Datenschutz-Notfallkontakt: 0176-62 99 10 16 oder 030 – 51 63 50 30

Allgemeine Geschäftsbedingungen

eDSB-Deutschland
vertreten durch Henning Wehming,
Kurfürstendamm 30, 10719 Berlin

Telefon: +49 30 516 35 030
E-Mail: info@edsb-deutschlan.de

§ 1. Präambel

Der Auftragnehmer wird für den Auftraggeber die Dienstleistung des externen Datenschutzbeauftragten erbringen. Dem Vertrag liegen die Vorgaben der EU-Verordnung 2016/679 - Datenschutz-Grundverordnung (DSGVO) zugrunde, die ab dem 25.05.2018 gilt. Für die Zeit vor der Geltung der DSGVO sind die Parteien sich darüber einig, dass insoweit im Hinblick auf die Aufgaben des Datenschutzbeauftragten und der insoweit vom Auftragnehmer zu erbringenden Leistungen die Regelungen des Bundesdatenschutzgesetzes (BDSG) in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 7 des Gesetzes vom 30. Juni 2017 (BGBl. I S. 2097) geändert worden ist, gelten sollen.

§ 2. Zweck des Vertrages

Zweck des Vertrages ist die Regelung der Rechte und Pflichten zwischen Auftraggeber und Auftragnehmer im Zusammenhang mit der Benennung des Auftragnehmers zum externen Datenschutzbeauftragten des Auftraggebers.

§ 3 Benennung zum Datenschutzbeauftragten

(1) Der Auftraggeber benennt eine vertretungsberechtigte Person oder einen Beschäftigten des Auftragnehmers im Einvernehmen mit dem Auftragnehmer zum Datenschutzbeauftragten des Auftraggebers.

(2) Der Auftraggeber wird dem Auftragnehmer die Benennung gesondert in Textform bestätigen. Auf Wunsch kann der Auftragnehmer dem Auftraggeber eine geeignete Vorlage zur Verfügung stellen.

(3) Der Auftraggeber ist nach Art. 37 Abs. 7 DSGVO verpflichtet, die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde für den Datenschutz mitzuteilen. Dazu gehören in jedem Fall die Anschrift, ggf. eine Angabe des Ansprechpartners, die Telefonnummer und eine E-Mail-Adresse. Der Auftragnehmer wird dem Auftraggeber geeignete Informationen zur Verfügung stellen.

(4) Der Auftraggeber ist ferner nach Art. 37 Abs. 7 DSGVO verpflichtet, die Kontaktdaten des Auftragnehmers zu veröffentlichen. Der Auftragnehmer ist insoweit mit einer Veröffentlichung seiner Anschrift und ggf. auch E-Mail-Adresse auf Internetseiten des Auftraggebers einverstanden. Der Auftraggeber soll bei der Veröffentlichung der E-Mail-Adresse auf seinen Internetseiten nach Möglichkeit Maßnahmen treffen, die die Verwendung der E-Mail-Adresse des Auftragnehmers für die Erhebung von E-Mail-Adressen zum Versand unverlangter Werbung („Spam“) erschweren.

§ 4 Stellung des Datenschutzbeauftragten

(1) Der Auftraggeber trägt Sorge dafür, dass die Stellung des Datenschutzbeauftragten in der Organisation des Auftraggebers in einer dem Art. 38 DSGVO entsprechenden Weise umgesetzt wird. Zur Umsetzung der Aufgaben durch den Auftraggeber gehört insbesondere:

  1. Der Auftraggeber stellt sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
  2. Der Auftraggeber stellt sicher, dass der Auftragnehmer Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen erhält.
  3. Der Auftraggeber stellt schließlich sicher, dass an den Datenschutzbeauftragten des Auftraggebers adressierte Fragen unverzüglich an den Auftragnehmer weitergeleitet werden.

(2) Der Auftragnehmer ist bei der Erfüllung seiner Aufgaben als Datenschutzbeauftragter des Auftraggebers weisungsfrei.

(3) Der Auftragnehmer berichtet unmittelbar der höchsten Managementebene des Auftraggebers.

§ 5 Allgemeine Leistungen des Auftragnehmers

(1) Die Leistungen des Auftragnehmers beschränken sich - soweit nicht zusätzlich in diesem Vertrag oder gesondert schriftlich zwischen den Parteien vereinbart - auf die Aufgaben, die nach Art. 39 DSGVO dem Datenschutzbeauftragten obliegen. Dies sind:

  • Unterrichtung und Beratung des Auftraggebers und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO oder anderen jeweils geltenden datenschutzrechtlichen Vorschriften;
  • Überwachung der Einhaltung der Vorgaben der DSGVO und anderer Datenschutzvorschriften sowie der Strategien des Auftraggebers für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

(2) Der Auftragnehmer erfüllt die Aufgaben des Datenschutzbeauftragten nach den Grundsätzen der gewissenhaften Berufsausführung. Art und Umfang der Durchführung der Aufgaben liegen im pflichtgemäßen Ermessen des Auftragnehmers. Der Auftragnehmer bestimmt - unter Berücksichtigung der berechtigten Interessen des Auftraggebers – über seinen Arbeitsort und seine Arbeitszeit eigenverantwortlich.

