Vertrag über die Verarbeitung von personenbezogenen Daten im Auftrag (Auftragsverarbeitungsvertrag)

Auftragsverarbeitungsvertrag (Deutsch) / Data Processing Agreement (Englisch)

  • Verfügbar auf DeutschGilt auch für ÖsterreichGilt auch für die SchweizAuch in englischer Sprache verfügbarGilt auch in der EU Aktuell, vom Anwalt und Datenschutzexperten.
  • 99,90 für Geschäftskunden netto (Siegel, Speicher-, Word- & PDF-Downloadfunktion, auch für Berater, Agenturen, Reseller).
  • Einfach, schnell und ohne Abo: Keine Abo-Pflicht und zeitlich unbegrenzte Nutzung der Rechtsdokumente.
Viel Erfolg und bei Fragen empfehle ich unsere Anleitung mit ersten Schritten sowie unseren umfangreichen Ratgeber: Auftragsverarbeitung,
Ihr Dr. Thomas SchwenkeWann und warum ist dieser Vertrag erforderlich? Ein Auftragsverarbeitungsvertrag (AV-Vertrag) muss abgeschlossen werden, wenn ein Auftragnehmer für einen Auftraggeber personenbezogene Daten verarbeitet. Fehlen AV-Verträge oder sind unvollständig, drohen Bußgelder sowie Schadensersatzansprüche, die beide Vertragsparteien treffen können. Mit dem Generator können Sie einen AV-Vertrag erstellen und mit Hilfe der vorgegebenen Optionen (z. B. zu Datenarten oder Sicherheitsmaßnahmen/ TOMs) individualisieren.
Was Kunden und Nutzer an uns schätzen: "Einmalige Zahlung für einen Zeitraum." Umfrage 2020/21 Teilnehmer konnten unabhängig vom Inhalt einen Shop-Gutschein erhalten

Unsere Rechtsdokumente sind auf 500.000+ Webseiten aktiv, empfohlen u.a. bei:

Sie befinden sich im Generator für Auftragsverarbeitungsverträge

Übersicht aller Generatoren

Für Lizenzkund*innen: Premiumbereich und Sprachauswahl

Premium (Lizenzschlüssel, Sprachen, Siegel, Eingaben laden)

Bitte geben Sie Ihren Lizenzschlüssel ein

(Erläuterungen anzeigen)

Erwerben Sie einen Lizenzschlüssel, um Premiuminhalte und die Speicherfunktion freizuschalten (nur für Geschäftskunden).

Erworbene Lizenzschlüssel (Deutsch und Englisch), können Sie hier aktivieren:

Lizenzschlüssel aktivieren

Erläuterungen und Hinweise zum Lizenzschlüssel

Manche Rechtstexte oder Sprachen sowie Module unserer Generatoren benötigen die Eingabe des Lizenzschlüssels. Diese Bereiche sind mit einem Symbol (Stern mit einem Schloss) gekennzeichnet.

Den passenden Lizenzschlüssel können Sie in unserem Lizenzshop für Geschäftskunden erwerben. Sie erhalten den Lizenzschlüssel nach dem Erwerb per E-Mail. Anschließend können Sie den Lizenzschlüssel im Premium-Bereich des jeweiligen Generators eingeben (Anleitung).

Erläuterungen schließen

Bitte wählen Sie die Sprachen für Ihr Dokument aus

(Erläuterungen anzeigen)

Ihr Dokument wird mit gleichem Inhalt in den jeweils ausgewählten Sprachen erzeugt. Die Sprachen müssen unter Umständen vorher mit einem Lizenzschlüssel aktiviert werden (ansonsten sind nur Auszüge der Rechtstexte verfügbar).

Schließen

Erläuterungen und Hinweise zur Sprachwahl

Die Eingaben für die deutsche und die englische Version erfolgen gemeinsam (falls Sie beide Sprachen gewählt haben). D.h. alle Optionen, die Sie auswählen, gelten spiegelbildlich für beide Sprachen.

Wenn es auf die Sprache ankommt, werden wir Sie um zusätzliche englischsprachige Angaben bitten (z. B., für den Fall, dass Sie unterschiedliche Kontaktangaben für deutsche oder englische Ansprechpartner bereithalten).

Im Regelfall setzt die Nutzung der englischen Sprache die Eingabe eines Lizenzschlüssels (Anleitung) voraus.

Erläuterungen schließen

Bitte wählen Sie ob Sie ein Siegel wünschen

(Erläuterungen anzeigen)

Als Premiumnutzer können Sie Ihre Datenschutzerklärung mit unserem Siegel abschließen (jeweils in passender Sprache) oder auf einen Abschlusshinweis insgesamt verzichten. Hinweis: Ist die Schaltfläche grün hinterlegt ist sie ausgewählt bzw. vorausgewählt.

Datenschutz-Generator.de - Siegel
"Erstellt mit dem Datenschutz-Generator.de von Dr. Thomas Schwenke" Abschluss in Textform (Standard)
Gar keinen Hinweis am Abschluss platzieren.

Erläuterungen und Hinweise zu unseren Siegeln

Als Premiumnutzer (d.h. nach Eingabe des Lizenzschlüssels - Anleitung), dürfen Sie den „Erstellt mit …“-Hinweis am Ende Ihres Rechtstextes entfernen.

Alternativ zu dem Hinweis auf den Generator, können Sie auch optional unsere Grafischen Siegel nutzen. Bei unseren grafischen Siegeln handelt es sich um so genannte „Herkunftssiegel“, d.h. nicht um "Prüfsiegel". Die Siegel weisen auf die Herkunft der Rechtstexte hin und dass sie auf Modulen basieren, die vom Experten erstellt wurden und aktuell gehalten werden. Wir empfehlen die Verlinkung des Siegels im generierten Dokument beizubehalten oder die Siegel sonst auf uns („https://datenschutz-generator.de“) zu verlinken. Dann werden die Nutzer nach dem Klick auf unsere Hauptseite geleitet, wo die Herkunftsfunktion der Siegel erklärt wird.

Wir übernehmen keine Gewähr für die individuelle Nutzung der Siegel, da wir insbesondere den Ort der Platzierung der Rechtstexte nicht kennen.

Bitte ergänzen Sie das Siegel ferner nicht um eigene Angaben, wie „Geprüft durch“ oder „Gewährleistet durch“, etc. Derartige Hinweise können wettbewerbswidrig und abmahnbar sein, da sie den Eindruck einer externen und individuellen Prüfung Ihres Rechtstextes, Datenschutzkonzeptes, Website, etc. erwecken.

Die Siegel-Grafiken werden Ihnen am Ende des Generierungsvorgangs bereitgestellt. Im generierten Dokument haben wir die Siegel zwar auf die Siegelgrafik unseres Servers verlinkt. Wir können jedoch nicht gewährleisten, dass die Siegel dort immer abrufbar sein werden.

Ferner dürfen die Siegel nicht verändert werden und dürfen nicht genutzt werden, falls die generierten Rechtstexte im Hinblick auf die rechtlichen Klauseln (nicht die freien Eingaben, wie Name oder Kontaktdaten) verändert werden.

Erläuterungen schließen

Projekte speichern und laden

(Erläuterungen anzeigen)

Nachdem Sie Ihr Dokument generiert haben, können Sie als Premiumkunde ihre Eingaben als Datei herunter- und zu einem späteren Zeitpunkt an dieser Stelle zwecks Änderung wieder laden. Eingegebene Lizenzschlüssel werden mitgespeichert, so dass Sie sie nicht vorher eingeben müssen.

Domain, App-Name, etc.

Sie können an dieser Stelle die Domain, App-Namen oder den Projektnamen eingeben, in deren Rahmen das Dokument verwendet wird.

Projekt aus Datei laden

Sie können sowohl die Speicherdatei oder die ganze Zip-Datei laden. Ihr Lizenzschlüssel wird automatisch mitgeladen.

Schließen

Erläuterungen und Hinweise zum Speichern und Laden Ihrer Eingaben

Als Premiumnutzer (d.h. nach Eingabe des Lizenzschlüssels - Anleitung), können Sie Ihre getätigten Eingaben herunterladen.

Wenn Sie Ihren Rechtstext später ändern möchten, können Sie ihn an dieser Stelle laden und Ihre Eingaben werden automatisch in den Generator eingetragen.

Ihr Lizenzschlüssel wird mitgespeichert. D.h. Sie müssen Ihren Lizenzschlüssel nicht eingeben, bevor Sie den Text laden. Bitte geben Sie die Speicherungen deswegen nicht an Dritte.

Die Speicherfunktion stellt eine kostenlose Zusatzleistung innerhalb des Update-Zeitraums dar, für die wir keine Gewähr bieten können.

P.S. Sie können die gespeicherten Eingaben auch als Vorlage nutzen. z. B. wenn Sie als Agentur oder Datenschutzberater gleiche Rechtstexte für unterschiedliche Kunden erstellen möchten. Bitte vergessen Sie aber nicht, dass pro Kunde/Domain eine Lizenz erworben werden muss (Antworten auf Fragen zu unseren Lizenzen erhalten Sie in den FAQ).

Erläuterungen Schließen

Schritt 1: Schnellauswahl Ihrer Module

Schneller zu Ihrem Ergebnis mit der Schnellauswahl

Wählen Sie die Inhalte Ihres Dokuments

(Erläuterungen anzeigen)

Unsere Rechtsdokumente werden aus einzelnen Modulen zusammengestellt, von denen Sie die wichtigsten in der folgenden Schnellauswahl wählen können. Die farbigen Module sind schon aktiv und entsprechen den Modulen, die von uns empfohlen und von den meisten Nutzer*innen übereinstimmend gewählt werden.

Sie können die Vorauswahl entsprechend Ihren Wünschen anpassen, danach Ihre Daten eingeben sowie Ihre Auswahl weiter individualisieren.

Schnellauswahl schließen

Erläuterungen zu der Schnellauswahl

Die von unseren Generatoren erstellten Rechstdokumente werden aus einer Vielzahl von Modulen (bei der Datenschutzerklärung z. B. aus über 600 Modulen) zusammengestellt.

Sie bestimmen, welche Module aufgenommen werden. Alle Rechtsdokumente sind jedoch so weit wie möglich entsprechend der Vorauswahl aller bisherigen Nutzerinnen ermittelt (anonym als aufaddierte Zahlenwerte).

Zusammen mit unserer Erfahrung wählen wir dann eine empfohlene Auswahl für Sie aus.

Sie müssen danach im Regelfall noch die Angaben zur Person(en) oder Unternehmen machen. Ferner können Sie Ihre Schnellauswahl noch verfeinern. 

Tipp: bei den einzelnen Modulen erhalten Sie weitere Erläuterungen.

Erläuterungen Schließen

Schritt 2: Individualisierung und Feinauswahl

Angaben zum Auftraggeber, Auftragsverarbeiter und Datenschutzbeauftragten

Bitte tragen Sie die Angaben zum Auftraggeber und Auftragsverarbeiter ein:

(Erläuterungen anzeigen)
Zwischen
wird der folgende Auftragsverarbeitungsvertrag geschlossen:
Eigene Ergänzungen vornehmen
Vorschau anzeigen
Show Preview

"Angaben zum Auftraggeber und Auftragsverarbeiter" - Erläuterungen und Hinweise

An dieser Stelle können Sie die Angaben zu dem Auftraggeber und dem Auftragsverarbeiter der Datenverarbeitung tätigen.

