Mustervertrag zur Auftragsdatenverarbeitung zwischen öffentlichen Stellen und öffentlichen oder nicht-öffentlichen Auftragnehmern

(Basierend auf _ Empfehlung _ Hess. Datenschutzbeauftragten)

Nachfolgend wurde _ Mustervertrag für _ Verarbeitung personenbezogener Daten im Auftrag gemäß § 4 HDSG entworfen. _ Inhalt _ Vertrages sind im Einzelfall aufgabenspezifisch anzupassen. An nicht-öffentliche Stellen darf _ Auftrag nur vergeben werden, wenn weder gesetzliche Regelungen über Berufs- oder besondere Amtsgeheimnisse noch überwiegende schutzwürdige Belange entgegenstehen. Soweit nicht § 4 HDSG, sondern spezialgesetzliche Regelungen für _ Daten, _ im Auftrag verarbeitet werden sollen, Anwendung finden, ist zunächst _ prüfen, ob _ Auftragsdatenverarbeitung grundsätzlich zulässig ist, _ ggf. sind _ spezialgesetzlichen Regelungen bei _ Vertragsgestaltung (z.B. Personal-, Beihilfe- _ Sozialdaten) _ berücksichtigen. Soweit _ BVB (HessStAnz 1994, S. 2050 ff) anzuwenden sind, müssen _ dort vorgesehenen Vertragstypen datenschutzrechtlich ergänzt werden. _ jeweiligen Vertragsbestimmungen sind dem Mustervertrag _ entnehmen. Gem. § 4 Abs. 3 Satz 2 hat _ Auftraggeber _ Hessischen Datenschutzbeauftragten vorab über _ Beauftragung _ unterrichten.

 

 

Vereinbarung

zwischen dem/der

...................................................................................................................................

- nachstehend Auftragnehmer genannt -

_ dem/der

....................................................................................................................................

- nachstehend Auftraggeber genannt -

 

 

§ 1 Gegenstand _ Vereinbarung

(1) _ Auftragnehmer verarbeitet personenbezogene Daten im Auftrag _ Auftraggebers.

(2) _ Auftrag umfasst folgende Arbeiten:

....................................................................................................................................

(Definition _ Aufgaben)

 

§ 2 Pflichten _ Auftraggebers

(1) Für _ Beurteilung _ Zulässigkeit _ Datenverarbeitung sowie für _ Wahrung _ Rechte _ Betroffenen ist allein _ Auftraggeber verantwortlich.

(2) _ Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen _ Verarbeitungsgegenstandes _ Verfahrensänderungen sind gemeinsam abzustimmen.

(3) _ Auftraggeber hat _ Recht, Weisungen über Art, Umfang _ Verfahren _ Datenverarbeitung _ erteilen. Mündliche Weisungen sind unverzüglich schriftlich _ bestätigen.

Weisungsberechtigte Personen _ Auftraggebers sind:

....................................................................................................................................

Weisungsempfänger beim Auftragnehmer sind:

....................................................................................................................................

Bei einem Wechsel oder _ längerfristigen Verhinderung _ Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich _ Nachfolger bzw. _ Vertreter mitzuteilen.

(4) _ Auftraggeber informiert _ Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei _ Prüfung _ Auftragsergebnisse feststellt.

(5) _ Auftraggeber ist verpflichtet, alle im Rahmen _ Vertragsverhältnisses erlangten Kenntnisse _ Geschäftsgeheimnissen _ Datensicherheitsmaßnahmen _ Auftragnehmers vertraulich _ behandeln.

 

§ 3 Pflichten _ Auftragnehmers

(1) _ Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen _ getroffenen Vereinbarungen _ nach Weisungen _ Auftraggebers. Er verwendet _ zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen _ Auftraggebers nicht erstellt.

(2) _ Auftragnehmer sichert im Bereich _ auftragsgemäßen Verarbeitung _ personenbezogenen Daten _ vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, _ die verarbeiteten Daten _ sonstigen Datenbeständen scharf getrennt werden.

