Der Auftragnehmer wird für den Auftraggeber die Dienstleistung des externen Datenschutzbeauftragten erbringen. Dem Vertrag liegen die Vorgaben der EU-Verordnung 2016/679 - Datenschutz-Grundverordnung (DSGVO) zugrunde, die ab dem 25.05.2018 gilt. Für die Zeit vor der Geltung der DSGVO sind die Parteien sich darüber einig, dass insoweit im Hinblick auf die Aufgaben des Datenschutzbeauftragten und der insoweit vom Auftragnehmer zu erbringenden Leistungen die Regelungen des Bundesdatenschutzgesetzes (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 7 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2097) geändert worden ist, gelten sollen.
Zweck des Vertrages ist die Regelung der Rechte und Pflichten zwischen Auftraggeber und Auftragnehmer im Zusammenhang mit der Benennung des Auftragnehmers zum externen Datenschutzbeauftragten des Auftraggebers.
(1) Der Auftraggeber benennt eine vertretungsberechtigte Person oder einen Beschäftigten des Auftragnehmers im Einvernehmen mit dem Auftragnehmer zum Datenschutzbeauftragten des Auftraggebers.
(2) Der Auftraggeber wird dem Auftragnehmer die Benennung gesondert in Textform bestätigen. Auf Wunsch kann der Auftragnehmer dem Auftraggeber eine geeignete Vorlage zur Verfügung stellen.
(3) Der Auftraggeber ist nach Art. 37 Abs. 7 DSGVO verpflichtet, die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde für den Datenschutz mitzuteilen. Dazu gehören in jedem Fall die Anschrift, ggf. eine Angabe des Ansprechpartners, die Telefonnummer und eine E-Mail-Adresse. Der Auftragnehmer wird dem Auftraggeber geeignete Informationen zur Verfügung stellen.
(4) Der Auftraggeber ist ferner nach Art. 37 Abs. 7 DSGVO verpflichtet, die Kontaktdaten des Auftragnehmers zu veröffentlichen. Der Auftragnehmer ist insoweit mit einer Veröffentlichung seiner Anschrift und ggf. auch E-Mail-Adresse auf Internetseiten des Auftraggebers einverstanden. Der Auftraggeber soll bei der Veröffentlichung der E-Mail-Adresse auf seinen Internetseiten nach Möglichkeit Maßnahmen treffen, die die Verwendung der E-Mail-Adresse des Auftragnehmers für die Erhebung von E-Mail-Adressen zum Versand unverlangter Werbung („Spam“) erschweren.
(1) Der Auftraggeber trägt Sorge dafür, dass die Stellung des Datenschutzbeauftragten in der Organisation des Auftraggebers in einer dem Art. 38 DSGVO entsprechenden Weise umgesetzt wird. Zur Umsetzung der Aufgaben durch den Auftraggeber gehört insbesondere:
(2) Der Auftragnehmer ist bei der Erfüllung seiner Aufgaben als Datenschutzbeauftragter des Auftraggebers weisungsfrei.
(3) Der Auftragnehmer berichtet unmittelbar der höchsten Managementebene des Auftraggebers.
(1) Die Leistungen des Auftragnehmers beschränken sich - soweit nicht zusätzlich in diesem Vertrag oder gesondert schriftlich zwischen den Parteien vereinbart - auf die Aufgaben, die nach Art. 39 DSGVO dem Datenschutzbeauftragten obliegen. Dies sind:
(2) Der Auftragnehmer erfüllt die Aufgaben des Datenschutzbeauftragten nach den Grundsätzen der gewissenhaften Berufsausführung. Art und Umfang der Durchführung der Aufgaben liegen im pflichtgemäßen Ermessen des Auftragnehmers. Der Auftragnehmer bestimmt - unter Berücksichtigung der berechtigten Interessen des Auftraggebers – über seinen Arbeitsort und seine Arbeitszeit eigenverantwortlich.