Sie können aber auch die Platzhalter stehen lassen und die Angaben später in dem heruntergeladenen Word-Dokument ändern.
Erläuterungen schließen
Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
Vorschau schließen
Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
Preview schließen

Präambel und Anwendungsbereich

Soll die Vereinbarung eine Einleitung und gegebenenfalls einen Ausschluss der Anwendbarkeit auf Privatpersonen enthalten?

(Erläuterungen anzeigen)
Ja
Bitte passen Sie die folgende Einführung bei Bedarf an:

Falls Sie zugleich personenbezogene Daten im Auftrag von Privat- und für Geschäftskunden verarbeiten, können Sie die Anwendbarkeit des Auftragsverarbeitungsvertrages einschränken:
Keine Geltung für Privatpersonen (da DSGVO nicht anwendbar)
Eigene Ergänzungen vornehmen
Vorschau anzeigen
Show Preview

"Präambel und Anwendungsbereich" - Erläuterungen und Hinweise

Eine Präambel ist zu empfehlen, da sie kurz zusammenfasst, um was es in dem folgenden Vertrag geht.

Anwendung nur soweit die DSGVO anwendbar ist

Diese Option ist für Sie nur dann relevant, wenn Sie personenbezogene Daten sowohl im Auftrag von Privatpersonen, als auch im Auftrag von Geschäftskunden verarbeiten.

Um die eigenen Pflichten und die Verantwortung möglichst gering zu halten, sollte der Auftragsverarbeitungsvertrag dann nicht abgeschlossen werden, wenn er nicht erforderlich ist. Der Auftragsverarbeitungsvertrag ist nicht erforderlich, wenn die DSGVO auf die Verarbeitung des Auftraggebers nicht anwendbar ist. Dann ist der Auftraggeber insoweit kein Verantwortlicher (Art. 4 Nr. 7 DSGVO) und der Auftragsverarbeiter damit kein Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO.

Diese Konstellation liegt insbesondere vor, wenn die Auftraggeber Privatpersonen sind, die einen Dienstleister mit Verarbeitung von Daten im Privatbereich beauftragen (zum Beispiel einen Fotoservice mit dem Druck von Urlaubsbildern).

Das dürfte derzeit die sogenannte "herrschende Ansicht" im Datenschutz sein. Es gibt jedoch auch Gegenansichten, laut denen auch bei Privatpersonen, obwohl die DSGVO für sie nicht anwendbar ist, die Regeln zur Auftragsverarbeitung analog angewendet werden sollen. Doch solange Datenschutzbehörden diese Ansicht nicht offiziell vertreten, empfehlen wir Privatpersonen auszuschließen.

Erläuterungen schließen
Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
Vorschau schließen
Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
Preview schließen

Begrifflichkeiten

Möchten Sie die Definitionen der im Auftragsverarbeitungsvertrag verwendeten Begrifflichkeiten mit aufnehmen?

(Erläuterungen anzeigen)
Ja
Bitte geben Sie an, welche Begrifflichkeiten definiert werden sollen:
Auftragsverarbeitung
Hauptvertrag
Verantwortlicher
Personenbezogene Daten
Betroffene Personen
Dritte
Unterauftrags-verarbeitung
Elektronisches Format
    Weitere Eingabefelder hinzufügen
    Vorschau anzeigen
    Show Preview

    "Begrifflichkeiten und Definitionen" - Erläuterungen und Hinweise

    Hauptvertrag

    Eine Auftragsverarbeitung wird im Regelfall auf einen bestimmten Auftrag, Rahmen- oder eine andere Art von Vertrag oder Vereinbarung gestützt. Da im Rahmen des Auftragsverarbeitungsvertrages auf diese grundlegende Rechtsbeziehung Bezug genommen werden kann (z. B. wenn es um den Beginn und das Ende des Auftragsverarbeitungsvertrages geht), muss sie zum Beginn definiert werden.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Gegenstand und Art der Auftragsverarbeitung

    Möchten Sie Angaben zum Gegenstand der Auftragsverarbeitung machen? Detailangaben (zu Kategorien von Daten, Betroffenen, etc.) erfolgen unten im Anhang "Gegenstand der Auftragsverarbeitung".

    (Erläuterungen anzeigen)
    Ja
    Falls der AV-Vertrag als Anlage oder sonst ergänzend zu einem Hauptvertrag (z. B. Beratungs-, Agentur-, Dienstleistungsvertrag oder -beziehung, etc.) geschlossen wird, geben Sie den Hauptvertrag, am besten mit Datum an:

    Bitte geben Sie an, wo die Details zu dem Gegenstand dieses Auftragsverarbeitungsvertrages (Kategorien verarbeiteter Daten, Zwecke der Verarbeitung, etc.) zu finden sind:
    Details zum Gegenstand der Verarbeitung im Anhang (Regelfall)
    Details zum Gegenstand der Verarbeitung im Kunden-, bzw. Nutzerbereich
    Vorschau anzeigen
    Show Preview

    "Gegenstand der Auftragsverarbeitung" - Erläuterungen und Hinweise

    Aus dem Auftragsverarbeitungsvertrag muss sich ergeben, welche Daten und welche Verarbeitungen er umfasst. Dabei müssen neben den Angaben zu den Daten auch Angaben zu den betroffenen Personen, Art, Umfang und Zweck der Verarbeitung gemacht werden (Art. 28 Abs. 3 DSGVO).

    Diese Angaben erfolgen in einem separaten Anhang, in dem Sie um Angaben zu den vorgenannten Inhalten des Gegenstandes der Auftragsverarbeitung gefragt werden.

    Gegenstand der Verarbeitung ist im Kunden-, bzw. Nutzerbereich zugänglich

    Details zum Gegenstand der Verarbeitung dürfen den Auftraggebern auch in einem Kunden- oder Nutzerbereich zugänglich gemacht werden (was vor allem deren spätere Bearbeitung vereinfacht).

    Verweis auf Gegenstand der Verarbeitung auf einer Webseite

    Details zum Gegenstand der Verarbeitung dürfen den Auftraggebern auch Online zugänglich gemacht werden (was vor allem deren spätere Bearbeitung vereinfacht).

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Möchten Sie angeben ob der Auftragsverarbeiter Verantwortlicher oder selbst Auftragsverarbeiter ist?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie, sofern zutreffend, aus den folgenden Optionen oder Eingabemöglichkeiten aus:
    Auftraggeber kann Verantwortlicher oder selbst Auftragsverarbeiter (Unterauftrags-verarbeitung) sein
    Auftraggeber ist Verantwortlicher
    Auftraggeber handelt selbst im Auftrag (Unterauftrags-verarbeitung)
    Vorschau anzeigen
    Show Preview

    "Art der Auftragsverarbeitung" - Erläuterungen und Hinweise

    Verantwortlich ist, wer über die "Zwecke und Mittel" der Verarbeitung bestimmt (Art. 4 Nr. 7 DSGVO).

    Das ist im einem Auftragsverarbeitungsverhältnis der erste Auftraggeber in der Auftragskette und der bestimmende und weisungsberechtigte "Herr der Daten", die im Auftrag verarbeitet werden.

    Der Auftraggeber ist wiederum, wer eine andere Person mit einer weisungsgebundenen Verarbeitung von personenbezogenen Daten beauftragt. Das ist bei den meisten Auftragsverarbeitungsverhältnissen zugleich der Verantwortliche der Auftragsverarbeitung.

    Der Auftraggeber kann im Rahmen von Unterauftragsverhältnissen aber auch selbst Auftragsverarbeiter sein. Beispiel:


    • Auftragsverarbeitung: Ein Unternehmen (Verantwortlicher und Auftraggeber) beauftragt eine Marketingagentur (Auftragsverarbeiterin) mit einer E-Mailkampagnen an eigene Kunden.

    • Unterauftragsverarbeitung: Die Marketingagentur (hier als Auftraggeberin agieren) beauftragt wiederum einen Versanddienstleister (Unterauftragsverarbeiter) mit der Durchführung des Versands der Newsletter.

    Auftraggeber kann Verantwortlicher oder selbst Auftragsverarbeiter sein

    Vor allem bei Auftragsverarbeitungsverträgen, die an eine Vielzahl von Kunden ohne persönlichen Kontakt angeboten werden, wird es unklar sein, ob der Auftraggeber datenschutzrechtlich verantwortlich oder selbst Auftragsverarbeiter ist. In diesem Fall kann eine Klausel aufgenommen werden, die beide Konstellationen umfasst.

    Auftraggeber ist verantwortlich

    Mit dieser Option wird klargestellt, dass der Auftraggeber der "Herr" der Auftragsverarbeitung ist und der Auftragsverarbeiter lediglich sein "Werkzeug" mit einem vorgegebenen Handlungsrahmen.

    Auftraggeber handelt selbst im Auftrag (Fall eines Unterauftragsverarbeitungsvertrages)

    Typischerweise ist der Auftraggeber zugleich auch der datenschutzrechtlich Verantwortliche (Art. 4 Nr. 7 DSGVO). Z. B. ist ein Unternehmen, welches einer Agentur Kundendaten übermittelt, damit diese einen Newsletter an die Kunden versendet, für diesen Versandvorgang verantwortlich.

    Es kommt jedoch auch vor, dass der Auftragsverarbeiter wiederum einen weiteren Auftragsverarbeiter beauftragt (der dann "Unterauftragsverarbeiter" genannt wird). Zum Beispiel, wenn die Agentur aus dem obigen Beispiel einen technischen Versanddienstleister mit dem eigentlichen Versand der Newsletter beauftragt. Dann muss ein Auftragsverarbeitungsvertrag auch zwischen der Agentur (Auftragsverarbeiter) und dem technischen Versanddienstleister (Unterauftragsverarbeiter) geschlossen werden.

    Wenn Sie für die Agentur handeln würden, dann sollten Sie mit dieser Option klarstellen, dass der Auftragsverarbeitungsvertrag mit dem Versanddienstleister auch zugunsten des Auftraggebers, d. h. hier des Unternehmens gilt. Denn der Auftraggeber darf durch die Unterbeauftragung nicht schlechter gestellt werden.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Weisungsbefugnis

    "Weisungsbefugnis" - Erläuterungen und Hinweise

    Mit diesem Modul wird entsprechend Art. 28 Abs. 2 S. 2 lit a. DSGVO festgelegt, dass der Auftraggeber über die Verarbeitung der Daten im Auftrag bestimmt und der Auftragsverarbeiter sich seinen Weisungen fügen muss, außer der Auftragsverarbeiter ist der begründeten Ansicht, dass die angewiesene Auftragsverarbeitung unzulässig ist.

    Verarbeitung nur nach Weisung des Auftraggebers

    Grundsätzlich muss der Auftragsverarbeiter die Daten des Auftraggebers nach dessen Weisung verarbeiten.

