☎ 069 71 67 2 67 0
US  EU  CN

Mustervertrag zur Auftragsdatenverarbeitung zwischen öffentlichen Stellen und öffentlichen oder nicht-öffentlichen Auftragnehmern

(Basierend auf...er Empfehlung... Hess. Datenschutzbeauftragten, Stand 03. November 2003)

Nachfolgend wurde... Mustervertrag für... Verarbeitung personenbezogener Daten im Auftrag gemäß § 4 HDSG entworfen. ... Inhalt... Vertrages sind im Einzelfall aufgabenspezifisch anzupassen. An nicht-öffentliche Stellen darf... Auftrag nur vergeben werden, wenn weder gesetzliche Regelungen über Berufs- oder besondere Amtsgeheimnisse noch überwiegende schutzwürdige Belange entgegenstehen. Soweit nicht § 4 HDSG, sondern spezialgesetzliche Regelungen für... Daten,... im Auftrag verarbeitet werden sollen, Anwendung finden, ist zunächst zu prüfen, ob...e Auftragsdatenverarbeitung grundsätzlich zulässig ist, und ggf. sind... spezialgesetzlichen Regelungen bei... Vertragsgestaltung (z.B. Personal-, Beihilfe- und Sozialdaten) zu berücksichtigen. Soweit... BVB (HessStAnz 1994, S. 2050 ff) anzuwenden sind, müssen... dort vorgesehenen Vertragstypen datenschutzrechtlich ergänzt werden. ... jeweiligen Vertragsbestimmungen sind dem Mustervertrag zu entnehmen. Gem. § 4 Abs. 3 Satz 2 hat... Auftraggeber...Hessischen Datenschutzbeauftragten vorab über... Beauftragung zu unterrichten.

 

 

Vereinbarung

zwischen dem/der

...................................................................................................................................

- nachstehend Auftragnehmer genannt -

und dem/der

....................................................................................................................................

- nachstehend Auftraggeber genannt -

 

 

§ 1 Gegenstand... Vereinbarung

(1) ... Auftragnehmer verarbeitet personenbezogene Daten im Auftrag... Auftraggebers.

(2) ... Auftrag umfasst folgende Arbeiten:

....................................................................................................................................

(Definition... Aufgaben)

 

§ 2 Pflichten... Auftraggebers

(1) Für... Beurteilung... Zulässigkeit... Datenverarbeitung sowie für... Wahrung... Rechte... Betroffenen ist allein... Auftraggeber verantwortlich.

(2) ... Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen... Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen.

(3) ... Auftraggeber hat... Recht, Weisungen über Art, Umfang und Verfahren... Datenverarbeitung zu erteilen. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen.

Weisungsberechtigte Personen... Auftraggebers sind:

....................................................................................................................................

Weisungsempfänger beim Auftragnehmer sind:

....................................................................................................................................

Bei...em Wechsel oder...er längerfristigen Verhinderung... Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich... Nachfolger bzw.... Vertreter mitzuteilen.

(4) ... Auftraggeber informiert...Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei... Prüfung... Auftragsergebnisse feststellt.

(5) ... Auftraggeber ist verpflichtet, alle im Rahmen... Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen... Auftragnehmers vertraulich zu behandeln.

 

§ 3 Pflichten... Auftragnehmers

(1) ... Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen... getroffenen Vereinbarungen und nach Weisungen... Auftraggebers. Er verwendet... zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen... Auftraggebers nicht erstellt.

(2) ... Auftragnehmer sichert im Bereich... auftragsgemäßen Verarbeitung von personenbezogenen Daten... vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu,...s... verarbeiteten Daten von sonstigen Datenbeständen scharf getrennt werden.

(3) ... Auftragnehmer erklärt sich damit...verstanden,...s... Auftraggeber jederzeit berechtigt ist,... Einhaltung... Vorschriften über...Datenschutz und... vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch... Einholung von Auskünften und... Einsichtnahme in... gespeicherten Daten und... Datenverarbeitungsprogramme.

(4) ... Verarbeitung von Daten in Privatwohnungen ist nur mit Zustimmung... Auftraggebers im Einzelfall gestattet. Soweit... Daten in...er Privatwohnung verarbeitet werden, ist... Zugang zur Wohnung durch...Auftraggeber (§ 3 Abs. 3) vorher mit dem Auftragnehmer abzustimmen. ... Auftragnehmer sichert zu,...s auch... anderen Bewohner...ser Privatwohnung mit...ser Regelung...verstanden sind.

(5) Nicht mehr benötigte Unterlagen mit personenbezogenen Daten und Dateien dürfen erst nach vorheriger Zustimmung durch...Auftraggeber datenschutzgerecht vernichtet werden.