(3) _ Auftragnehmer erklärt sich damit einverstanden, _ der Auftraggeber jederzeit berechtigt ist, _ Einhaltung _ Vorschriften über _ Datenschutz _ der vertraglichen Vereinbarungen im erforderlichen Umfang _ kontrollieren, insbesondere durch _ Einholung _ Auskünften _ die Einsichtnahme in _ gespeicherten Daten _ die Datenverarbeitungsprogramme.

(4) _ Verarbeitung _ Daten in Privatwohnungen ist nur mit Zustimmung _ Auftraggebers im Einzelfall gestattet. Soweit _ Daten in _ Privatwohnung verarbeitet werden, ist _ Zugang zur Wohnung durch _ Auftraggeber (§ 3 Abs. 3) vorher mit dem Auftragnehmer abzustimmen. _ Auftragnehmer sichert zu, _ auch _ anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.

(5) Nicht mehr benötigte Unterlagen mit personenbezogenen Daten _ Dateien dürfen erst nach vorheriger Zustimmung durch _ Auftraggeber datenschutzgerecht vernichtet werden.

(6) Nach Abschluss _ vertraglichen Arbeiten hat _ Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen _ erstellten Verarbeitungs- oder Nutzungsergebnisse, _ im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. _ Datenträger _ Auftragnehmers sind danach physisch _ löschen. Test- _ Ausschussmaterial ist unverzüglich _ vernichten oder dem Auftraggeber auszuhändigen.

(7) [1. Alternative]

_ Einschaltung _ Subauftragnehmern ist ausgeschlossen. _ Beauftragung _ Subunternehmen mit _ Verarbeitung _ personenbezogenen Daten ist in keinem Fall zulässig.

[2. Alternative]

_ Beauftragung _ Subunternehmen ist nur mit schriftlicher Zustimmung _ Auftraggebers zugelassen. _ Auftragnehmer hat in diesem Falle vertraglich sicherzustellen, _ die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat _ Einhaltung dieser Pflichten regelmäÿig _ überprüfen. _ Weiterleitung _ Daten ist erst zulässig, wenn _ Subunternehmer _ Verpflichtung nach § 4 erfüllt hat. [Zur Zeit sind _ in Anlage ........... mit Namen _ Auftragsinhalt bezeichneten Subunternehmer mit _ Verarbeitung _ personenbezogenen Daten in dem dort genannten Umfang beschäftigt.]

(8) Soweit für _ Auftragnehmer _ Vorschriften über _ nicht-öffentlichen Bereich Anwendung finden, bestätigt er, _ er gem. § 4 d Abs. 1 BDSG zum Register bei _ Aufsichtsbehörde für _ Datenschutz gemeldet ist oder gem. § 4 f BDSG _ betrieblichen Datenschutzbeauftragten bestellt hat.

(9) Für _ Sicherheit erhebliche Entscheidungen zur Organisation _ Datenverarbeitung _ zu _ angewandten Verfahren sind mit dem Auftraggeber abzustimmen.

 

§ 4 Datengeheimnis

(1) _ Auftragnehmer verpflichtet sich, bei _ auftragsgemäßen Verarbeitung _ personenbezogenen Daten _ Auftraggebers _ Datengeheimnis gemäß § 9 HDSG _ wahren. Er verpflichtet sich, _ gleichen Geheimnisschutzregeln _ beachten, wie sie dem Auftraggeber obliegen (§ 4 Abs. 3 HDSG).

(2) _ Auftragnehmer bestätigt, _ ihm _ einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. _ Auftragnehmer sichert zu, _ er _ bei _ Durchführung _ Arbeiten beschäftigten Mitarbeiter mit _ für sie maßgebenden Bestimmungen _ Datenschutzes vertraut macht. Er überwacht _ Einhaltung _ datenschutzrechtlichen Vorschriften.