(3) Der Auftragnehmer trägt Sorge dafür, dass er zu üblichen Bürozeiten per E-Mail oder telefonisch erreichbar ist und Anfragen abhängig von Art und Umfang der Anfrage zeitnah bearbeitet werden. Der Auftragnehmer wird zudem eine Rufnummer für Notfälle zur Verfügung stellen. Ein Notfall liegt insbesondere dann vor, wenn der Auftraggeber Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat und eine Meldepflicht nach den Art. 33, 34 DSGVO bestehen kann.
(4) Der Auftraggeber trägt Sorge dafür, dass er die ihm nach der DSGVO zugewiesenen Aufgaben und Pflichten selbst einhält. Der Auftragnehmer ist außer den in Abs. 1 genannten und ggf. gesondert vereinbarten Leistungen, nicht verantwortlich für die Einhaltung von Pflichten, die sich aus der DSGVO für den Auftraggeber ergeben. Er steht insoweit nur auf Anfrage des Auftraggebers beratend zur Verfügung.
(5) Dem Auftraggeber ist bekannt, dass der Auftragnehmer bei komplexen datenschutzrechtlichen Fragestellungen keine Auskünfte erteilen darf, soweit durch eine entsprechende Auskunft ein Verstoß gegen das Rechtsdienstleistungsgesetz (RDG) vorliegen würde. Der Auftragnehmer wird dem Auftraggeber unverzüglich mitteilen, wenn eine Anfrage des Auftraggebers oder ein Sachverhalt eine Prüfung durch einen Rechtsanwalt erforderlich macht.
(6) Der Auftragnehmer sorgt selbst für den Erwerb und Erhalt des für Datenschutzbeauftragte erforderlichen Fachwissens.
(1) Der Auftragnehmer führt zu Beginn seiner Tätigkeit eine Bestandsaufnahme beim Auftraggeber durch. Zweck der Bestandsaufnahme ist es, dass der Auftragnehmer sich einen Überblick über die beim Auftraggeber durchgeführten Verarbeitungen und die zur Datensicherheit getroffenen technischen und organisatorischen Maßnahmen verschaffen kann.
(2) Der Auftraggeber wird dem Auftragnehmer alle hierfür erforderlichen Informationen zur Verfügung stellen und Zugang zu Räumlichkeiten und Verarbeitungsverfahren ermöglichen. Der Auftraggeber wird dem Auftragnehmer ferner bei Bedarf Ansprechpartner zur Verfügung stellen, die über Zweck, Art und Umfang der jeweiligen Verarbeitungen von personenbezogenen Daten sowie über Geschäftsprozesse Auskunft erteilen können.
(3) Der Auftragnehmer wird dem Auftraggeber über die Ergebnisse der Bestandsaufnahme Bericht erstatten. Art und Umfang der Berichterstattung liegen im Ermessen des Auftragnehmers.
(1) Der Auftraggeber stellt sicher, dass der Auftragnehmer ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Hierfür wird der Auftraggeber auch innerhalb seiner Organisation Maßnahmen treffen, die sicherstellen, dass Beschäftigte entsprechend frühzeitig eine Einbindung des Auftragnehmers als Datenschutzbeauftragten bewirken.
(2) Der Auftraggeber hat dem Auftragnehmer einen zentralen Ansprechpartner zum Datenschutz zu benennen. Der Auftraggeber kann entscheiden, ob Anfragen an den Datenschutzbeauftragten ausschließlich über den zentralen Ansprechpartner zum Datenschutz zu erfolgen haben oder ob jeder Beschäftigte oder eine bestimmte Personengruppe, sich an den Auftragnehmer wenden kann. Soweit ein Beschäftigter des Auftraggebers eine Frage zum Schutz seiner eigenen personenbezogenen Daten bei einer Verarbeitung durch den Auftraggeber hat, kann er sich unbeachtet von Satz 2 an den Auftragnehmer als Datenschutzbeauftragten wenden.
