Auftragsverarbeitungsvertrag

Letzte Aktualisierung: Januar 2025

Dieser Auftragsverarbeitungsvertrag (AVV) gilt für alle Verarbeitungen personenbezogener Daten, die Binadit B.V. ("Auftragsverarbeiter") im Auftrag des Auftraggebers ("Verantwortlicher") im Rahmen des zwischen den Parteien abgeschlossenen Vertrags über Managed-Cloud- und Infrastrukturdienste vornimmt. Dieser AVV ist integraler Bestandteil dieses Vertrags und wurde gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO) erstellt.

§ 1 – Gegenstand und Laufzeit

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung der Leistungen für den Verantwortlichen, wie im Hauptvertrag beschrieben. Die Verarbeitung erfolgt ausschließlich für die Dauer des Hauptvertrags, sofern die Parteien nichts anderes schriftlich vereinbaren oder eine gesetzliche Pflicht eine längere Aufbewahrung erfordert.

§ 2 – Art und Zweck der Verarbeitung

Die Verarbeitung umfasst alle für die Erbringung von Managed-Cloud-, Hosting-, Infrastruktur- und DevOps-Diensten erforderlichen Tätigkeiten. Personenbezogene Daten werden ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeitet, es sei denn, eine rechtliche Verpflichtung schreibt etwas anderes vor. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, soweit gesetzlich zulässig.

§ 3 – Kategorien personenbezogener Daten und betroffene Personen

Die Verarbeitung betrifft die Kategorien personenbezogener Daten und betroffenen Personen, die in der Anlage zum Hauptvertrag oder Servicevertrag spezifiziert sind. In der Regel handelt es sich um Kontaktdaten von Mitarbeitern des Verantwortlichen und Endnutzern seiner Anwendungen.

§ 4 – Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich zu:

  • Verarbeitung ausschließlich auf dokumentierte Weisung des Verantwortlichen;
  • Sicherstellung der Vertraulichkeit: Personen mit Zugang zu personenbezogenen Daten unterliegen der Verschwiegenheitspflicht;
  • Ergreifung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen (siehe § 6);
  • Unterstützung bei der Wahrnehmung von Betroffenenrechten;
  • Unterstützung bei der Einhaltung der DSGVO-Pflichten, einschließlich Datensicherheit, Datenschutzverletzungen und DSFA;
  • Löschung oder Rückgabe aller personenbezogenen Daten nach Beendigung der Leistungserbringung nach Wahl des Verantwortlichen;
  • Bereitstellung aller zur Nachweisführung erforderlichen Informationen.

§ 5 – Unterauftragsverarbeiter

Der Auftragsverarbeiter darf Unterauftragsverarbeiter zur Leistungserbringung einsetzen. Der Verantwortliche erteilt hiermit eine allgemeine Genehmigung für den Einsatz von Unterauftragsverarbeitern, sofern der Auftragsverarbeiter:

  • den Verantwortlichen vorab über Änderungen in der Liste der Unterauftragsverarbeiter informiert;
  • Unterauftragsverarbeitern gleichwertige Pflichten auferlegt wie in diesem AVV festgelegt;
  • gegenüber dem Verantwortlichen vollständig für die Einhaltung der Pflichten durch Unterauftragsverarbeiter haftet.

Aktuelle Unterauftragsverarbeiter: Hetzner Online GmbH (Infrastruktur), TransIP B.V. (Infrastruktur), Google LLC (Analysetools).

§ 6 – Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter ergreift geeignete Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus, darunter:

  • Verschlüsselung bei der Übertragung (TLS 1.2+) und, soweit anwendbar, bei der Speicherung;
  • Pseudonymisierung personenbezogener Daten, wo möglich;
  • Zugangskontrollen nach dem Prinzip der minimalen Rechte;
  • regelmäßige Sicherheitsaudits und Schwachstellenmanagement;
  • Sicherungs- und Wiederherstellungsverfahren;
  • Mitarbeiterschulung zum Datenschutz.

§ 7 – Datenschutzverletzungen

Der Auftragsverarbeiter meldet eine Verletzung des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 72 Stunden nach Bekanntwerden, an den Verantwortlichen. Die Meldung enthält mindestens: die Art der Verletzung, die betroffenen Kategorien und die geschätzte Anzahl der Betroffenen, die voraussichtlichen Folgen sowie die ergriffenen Maßnahmen.

§ 8 – Datenübermittlung außerhalb des EWR

Personenbezogene Daten werden nicht in Länder außerhalb des Europäischen Wirtschaftsraums übermittelt, es sei denn, es liegt ein Angemessenheitsbeschluss oder geeignete Garantien gemäß Kapitel V DSGVO vor (Standardvertragsklauseln). Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Übermittlungen außerhalb des EWR.

§ 9 – Prüfrechte

Der Verantwortliche hat das Recht, die Einhaltung dieses AVV durch eine Prüfung zu kontrollieren, die von einem unabhängigen Dritten durchgeführt wird, nach schriftlicher Ankündigung mit einer Frist von mindestens 30 Tagen. Die Prüfkosten trägt der Verantwortliche. Der Auftragsverarbeiter stellt alle vernünftigerweise erforderlichen Informationen zur Unterstützung der Prüfung bereit.

§ 10 – Beendigung

Bei Beendigung des Hauptvertrags löscht oder gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten zurück. Kopien werden gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht. Der Auftragsverarbeiter bestätigt die Löschung schriftlich.

§ 11 – Anwendbares Recht

Auf diesen AVV findet ausschließlich niederländisches Recht Anwendung. Die Bestimmungen des § 11 der Allgemeinen Geschäftsbedingungen von Binadit gelten entsprechend.