    Recht des Auftraggebers zur Erteilung ergänzender Weisungen

    Mit dieser Option wird festgelegt, dass der Auftraggeber Weisungen auch nachträglich ändern kann. Allerdings müssen diese Weisungen auch im Rahmen des ursprünglichen Auftrags liegen, außer der Schutz der betroffenen Personen gebietet eine über den Vertrag hinausgehende Weisung. Z. B. kann der Auftraggeber bestimmen, dass verarbeitete Daten gelöscht werden, weil er entdeckt hat, dass erforderliche Einwilligungen fehlen. Hierdurch können zusätzliche Kosten entstehen. Sie können die Kosten in diesem Auftragsverarbeitungsvertrag festlegen oder im Hauptvertrag oder ihren AGB (was die Datenschutzbehörden empfehlen - beachten Sie weitere Hinweise im Modul zur Vergütung).

    Mündliche Weisungen nur ausnahmsweise und mit nachträglicher Bestätigung

    Die DSGVO legt den Verarbeitern so genannte Rechenschaftspflichten auf (Art. 5 Abs. 2 DSGVO). Praktisch heißt es, dass alle datenschutzrechtliche Vorgänge nach Möglichkeit protokolliert werden sollten, um jederzeit Rechenschaft über eine ordnungsgemäße Verarbeitung ablegen zu können. Auch bei etwaigen Haftungsfragen gewinnt häufig die Partei, die nachweisen kann, was gesagt wurde und was nicht. Daher sollten alle Weisungen schriftlich erfolgen und im Fall mündlicher Weisungen sollte um deren Nachreichung per E-Mail oder um die Bestätigung eigener Mitschriften gebeten werden.

    Informationspflicht und Ablehnungsrecht bei datenschutzwidriger Weisung

    Der Auftragsverarbeiter und der Auftraggeber haften gesamtschuldnerisch. D.h. Betroffene können sich im Fall von Datenschutzverstößen an beide Vertragsparteien wenden und z. B. einen Schadensersatz geltend machen (der Auftragsverarbeiter muss dann im Innenverhältnis gegenüber dem Auftraggeber geltend machen, nicht verantwortlich zu sein). Daher hat der Auftragsverarbeiter auch das Recht, rechtswidrige Weisungen zu beanstanden, was auch vertraglich klargestellt sein sollte. Allerdings sollte der Auftragsverarbeiter seine Ansicht begründen, wie es in diesem Modul auch festgelegt wird.

    Recht zur Ablehnung von Weisungen und zu außerordentlicher Kündigung

    Der Hinweis auf Ablehnungs- und Kündigungsrechte des Auftragsverarbeiters ist optional und wird vor allem im Fall von Massengeschäften mit einer Vielzahl von Auftraggebern in Frage kommen. In anderen Fällen wäre diese Klausel zumindest nicht üblich und es ist damit zu rechnen, dass ein Auftraggeber sich an ihr stören wird.

    Beachtung zwingender behördlicher Anordnungen und Anfragen

    Die Ausnahme einer gesetzlichen Verpflichtung zur Verarbeitung von Daten außerhalb eines Weisungsrahmens, kommt eher selten vor (z. B. im Fall einer gerichtlich angeordneten Beschlagnahme von Daten)

    Pflicht des Auftragsverarbeiters Weisungen zu dokumentieren

    Diese Regelung ist zugunsten der Auftraggeber, da die Protokollpflichten dem Auftragsverarbeiter eindeutig auferlegt werden (wobei dies auch der Unterstützungspflicht im Art. 28 Abs. 3 lit. h DSGVO entspricht). Wenn diese Option gewählt wird, sollten Auftragsverarbeiter den Protokollaufwand im Rahmen ihres Angebots berücksichtigen. Wobei der Aufwand auch gering ausfallen und nur im Speichern des E-Mailverkehrs bestehen kann.

    Benennung von Ansprechpartnern durch den Auftragsverarbeiter

    Ansprechpartner müssen nicht zwingend benannt werden. Vor allem, wenn sich die Ansprechpartner auch sonst eindeutig bestimmen lassen (z. B. Beauftragung eines Einzelunternehmers oder Festlegung der Ansprechpartner im Hauptvertrag). Empfohlen wird jedoch, die Ansprechpartner (oder zumindest Ansprechstellen, wie z. B. "Leitung IT") festzulegen und anzugeben, wie diese erreichbar sind. Ansonsten können z. B. Unklarheiten entstehen, wenn z.B. ein Mitarbeiter des Auftragsverarbeiters eine Weisung des Auftraggebers nicht weiterleitet oder nicht ausführt, da er sich für diese Aufgabe nicht zuständig fühlt oder tatsächlich (z. B. mangels Fachkompetenz) die Weisung nicht durchführen oder deren Bedeutung nicht einschätzen kann.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Wahrung des Berufsgeheimnisses

    Für Deutschland: Soll der AV-Vertrag spezielle Verpflichtungen zur Wahrung des Berufsgeheimnisses enthalten (§§ 203 StGB-DE, 43a Abs. 2, 43 e BRAO-DE) ?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie die Verpflichtungen im Hinblick auf die Wahrung des Berufsgeheimnisses:
    Berufsgeheimnis: Geltung und Laufzeit
    Kenntnisnahme von Berufsgeheimnissen ist nur im erforderlichen Rahmen zulässig
    Hinweis auf Strafbarkeit gem. § 203 StGB
    Verpflichtung von (potentiellen) Subunternehmern
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Wahrung des Berufsgeheimnisses" - Erläuterungen und Hinweise

    Zu den Berufsgeheimnisträgern gehören in Deutschland insbesondere folgende Berufsgruppen: Arzt, Zahnarzt, Tierarzt, Apotheker, Berufspsychologen, Rechtsanwälte, Ehe-, Familien-, Erziehungs- oder Jugendberater sowie Berater für Suchtfrage, Sozialarbeiter oder Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle (§ 203 Abs. 1 StGB-DE).

    Wenn diese Berufsgruppen Dienstleister einsetzen (z.B. Cloud-Dienste, etc.), die Berufsgeheimnisse zur Kenntnis nehmen können, dann müssen die Dienstleister nach deutschem Recht besondere Verschwiegenheitsverpflichtungen beachten werden, bei deren Verstoß eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe droht (§ 203 Abs. 3 und 4 StGB-DE).

    Im Fall von Rechtsanwälten müssen die Dienstleister zudem explizit auf die strafrechtlichen Folgen hingewiesen werden (§ 43a Abs. 2, 43 e BRAO-DE), wobei wir einen solchen Hinweis generell empfehlen. Wichtig: Im Fall von Rechtsanwälten als Auftraggeber, muss festgelegt werden, ob Subunternehmer überhaupt eingeschaltet werden dürfen (§ 43e Abs. 3 S. 2 Nr. 3 BRAO).
    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Technische- und organisatorische Maßnahmen (Sicherheits- und Schutzkonzept)

    Möchten Sie Angaben zu den technischen- und organisatorischen Maßnahmen aufnehmen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie, welche Regelungen zu technischen- und organisatorischen Maßnahmen getroffen werden sollen:
    Verpflichtung angemessene TOMs zu treffen
    Recht zur Fortentwicklung der TOMs
    Datenschutz-verpflichtung von Mitarbeitern
    Pflicht zu regelmäßigen Schulung von Mitarbeitern
    (Sicheres) Homeoffice / Mobileoffice ist erlaubt
    Homeoffice / Mobileoffice nur mit Zustimmung
    (Sichere) Verarbeitung auf Privatgeräten durch Mitarbeiter (BYOD) ist erlaubt
    Verarbeitung auf Privatgeräten der Mitarbeiter (BYOD) nur mit Zustimmung
    Benennung eines Datenschutz-beauftragten (wenn gesetzlich erforderlich)
    Pflicht zur Benennung eines Datenschutz-beauftragten (zwingend)
    Führung eines Verzeichnisses von Verarbeitungs-tätigkeiten
    Verwahrungssorgfalt und Vernichtung von Daten und Datenträgern
    Rückgabe und Löschung auch bei Subunternehmern
    Pflicht ordnungsgemäße Vernichtung/ Löschung von Daten nachzuweisen
    Ausschluss des Zurückbehaltungs-rechts
    Auftragsverarbeiter muss Einhaltung TOMs nachweisen können
    Pflicht zur Beachtung weiterer Schutzvorschriften (Fernmelde-, Sozial- oder Berufsgeheimnisse)
    Informations-pflicht bei Unterschreitung des Sicherheitsniveaus
    Verweis auf TOMs im Anhang
    TOMs sind im Kunden-, bzw. Nutzerbereich zugänglich
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Technische- und organisatorische Maßnahmen (Sicherheits- und Schutzkonzept)" - Erläuterungen und Hinweise

    Pflicht zu technischen und organisatorischen Maßnahmen

    Dieses Modul entspricht der Pflicht aus Art. 28 Abs. 3 lit. c. DSGVO in Verbindung mit Art. 32 DSGVO, nach der ein Auftragsverarbeiter dem Risiko der Datenverarbeitung entsprechend angemessene TOMs treffen muss. D.h. je sensibler die Daten (z. B. Gesundheitsdaten) und je größer der potentielle Schaden (z. B. Identitätsmissbrauch) und je höher das Risiko des Eintritts des Schadens ist (z. B. hoher wirtschaftlicher Wert der Informationen, Vorfälle in der Vergangenheit), desto höher muss der Sicherheitsstandard sein. Die konkrete Höhe kann jedoch nur im Einzelfall bestimmt werden.

    Recht und Pflicht zur Fortentwicklung der TOMs

    Die TOMs müssen sich an dem Stand der Technik orientieren und dürfen, bzw. sollten sogar entsprechend angepasst werden (wenn z.B. offizielle Empfehlungen für Passwortlängen sich ändern) oder neue Softwareupdates vorliegen. Dieses Modul regelt daher, dass der Auftragsverarbeiter seine TOMs anpassen darf, solange es erkennbar ist, dass das Schutzniveau der Daten hierdurch nicht sinkt.

    Verschwiegenheitsverpflichtung von Mitarbeitern und Kontrolle

    Mitarbeiter des Auftragsverarbeiters müssen auf den Datenschutz explizit verpflichtet werden. Das schreiben Art. 28 Abs. 3 lit. b DSGVO (bzw. in Österreich auch § 6 DSG) explizit vor. Sie können eine entsprechende Verpflichtung mit unserem Generator erstellen: https://datenschutz-generator.de/mitarbeiter-datenschutzverpflichtung/.

    Pflicht zu regelmäßigen Schulung von Mitarbeitern

    Das Datenschutzrecht ändert sich ebenso, wie auch die technische Entwicklung stets voranschreitet. Die Verpflichtung Mitarbeiter regelmäßig zu schulen, gehört daher zu jedem guten Sicherheitskonzept und sollte entsprechend im Auftragsverarbeitungsvertrag als Pflicht aufgenommen werden.

