Verarbeitung ... personenbezogenen Daten ist ... keinem Fall zulässig.

[2. Alternative]

... Beauftragung ... Subunternehmen ist nur mit schriftlicher Zustimmung ... Auftraggebers zugelassen. ... Auftragnehmer hat ... diesem Falle vertraglich sicherzustellen, ... die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat ... Einhaltung dieser Pflichten regelmäÿig ... überprüfen. ... Weiterleitung ... Daten ist erst zulässig, wenn ... Subunternehmer ... Verpflichtung nach § 4 erfüllt hat. [Zur Zeit sind ... in Anlage ........... mit Namen ... Auftragsinhalt bezeichneten Subunternehmer mit ... Verarbeitung ... personenbezogenen Daten ... dem dort genannten Umfang beschäftigt.]

(8) Soweit ... den Auftragnehmer ... Vorschriften über ... nicht-öffentlichen Bereich Anwendung finden, bestätigt er, ... er gem. § 4 d Abs. 1 BDSG zum Register bei ... Aufsichtsbehörde ... den Datenschutz gemeldet ist ... gem. § 4 f BDSG ... betrieblichen Datenschutzbeauftragten bestellt hat.

(9) ... die Sicherheit erhebliche Entscheidungen zur Organisation ... Datenverarbeitung ... zu ... angewandten Verfahren sind mit ... Auftraggeber abzustimmen.

 

§ 4 Datengeheimnis

(1) ... Auftragnehmer verpflichtet sich, bei ... auftragsgemäßen Verarbeitung ... personenbezogenen Daten ... Auftraggebers ... Datengeheimnis gemäß § 9 HDSG ... wahren. Er verpflichtet sich, ... gleichen Geheimnisschutzregeln ... beachten, wie sie ... Auftraggeber obliegen (§ 4 Abs. 3 HDSG).

(2) ... Auftragnehmer bestätigt, ... ihm ... einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. ... Auftragnehmer sichert zu, ... er ... bei ... Durchführung ... Arbeiten beschäftigten Mitarbeiter mit ... für sie maßgebenden Bestimmungen ... Datenschutzes vertraut macht. Er überwacht ... Einhaltung ... datenschutzrechtlichen Vorschriften.

(3) Auskünfte darf ... Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch ... Auftraggeber erteilen.

 

§ 5 Kontrollrechte ... HDSB

(1) ... Auftragnehmer verpflichtet sich, ... Hessischen Datenschutzbeauftragten ... den ... ihm eingesetzten Bediensteten Zugang ... den Arbeitsräumen ... gewähren ... unterwirft sich ... Kontrolle nach Maßgabe ... HDSG ... seiner jeweiligen Fassung.


(2) Soweit Daten ... einer Privatwohnung verarbeitet werden, ist ... Zugang ... Hessischen Datenschutzbeauftragten ... der ... ihm eingesetzten Bediensteten vorher mit ... Auftragnehmer abzustimmen. ... Auftragnehmer stellt sicher, ... die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.

 

§ 6 Datensicherungsmaÿnahmen (Erläuterungen s. Anhang)

(1) ... den Regelungstatbeständen ... § 10 HDSG werden folgende technische ... organisatorische Maÿnahmen verbindlich festgelegt:

a) Zutrittskontrolle

Maßnahmen, damit Unbefugte keinen Zutritt ... den Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden:

........

........

........

........

b) Benutzerkontrolle

Maßnahmen, damit Unbefugte an ... Benutzung ... Datenverarbeitungsanlagen ... verfahren gehindert werden:

........

........

........

........

c) Zugriffskontrolle

Maßnahmen, damit ... zur Benutzung ... Datenverarbeitungsverfahren Befugten ausschließlich auf ... ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

.........

.........

.........

.........

d) Datenverarbeitungskontrolle

Maßnahmen, damit personenbezogene Daten nicht unbefugt ... nicht zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, gelöscht, entfernt, vernichtet ... sonst verarbeitet werden:

.........

.........

.........

.........

e) Verantwortlichkeitskontrolle

Maÿnahmen, damit es möglich ist, festzustellen, wer welche personenbezogenen Daten ... welcher Zeit verarbeitet hat ... wohin sie übermittelt werden sollen ... übermittelt worden sind:

.........

.........

.........

.........

f) Dokumentationskontrolle

Maßnahmen, damit durch ... Dokumentation aller wesentlichen Verarbeitungsschritte ... ÿberprüfbarkeit ... Datenverarbeitungsanlage ... des verfahrens möglich ist:

.........

.........

.........

.........

g) Organisationskontrolle

Maßnahmen, damit ... innerbehördliche ... innerbetriebliche Organisation ... besonderen Anforderungen ... Datenschutzes gerecht wird:

.........