(3) Der Auftragnehmer trägt Sorge dafür, dass er zu üblichen Bürozeiten per E-Mail oder telefonisch erreichbar ist und Anfragen abhängig von Art und Umfang der Anfrage zeitnah bearbeitet werden. Der Auftragnehmer wird zudem eine Rufnummer für Notfälle zur Verfügung stellen. Ein Notfall liegt insbesondere dann vor, wenn der Auftraggeber Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt hat und eine Meldepflicht nach den Art. 33, 34 DSGVO bestehen kann.

(4) Der Auftraggeber trägt Sorge dafür, dass er die ihm nach der DSGVO zugewiesenen Aufgaben und Pflichten selbst einhält. Der Auftragnehmer ist außer den in Abs. 1 genannten und ggf. gesondert vereinbarten Leistungen, nicht verantwortlich für die Einhaltung von Pflichten, die sich aus der DSGVO für den Auftraggeber ergeben. Er steht insoweit nur auf Anfrage des Auftraggebers beratend zur Verfügung.

(5) Dem Auftraggeber ist bekannt, dass der Auftragnehmer bei komplexen datenschutzrechtlichen Fragestellungen keine Auskünfte erteilen darf, soweit durch eine entsprechende Auskunft ein Verstoß gegen das Rechtsdienstleistungsgesetz (RDG) vorliegen würde. Der Auftragnehmer wird dem Auftraggeber unverzüglich mitteilen, wenn eine Anfrage des Auftraggebers oder ein Sachverhalt eine Prüfung durch einen Rechtsanwalt erforderlich macht.

(6) Der Auftragnehmer sorgt selbst für den Erwerb und Erhalt des für Datenschutzbeauftragte erforderlichen Fachwissens.

§ 6 Bestandsaufnahme

(1) Der Auftragnehmer führt zu Beginn seiner Tätigkeit eine Bestandsaufnahme beim Auftraggeber durch. Zweck der Bestandsaufnahme ist es, dass der Auftragnehmer sich einen Überblick über die beim Auftraggeber durchgeführten Verarbeitungen und die zur Datensicherheit getroffenen technischen und organisatorischen Maßnahmen verschaffen kann.

(2) Der Auftraggeber wird dem Auftragnehmer alle hierfür erforderlichen Informationen zur Verfügung stellen und Zugang zu Räumlichkeiten und Verarbeitungsverfahren ermöglichen. Der Auftraggeber wird dem Auftragnehmer ferner bei Bedarf Ansprechpartner zur Verfügung stellen, die über Zweck, Art und Umfang der jeweiligen Verarbeitungen von personenbezogenen Daten sowie über Geschäftsprozesse Auskunft erteilen können.

(3) Der Auftragnehmer wird dem Auftraggeber über die Ergebnisse der Bestandsaufnahme Bericht erstatten. Art und Umfang der Berichterstattung liegen im Ermessen des Auftragnehmers.

§ 7 Mitwirkungspflichten des Auftraggebers

(1) Der Auftraggeber stellt sicher, dass der Auftragnehmer ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Hierfür wird der Auftraggeber auch innerhalb seiner Organisation Maßnahmen treffen, die sicherstellen, dass Beschäftigte entsprechend frühzeitig eine Einbindung des Auftragnehmers als Datenschutzbeauftragten bewirken.

(2) Der Auftraggeber hat dem Auftragnehmer einen zentralen Ansprechpartner zum Datenschutz zu benennen. Der Auftraggeber kann entscheiden, ob Anfragen an den Datenschutzbeauftragten ausschließlich über den zentralen Ansprechpartner zum Datenschutz zu erfolgen haben oder ob jeder Beschäftigte oder eine bestimmte Personengruppe, sich an den Auftragnehmer wenden kann. Soweit ein Beschäftigter des Auftraggebers eine Frage zum Schutz seiner eigenen personenbezogenen Daten bei einer Verarbeitung durch den Auftraggeber hat, kann er sich unbeachtet von Satz 2 an den Auftragnehmer als Datenschutzbeauftragten wenden.

(3) Der Auftraggeber wird dem Auftragnehmer alle für die vollständige Bearbeitung der Anfrage erforderlichen Tatsachen und Umstände mitteilen. Sollten Informationen fehlen, wird der Auftragnehmer den Auftraggeber darauf hinweisen. Eine Anfrage kann nicht zeitnah bearbeitet werden, wenn vom Auftragnehmer angeforderte Unterlagen fehlen.