(6) Nach Abschluss... vertraglichen Arbeiten hat... Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse,... im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. ... Datenträger... Auftragnehmers sind danach physisch zu löschen. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder dem Auftraggeber auszuhändigen.

(7) [1. Alternative]

... Einschaltung von Subauftragnehmern ist ausgeschlossen. ... Beauftragung von Subunternehmen mit... Verarbeitung von personenbezogenen Daten ist in keinem Fall zulässig.

[2. Alternative]

... Beauftragung von Subunternehmen ist nur mit schriftlicher Zustimmung... Auftraggebers zugelassen. ... Auftragnehmer hat in...sem Falle vertraglich sicherzustellen,...s... vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat... Einhaltung...ser Pflichten regelmäÿig zu überprüfen. ... Weiterleitung von Daten ist erst zulässig, wenn... Subunternehmer... Verpflichtung nach § 4 erfüllt hat. [Zur Zeit sind... in Anlage ........... mit Namen und Auftragsinhalt bezeichneten Subunternehmer mit... Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt.]

(8) Soweit für...Auftragnehmer... Vorschriften über...nicht-öffentlichen Bereich Anwendung finden, bestätigt er,...s er gem. § 4 d Abs. 1 BDSG zum Register bei... Aufsichtsbehörde für...Datenschutz gemeldet ist oder gem. § 4 f BDSG...en betrieblichen Datenschutzbeauftragten bestellt hat.

(9) Für... Sicherheit erhebliche Entscheidungen zur Organisation... Datenverarbeitung und zu...angewandten Verfahren sind mit dem Auftraggeber abzustimmen.

 

§ 4 Datengeheimnis

(1) ... Auftragnehmer verpflichtet sich, bei... auftragsgemäßen Verarbeitung... personenbezogenen Daten... Auftraggebers... Datengeheimnis gemäß § 9 HDSG zu wahren. Er verpflichtet sich,... gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen (§ 4 Abs. 3 HDSG).

(2) ... Auftragnehmer bestätigt,...s ihm......schlägigen datenschutzrechtlichen Vorschriften bekannt sind. ... Auftragnehmer sichert zu,...s er... bei... Durchführung... Arbeiten beschäftigten Mitarbeiter mit...für sie maßgebenden Bestimmungen... Datenschutzes vertraut macht. Er überwacht... Einhaltung... datenschutzrechtlichen Vorschriften.

(3) Auskünfte darf... Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch...Auftraggeber erteilen.

 

§ 5 Kontrollrechte... HDSB

(1) ... Auftragnehmer verpflichtet sich, dem Hessischen Datenschutzbeauftragten und...von ihm...gesetzten Bediensteten Zugang zu...Arbeitsräumen zu gewähren und unterwirft sich... Kontrolle nach Maßgabe... HDSG in seiner jeweiligen Fassung.


(2) Soweit Daten in...er Privatwohnung verarbeitet werden, ist... Zugang... Hessischen Datenschutzbeauftragten und... von ihm...gesetzten Bediensteten vorher mit dem Auftragnehmer abzustimmen. ... Auftragnehmer stellt sicher,...s... anderen Bewohner...ser Privatwohnung mit...ser Regelung...verstanden sind.

 

§ 6 Datensicherungsmaÿnahmen (Erläuterungen s. Anhang)

(1) Zu...Regelungstatbeständen... § 10 HDSG werden folgende technische und organisatorische Maÿnahmen verbindlich festgelegt:

a) Zutrittskontrolle

Maßnahmen, damit Unbefugte keinen Zutritt zu...Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden:

........

........

........

........

b) Benutzerkontrolle

Maßnahmen, damit Unbefugte an... Benutzung... Datenverarbeitungsanlagen und verfahren gehindert werden:

........

........

........

........

c) Zugriffskontrolle

Maßnahmen, damit... zur Benutzung... Datenverarbeitungsverfahren Befugten ausschließlich auf... ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

.........

.........

.........

.........

d) Datenverarbeitungskontrolle

Maßnahmen, damit personenbezogene Daten nicht unbefugt oder nicht zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, gelöscht, entfernt, vernichtet oder sonst verarbeitet werden:

.........

.........

.........

.........

e) Verantwortlichkeitskontrolle

Maÿnahmen, damit es möglich ist, festzustellen, wer welche personenbezogenen Daten zu welcher Zeit verarbeitet hat und wohin sie übermittelt werden sollen oder übermittelt worden sind:

.........

.........

.........

.........

f) Dokumentationskontrolle

Maßnahmen, damit durch...e Dokumentation aller wesentlichen Verarbeitungsschritte... ÿberprüfbarkeit... Datenverarbeitungsanlage und... verfahrens möglich ist:

.........