    Home- & Mobileoffice ist erlaubt

    Heutzutage ist das Homeoffice oder die Arbeit von Unterwegs aus (z. B. Abruf von E-Mails oder Zugriff auf Daten via Mobiltelefon) üblich. Daher erlauben moderne Auftragsverarbeitungsverträge die Fernarbeit, solange die Anforderungen an die Sicherheit der im Auftrag verarbeiteten Daten auch in diesen Fällen eingehalten werden. Dies setzt auch eine spezielle Verpflichtung der Mitarbeiter voraus, die Sie ebenfalls bei uns erstellen können: https://datenschutz-generator.de/telearbeit-home-mobile-office/.

    Home- & Mobileoffice nur mit Zustimmung erlaubt

    Dass die Fernarbeit vom Auftraggeber freigegeben werden muss, ist heutzutage eher unüblich. Anders sieht es dagegen aus, wenn das Risiko besonders hoch ist, weil z. B. besondere Kategorien von Daten (Art. 9 DSGVO, z. B. Gesundheitsdaten), verarbeitet werden.

    Verarbeitung auf Privatgeräten nur mit Zustimmung erlaubt

    Die Nutzung von Privatgeräten sollte eine Ausnahme bleiben, da die Vermischung von beruflichen und privaten Daten Risiken mit sich bringt. Ferner ist eine spezielle "Vereinbarung über betriebliche Nutzung von Privatgeräten der Mitarbeiter*innen (BYOD)" erforderlich: https://datenschutz-generator.de/bring-your-own-device/.

    Benennung eines Datenschutzbeauftragten

    Die Pflicht zu Benennung eines oder einer Datenschutzbeauftragten ergibt sich aus dem Gesetz.

    Datenschutzbeauftragte müssen in Deutschland schon ab 20 Mitarbeitern benannt werden (§ 38 BDSG-DE). Darüber hinaus und dann auch außerhalb Deutschlands, im Falle von besonders risikoreichen oder umfangreichen Verarbeitungen (Art. 37 DSGVO und § 38 BDSG-DE).

    Benennung eines Datenschutzbeauftragten

    Die Pflicht zur Bestellung von Datenschutzbeauftragten kann auch unabhängig von der gesetzlichen Pflicht zur Bestellung, im Auftragsverarbeitungsvertrag vereinbart werden, auch wenn dies eher unüblich und nur bei besonders risikoreichen Fällen der Auftragsverarbeitung erfolgt.

    Führung eines Verzeichnisses von Verarbeitungstätigkeiten

    Nach Art. 30 DSGVO muss grundsätzlich von jedem Verantwortlichen ein Verzeichnis von Verarbeitungstätigkeiten geführt werden. Nur im Fall des Art. 30 Abs. 5 DSGVO kann auf ein Verzeichnis von Verarbeitungstätigkeiten verzichtet werden. Allerdings nur, wenn keine besonderen Kategorien von Daten verarbeitet werden (Art. 9 DSGVO, passiert sobald Mitarbeiter beschäftigt werden, da diese z. B. für Steuerzwecke die Konfession angeben müssen) und die Verarbeitung von personenbezogenen Daten zudem nur gelegentlich erfolgt (was eigentlich nur auf "traditionelle" Unternehmen zutrifft, die kaum personenbezogene Daten verarbeiten, wie z. B. ein kleines Ladengeschäft).

    Aber unabhängig von dieser gesetzlichen Pflicht ist es zu empfehlen den Auftragsverarbeiter zur Führung eines Verzeichnisses von Auftragsverarbeitungstätigkeiten zu verpflichten (also einer Übersicht, welche Daten zu welchen Zwecken im Auftrag verarbeitet werden).

    Verwahrungssorgfalt und Vernichtung von Daten und Datenträgern

    Zu den Grundpflichten eines Auftragsverarbeiters gehört es, besondere Sorgfalt der Sicherung der im Auftrag verarbeiteten Daten zu widmen. Diese Option stellt klar, dass nur der Auftraggeber über die überlassenen Daten und Datenträger verfügen darf und der Auftragsverarbeiter sie schützen sowie insbesondere im Fall einer Löschung die Unwideraufrufbarkeit der Daten sicherstellen muss.

    Rückgabe und Löschung auch bei Subunternehmern

    Diese Option stellt klar, dass ein zur Rückgabe oder Löschung von Daten verpflichteter Auftragsverarbeiter sicherstellen muss, dass die Daten auch von (sofern vorhanden) Unterauftragsverarbeitern zurückgegeben oder bei diesen gelöscht werden.

    Pflicht ordnungsgemäße Vernichtung/ Löschung von Daten nachzuweisen

    Der Auftragsverarbeiter muss nachweisen können, dass Daten gelöscht wurden. In der Praxis erfolgt dies durch die Vorlage einer Protokollierung und des Ergebnisses der Löschung. Falls ein Anlass zu Zweifeln besteht (z. B. Lücken im Protokoll) oder die Daten besonders sensibel sind (z. B. Gesundheitsdaten) darf als letzter Schritt auch eine Versicherung an Eides statt verlangt werden.

    Ausschluss des Zurückbehaltungsrechts

    Das Zurückbehaltungsrecht (in Deutschland geregelt im § 273 BGB) würde dem Auftragsverarbeiter ein Recht gewähren die Daten zurückzubehalten, wenn er gegenüber dem Auftraggeber z. B. noch Zahlungsansprüche hätte. In diesem Fall wäre jedoch der betroffene Dateninhaber gefährdet, so dass das Zurückbehaltungsrecht ausgeschlossen werden sollte.

    Auftragsverarbeiter muss Einhaltung TOMs nachweisen können

    Der Auftragsverarbeiter muss den Auftraggeber bei der Erfüllung seiner Rechenschaftspflichten und damit auch bei dem Nachweis der Einhaltung der TOMs und damit den Schutz der im Auftrag verarbeiteten Daten, unterstützen (Art. 5 Abs. 2, 28 Abs. 3 lit. h. DSGVO.

    Pflicht zur Beachtung weiterer Schutzvorschriften (Fernmelde-, Sozial- oder Berufsgeheimnisse)

    Dieses Modul stellt klar, dass anderweitige Schutzvorschriften (z. B. Fernmelde-, Sozial- oder Berufsgeheimnisse) einzuhalten sind. Die Aufnahme der Option soll sicherstellen, dass der Auftragsverarbeiter nicht davon ausgeht, alleine durch den Auftragsverarbeitungsvertrag gebunden zu sein.

    Informationspflicht bei Unterschreitung des Sicherheitsniveaus

    Wenn das vereinbarte Sicherheitsniveau unterschritten wird, dann muss der Auftragsverarbeiter dies dem Auftraggeber sofort melden. Z. B. wenn aufgrund eines technischen Vorfalls die Daten ungeschützt online zugänglich waren (oder bei vergleichbaren Datenpannen).

    Verweis auf TOMs im Anhang

    Da die TOMs einen gewissen Umfang haben, werden sie separat in einem Anhang aufgelistet.

    TOMs sind im Kunden-, bzw. Nutzerbereich zugänglich

    Die TOMs dürfen den Auftraggebern auch in einem Kunden- oder Nutzerbereich zugänglich gemacht werden (was vor allem deren spätere Bearbeitung vereinfacht).

    Verweis auf TOMs auf einer Webseite

    Die TOMs dürfen den Auftraggebern auch Online zugänglich gemacht werden (was vor allem deren spätere Bearbeitung vereinfacht).

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Informationspflichten und Mitwirkungspflichten des Auftragsverarbeiters

    Möchten Sie Angaben zu Informationspflichten und Mitwirkungspflichten des Auftragsverarbeiters aufnehmen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie aus, welche Informations- und Mitwirkungspflichten für den Auftragsverarbeiter gelten sollen:
    Unterstützung bei Erfüllung von Betroffenenrechten
    Informationspflichten bei Fehlern und Unregelmäßigkeiten
    Unterstützung in Verfahren mit Aufsichtsbehörden
    Abwehr und Unterstützung gegen externe Gefährdung von Daten
    Bereitstellung Informationen zur Erfüllung gesetzlicher Pflichten des Auftraggebers
    Keine Pflichten, wenn Auftraggeber Informationen selbst beschaffen kann
    Auftragsverarbeiter muss Einhaltung seiner Pflichten nachweisen können
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Informationspflichten und Mitwirkungspflichten des Auftragsverarbeiters" - Erläuterungen und Hinweise

    Die DSGVO verpflichtet den Auftragsverarbeiter, den Auftraggeber bei der Erfüllung seiner Informationspflichten und Schutz der im Auftrag verarbeiteten Daten zu unterstützen (u.a. Art. 28 Abs. 3 S. 2 lit. h. DSGVO).

    Unterstützung bei Erfüllung von Betroffenenrechten

    Für die Erfüllung der Betroffenenrechte (Art. 15 - 21 DSGVO), ist der Verantwortliche der Verarbeitung und nicht der Auftragsverarbeiter zuständig. Nur der Verantwortliche darf entscheiden, ob und im welchen Umfang z. B. Auskünfte beantwortet werden oder Löschungsansprüchen entsprochen wird. Sollten derartige Anfragen der Betroffenen beim Auftragsverarbeiter eingehen, dann muss er sie an den Auftraggeber weiterleiten.

    Hinweis: Der Auftragsverarbeiter wird zur Erfüllung der Betroffenenrechte nur in besonderen Fällen, z. B. beim Outsourcing ganzer Aufgabenbereich verpflichtet (wobei man sich dann fragen kann, ob dies noch eine Auftragsverarbeitung darstellt). Aber falls doch, dann sollte in diesem Fall diese Option nicht gewählt werden.

    Informationspflichten bei Fehlern und Unregelmäßigkeiten

    Da der Auftragsverarbeiter einen besseren Überblick über die Verarbeitung der maßgeblichen Daten hat, ist es nachvollziehbar, dass er Fehler oder Unregelmäßigkeiten der Verarbeitung an den Auftraggeber melden und Maßnahmen zur Risikominderung ergreifen muss.

    Unterstützung in Verfahren mit Aufsichtsbehörden

    Die Datenschutzaufsichtsbehörden haben das Recht, die Verarbeitung der Daten durch den Verantwortlichen zu überprüfen, was auch eine Überprüfung der Verarbeitung beim Auftraggeber mit umfassen kann (Art. 28 Abs. 3 S. 2 lit. h und Abs. 4. DSGVO).

    Abwehr und Unterstützung gegen externe Gefährdung von Daten

    Der Auftragsverarbeiter ist der verlängerte Arm der Auftraggebers und die Daten sind ihm nur für die Zwecke der Verarbeitung übertragen. Sonst hat der Auftragsverarbeiter keine Rechte an den Daten. Daher dürfen die Daten des Auftraggebers beim Auftragsverarbeiter grundsätzlich nicht durch Behörden, Gerichtsvollzieher oder Insolvenzverwalter oder andere Dritte in Beschlag genommen werden. Sollte dies doch passieren, dann muss der Auftragsverarbeiter die Dritten darauf hinweisen, dass die Daten des Auftraggebers auszunehmen sind und den Auftraggeber über eine derartige Gefährdung seiner Daten, schon wenn sie droht, informieren. Ferner muss der Auftragsverarbeiter den Auftraggeber bei der Rückgewinnung der Daten oder sonstigen und angemessenen Schadensminderungsmaßnahmen unterstützen.