(3) Der Auftraggeber wird dem Auftragnehmer alle für die vollständige Bearbeitung der Anfrage erforderlichen Tatsachen und Umstände mitteilen. Sollten Informationen fehlen, wird der Auftragnehmer den Auftraggeber darauf hinweisen. Eine Anfrage kann nicht zeitnah bearbeitet werden, wenn vom Auftragnehmer angeforderte Unterlagen fehlen.
(4) Der Auftraggeber wird den Auftragnehmer insbesondere über jede neu geplante Einrichtung oder Änderung von Verfahren, mit denen personenbezogene Daten verarbeitet werden, im Voraus informieren, damit eine Überwachung der Einhaltung der Vorgaben der DSGVO und anderer Datenschutzvorschriften durch den Datenschutzbeauftragten erfolgen kann.
(1) Der Auftragnehmer wird alle Informationen, die er im Zusammenhang mit seiner Tätigkeit für den Auftraggeber erhält, vertraulich behandeln. Der Auftragnehmer darf diese Informationen nur für Zwecke der Erfüllung seiner Aufgaben als Datenschutzbeauftragter nutzen. Dem Auftragnehmer ist es untersagt, die Informationen ganz oder teilweise zu anderen Zwecken zu nutzen oder die Informationen Dritten zugänglich zu machen.
(2) Die Verpflichtung zur Vertraulichkeit gilt nicht bzw. nicht mehr, wenn
(3) Der Auftragnehmer ist verpflichtet, Beschäftigte und weitere Erfüllungsgehilfen des Auftragnehmers im gleichen Umfang zur Verschwiegenheit zu verpflichten. Der Auftraggeber kann vom Auftragnehmer einen Nachweis der Durchführung der Verpflichtung verlangen.
(4) Soweit für die Beantwortung von Auskünften die Mitwirkung externer Personen erforderlich oder geboten ist, darf der Auftragnehmer mit Zustimmung des Auftraggebers Informationen an fachkundige Personen übermitteln. Der Auftragnehmer trägt Sorge dafür, dass die betreffenden Empfänger der Informationen diese vertraulich behandeln und nur für die Zwecke verarbeiten und nutzen, für die sie die Daten erhalten haben.
(1) Der Auftragnehmer erhält für die nach Ziff. 5 dieses Vertrages durchzuführende Bestandsaufnahme eine pauschale Vergütung zzgl. der jeweils geltenden Umsatzsteuer. Die Vergütung für die Bestandsaufnahme nach Ziff. 5 wird dem Auftraggeber nach Übersendung des Berichts der Bestandsaufnahme in Rechnung gestellt und ist nach Zugang der Rechnung binnen 14 Tagen vom Auftraggeber an den Auftragnehmer zu zahlen.
(2) Für die Tätigkeit des Auftragnehmers als externer Datenschutzbeauftragter des Auftraggebers erhält der Auftragnehmer eine monatliche Vergütung zzgl. der jeweils geltenden Umsatzsteuer. Die Vergütung wird zu Beginn eines Kalendermonats im Voraus in Rechnung gestellt und ist binnen 14 Tagen auf das vom Auftragnehmer angegebene Konto zu zahlen.
(3) Für Reisen des Auftragnehmers, die zur Erfüllung seiner vertraglichen Aufgaben erforderlich sind, werden die Reisekosten gegen Nachweis nach tatsächlichem Aufwand vom Auftraggeber erstattet.
(4) Bei einem zeitlichen Mehraufwand über die unter Ziff. 8 Abs. 5 benannten Stunden, wird jede weitere Stunde mit dem üblichen Stundensatz berechnet. Der Auftragnehmer wird über den zeitlichen Mehraufwand zum jeweiligen Monatsende einen Bericht über die jeweilige Leistung erbringen. Ein Mehraufwand wird minutengenau abgerechnet und protokollgestützt dokumentiert. Für Überschreitungen des Budgets (exkl. Steuern) um mehr als 10% wird vom Kunden eine Freigabe eingeholt.