(4) Der Auftraggeber wird den Auftragnehmer insbesondere über jede neu geplante Einrichtung oder Änderung von Verfahren, mit denen personenbezogene Daten verarbeitet werden, im Voraus informieren, damit eine Überwachung der Einhaltung der Vorgaben der DSGVO und anderer Datenschutzvorschriften durch den Datenschutzbeauftragten erfolgen kann.

§ 8 Vertraulichkeit

(1) Der Auftragnehmer wird alle Informationen, die er im Zusammenhang mit seiner Tätigkeit für den Auftraggeber erhält, vertraulich behandeln. Der Auftragnehmer darf diese Informationen nur für Zwecke der Erfüllung seiner Aufgaben als Datenschutzbeauftragter nutzen. Dem Auftragnehmer ist es untersagt, die Informationen ganz oder teilweise zu anderen Zwecken zu nutzen oder die Informationen Dritten zugänglich zu machen.

(2) Die Verpflichtung zur Vertraulichkeit gilt nicht bzw. nicht mehr, wenn

  • die Information allgemein bekannt ist oder nach Kenntnisnahme von der Information durch den Auftragnehmer allgemein bekannt wird;
  • der Auftragnehmer die Information rechtmäßig von einem Dritten ohne Verletzung einer Vertraulichkeitspflicht erlangt hat;
  • der Auftragnehmer zu der Weitergabe vorab ausdrücklich vom Auftraggeber ermächtigt worden ist;
  • oder der Auftragnehmer aufgrund einer Rechtsvorschrift oder behördlichen Anordnung zur Weitergabe verpflichtet ist. In diesem Fall hat der Auftragnehmer den Auftraggeber über die beabsichtigte Weitergabe vorab zu informieren und die gesetzlich zulässigen und erforderlichen Vorkehrungen zu treffen, um den Umfang der Weitergabe so gering wie möglich zu halten.

(3) Der Auftragnehmer ist verpflichtet, Beschäftigte und weitere Erfüllungsgehilfen des Auftragnehmers im gleichen Umfang zur Verschwiegenheit zu verpflichten. Der Auftraggeber kann vom Auftragnehmer einen Nachweis der Durchführung der Verpflichtung verlangen.

(4) Soweit für die Beantwortung von Auskünften die Mitwirkung externer Personen erforderlich oder geboten ist, darf der Auftragnehmer mit Zustimmung des Auftraggebers Informationen an fachkundige Personen übermitteln. Der Auftragnehmer trägt Sorge dafür, dass die betreffenden Empfänger der Informationen diese vertraulich behandeln und nur für die Zwecke verarbeiten und nutzen, für die sie die Daten erhalten haben.

§ 9 Vergütung

(1) Der Auftragnehmer erhält für die nach Ziff. 5 dieses Vertrages durchzuführende Bestandsaufnahme eine pauschale Vergütung zzgl. der jeweils geltenden Umsatzsteuer. Die Vergütung für die Bestandsaufnahme nach Ziff. 5 wird dem Auftraggeber nach Übersendung des Berichts der Bestandsaufnahme in Rechnung gestellt und ist nach Zugang der Rechnung binnen 14 Tagen vom Auftraggeber an den Auftragnehmer zu zahlen.

(2) Für die Tätigkeit des Auftragnehmers als externer Datenschutzbeauftragter des Auftraggebers erhält der Auftragnehmer eine monatliche Vergütung zzgl. der jeweils geltenden Umsatzsteuer. Die Vergütung wird zu Beginn eines Kalendermonats im Voraus in Rechnung gestellt und ist binnen 14 Tagen auf das vom Auftragnehmer angegebene Konto zu zahlen.

(3) Für Reisen des Auftragnehmers, die zur Erfüllung seiner vertraglichen Aufgaben erforderlich sind, werden die Reisekosten gegen Nachweis nach tatsächlichem Aufwand vom Auftraggeber erstattet.

(4) Bei einem zeitlichen Mehraufwand über die unter Ziff. 8 Abs. 5 benannten Stunden, wird jede weitere Stunde mit dem üblichen Stundensatz berechnet. Der Auftragnehmer wird über den zeitlichen Mehraufwand zum jeweiligen Monatsende einen Bericht über die jeweilige Leistung erbringen. Ein Mehraufwand wird minutengenau abgerechnet und protokollgestützt dokumentiert.  Für Überschreitungen des Budgets (exkl. Steuern) um mehr als 10% wird vom Kunden eine Freigabe eingeholt.