    Bereitstellung von Informationen zur Erfüllung gesetzlicher Pflichten des Auftraggebers

    Der Auftraggeber ist darauf angewiesen, dass der Auftragsverarbeiter ihn bei der Erfüllung seiner gesetzlichen Pflichten (z. B. gegenüber Behörden, Betroffenen oder sonstigen Dritten) mit Informationen betreffend die Verarbeitung der Daten beim Auftragsverarbeiter unterstützt.

    Keine Pflichten, wenn Auftraggeber Informationen selbst beschaffen kann

    Mit dieser Klausel wird klargestellt, dass der Auftragsverarbeiter den Auftraggeber nur soweit bei der Beschaffung von externen erforderlichen Informationen unterstützen muss, wie der Auftraggeber die Information sich nicht selbst verschaffen kann.

    Auftragsverarbeiter muss Einhaltung seiner Pflichten nachweisen können

    Der Auftraggeber muss die Rechtmäßigkeit der Verarbeitung der Daten im Auftrag nachweisen können (u. A. auf Grund der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO). Daher sollte er wiederum den Auftragsverarbeiter zur Führung entsprechender Nachweise verpflichten. Zu den Nachweisen gehören u. a. Verpflichtung der Mitarbeiter auf Datenschutz, Implementierung von Schutzmaßnahmen, etc. Daher sollten zumindest immer Protokolle geführt werden, aus denen hervorgeht, dass entsprechende Maßnahmen eingeführt wurden (z. B. Protokoll der Implementierung von und Durchführung von Mitarbeiterschulungen, Kopie eines Berechtigungskonzeptes, etc.). Im Zweifel können auch Mitarbeiter als Zeugen aufgeführt werden. Im Prinzip sollten sich Auftragsverarbeiter im Hinblick auf die im Auftrag verarbeiteten Daten so verhalten, als ob sie selbst für die Verarbeitung verantwortlich wären.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Datenpannen und Gefährdung des Datenschutzes

    Möchten Sie Regelungen zum Verhalten und Pflichten bei Gefährdung des Datenschutzes ("Datenpannen") aufnehmen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie die Pflichten und Hinweise an den Auftragsverarbeiter zum Verhalten im Fall von (möglichen) Gefahren für Daten aus:
    Pflicht zur unverzüglicher Information bei Datenpannen
    Meldung von Datenpannen (grnds.) innerhalb von 24h
    Mindestinhalt der Meldung
    Mitteilung der Störung der Auftragserledigung
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Maßnahmen bei Gefährdung oder Verletzung des Datenschutzes" - Erläuterungen und Hinweise

    Im Fall von Datenpannen, d. h. Verletzung des Datenschutzes, z. B. durch unerlaubte Zugriffe Dritter, ist der Auftraggeber unter Umständen verpflichtet die Datenschutzbehörde und gegebenenfalls auch die betroffenen Personen zu informieren und die Auswirkung der Datenschutzverletzung möglichst gering zu halten (Art. 33 und 34 DSGVO). In diesem Modul wird der Auftragsverarbeiter entsprechend Art. 28 Abs. 3 S. 2 lit. f. DSGVO darauf verpflichtet, den Auftraggeber bei der Wahrnehmung dieser Pflichten zu unterstützen.

    Meldung von Datenpannen (grnds.) innerhalb von 24h

    Im Fall von Datenpannen, (d. h. der Verletzung des Datenschutzes) die einen bestimmten Risikograd erreichen ist der Auftraggeber verpflichtet, binnen 72 Stunden eine Meldung bei der zuständigen Datenschutzaufsichtsbehörde und ebenfalls unverzüglich bei den betroffenen Personen zu machen (Art. 33 und 34 DSGVO). Damit der Auftraggeber für diese Risikoprüfung und Vornahme der Meldung hinreichend Zeit hat, sollte der Auftragsverarbeiter seinerseits mit dieser Klausel verpflichtet werden, Datenpannen grundsätzlich innerhalb von 24 h beim Auftraggeber zu melden. "Grundsätzlich" bedeutet, dass im Einzelfall eine schnellere oder kürzere Meldung angebracht sein kann, je nachdem wie schwerwiegend die Folgen der Datenpanne sein können oder wie klar es ist, dass der Schutz der Daten tatsächlich verletzt worden ist).

    Mindestinhalt der Meldung

    Die in dem Auftragsverarbeitungsvertrag vorgegebenen Mindestanforderungen der Meldung von Datenpannen, bestimmen sich nach den für den Auftraggeber gesetzlich geltenden Vorgaben für die Meldung (Art. 33 Abs. 3 DSGVO).

    Mitteilung der Störung der Auftragserledigung

    Auch wenn noch keine Datenpanne eingetreten sein sollte, sollten Auftragsverarbeiter auch dann zur Information verpflichtet werden, wenn sie gegen das Gesetz oder diesen Auftragsverarbeitungsvertrag verstoßen haben (z. B. wenn Weisungen des Auftraggebers nicht ausgeführt oder Auskunftsanfragen von betroffenen Personen nicht weitergeleitet oder beantwortet wurden).

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Kontrollrechte des Auftraggebers und der Datenschutzbehörden

    Möchten Sie Regelungen zu Kontrollrechten des Auftraggebers aufnehmen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie die Regelungen zu Kontrollrechten des Auftraggebers:
    Kontrollrecht des Auftraggebers
    Pflicht zur Unterstützung des Auftraggebers
    Übliche Geschäftszeiten und 14-tägige Vorankündigung
    Beschränkung von Kontrollen auf erforderlichen Rahmen
    Fachkunde, Vertraulichkeit und Integrität der Prüfer
    Alternative Nachweis-möglichkeiten durch Testate oder Zertifikate
    Kontrollen grundsätzlich maximal alle 12 Monate
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Überprüfungen und Inspektionen " - Erläuterungen und Hinweise

    Laut Art. 28 Abs. 3 S. 2 lit. h) DSGVO muss der Auftragsverarbeiter erforderliche Überprüfungen, einschließlich Inspektionen vor Ort durch den des Auftraggeber hinnehmen. Die Kontrolle ist auf die im Auftrag verarbeiteten Daten und die angegebenen technischen und organisatorischen Maßnahmen sowie einen etwaigen Einsatz von Unterauftragsverarbeitern beschränkt. Ferner müssen sich die Kontrollen in einem erforderlichen Rahmen bewegen. Der erforderliche Rahmen, als auch die Mitwirkungspflichten des Auftragsverarbeiters, werden in diesem Modul näher definiert.

    Kontrollrecht des Auftraggebers

    Diese Klauseln weist den Auftragsverarbeiter darauf hin, dass der Auftraggeber entsprechend dem Gesetz die Verarbeitung der Daten in einem erforderlichen Rahmen durchführen darf. Was erforderlich, also auch angemessen ist, wird mit Hilfe der weiteren Klauseln dieses Moduls geregelt.

    Pflicht zur Unterstützung des Auftraggebers

    Dem Gesetz entsprechend wird in dieser Klausel eine Pflicht des Auftraggebers festgelegt, den Auftraggeber bei den Kontrollen im erforderlichen Rahmen zu unterstützen. "Erforderlicher Rahmen" bedeutet, dass der Auftragsverarbeiter nur dann Unterstützung (z. B. durch Vorlage von Informationen oder Auskünfte und Erläuterungen) leisten muss, wenn der Auftraggeber sein Ziel nicht genauso gut ohne dessen Mitwirkung in einem zumutbaren Aufwand erreichen kann. Zum Beispiel muss der Auftragsverarbeiter nicht über technisches Allgemeinwissen aufklären, Verpflegung anbieten oder eine über mehrere Tage verteilte Kontrolle, die in wenigen Stunden erfolgen könnte, hinnehmen.

    Übliche Geschäftszeiten und 14-tägige Vorankündigung

    Um etwaige Unklarheiten zu vermeiden, ist es zu empfehlen festzulegen, dass eine Prüfung nur innerhalb üblicher Geschäftszeiten zu erfolgen hat und angemessen vorab anzukündigen ist.

    Beschränkung von Kontrollen auf erforderlichen Rahmen

    In dieser Klausel wird festgelegt, dass die Kontrollen sich auf einen nötigen Umfang beschränken müssen, kein Recht auf Zugang zu Geschäftsgeheimnissen und personenbezogenen Daten gewährleisten und den Betriebsablauf beim Auftragsverarbeiter möglichst wenig stören sollen.

    Fachkunde, Vertraulichkeit und Integrität der Prüfer

    Der Auftragsverarbeiter muss sicher sein, dass die Kontrollen von fachkundigen Personen durchgeführt werden, die selbst auf den Datenschutz verpflichtet sind und zum Auftragsverarbeiter nicht in einem Wettbewerbsverhältnis stehen. Denn nur so kann der Auftragsverarbeiter darauf vertrauen, dass die Grenzen der Erforderlichkeit eingehalten und insbesondere personenbezogene Daten Dritter oder Geschäftsgeheimnisse geschützt und zutreffende Ergebnisse erzielt werden.

    Alternative Nachweismöglichkeiten durch Testate oder Zertifikate

    Eine Datenschutzkontrolle vor Ort findet in der Praxis eher selten statt und wenn, dann bei besonders schutzwürdigen (z. B. bei Gesundheitsdaten) und/oder umfangreichen Auftragsverarbeitungen (z. B. Übernahme Personalverwaltung), als auch nach Datenpannen beim Auftragsverarbeiter. Dies hängt mit dem praktischen Aufwand zusammen. Umgekehrt versuchen auch Auftragsverarbeiter vor Ort Kontrollen eher zu vermeiden, um die Daten anderer Personen oder Geschäftsgeheimnisse zu schützen. Als Mittelweg legt diese Klausel daher fest, dass Kontrollen auch durch Vorlage von Ergebnissen von Prüfungen unabhängiger und kompetenter Dritter, Zertifikate oder behördlich genehmigte interne Verhaltensregeln erfolgen können.

    Kontrollen grundsätzlich maximal alle 12 Monate

    Eine Begrenzung der Kontrollen auf 12 Monate (außer bei Anlässen, wie z. B. Datenpannen) ist üblich und wird im Regelfall ausreichend sein. Daher ist diese Klausel als Richtschnur zu empfehlen.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Unterauftragsverhältnisse

    Möchten Sie Angaben zur Beauftragung von Unterauftragsverarbeitern (z. B. Subunternehmern) aufnehmen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie die gewünschten Regelungen zu Unterauftragsverhältnissen:
    Gesonderte Genehmigung ist erforderlich
    Allgemeine Genehmigung mit Einspruchsrecht
    Sicherstellung des Datenschutzniveaus beim Unterauftrags-verarbeitern
    Sorgfältige Auswahl von Unterauftrags-verarbeitern
    Dokumentation der Prüfung und Beauftragung von Unterauftrags-verarbeitern
    Evaluation der Unterauftrags-verarbeiter mindestens alle 12 Monate
    Festlegung Verantwortlichkeiten zwischen Unter- und Auftragsverarbeiter
    Geltendmachung von Rechten direkt gegen Unterauftrags-verarbeiter
    Auftragsverarbeiter haftet für Unterauftrags-verarbeiter
    Keine Unterauftrags-verarbeitung bei Nebenleistungen (Reinigungsdienst, etc.)
    Genehmigung der mitgeteilten Unterauftrags-verhältnisse
    Liste der Unterauftrags-verhältnisse befindet sich im Anhang
    Unterauftrags-verhältnisse sind im Kunden-, bzw. Nutzerbereich zugänglich
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Unterauftragsverhältnisse" - Erläuterungen und Hinweise

    Es kommt häufig vor, dass der Auftragsverarbeiter selbst weitere Auftragsverarbeiter beauftragt, die dann als Unterauftragsverarbeiter bezeichnet werden. Diese Ketten-Auftragsverarbeitungen sind auch dem Gesetz nach erlaubt, aber nur dann, wenn a) dies mit der Genehmigung der Auftraggebers erfolgt (entweder ausdrücklich für jeden Unterauftragsverarbeiter oder als pauschale Allgemeineinwilligung) und b) das dem Auftraggeber zugesicherte Sicherheitsniveau auch bei dem Unterauftragsverarbeiter nachweislich eingehalten wird.