.........

.........

.........

g) Organisationskontrolle

Maßnahmen, damit... innerbehördliche oder innerbetriebliche Organisation...besonderen Anforderungen... Datenschutzes gerecht...d:

.........

.........

.........

.........

(2) An... Erstellung... Verfahrensverzeichnisse hat... Auftragnehmer mitzuwirken. Er hat... erforderlichen Angaben dem Auftraggeber zuzuleiten.

(3) ... Auftragnehmer beachtet... Grundsätze ordnungsmäßiger Datenverarbeitung. Er gewährleistet... vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaÿnahmen.

(4) ... technischen und organisatorischen Maßnahmen können im Laufe... Auftragsverhältnisses... technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.

(5) Soweit... beim Auftragnehmer getroffenen Sicherheitsmaßnahmen...Anforderungen... Auftraggebers nicht genügen, benachrichtigt er...Auftraggeber unverzüglich. Entsprechendes gilt für Störungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei... Verarbeitung personenbezogener Daten. Er unterrichtet...Auftraggeber unverzüglich, wenn...e vom Auftraggeber erteilte Weisung nach seiner Meinung zu...em Verstoß gegen gesetzliche Vorschriften führen kann. ... Weisung braucht nicht befolgt zu werden, solange sie nicht durch...Auftraggeber geändert oder ausdrücklich bestätigt...d.

 

§ 7 Vertragsdauer

(1) ... Vertrag

- beginnt am ................... und endet am ..................../

- mit Auftragserledigung /

-...d auf unbestimmte Zeit geschlossen.

Er ist mit...er Frist von ....... Monaten zum Quartalsende kündbar.

(2) ... Auftraggeber kann...Vertrag jederzeit ohne Einhaltung...er Frist kündigen, wenn... schwerwiegender Verstoß... Auftragnehmers gegen... Bestimmungen... HDSG oder...ses Vertrages vorliegt,... Auftragnehmer...e Weisung... Auftraggebers nicht ausführen kann oder will oder... Auftragnehmer...Zutritt... Auftraggebers oder... Hessischen Datenschutzbeauftragten vertragswidrig verweigert.

 

§ 8 Vergütung

....

 

§ 9 Haftung

(1) ... Auftragnehmer haftet dem Auftraggeber für Schäden,...... Auftragnehmer, seine Mitarbeiter bzw.... von ihm mit... Vertragsdurchführung Beauftragten bei... Erbringung... vertraglichen Leistung schuldhaft verursachen.

(2) Für...Ersatz von Schäden,...... Betroffener wegen...er nach dem HDSG oder anderen Vorschriften für...Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen... Auftragsverhältnisses erleidet, ist... Auftraggeber gegenüber...Betroffenen verantwortlich. Soweit... Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm... Rückgriff beim Auftragnehmer vorbehalten.

 

§ 10 Vertragsstrafe

Bei Verstoß gegen... Abmachungen...ses Vertrages, insbesondere gegen... Einhaltung... Datenschutzes,...d...e Vertragsstrafe von .............  vereinbart.

 

§ 11 Nichterfüllung... Leistung

....

 

§ 12 Sonstiges

(1) ... Auftragnehmer übereignet dem Auftraggeber zur Sicherung... Datenträger, auf denen sich Dateien befinden,... Daten... Auftraggebers enthalten. ...se Datenträger sind besonders zu kennzeichnen.

(2) Sollte... Eigentum... Auftraggebers beim Auftragnehmer durch Maÿnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch... Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat... Auftragnehmer...Auftraggeber unverzüglich zu verständigen.

(3) Für Nebenabreden ist... Schriftform erforderlich.

(4) ... Einrede... Zurückbehaltungsrechts i.S.v. § 273 BGB...d hinsichtlich... verarbeiteten Daten und... zugehörigen Datenträger ausgeschlossen [...se Klausel muss wegen § 11 Nr. 2 AGB gesondert vereinbart werden].

 

§ 13 Wirksamkeit... Vereinbarung

Sollten...zelne Teile...ser Vereinbarung unwirksam sein, so berührt...s... Wirksamkeit... Vereinbarung im übrigen nicht.

 

 

 

 

Erläuterungen zu § 6 Datensicherungsmaÿnahmen

In dem Vertrag müssen... technischen und organisatorischen Maÿnahmen festgelegt werden,... bei... Datenverarbeitung umzusetzen sind.