(5) Bei der Bemessung der monatlichen Vergütung gehen die Vertragsparteien davon aus, dass der Zeitaufwand des Auftragnehmers pro Monat die vereinbarten Stunden nicht überschreitet. Ergeben sich nachträglich wesentliche Abweichungen vom anfänglich prognostizierten Zeitaufwand, nehmen die Vertragsparteien eine entsprechende Vertragsanpassung vor wie unter Ziff. 8. Abs. 4 beschrieben.
(6) Die Deckungssumme einer Berufshaftpflichtversicherung wird mit 1 Mio. € benannt.
(7) Die Parteien sind sich darüber einig, dass für Rechnung des Auftragnehmers an den Auftraggeber die Textform ausreichend ist. Der Auftragnehmer kann seine Rechnung daher schriftlich oder auch per E-Mail im PDF-Format übermitteln.
(1) Der Auftragnehmer trägt Sorge dafür, dass alle Informationen, die er im Zusammenhang mit seiner Tätigkeit für den Auftraggeber erlangt, in einer dem Stand der Technik entsprechenden Weise vor dem unbefugten Zugriff durch Dritte schüzt.
(2) Der Auftraggeber wird darauf hingewiesen, dass bei einer elektronischen Kommunikation über das Internet nie ganz ausgeschlossen werden kann, dass eine unbefugte Kenntnisnahme von Inhalten der Kommunikation durch Dritte stattfindet. Der Auftragnehmer bietet die verschlüsselte Kommunikation per E-Mail auf Basis von PGP/OpenPGP oder S/MIME an. Der für die Kommunikation erforderliche öffentliche Schlüssel wird auf Anfrage übermittelt.
(1) Das Vertragsverhältnis hat eine Mindestvertragslaufzeit von mindestens
12 Monaten. Für den Fall, dass der Vertragsbeginn nicht der Beginn eines Monats ist, werden die Kalendertage des Monats anteilig mit einem 1/30 des Monatsbetrages pro Kalendertag berechnet. Falls keiner der Vertragsparteien kündigt, setzt sich die Vertragsdauer unbefristet fort, mindestens jedoch 12 weitere Monate.
(2) Das Vertragsverhältnis kann von jeder Partei mit einer Frist von drei Monaten zum Ende eines Kalendermonats, gekündigt werden. Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt.
(3) Die Kündigung bedarf der Schriftform.
(1) Der Auftragnehmer hat eine Berufshaftpflichtversicherung mit einer Deckungssumme von max. 1.Mio € pro Einzelfall abgeschlossen. Der Auftragnehmer ist verpflichtet, die Versicherung mindestens in dieser Höhe für die Dauer dieses Vertragsverhältnisses aufrechtzuerhalten. Der Auftraggeber kann jederzeit einen entsprechenden Nachweis vom Auftragnehmer verlangen.
(2) Der Auftragnehmer haftet bei Vorsatz oder grober Fahrlässigkeit für alle vom Auftragnehmer verursachten Schäden unbeschränkt.
(3) Bei leichter Fahrlässigkeit haftet der Auftragnehmer im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.
(4) Im Übrigen haftet der Auftragnehmer nur, soweit er eine wesentliche Vertragspflicht verletzt hat. Als wesentliche Vertragspflichten werden dabei abstrakt solche Pflichten bezeichnet, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens, maximal jedoch auf den in Absatz 1 genannten Betrag der Deckungssumme, beschränkt.
(5) Soweit die Haftung des Auftragnehmers nach den vorgenannten Vorschriften ausgeschlossen oder beschränkt wird, gilt dies auch für Erfüllungsgehilfen des Auftragnehmers.
(1) Das Vertragsverhältnis zwischen den Parteien unterliegt dem Recht der Bundesrepublik Deutschland.
(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, eine unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem ursprünglich verfolgten Zweck so nahe wie möglich kommt.
Gerichtsstand ist Berlin. Es gilt deutsches Recht.
Aktualisiert am: 21.06.2019