    Einsatz Unterauftragsverarbeiter nur mit gesonderter Genehmigung

    Diese Klausel bestimmt, dass jeder Unterauftragsverarbeiter von dem Auftraggeber separat und vorab genehmigt werden muss. Eine separate Genehmigungspflicht für die Beauftragung von Unterauftragsverarbeitern kommt vor allem dann in Frage, wenn der Auftraggeber die Verarbeitung seiner Daten genau kontrollieren will. Dazu besteht zum Beispiel bei besonders sensiblen Daten, wie Gesundheitsdaten oder Daten der Mitarbeiter in Frage. Allerdings sollte bedacht werden, dass der Genehmigungsprozess für den Auftragsverarbeiter vor allem bei einer Vielzahl von Auftraggebern hinderlich und langwierig sein kann. Daher wird vor allem bei Massengeschäften (z. B. Onlineplattformen) eine Vorabgenehmigung mit Meldepflicht praktikabler sein.

    Allgemeine Genehmigung mit Einspruchsrecht

    Statt für jeden Unterauftragsverarbeiter eine gesonderte Einwilligung einzuholen, kann der Auftraggeber den Einsatz von Unterauftragsverarbeitern allgemein genehmigen. In dem Fall muss der Unterauftragsverarbeiter den Auftraggeber jedoch mit einer angemessenen Vorfrist informieren, die mindestens 14 Werktage betragen sollte (die Frist kann jedoch unter den Vertragsparteien auch abweichend festgesetzt werden). Innerhalb der Frist sollte der Auftraggeber prüfen können, ob er mit dem Einsatz des Auftragsverarbeiters einverstanden ist.

    Es kann auch vorkommen, dass bei Unterauftragsverarbeitern, die bereits eingesetzt und von dem Auftraggeber genehmigt wurden (entweder explizit oder allgemein vorab), organisatorische oder technische Änderungen stattfinden. Falls diese Änderungen für die Verarbeitung der Daten des Auftraggebers relevant sein sollten, müssen Sie dem Auftraggeber mitgeteilt werden (z. B. wenn sich technische Sicherheitsmaßnahmen ändern und das Datenschutzniveau dadurch sinkt). Der Auftraggeber muss prüfen können, ob der Einspruch gegen den weiteren Einsatz des Auftragsverarbeiters erhebt oder nicht. Daher sollte der Auftraggeber über die Änderungen schon 14 Werktage vorab informiert werden, bzw. unverzüglich, wenn der Auftragsverarbeiter erst später von ihnen erfährt (wobei der Auftragsverarbeiter vertraglich absichern sollte, dass der Unterauftragsverarbeiter ihn ebenso zeitig informiert). Nach Ablauf von 14 Werktagen darf der Auftragsverarbeiter davon ausgehen, dass der Auftraggeber mit der Beauftragung einverstanden ist. Der Einspruch darf nicht willkürlich erfolgen, sondern muss begründet sein. Die genannten Fristen von 14 Tagen können unter den Vertragsparteien auch abweichend festgesetzt werden, wenn die Umstände es erfordern sollten.

    Sicherstellung des Datenschutzniveaus beim Unterauftragsverarbeiter

    Der Auftragsverarbeiter muss sicherstellen, dass das Datenschutzniveau und die Schutzpflichten, die er mit dem Auftraggeber vereinbart hat, zumindest genauso auch beim Unterauftragsverarbeiter eingehalten werden. D. h. insbesondere, dass die Vereinbarungen, Verpflichtungen und TOMs aus dem Auftragsverarbeitungsvertrag zwischen dem Auftraggeber und dem Auftragsverarbeiter, sich spiegelbildlich im Auftragsverarbeitungsvertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter wiederfinden sollten.

    Sorgfältige Auswahl von Unterauftragsverarbeitern

    Der Auftragsverarbeiter darf Unterauftragsverarbeiter nicht beauftragen, bevor er nicht sorgfältig geprüft hat und sich sicher ist, dass die mit dem Auftraggeber vereinbarten Sicherungspflichten auch bei den Unterauftragsverarbeitern eingehalten werden.

    Dokumentation der Prüfung und Beauftragung von Unterauftrags-verarbeitern

    Der Auftraggeber muss die Rechtmäßigkeit der Auftragsverarbeitung nachweisen können. Daher ist er auf die Dokumentation des Auftragsverarbeiters angewiesen (z. B. Verzeichnis von Verarbeitungstätigkeiten, Protokolle der technischen und organisatorischen Maßnahmen, etc.).

    Evaluation der Unterauftragsverarbeiter mindestens alle 12 Monate

    Genauso wie der Auftraggeber die Verarbeitung seiner Daten durch den Auftragsverarbeiter kontrollieren muss, muss auch der Auftragsverarbeiter eine entsprechende Kontrolle bei den Unterauftragsverarbeitern durchführen. Die Frequenz von 12 Monaten ist üblich, wobei sie durch die Vertragsparteien je nach Bedarf auch abweichend festgelegt werden kann. Der Auftragsverarbeiter muss die Kontrollen der Unterauftragsverarbeiter jedoch nicht vor Ort durchführen, sondern kann z. B. auf Zertifikate oder Prüfungsberichte von neutralen Auditoren vertrauen (welche jedoch selbst nicht älter als 12 Monate, bzw. die abweichend vereinbarte Frist, sein sollten).

    Festlegung der Verantwortlichkeiten zwischen Unter- und Auftragsverarbeiter

    Die Beauftragung von Unterauftragsverarbeitern muss, vor allem für den Auftraggeber, transparent erfolgen. Es muss immer klar sein, welche Aufgaben der Unterauftragsverarbeiter statt des Auftragsverarbeiters wahrnimmt. In der Praxis ist dieser Punkt eher unproblematisch, da sich diese Angaben in der Regel aus dem Auftragsverarbeitungsvertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter ergeben.

    Geltendmachung von Rechten direkt gegen Unterauftragsverarbeiter

    Dem Auftraggeber dürfen durch die Beauftragung des Unterauftragsverarbeiters keine Nachteile die Verarbeitung seiner Daten kontrollieren zu können, entstehen. Daher muss der Auftraggeber die ihm gegenüber dem Auftragsverarbeiter zustehenden Rechte, auch direkt gegenüber dem Unterauftragsverarbeiter geltend machen können. Dazu gehört insbesondere das Recht, Kontrollen durchzuführen. Daher sollte der Auftragsverarbeitungsvertrag zwischen dem Auftraggeber und dem Auftragsverarbeiter eine entsprechende Klausel enthalten, die explizit auf diese Berechtigung des Auftraggebers hinweisen.

    Auftragsverarbeiter haftet für Unterauftragsverarbeiter

    Diese Regelung entspricht dem Art. 28 Abs. 4 S. 2 DSGVO, der bestimmt, dass der Auftragsverarbeiter für die Pflichtverletzungen des von ihm beauftragten Unterauftragsverarbeiters haftet.

    Keine Unterauftragsverarbeitung bei Nebenleistungen

    Eine Unterauftragsverarbeitung im Sinne des Gesetzes und dieses Auftragsverarbeitungsvertrages liegt nur vor, wenn die Unterbeauftragung die Verarbeitung der Daten des Auftraggebers zum Kern hat. D.h. der Unterauftragsverarbeiter muss auch solche Kernaufgaben wahrnehmen. Dagegen liegt keine Unterauftragsverarbeitung vor, wenn die vom Auftragsverarbeiter beauftragten Dienstleister nur mittelbar oder zufällig mit den Daten in Verbindung kommen (z. B. bei IT-Wartung ohne Datenpflege, Bewachungsdienstleistungen oder als Reinigungskraft). Aber Achtung, auch bei diesen Nebenleistungen muss der Auftragsverarbeiter für die Sicherheit der Daten des Auftraggebers sorgen und im Optimalfall Verpflichtungen der Dienstleister zum Datenschutz oder generell zum Schutz von vertraulichen Informationen (NDAs) einholen: https://datenschutz-generator.de/non-disclosure-agreement/.

    Genehmigung der mitgeteilten Unterauftragsverhältnisse

    Diese Klausel stellt klar, dass die in der Anlage zu diesem Auftragsverarbeitungsvertrag mitgeteilten (bzw. als Liste verlinkten) Unterauftragsverarbeiter, vom Auftraggeber genehmigt werden.

    Unterauftragsverhältnisse entsprechend Anhang 3

    Die Liste der Auftragsverarbeiter wird typischerweise in einer Anlage zum Auftragsverarbeitungsvertrag aufgenommen (kann jedoch auch online bereitgestellt werden).

    Unterauftragsverhältnisse sind im Kunden-, bzw. Nutzerbereich zugänglich

    Die Liste der Auftragsverarbeiter kann auch online, z. B. im Kundenbereich zur Verfügung gestellt werden (was vor allem spätere Änderungen vereinfacht).

    Webadresse der Liste der aktuellen Subunternehmer

    Die Liste der Auftragsverarbeiter kann auch online, z. B. auf einer Webseite zur Verfügung gestellt werden (was vor allem spätere Änderungen vereinfacht).

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Räumlicher Bereich der Auftragsverarbeitung

    Möchten Sie Regelungen zum räumlichen Bereich der Auftragsverarbeitung aufnehmen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie die Regelungen des räumlichen Bereichs der Auftragsverarbeitung aus:
    Beschränkung Datenverarbeitung auf EU/EWR
    Beschränkung Datenverarbeitung auf EU/EWR & Schweiz
    Beschränkung Datenverarbeitung auf DACH
    Beschränkung Datenverarbeitung auf Deutschland
    Beschränkung Datenverarbeitung auf Österreich
    Beschränkung Datenverarbeitung auf die Schweiz
    Verarbeitung in Drittländern zulässig, wenn Datenschutzniveau gesichert ist
    Genehmigung von Unterauftrags-verarbeitern umfasst auch den Ort der Verarbeitung
    Genehmigung des Auftraggebers bei Abweichungen erforderlich
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Räumlicher Bereich der Auftragsverarbeitung" - Erläuterungen und Hinweise

    Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, wenn in den so genannten “Drittländern” kein angemessenes Datenschutzniveau gewährleistet wird (Art. 44 DSGVO). Zu diesen Drittländern gehören vor allem die USA.