(3) Auskünfte darf _ Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch _ Auftraggeber erteilen.

 

§ 5 Kontrollrechte _ HDSB

(1) _ Auftragnehmer verpflichtet sich, dem Hessischen Datenschutzbeauftragten _ den _ ihm eingesetzten Bediensteten Zugang _ den Arbeitsräumen _ gewähren _ unterwirft sich _ Kontrolle nach Maßgabe _ HDSG in seiner jeweiligen Fassung.


(2) Soweit Daten in _ Privatwohnung verarbeitet werden, ist _ Zugang _ Hessischen Datenschutzbeauftragten _ der _ ihm eingesetzten Bediensteten vorher mit dem Auftragnehmer abzustimmen. _ Auftragnehmer stellt sicher, _ die anderen Bewohner dieser Privatwohnung mit dieser Regelung einverstanden sind.

 

§ 6 Datensicherungsmaÿnahmen (Erläuterungen s. Anhang)

(1) _ den Regelungstatbeständen _ § 10 HDSG werden folgende technische _ organisatorische Maÿnahmen verbindlich festgelegt:

a) Zutrittskontrolle

Maßnahmen, damit Unbefugte keinen Zutritt _ den Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden:

........

........

........

........

b) Benutzerkontrolle

Maßnahmen, damit Unbefugte an _ Benutzung _ Datenverarbeitungsanlagen _ verfahren gehindert werden:

........

........

........

........

c) Zugriffskontrolle

Maßnahmen, damit _ zur Benutzung _ Datenverarbeitungsverfahren Befugten ausschließlich auf _ ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

.........

.........

.........

.........

d) Datenverarbeitungskontrolle

Maßnahmen, damit personenbezogene Daten nicht unbefugt oder nicht zufällig gespeichert, zur Kenntnis genommen, verändert, kopiert, gelöscht, entfernt, vernichtet oder sonst verarbeitet werden:

.........

.........

.........

.........

e) Verantwortlichkeitskontrolle

Maÿnahmen, damit es möglich ist, festzustellen, wer welche personenbezogenen Daten _ welcher Zeit verarbeitet hat _ wohin sie übermittelt werden sollen oder übermittelt worden sind:

.........

.........

.........

.........

f) Dokumentationskontrolle

Maßnahmen, damit durch _ Dokumentation aller wesentlichen Verarbeitungsschritte _ ÿberprüfbarkeit _ Datenverarbeitungsanlage _ des verfahrens möglich ist:

.........

.........

.........

.........

g) Organisationskontrolle

Maßnahmen, damit _ innerbehördliche oder innerbetriebliche Organisation _ besonderen Anforderungen _ Datenschutzes gerecht wird:

.........

.........

.........

.........

(2) An _ Erstellung _ Verfahrensverzeichnisse hat _ Auftragnehmer mitzuwirken. Er hat _ erforderlichen Angaben dem Auftraggeber zuzuleiten.

(3) _ Auftragnehmer beachtet _ Grundsätze ordnungsmäßiger Datenverarbeitung. Er gewährleistet _ vertraglich vereinbarten _ gesetzlich vorgeschriebenen Datensicherheitsmaÿnahmen.

(4) _ technischen _ organisatorischen Maßnahmen können im Laufe _ Auftragsverhältnisses _ technischen _ organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich _ vereinbaren.

(5) Soweit _ beim Auftragnehmer getroffenen Sicherheitsmaßnahmen _ Anforderungen _ Auftraggebers nicht genügen, benachrichtigt er _ Auftraggeber unverzüglich. Entsprechendes gilt für Störungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei _ Verarbeitung personenbezogener Daten. Er unterrichtet _ Auftraggeber unverzüglich, wenn _ vom Auftraggeber erteilte Weisung nach seiner Meinung _ einem Verstoß gegen gesetzliche Vorschriften führen kann. _ Weisung braucht nicht befolgt _ werden, solange sie nicht durch _ Auftraggeber geändert oder ausdrücklich bestätigt wird.