Rechtsgrundlage ist § 4 Abs. 2 HDSG, in dem beschrieben ist, welche Prüfungen... Auftraggeber vor...er Auftragsvergabe durchzuführen hat. So muss... Auftragnehmer unter besonderer Berücksichtigung... Zuverlässigkeit und... Eignung... von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig ausgewählt werden. Im Auftrag sind insbesondere... technischen und organisatorischen Maßnahmen schriftlich festzulegen. Auch hat... Auftraggeber zu prüfen, ob beim Auftragnehmer... nach § 10 erforderlichen Maßnahmen getroffen werden.

Werden personenbezogene Daten verarbeitet,...en Verarbeitung für... Betroffenen keine besonderen Risiken erwarten lässt, so bietet... Grundschutzhandbuch... BSI für bestimmte technische Konstellationen...en Katalog an Sicherheitsmaÿnahmen. (... Handbuch, in dem... Maÿnahmen erläutert werden, kann auf Datenträgern beim BSI bestellt werden. Tabellen, in denen Abhängigkeiten zwischen Grundschutz-Maßnahmen und...Sicherheitszielen... HDSG dargestellt werden, sind im Internetangebot... Hessischen Datenschutzbeauftragten abrufbar; www.datenschutz.hessen.de.)

a) Wenn... Auftragnehmer... Datensicherheitskonzept besitzt, muss... Auftraggeber prüfen und schriftlich festlegen, ob es seinen Anforderungen entspricht. ... Sicherheitsziele sind in § 10 Abs. 2 HDSG genannt. Ist... Konzept nicht ausreichend, sind ergänzende Maßnahmen zu vereinbaren. ... daraus resultierende Sicherheitskonzept sollte zum Vertragsbestandteil gemacht werden. In...sem Fall kann darauf verzichtet werden, im Sicherheitskonzept genannte Maÿnahmen im Vertragstext zu wiederholen.

b) Wenn... Auftragnehmer kein Datensicherheitskonzept vorlegen kann, müssen... Maÿnahmen im Vertrag vereinbart werden. Dabei sind wiederum... in § 10 Abs. 2 HDSG genannten Sicherheitsziele zu erreichen. Aus dem Katalog sollten......zelnen Maßnahmen in...Vertrag übernommen werden. Es handelt sich um keinen abschließenden Maßnahmenkatalog. Insbesondere bei... Verarbeitung sensibler Daten sind in... Regel zusätzliche Maßnahmen erforderlich.

c) Besonders wichtig sind Regelungen zu folgenden Sachverhalten:

V e r a n t w o r t l i c h k e i t e n: Aus unklaren Aufgabenverteilungen, beispielsweise bei... Vergabe von Zugriffsrechten, resultieren Schwachstellen mit hohen Risiken.
A  b  s c h o t t u n g  v o n  N e t z e n: Es müssen Maßnahmen ergriffen werden, um... unberechtigtes Eindringen in Rechnernetze soweit möglich zu verhindern. Da meist keine absolute Sicherheit zu erreichen ist, müssen...artige Versuche erkannt werden. Technische Komponenten,... in Betracht kommen, sind Firewalls oder Intrusion Detection Systeme.
A b h ö r e n  d e r  K o m m u n i k a t i o n: Zum Schutz gegen unberechtigtes Abhören bietet es sich an,... Daten zu verschlüsseln.
A b m e l d e p r o z e d u r e n: ... Anmeldung am System oder Anwendung stellt... erste und wichtigste Hürde dar,... unbefugte Personen überwinden müssen. An...ser Stelle müssen qualitativ hochwertige Maßnahmen ergriffen werden.
 

Das vollständige Dokument können Sie nach dem Kauf sehen, als Worddokument (.docx) speichern und bearbeiten.

49,00 EURZugang zu allen Dokumenten kaufen

zzgl. MwSt., garantiert keine Folgekosten,
zeitlich unbeschränkter Zugang

Weitere Informationen zur Mustervertragsdatenbank

Sie haben bereits einen Zugang? Melden Sie sich bitte hier an.



TÜV zertifizierter Kaufprozess für Mustervertrag zur Auftragsdatenverarbeitung

Kostenloses Hilfe-Forum: Unsere Anwälte beantworten gern Ihre Fragen zu "Mustervertrag zur Auftragsdatenverarbeitung" in unserem HilfeForum.

Sofort downloaden und anpassen: Alle Verträge können Sie gleich nach dem Kauf in den üblichen Programmen (z.B. Word) bearbeiten und anpassen.

Kompetente Beratung durch unsere Rechtsanwälte: Falls Sie das Dokument "Mustervertrag zur Auftragsdatenverarbeitung" oder einen anderen Vertrag bzw. Vorlage anwaltlich anpassen wollen stehen Ihnen unsere Rechtsanwälte gern zur Verfügung. Fragen Sie uns nach einem Kostenvoranschlag!