Datenschutzvertrag

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO als Anlage zu einem /mehreren vom Auftraggeber genutzten Vertrag/Verträgen

 

Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO als Anlage zu einem /mehreren
vom Auftraggeber genutzten Vertrag/Verträgen
Zwischen der Firma
1&1 IONOS SE
Elgendorfer Straße 57
56410 Montabaur
Deutschland
– Nachfolgend „Auftragnehmer“ genannt –
und
Firma: Liberale Jüdische Gemeinde Freiburg
Name: Sylvia Schliebe
Straße, Hausnummer: Habsburgerstrasse 90
Postleitzahl, Ort: 79104 Freiburg im Breisgau
Land: DEUTSCHLAND
Kundennummer: 709379156
– Nachfolgend „Auftraggeber“ genannt –
Version 20201204 Seite 1 von 6
Präambel
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im
Einzelvertrag (nachstehend „Vertrag“) in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben.
Art. 28 DSGVO stellt spezifische Anforderungen an eine Auftragsverarbeitung. Zur Wahrung dieser
speziellen Anforderungen schließen die Parteien die nachfolgende Vereinbarung. Sie findet Anwendung auf
alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des
Auftragnehmers, oder durch den Auftragnehmer Beauftragte personenbezogene Daten (nachstehend
„Daten“) des Auftraggebers verarbeiten.
Diese Anlage ist nur gültig in Verbindung mit einem aktiven Vertrag der 1&1 IONOS SE über die folgenden
Produkte und gilt demgemäß ausschließlich für:
- Managed Cloud Hosting, Virtual Server, Dynamic Cloud Server, Dedicated Hosting, Power Deal Server,
vServer (VPS), Cloud Server, Dedicated Server, Private Cloud, Cloud Backup;
- Webhosting, WordPress Hosting, MyWebsite Now, MyWebsite Creator, MyWebsite Essential, MyWebsite
Shop, MyWebsite, E-Shop, ipayment;
- E-Mail-Marketing, HiDrive-Onlinespeicher, Mail Basic, Mail Business, Hosted Microsoft Exchange, E-Mail-
Archivierung.
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
(1) Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der
Verarbeitung. Gegenstand dieser Anlage ist nicht die zielgerichtete Nutzung oder Verarbeitung von
personenbezogenen Daten durch den Auftragnehmer. Als Hosting-Dienstleister und Administrator von
Server-Systemen kann auf Seiten des Auftragnehmers allerdings ein Zugriff auf personenbezogene Daten
nicht ausgeschlossen werden. Welche personenbezogenen Daten der Auftraggeber im Rahmen des
Auftragsverhältnisses nutzt bzw. an den Auftragnehmer übermittelt, obliegt der Verantwortung und Kontrolle
des Auftraggebers.
2) Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den
Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst
Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im
Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze,
insbesondere für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ i.S.v.
Art. 4 Nr.7 DS-GVO).
(2) Weisungen werden anfänglich durch den Vertrag festgelegt und können danach vom Auftraggeber in
schriftlicher Form, oder in einem elektronischen Format („Textform“) an die vom Auftragnehmer bezeichnete
Stelle durch separate Weisungen geändert, ergänzt, oder ersetzt werden („Einzelweisung“). Hierzu stellt der
Auftragnehmer dem Auftraggeber im vom Auftragnehmer bereitgestellten Dienst oder angebotenen Produkt
entsprechende system- und/oder produktbasierende Einstellungsmöglichkeiten zur Verfügung
Version 20201204 Seite 2 von 6
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und
dokumentierter Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne von
Art. 28 Abs. 3 lit. a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der
Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Eine Ausführung von
rechtswidrigen Weisungen darf der Auftragnehmer ablehnen.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so
gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und
organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den
Anforderungen der Datenschutzgrundverordnung (insbesondere Art. 32 DS-GVO) genügen. Der
Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit,
Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
auf Dauer sicherstellen. Sofern auch besondere Kategorien personenbezogener Daten im Rahmen des
Auftragsverhältnisses verarbeitet werden, gewährleistet der Auftragnehmer zusätzlich die Einhaltung der
sich aus § 22 Abs. 2 BDSG ergebenden angemessenen und spezifischen Maßnahmen
(3) Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung
möglicher nachteiliger Folgen für betroffene Personen.
(4) Eine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen ist Bestandteil dieser
Vereinbarung (siehe Anhang 1).
(5) Der Auftragnehmer wird die Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfter
Wirksamkeit durch Bereitstellung eines Zertifikates zu Datenschutz und Informationssicherheit nachweisen.
(6) Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei
jedoch sichergestellt wird, dass das vertraglich vereinbarte (Daten-)Schutzniveau nicht unterschritten wird.
(7) Der Auftragnehmer unterstützt, soweit erforderlich den Auftraggeber im Rahmen seiner Möglichkeiten bei
der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen, geltend gemachten
Ansprüchen betroffener Personen (im Sinne des Kapitels III der DS-GVO) sowie bei der Einhaltung der in
Art. 32 bis 36 DS-GVO genannten Pflichten.
(8) Der Auftragnehmer stellt sicher, dass es den mit der Verarbeitung der Daten des Auftraggebers
befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, Daten außerhalb
von Auftraggeberweisung zu verarbeiten. Ferner stellt der Auftragnehmer sicher, dass sich die zur
Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben, oder
einer angemessenen gesetzlichen Schweigepflicht unterliegen. Die Vertraulichkeits-
/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.
(9) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes
personenbezogener Daten des Auftraggebers bekannt werden.
(10) Für alle im Rahmen dieser Anlage anfallenden Datenschutzfragen wenden Sie sich bitte an:
1&1 IONOS SE
Der Datenschutzbeauftragte
Elgendorfer Str. 57
56410 Montabaur
datenschutz@ionos.de
(11) Der Auftragnehmer stellt sicher, seinen Pflichten nach Art. 32 Abs.1 lit. d) DS-GVO nachzukommen,
insofern ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und
organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
Version 20201204 Seite 3 von 6
Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies
anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine
entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die
datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer
Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern
nicht im Vertrag bereits vereinbart.
(12) In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.
Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits
vereinbart.
(13) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des
Auftraggebers entweder herauszugeben oder zu löschen. Ebenso werden nach Auftragsende sämtliche im
Besitz des Auftragnehmers befindlichen sowie mit Unterauftragnehmern geteilte Daten, Unterlagen und
erstellte Verarbeitungs- oder Nutzungsergebnisse gelöscht.
(14) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger
Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des
Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er in den
Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. der datenschutzrechtlichen Bestimmungen
feststellt.
(2) Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger
Ansprüche nach Art. 82 DS-GVO, gilt § 3 Abs. 14 dieser Anlage und die damit verbundene
Unterstützungspflicht entsprechend für den Auftraggeber.
§ 5 Anfragen betroffener Personen
(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung, oder Auskunft an den
Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine
Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist.
(2) Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter.
(3) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten nach entsprechender
Weisung soweit vereinbart.
(4) Der Auftragnehmer haftet bei Erfüllung seiner Pflichten nicht dafür, wenn das Ersuchen der betroffenen
Person vom Auftraggeber nicht, nicht richtig, oder nicht fristgerecht beantwortet wird.
§ 6 Kontrollrechte
(1) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer
erforderlich sein, werden diese zu den üblichen Geschäftszeiten, ohne Störung des Betriebsablaufs nach
Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer
darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer
Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und
organisatorischen Maßnahmen abhängig machen. Für die Unterstützung bei der Durchführung einer
Inspektion darf der Auftragnehmer eine Vergütung verlangen. Der Aufwand einer Inspektion ist für den
Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
Version 20201204 Seite 4 von 6
(2) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des
Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 1 entsprechend. Eine Unterzeichnung
einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer
berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem
Strafgesetzbuch strafbewehrt ist. Zudem entfällt in solchen Konstellationen die Begrenzung des Aufwands
von einem Inspektionstag pro Kalenderjahr.
§ 7 Drittstaatentransfer
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätzlich in einem Mitgliedsstaat
der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen
Wirtschaftsraum statt. Etwaige Ausnahmen sind der Liste gem. § 8 Abs. 2 dieser Anlage zu entnehmen.
Jede Verlagerung von Teilleistungen oder der gesamten Dienstleistung in ein Drittland bedarf der vorherigen
Zustimmung des Auftraggebers in Schriftform oder dokumentiertem elektronischen Format und darf nur
erfolgen, sofern die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
§ 8 Unterauftragnehmer (weitere Auftragsverarbeiter)
(1) Mit der Hinzuziehung von verbundenen und fremden Unternehmen zur Wartung, Pflege der
Rechenzentrumsstruktur, Telekommunikationsdienstleistungen und Benutzerservice durch den
Auftragnehmer ist der Auftraggeber einverstanden.
(2) Eine Liste der aktuell eingesetzten Unterauftragnehmer steht dem Auftraggeber im Kundenportal stets
zum Abruf zur Verfügung. Diese Liste wird fortlaufend aktualisiert.
(3) Der Auftragnehmer informiert den Auftraggeber mittels der in Absatz 2 genannten Liste über jede
Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, wodurch der
Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen innerhalb von 14 Tagen ab
Veröffentlichung Einspruch zu erheben. Verweigert der Auftraggeber durch seinen Einspruch die
Zustimmung, kann der Auftragnehmer die Anlage sowie den dazugehörigen Vertrag fristlos kündigen.
(4) Erteilt der Auftragnehmer Aufträge an Unterauftragnehmer, so obliegt es dem Auftragnehmer, seine
datenschutzrechtlichen Pflichten aus der vorliegenden Anlage dem Unterauftragnehmer zu übertragen. Die
volle Verantwortung für die vom Auftragnehmer eingesetzten Unterauftragnehmer verbleibt beim
Auftragnehmer.
§ 9 Informationspflichten, Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch
ein Insolvenz- oder Vergleichsverfahren, oder durch sonstige Ereignisse, oder Maßnahmen Dritter gefährdet
werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der
Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich drüber informieren, dass
die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im
Sinne der DS-GVO liegen.
(2) Bei etwaigen inhaltlichen Widersprüchen gehen Regelungen der vorliegenden Anlage („Vertrag zur
Auftragsverarbeitung gemäß Art. 28 DS-GVO als Anlage zu einem/mehreren vom Auftraggeber genutzten
Vertrag/Verträgen“) den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam
sein, so berührt dies die Wirksamkeit dieser Anlage als Ganzes nicht.
(3) Es gilt deutsches Recht.
(4) Diese Anlage ersetzt alle vorangegangenen Vereinbarungen dieser Art
Version 20201204 Seite 5 von 6
§ 10 Haftung und Schadensersatz
Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO
getroffenen Regelung.
Dieser Vertrag wird elektronisch geschlossen und ist ohne Unterschrift gültig
Anlagenverzeichnis
Anhang 1: „Technische und organisatorische Maßnahmen nach Art. 32 DSGVO“
Version 20201204 Seite 6 von 6

 

 

DATENSCHUTZERKLÄRUNG

Verantwortlicher für die Datenverarbeitung

Egalitäre Jüdische Chawurah Gescher Freiburg e.V.

Postfach 405

79004 Freiburg

Tel. 0761-707 5733    

Fax 0761-707 72840

E-Mail: vorstand@gescher-freiburg.de