    Dass ein angemessenes Datenschutzniveau vorliegt, kann vor allem in den folgenden Fällen angenommen und geprüft werden:

    • EU-Kommission hat ein angemessenes Datenschutzniveau festgestellt – derartige Angemessenheitsbeschlüsse (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en) existieren z. B. für die Schweiz, Neuseeland, Andorra, Argentinien, die Färöer Inseln, Guernsey, Japan und im Wesentlichen für Kanada und Israel (dagegen nicht für die USA - für die die EU-Kommission in der Vergangenheit zwar Ausnahmen gemacht hat, die jedoch vom Europäischen Gerichtshof aufgehoben wurden - "Safe Harbor" in 2015 und "Privacy Shield" in 2020).

    • Abschluss sog. „Standard Contractual Clauses (SCC)” – https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_de - Diese vorgefertigten und als "Standardschutz-" / bzw. "Standardvertragsklauseln" bezeichneten Vertragsvorlagen, verpflichten den Vertragspartner zur Einhaltung des europäischen Datenschutzniveaus (Standardschutzklauseln sind häufig mit Auftragsverarbeitungsverträgen verbunden). Allerdings erlauben die Standardvertragsklauseln Datentransfers in Drittländer nur, wenn das Datenschutzniveau tatsächlich gewahrt wird, d. h. sichergestellt ist, dass die Zusagen auch eingehalten werden. D. h. der Auftraggeber muss prüfen, ob die Standardvertragsklauseln tatsächlich eingehalten werden (s. https://datenschutz-generator.de/dsgvo-usa-muster-checkliste-scc/)

    • Binding Corporate Rules – Unternehmen können sich auch selbst gegebene und verbindliche Datenschutzregeln geben. Diese Alternative ist eher selten, zumal auch eine externe Zertifizierung oder eigene Prüfung erforderlich wäre, um auf deren Grundlage Daten in Drittländer zu transferieren (das Ergebnis dürfte ähnlich wie bei Standardschutzklauseln ausfallen).

    • Erforderliche Datentransfers – Wenn die Übermittlung oder sonstige Verarbeitung der Daten in Drittländern erforderlich und für die Betroffenen erkennbar ist, darf die Übermittlung erfolgen (z. B. wenn Waren für Kunden erkennbar aus den USA verschickt werden).

    • Einwilligungen – Als letzte Möglichkeit bleiben praktisch nur die Einwilligungen der betroffenen Personen. Diese sind jedoch zum einen umständlich und können schnell an fehlender Transparenz, ausdrücklicher Abgabe oder an fehlender Freiwilligkeit (z. B. bei Arbeitnehmern, Art. 26 DSGVO) oder fehlender Einwilligungsfähigkeit (in Deutschland ab 16 Jahren, in Österreich ab 14, s. Art. 8 Abs. 3 DSGVO) scheitern.

    • Weitere Ausnahmen – Weitere Ausnahmen können Sie Art. 49 DSGVO entnehmen (die zwar in Frage, aber nur unter strengen Voraussetzungen in Frage kommen könnten).


    Beschränkung Datenverarbeitung auf EU/EWR

    Die Beschränkung auf den Bereich der EU, bzw. den EWR (u.a. Norwegen, Island, https://de.wikipedia.org/wiki/Europ%C3%A4ischer_Wirtschaftsraum) ist üblich, schränkt jedoch den Auftragsverarbeiter ein, da er z. B. keine US-Dienstleister als Hilfsdienste zur Verarbeitung der Daten als Unterauftragsverarbeiter heranziehen kann.

    Beschränkung Datenverarbeitung auf EU/EWR & Schweiz

    Wird neben der EU und der EWR auch die Schweiz als zulässiger Ort der Auftragsverarbeitung aufgenommen, dann ist dies grundsätzlich unproblematisch, da die Datenschutzniveau in der Schweiz von der EU-Kommission als hinreichend sicher anerkannt ist (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en). Dass die Schweiz explizit genannt wird, hängt damit zusammen, dass die Schweiz häufig als Teil der DACH-Region (Deutschland, Schweiz, Österreich) in Verträgen mit aufgenommen wird.

    Beschränkung Datenverarbeitung auf den DACH-Bereich

    Diese Beschränkung auf die DACH-Region (Deutschland, Schweiz, Österreich) ist eher unüblich, wird jedoch von manchen Auftraggebern gewünscht, weswegen sie als Option zur Verfügung steht.

    Beschränkung Datenverarbeitung auf Deutschland

    Eine Beschränkung der örtlichen Verarbeitung auf bestimmte Länder, wie hier Deutschland, ist nicht zwingend notwendig (formell, d. h. laut Gesetz, besteht in der EU/EWR das gleiche Datenschutzniveau), wird jedoch von manchen Auftraggebern gewünscht.

    Beschränkung Datenverarbeitung auf Österreich

    Eine Beschränkung der örtlichen Verarbeitung auf bestimmte Länder, wie hier Österreich, ist nicht zwingend notwendig (formell besteht in der EU/EWR das gleiche Datenschutzniveau), wird jedoch von manchen Auftraggebern gewünscht.

    Beschränkung Datenverarbeitung auf die Schweiz

    Eine Beschränkung der örtlichen Verarbeitung auf bestimmte Länder, wie hier die Schweiz, ist nicht zwingend notwendig (formell besteht in der Schweiz, genauso wie in der EU/EWR das gleiche Datenschutzniveau), wird jedoch von manchen Auftraggebern gewünscht.

    Verarbeitung zulässig, wenn Datenschutzniveau gesichert ist

    Offiziell spricht nichts dagegen, dass der Auftraggeber die Verarbeitung seiner Daten auch außerhalb der EU/ des EWR erlaubt, solange dort das EU-Datenschutzniveau gewährleistet ist. Praktisch ist das Risiko allerdings höher, wie das Beispiel des 2020 aufgehobenen EU-US-Privacy Shield zeigte. Auch in den USA war ein sicheres Datenschutzniveau offiziell festgestellt worden, bis der Europäische Gerichtshof dem widersprach und die USA plötzlich nicht mehr als ein sicheres Drittland galten (https://datenschutz-generator.de/eugh-privacy-shield-unwirksam/). Daher sollten Auftraggeber sich überlegen, ob sie das Risiko, dass eine Datenverarbeitung im Drittland unsicher werden könnte (bzw. als solche gelten könnte), eingehen möchten. Das gilt vor allem, wenn besonderes sensible Arten von Daten, wie z. B. Gesundheits- oder Arbeitnehmerdaten verarbeitet werden sollten.

    Erstreckung der Erlaubnis der Unterauftragsverarbeitung auf den räumlichen Bereich

    Wenn Unterauftragsnehmer vom Verantwortlichen genehmigt werden, dann gilt die Genehmigung auch für den Ort der Verarbeitung. Wird z.B. ein US-Unternehmen eingesetzt, dann muss der Kunde davon ausgehen, dass die Verarbeitung in den USA stattfindet. Hierzu kann er sich bei dem Auftragsverarbeiter informieren.

    Des Weiteren empfehlen wir stets den Ort der Verarbeitung mitzuteilen, damit keine Unklarheiten entstehen. Ferner ist es ein Sicherheits- und Vertrauensplus, wenn angegeben wird, dass z.B. die Leistungen von Google in Anspruch genommen, aber die Verarbeitung nur auf EU-Server beschränkt bleibt.

    Genehmigung des Auftraggebers bei Abweichungen erforderlich

    Sollte der Auftragsverarbeiter die Daten im Auftrag in einem anderen Land, als in diesem Auftragsverarbeitungsvertrag vereinbart, verarbeiten wollen, ist eine Genehmigung durch den Auftraggeber erforderlich.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Pflichten des Auftraggebers

    Möchten Sie Angaben zu Informationspflichten und Mitwirkungspflichten des Auftraggebers aufnehmen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie aus, welche Informations- und Mitwirkungspflichten für den Auftraggeber gelten sollen:
    Informationspflicht bei Fehlern in Auftragsergebnissen
    Benennung von Ansprechpartnern durch den Auftraggeber
    Unterstützung bei der Abwehr von Ansprüchen Dritter
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Pflichten des Auftraggebers" - Erläuterungen und Hinweise

    Der Auftraggeber und der Auftragsverarbeiter haften gegenüber den betroffenen Personen (d. h. nach außen hin) gemeinsam (Art. 82 Abs. 2 DSGVO). Erst im Innenverhältnis muss letztendlich derjenige die Nachteile/ Kosten tragen, der für den Schaden verantwortlich war (Art. 82 Abs. 3 DSGVO). Daher sollten die in diesem Modul vereinbarten Pflichten von dem Auftraggeber bereits im eigenen Interesse beachtet werden, da sie auch sein Risiko mindern.

    Informationspflicht bei Fehlern in Auftragsergebnissen

    Falls der Auftraggeber Unregelmäßigkeiten bei der Verarbeitung feststellt, dann muss er den Auftragsverarbeiter darüber informieren. Als Schwelle der Meldepflicht gilt der Schutz der Daten Betroffener. D. h., wenn für Betroffene Nachteile zu befürchten sind, muss eine Meldung an den Auftraggeber erfolgen.

    Benennung von Ansprechpartnern durch den Auftraggeber

    Ansprechpartner müssen nicht zwingend benannt werden, wenn sich die Ansprechpartner sonst eindeutig bestimmen lassen (z. B. Beauftragung durch einen Einzelunternehmer oder Festlegung der Ansprechpartner im Hauptvertrag). Empfohlen wird jedoch die Ansprechpartner (oder Ansprechstellen, wie z. B. "Leitung IT") festzulegen und anzugeben, wie diese erreichbar sind.
    Ansonsten können z. B. Unklarheiten entstehen, wenn sich ein bis dato unbekannter Mitarbeiter des Auftraggebers mit einer Weisung meldet und unklar ist, ob diese ausgeführt werden sollte.

    Unterstützung bei der Abwehr von Ansprüchen Dritter

    Der Auftragsverarbeiter muss die Daten des Auftraggebers im Fall der Zugriffe oder Zugriffsversuche seitens Behörden, Gläubigern oder Insolvenzverwaltern schützen und muss den Auftraggeber bei der Abwehr dieser Zugriffe unterstützen. Umgekehrt muss auch der Auftraggeber dem Auftragsverarbeiter beistehen (und z. B. behördliche Anträge stellen), wenn dieser aufgrund der Auftragsverarbeitung von Dritten in Anspruch genommen wird.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Haftungsregelungen

    Möchten Sie eine Regelung zur Haftung für Datenschutzverstöße aufnehmen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie, sofern zutreffend, aus den folgenden Optionen oder Eingabemöglichkeiten aus:
    Verweis auf gesetzliche Bestimmungen (DE, AT & Rest EU)
    Verweis auf gesetzliche Bestimmungen (Schweiz)
    Keine Geltung von externen Haftungsaus-schlüssen
    Es gelten Haftungsregelungen des Hauptvertrages
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Haftung" - Erläuterungen und Hinweise

    Die Haftung ist an sich bereits gesetzlich geregelt und müsste nicht explizit im Auftragsverarbeitungsvertrag auftauchen (außer es soll im Innenverhältnis von der gesetzlichen Regelung abgewichen werden). Allerdings wird eine solche Klausel üblicherweise erwartet und deren Fehlen kann zu prozessverlangsamenden Rückfragen führen, weswegen die Klausel aufgenommen werden sollte, Im Übrigen kann man die gesetzliche Regelung, dass am Ende derjenige haftet, der für einen Schaden verantwortlich ist, als fair bezeichnen.