 

§ 7 Vertragsdauer

(1) _ Vertrag

- beginnt am ................... _ endet am ..................../

- mit Auftragserledigung /

- wird auf unbestimmte Zeit geschlossen.

Er ist mit _ Frist _ ....... Monaten zum Quartalsende kündbar.

(2) _ Auftraggeber kann _ Vertrag jederzeit ohne Einhaltung _ Frist kündigen, wenn _ schwerwiegender Verstoß _ Auftragnehmers gegen _ Bestimmungen _ HDSG oder dieses Vertrages vorliegt, _ Auftragnehmer _ Weisung _ Auftraggebers nicht ausführen kann oder will oder _ Auftragnehmer _ Zutritt _ Auftraggebers oder _ Hessischen Datenschutzbeauftragten vertragswidrig verweigert.

 

§ 8 Vergütung

....

 

§ 9 Haftung

(1) _ Auftragnehmer haftet dem Auftraggeber für Schäden, _ der Auftragnehmer, seine Mitarbeiter bzw. _ von ihm mit _ Vertragsdurchführung Beauftragten bei _ Erbringung _ vertraglichen Leistung schuldhaft verursachen.

(2) Für _ Ersatz _ Schäden, _ ein Betroffener wegen _ nach dem HDSG oder anderen Vorschriften für _ Datenschutz unzulässigen oder unrichtigen Datenverarbeitung im Rahmen _ Auftragsverhältnisses erleidet, ist _ Auftraggeber gegenüber _ Betroffenen verantwortlich. Soweit _ Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm _ Rückgriff beim Auftragnehmer vorbehalten.

 

§ 10 Vertragsstrafe

Bei Verstoß gegen _ Abmachungen dieses Vertrages, insbesondere gegen _ Einhaltung _ Datenschutzes, wird _ Vertragsstrafe _ .............  vereinbart.

 

§ 11 Nichterfüllung _ Leistung

....

 

§ 12 Sonstiges

(1) _ Auftragnehmer übereignet dem Auftraggeber zur Sicherung _ Datenträger, auf denen sich Dateien befinden, _ Daten _ Auftraggebers enthalten. Diese Datenträger sind besonders _ kennzeichnen.

(2) Sollte _ Eigentum _ Auftraggebers beim Auftragnehmer durch Maÿnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch _ Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat _ Auftragnehmer _ Auftraggeber unverzüglich _ verständigen.

(3) Für Nebenabreden ist _ Schriftform erforderlich.

(4) _ Einrede _ Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich _ verarbeiteten Daten _ der zugehörigen Datenträger ausgeschlossen [Diese Klausel muss wegen § 11 Nr. 2 AGB gesondert vereinbart werden].

 

§ 13 Wirksamkeit _ Vereinbarung

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies _ Wirksamkeit _ Vereinbarung im übrigen nicht.

 

 

 

 

Erläuterungen _ § 6 Datensicherungsmaÿnahmen

In dem Vertrag müssen _ technischen _ organisatorischen Maÿnahmen festgelegt werden, _ bei _ Datenverarbeitung umzusetzen sind.

Rechtsgrundlage ist § 4 Abs. 2 HDSG, in dem beschrieben ist, welche Prüfungen _ Auftraggeber vor _ Auftragsvergabe durchzuführen hat. So muss _ Auftragnehmer unter besonderer Berücksichtigung _ Zuverlässigkeit _ der Eignung _ von ihm getroffenen technischen _ organisatorischen Maßnahmen sorgfältig ausgewählt werden. Im Auftrag sind insbesondere _ technischen _ organisatorischen Maßnahmen schriftlich festzulegen. Auch hat _ Auftraggeber _ prüfen, ob beim Auftragnehmer _ nach § 10 erforderlichen Maßnahmen getroffen werden.