.........

.........

.........

(2) An ... Erstellung ... Verfahrensverzeichnisse hat ... Auftragnehmer mitzuwirken. Er hat ... erforderlichen Angaben ... Auftraggeber zuzuleiten.

(3) ... Auftragnehmer beachtet ... Grundsätze ordnungsmäßiger Datenverarbeitung. Er gewährleistet ... vertraglich vereinbarten ... gesetzlich vorgeschriebenen Datensicherheitsmaÿnahmen.

(4) ... technischen ... organisatorischen Maßnahmen können ... Laufe ... Auftragsverhältnisses ... technischen ... organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich ... vereinbaren.

(5) Soweit ... beim Auftragnehmer getroffenen Sicherheitsmaßnahmen ... Anforderungen ... Auftraggebers nicht genügen, benachrichtigt er ... Auftraggeber unverzüglich. Entsprechendes gilt ... Störungen sowie bei Verdacht auf Datenschutzverletzungen ... Unregelmäßigkeiten bei ... Verarbeitung personenbezogener Daten. Er unterrichtet ... Auftraggeber unverzüglich, wenn ... vom Auftraggeber erteilte Weisung nach seiner Meinung ... einem Verstoß gegen gesetzliche Vorschriften führen kann. ... Weisung braucht nicht befolgt ... werden, solange sie nicht durch ... Auftraggeber geändert ... ausdrücklich bestätigt wird.

 

§ 7 Vertragsdauer

(1) ... Vertrag

- beginnt am ................... ... endet am ..................../

- mit Auftragserledigung /

- wird auf unbestimmte Zeit geschlossen.

Er ist mit ... Frist ... ....... Monaten zum Quartalsende kündbar.

(2) ... Auftraggeber kann ... Vertrag jederzeit ohne Einhaltung ... Frist kündigen, wenn ... schwerwiegender Verstoß ... Auftragnehmers gegen ... Bestimmungen ... HDSG ... dieses Vertrages vorliegt, ... Auftragnehmer ... Weisung ... Auftraggebers nicht ausführen kann ... will ... der Auftragnehmer ... Zutritt ... Auftraggebers ... des Hessischen Datenschutzbeauftragten vertragswidrig verweigert.

 

§ 8 Vergütung

....

 

§ 9 Haftung

(1) ... Auftragnehmer haftet ... Auftraggeber ... Schäden, ... der Auftragnehmer, seine Mitarbeiter bzw. ... von ihm mit ... Vertragsdurchführung Beauftragten bei ... Erbringung ... vertraglichen Leistung schuldhaft verursachen.

(2) ... den Ersatz ... Schäden, ... ein Betroffener wegen ... nach ... HDSG ... anderen Vorschriften ... den Datenschutz unzulässigen ... unrichtigen Datenverarbeitung ... Rahmen ... Auftragsverhältnisses erleidet, ist ... Auftraggeber gegenüber ... Betroffenen verantwortlich. Soweit ... Auftraggeber zum Schadensersatz gegenüber ... Betroffenen verpflichtet ist, bleibt ihm ... Rückgriff beim Auftragnehmer vorbehalten.

 

§ 10 Vertragsstrafe

Bei Verstoß gegen ... Abmachungen dieses Vertrages, insbesondere gegen ... Einhaltung ... Datenschutzes, wird ... Vertragsstrafe ... .............  vereinbart.

 

§ 11 Nichterfüllung ... Leistung

....

 

§ 12 Sonstiges

(1) ... Auftragnehmer übereignet ... Auftraggeber zur Sicherung ... Datenträger, auf denen sich Dateien befinden, ... Daten ... Auftraggebers enthalten. Diese Datenträger sind besonders ... kennzeichnen.

(2) Sollte ... Eigentum ... Auftraggebers beim Auftragnehmer durch Maÿnahmen Dritter (etwa durch Pfändung ... Beschlagnahme), durch ... Insolvenz- ... Vergleichsverfahren ... durch sonstige Ereignisse gefährdet werden, ... hat ... Auftragnehmer ... Auftraggeber unverzüglich ... verständigen.

(3) ... Nebenabreden ist ... Schriftform erforderlich.

(4) ... Einrede ... Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich ... verarbeiteten Daten ... der zugehörigen Datenträger ausgeschlossen [Diese Klausel muss wegen § 11 Nr. 2 AGB gesondert vereinbart werden].

 

§ 13 Wirksamkeit ... Vereinbarung

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, ... berührt dies ... Wirksamkeit ... Vereinbarung ... übrigen nicht.