(5) Bei der Bemessung der monatlichen Vergütung gehen die Vertragsparteien davon aus, dass der Zeitaufwand des Auftragnehmers pro Monat die vereinbarten Stunden nicht überschreitet. Ergeben sich nachträglich wesentliche Abweichungen vom anfänglich prognostizierten Zeitaufwand, nehmen die Vertragsparteien eine entsprechende Vertragsanpassung vor wie unter Ziff. 8. Abs. 4 beschrieben.

(6) Die Deckungssumme einer Berufshaftpflichtversicherung wird mit 1 Mio. € benannt.

(7) Die Parteien sind sich darüber einig, dass für Rechnung des Auftragnehmers an den Auftraggeber die Textform ausreichend ist. Der Auftragnehmer kann seine Rechnung daher schriftlich oder auch per E-Mail im PDF-Format übermitteln.

§ 10 Datenschutz und Informationssicherheit

(1) Der Auftragnehmer trägt Sorge dafür, dass alle Informationen, die er im Zusammenhang mit seiner Tätigkeit für den Auftraggeber erlangt, in einer dem Stand der Technik entsprechenden Weise vor dem unbefugten Zugriff durch Dritte schüzt.

(2) Der Auftraggeber wird darauf hingewiesen, dass bei einer elektronischen Kommunikation über das Internet nie ganz ausgeschlossen werden kann, dass eine unbefugte Kenntnisnahme von Inhalten der Kommunikation durch Dritte stattfindet. Der Auftragnehmer bietet die verschlüsselte Kommunikation per E-Mail auf Basis von PGP/OpenPGP oder S/MIME an. Der für die Kommunikation erforderliche öffentliche Schlüssel wird auf Anfrage übermittelt.

§ 11 Vertragsdauer

(1) Das Vertragsverhältnis hat eine Mindestvertragslaufzeit von mindestens
12 Monaten. Für den Fall, dass der Vertragsbeginn nicht der Beginn eines Monats ist, werden die Kalendertage des Monats anteilig mit einem 1/30 des Monatsbetrages pro Kalendertag berechnet. Falls keiner der Vertragsparteien kündigt, setzt sich die Vertragsdauer unbefristet fort, mindestens jedoch 12 weitere Monate.

(2) Das Vertragsverhältnis kann von jeder Partei mit einer Frist von drei Monaten zum Ende eines Kalendermonats, gekündigt werden. Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt.

(3) Die Kündigung bedarf der Schriftform.

§ 12 Haftungsbeschränkung

(1) Der Auftragnehmer hat eine Berufshaftpflichtversicherung mit einer Deckungssumme von max. 1.Mio € pro Einzelfall abgeschlossen. Der Auftragnehmer ist verpflichtet, die Versicherung mindestens in dieser Höhe für die Dauer dieses Vertragsverhältnisses aufrechtzuerhalten. Der Auftraggeber kann jederzeit einen entsprechenden Nachweis vom Auftragnehmer verlangen.

(2) Der Auftragnehmer haftet bei Vorsatz oder grober Fahrlässigkeit für alle vom Auftragnehmer verursachten Schäden unbeschränkt.

(3) Bei leichter Fahrlässigkeit haftet der Auftragnehmer im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.

(4) Im Übrigen haftet der Auftragnehmer nur, soweit er eine wesentliche Vertragspflicht verletzt hat. Als wesentliche Vertragspflichten werden dabei abstrakt solche Pflichten bezeichnet, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens, maximal jedoch auf den in Absatz 1 genannten Betrag der Deckungssumme, beschränkt.

(5) Soweit die Haftung des Auftragnehmers nach den vorgenannten Vorschriften ausgeschlossen oder beschränkt wird, gilt dies auch für Erfüllungsgehilfen des Auftragnehmers.

§ 13 Schlussbestimmungen

(1) Das Vertragsverhältnis zwischen den Parteien unterliegt dem Recht der Bundesrepublik Deutschland.

(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, eine unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem ursprünglich verfolgten Zweck so nahe wie möglich kommt.

Gerichtsstand ist Berlin. Es gilt deutsches Recht.

Aktualisiert am: 21.06.2019


Die Datenschutzbeauftragten der edsb-deutschland.de wurden beurteilt von PD Dr. med. habil. Hussmann im .
Thema: Datenschutz in der Arztpraxis:

"Wir waren sehr verunsichtert durch die neue DSGVO und die edsb-deutschland und Ihre Datenschutzbeauftragten haben uns bei der Umsetzung der DSGVO in der Anlehnung an das SGB X sehr geholfen und Datenschutzakten angelegt. Ich kann diese Firma und Ihre Mitarbeiter nur weiterempfehlen".

PD Dr. med. habil. Hussmann
Bewertung: 4.9

Schlechteste Note = 1, Beste Note = 5