Werden personenbezogene Daten verarbeitet, deren Verarbeitung für _ Betroffenen keine besonderen Risiken erwarten lässt, so bietet _ Grundschutzhandbuch _ BSI für bestimmte technische Konstellationen _ Katalog an Sicherheitsmaÿnahmen. (Das Handbuch, in dem _ Maÿnahmen erläutert werden, kann auf Datenträgern beim BSI bestellt werden. Tabellen, in denen Abhängigkeiten zwischen Grundschutz-Maßnahmen _ den Sicherheitszielen _ HDSG dargestellt werden, sind im Internetangebot _ Hessischen Datenschutzbeauftragten abrufbar; www.datenschutz.hessen.de.)

a) Wenn _ Auftragnehmer _ Datensicherheitskonzept besitzt, muss _ Auftraggeber prüfen _ schriftlich festlegen, ob es seinen Anforderungen entspricht. _ Sicherheitsziele sind in § 10 Abs. 2 HDSG genannt. Ist _ Konzept nicht ausreichend, sind ergänzende Maßnahmen _ vereinbaren. _ daraus resultierende Sicherheitskonzept sollte zum Vertragsbestandteil gemacht werden. In diesem Fall kann darauf verzichtet werden, im Sicherheitskonzept genannte Maÿnahmen im Vertragstext _ wiederholen.

b) Wenn _ Auftragnehmer kein Datensicherheitskonzept vorlegen kann, müssen _ Maÿnahmen im Vertrag vereinbart werden. Dabei sind wiederum _ in § 10 Abs. 2 HDSG genannten Sicherheitsziele _ erreichen. Aus dem Katalog sollten _ einzelnen Maßnahmen in _ Vertrag übernommen werden. Es handelt sich um keinen abschließenden Maßnahmenkatalog. Insbesondere bei _ Verarbeitung sensibler Daten sind in _ Regel zusätzliche Maßnahmen erforderlich.

c) Besonders wichtig sind Regelungen _ folgenden Sachverhalten:

V e r a n t w o r t l i c h k e i t e n: Aus unklaren Aufgabenverteilungen, beispielsweise bei _ Vergabe _ Zugriffsrechten, resultieren Schwachstellen mit hohen Risiken.
A  b  s c h o t t u n g  v o n  N e t z e n: Es müssen Maßnahmen ergriffen werden, um _ unberechtigtes Eindringen in Rechnernetze soweit möglich _ verhindern. Da meist keine absolute Sicherheit _ erreichen ist, müssen derartige Versuche erkannt werden. Technische Komponenten, _ in Betracht kommen, sind Firewalls oder Intrusion Detection Systeme.
A b h ö r e n  d e r  K o m m u n i k a t i o n: Zum Schutz gegen unberechtigtes Abhören bietet es sich an, _ Daten _ verschlüsseln.
A b m e l d e p r o z e d u r e n: _ Anmeldung am System oder Anwendung stellt _ erste _ wichtigste Hürde dar, _ unbefugte Personen überwinden müssen. An dieser Stelle müssen qualitativ hochwertige Maßnahmen ergriffen werden.

So sehen Sie das gesamte Dokument

Das vollständige Dokument können Sie nach dem Kauf sehen, als Word - Dokument (.docx) speichern und bearbeiten.

99 EUR einmalig, zeitlich unbeschränkt, kein Abo, weitere InfosZugang zu allen Dokumenten kaufen

Preis zzgl. MwSt. Angebot richtet sich nur an gewerbliche Kunden.

 

Sie haben bereits einen Zugang? Bitte hier einloggen.

Sofort downloaden und anpassen: Alle Verträge können Sie gleich nach dem Kauf in den üblichen Programmen (z.B. Word) bearbeiten und anpassen.

Kompetente Beratung durch unsere Rechtsanwälte: Falls Sie das Dokument oder einen anderen Vertrag bzw. Vorlage anwaltlich anpassen wollen stehen Ihnen unsere Rechtsanwälte gern zur Verfügung. Fragen Sie uns nach einem Kostenvoranschlag!