 

 

 

 

Erläuterungen ... § 6 Datensicherungsmaÿnahmen

... dem Vertrag müssen ... technischen ... organisatorischen Maÿnahmen festgelegt werden, ... bei ... Datenverarbeitung umzusetzen sind.

Rechtsgrundlage ist § 4 Abs. 2 HDSG, ... dem beschrieben ist, welche Prüfungen ... Auftraggeber vor ... Auftragsvergabe durchzuführen hat. ... muss ... Auftragnehmer unter besonderer Berücksichtigung ... Zuverlässigkeit ... der Eignung ... von ihm getroffenen technischen ... organisatorischen Maßnahmen sorgfältig ausgewählt werden. ... Auftrag sind insbesondere ... technischen ... organisatorischen Maßnahmen schriftlich festzulegen. Auch hat ... Auftraggeber ... prüfen, ob beim Auftragnehmer ... nach § 10 erforderlichen Maßnahmen getroffen werden.

Werden personenbezogene Daten verarbeitet, deren Verarbeitung ... die Betroffenen keine besonderen Risiken erwarten lässt, ... bietet ... Grundschutzhandbuch ... BSI ... bestimmte technische Konstellationen ... Katalog an Sicherheitsmaÿnahmen. (Das Handbuch, ... dem ... Maÿnahmen erläutert werden, kann auf Datenträgern beim BSI bestellt werden. Tabellen, ... denen Abhängigkeiten zwischen Grundschutz-Maßnahmen ... den Sicherheitszielen ... HDSG dargestellt werden, sind ... Internetangebot ... Hessischen Datenschutzbeauftragten abrufbar; www.datenschutz.hessen.de.)

a) Wenn ... Auftragnehmer ... Datensicherheitskonzept besitzt, muss ... Auftraggeber prüfen ... schriftlich festlegen, ob es seinen Anforderungen entspricht. ... Sicherheitsziele sind ... § 10 Abs. 2 HDSG genannt. Ist ... Konzept nicht ausreichend, sind ergänzende Maßnahmen ... vereinbaren. ... daraus resultierende Sicherheitskonzept sollte zum Vertragsbestandteil gemacht werden. ... diesem Fall kann darauf verzichtet werden, ... Sicherheitskonzept genannte Maÿnahmen ... Vertragstext ... wiederholen.

b) Wenn ... Auftragnehmer kein Datensicherheitskonzept vorlegen kann, müssen ... Maÿnahmen ... Vertrag vereinbart werden. Dabei sind wiederum ... in § 10 Abs. 2 HDSG genannten Sicherheitsziele ... erreichen. Aus ... Katalog sollten ... einzelnen Maßnahmen ... den Vertrag übernommen werden. Es handelt sich um keinen abschließenden Maßnahmenkatalog. Insbesondere bei ... Verarbeitung sensibler Daten sind ... der Regel zusätzliche Maßnahmen erforderlich.

c) Besonders wichtig sind Regelungen ... folgenden Sachverhalten:

V e r a n t w o r t l i c h k e i t e n: Aus unklaren Aufgabenverteilungen, beispielsweise bei ... Vergabe ... Zugriffsrechten, resultieren Schwachstellen mit hohen Risiken.
A  b  s c h o t t u n g  v o n  N e t z e n: Es müssen Maßnahmen ergriffen werden, um ... unberechtigtes Eindringen ... Rechnernetze soweit möglich ... verhindern. Da meist keine absolute Sicherheit ... erreichen ist, müssen derartige Versuche erkannt werden. Technische Komponenten, ... in Betracht kommen, sind Firewalls ... Intrusion Detection Systeme.
A b h ö r e n  d e r  K o m m u n i k a t i o n: Zum Schutz gegen unberechtigtes Abhören bietet es sich an, ... Daten ... verschlüsseln.
A b m e l d e p r o z e d u r e n: ... Anmeldung am System ... Anwendung stellt ... erste ... wichtigste Hürde dar, ... unbefugte Personen überwinden müssen. An dieser Stelle müssen qualitativ hochwertige Maßnahmen ergriffen werden.

Das vollständige Dokument können Sie nach dem Kauf sehen, als Word-Dokument (.docx) speichern und bearbeiten.

Jetzt registrieren für Zugang zu allen Dokumenten

Sie haben bereits einen Zugang? Bitte hier einloggen.



Sofort downloaden und anpassen: Alle Verträge können Sie gleich nach dem Kauf in den üblichen Programmen (z.B. Word) bearbeiten und anpassen.

Kompetente Beratung durch unsere Rechtsanwälte: Falls Sie das Dokument oder einen anderen Vertrag bzw. Vorlage anwaltlich anpassen wollen stehen Ihnen unsere Rechtsanwälte gern zur Verfügung. Fragen Sie uns nach einem Kostenvoranschlag!