    Verweis auf gesetzliche Bestimmungen

    Die gesetzlichen Bestimmungen der DSGVO lauten wie folgt (Art. 82 Abs. 2 und 3):

    (2) Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

    (3) Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.


    Und im Hinblick auf Unterauftragsverarbeiter im Art. 28 Abs. 4. Satz 2 DSGVO:

    Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

    Das heißt zusammengefasst, dass gegenüber den Betroffenen der Auftraggeber und der Auftragsverarbeiter gemeinsam verantwortlich sind (z. B. was Schadensersatzansprüche wegen Datenschutzverstößen im Rahmen der Auftragsverarbeitung betrifft). Betroffene könnten sich also sowohl an den Auftraggeber wie auch an den Auftragsverarbeiter wenden. Im Innenverhältnis zueinander, muss aber am Ende diejenige Partei haften, die den Schaden verursacht. So kann z. B. der Auftraggeber, der einen Schadenersatz zahlen musste, diesen vom Auftragsverarbeiter ersetzt verlangen.



    Verweis auf gesetzliche Bestimmungen (Schweiz)

    Abweichend zu der Regelung für die EU-Länder, kann sich eine Haftung im Fall einer Datenverarbeitung alleine auf Grundlage des Schweizer Recht ergeben (wenn EU-Bürger nicht betroffen sind), in diesem Fall wird auf die allgemeinen gesetzlichen (Schweizer) Bestimmungen verwiesen.

    Keine Geltung von externen Haftungsausschlüssen

    Der Ausschluss von externen Haftungsvereinbarungen kann sicherheitshalber aufgenommen werden, um klar zu stellen, dass anderweitig (z. B. im Hauptvertrag oder AGB) vereinbarte Haftungsausschlüsse oder Haftungseinschränkungen nicht gelten (das natürlich, wenn es auch gewollt ist, dass sie nicht gelten).

    Es gelten Haftungsregelungen des Hauptvertrages

    Die Haftung im Rahmen des Auftragsverarbeitungsvertrages beruht auf den Regelungen des Art. 82 DSGVO (im Außenverhältnis gegenüber den betroffenen Personen oder Behörden haften der Auftraggeber und der Auftragsverarbeiter gemeinsam als so genannte Gesamtschuldner; im Verhältnis zueinander haften sie dagegen nach dem jeweiligen Grad ihres Verschuldens).

    Es ist rechtlich nicht geklärt, ob eine eigene Regelung der Haftungsverteilung im Innenverhältnis zwischen dem Auftraggeber und dem Auftragsverarbeiter wirksam wäre. Die Mehrzahl der juristischen Ansichten hält solche Regelungen für unwirksam oder fordert zumindest Detailregelungen für den konkreten Fall, die eine angemessene Haftungsverteilung wahren.

    Daher sollten Sie diese Option, wonach die Haftungsregelungen im Hauptvertrag gelten (also die Haftungsausschlussklausel maßgeblich ist, die z. B. eine Haftung für fahrlässiges Verschulden einschränkt oder sie auf bestimmte Summen begrenzt) nur dann wählen, wenn Sie sich rechtlich sicher sind, dass sie wirksam ist.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Laufzeit, Fortgeltung nach Vertragsende und Datenlöschung

    Möchten Sie Regelungen zur Beendigung der Auftragsverarbeitung, Pflichten nach Vertragsende und Datenlöschung aufnehmen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie Regelungen zur Geltungsdauer, bzw. Beginn der Geltung des AV-Vertrages:
    Geltung ab Unterschrift / elektronischem Abschluss des AV-Vertrages
    Laufzeit und Ende gekoppelt an Hauptvertrag
    Kündigung mit einer Frist von drei Monaten
    Kündigung mit einer Frist von sechs Monaten
    Kündigung mit einer Frist von einem Jahr

    Bitte wählen Sie weitere Hinweise zur Regelung des Vertragsendes:
    Recht zur außerordentlichen Kündigung
    Pflicht zur Abmahnung vor außerordentlicher Kündigung
    Kündigung nur in Schriftform
    Kündigung in elektronischer Form möglich (z.B. E-Mail oder im Nutzerkonto)
    Pflicht zur Herausgabe und Löschung von Daten nach Vertragsende
    Fortbestehen der Pflichten nach Vertragsende
    Aufbewahrung oder Herausgabe von Dokumentationen nach Vertragsende
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Laufzeit, Fortgeltung nach Vertragsende und Datenlöschung" - Erläuterungen und Hinweise

    In den meisten Fällen wird eine Kopplung des Auftragsverarbeitungsvertrages an einen Hauptvertrag sinnvoll sein. So wird sichergestellt, dass die Auftragsverarbeitung stets von einem gesetzlich vorgesehenen Auftragsverarbeitungsvertrag begleitet wird. Im Übrigen wirken die Schutzpflichten im Hinblick auf die sich noch beim Auftraggeber befindlichen Daten nach.

    Eine Kündigungsfrist wird daher erst dann relevant, wenn der Auftragsverarbeitungsvertrag nicht automatisch an den Hauptvertrag gekoppelt wurde. Dann würde ein Auftragsverarbeitungsvertrag rein theoretisch unendlich lang laufen und dessen Pflichten würden fortgelten (auch wenn sie in der Mehrzahl mangels einer tatsächlich erfolgenden Auftragsverarbeitung leerlaufen würden).

    Im Übrigen kann eine Kündigung eines Auftragsverarbeitungsvertrages durch den Auftragsverarbeiter bei einer laufenden Auftragsverarbeitung dazu führen, dass der Auftraggeber ebenfalls den gesamten Auftrag kündigen muss, um nicht gegen die Vorgaben der DSGVO zu verstoßen. Dadurch kann sich ein Auftragsverarbeiter schadensersatzpflichtig machen, wenn die Kündigung ohne Anlass erfolgte (oder gar am Ende unwirksam war). Das gilt auch umgekehrt für eine Kündigung des Auftraggebers, weshalb Kündigungen von Auftragsverarbeitungsverträgen angekündigt und genau geprüft werden sollten.

    Geltung ab Unterschrift / elektronischem Abschluss des Auftragsverarbeitungsvertrages

    Dieser Punkt regelt speziell, dass der Auftragsverarbeitungsvertrag erst mit dessen Unterschrift oder mit elektronischem Abschluss wirksam wird.

    Beginn und Ende gekoppelt an Hauptvertrag

    Hiernach ist der Auftragsverarbeitungsvertrag so lange wirksam wie der Hauptvertrag. Diese Regelung ist vor allem in dem häufigen Fall zu empfehlen, wenn der Auftragsverarbeitungsvertrag begleitend zu einem Hauptvertrag geschlossen wird (was z. B. auch für laufende Geschäftsbeziehungen gelten kann).

    Recht zur außerordentlichen Kündigung

    Ein Recht zur außerordentlichen Kündigung (d. h. auch wenn eine Kündigung grundsätzlich nicht vorgesehen ist), steht den Vertragsparteien bei nicht hinnehmbaren Vertrags- oder Rechtsverletzungen zu (z. B. wenn ein vorgesehener Datenschutzbeauftragter nicht bestellt ist oder eine Verarbeitung trotz vorgesehener Zustimmungspflicht in ein Drittland verlegt wurde). Dieses Kündigungsrecht ergibt sich auch aufgrund des übergeordneten Schutzes der Daten, der von der Auftragsverarbeitung betroffenen Personen.

    Pflicht zur Abmahnung vor außerordentlicher Kündigung

    Die Grenze ab wann eine Pflichtverletzung oder ein Datenschutzverstoß zu einer außerordentlichen Kündigung berechtigen, ist fließend. So kann z. B. eine unterlassene Weiterleitung eines Auskunftsanspruchs lediglich auf einer leichten Unachtsamkeit beruhen, deren Wiederholung nicht zu befürchten ist. Eine außerordentliche Kündigung in einer solchen Konstellation wäre eher unwirksam. Daher empfiehlt es sich mit dieser Klausel festzulegen, dass die Vertragsparteien vor einer außerordentlichen Kündigung eine Abmahnung aussprechen sollten (außer die Pflichtverletzung wäre eklatant, wie z. B. ein vorsätzlicher Datenschutzverstoß).

    Kündigung nur in Schriftform

    Eine Vereinbarung, nach der die Kündigung des Auftragsverarbeitungsvertrages nur schriftlich, also "auf dem Papier" zu erfolgen hat, ist zwar nicht erforderlich und heutzutage immer seltener üblich, aber zulässig.

    Kündigung im elektronischen Format möglich

    Es ist zunehmend üblich, vor allem im Massengeschäft (z. B. bei Onlineplattformen oder SaaS-Software), dass Auftragsverarbeitungsverträge elektronisch gehandhabt werden und Kündigungen z. B. per E-Mail oder im Kundenbereich einer Onlineplattform bereitgestellt und "per Klick" akzeptiert werden. Dies ist entsprechend Art. 28 Abs. 9 DSGVO zulässig, da eine Kündigung grundsätzlich im selben Format erfolgen kann, wie die Begründung des Vertrages. Wobei eine strengere Form, d. h. hier eine schriftliche Kündigung daneben möglich bleibt.

    Fortbestehen der Pflichten nach Vertragsende

    Der Vorrang des Schutzes personenbezogener Daten verlangt es, dass die Pflichten des Auftragsverarbeiters auch nach einer Kündigung solange fortbestehen, wie der Auftragsverarbeiter die Daten des Auftraggebers noch verarbeitet, also die Daten z. B. noch bei ihm oder bei seinen Unterauftragsverarbeitern gespeichert sind.

    Aufbewahrung oder Herausgabe der Dokumentationen nach Vertragsende

    Die Dokumente und Protokolle, die der Auftragsverarbeiter im Hinblick auf die Auftragsverarbeitung führt (z. B. Verzeichnis der Auftragsverarbeitung, Protokolle oder Prüfberichte im Hinblick auf TOMs, etc.) können für den Auftraggeber in der Zukunft zum Nachweis der Rechtmäßigkeit der Auftragsverarbeitung erforderlich werden. Daher ist eine Vereinbarung zu empfehlen, nach der der Auftragsverarbeiter die Dokumentationen so lange aufbewahren muss, wie der Auftraggeber sie zum Nachweis benötigt (wobei der Auftraggeber diese Fristen dem Auftragsverarbeiter mitteilen sollte, falls sie nicht deutlich sein sollten), bzw. mindestens drei Jahre. Wobei der Auftragsverarbeiter auch das Recht hat, die Dokumentationen dem Auftraggeber vor Ablauf dieser Fristen zu übergeben und sich so von der Aufbewahrungspflicht zu befreien.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Aufwandsentschädigung und Vergütung

    Möchten Sie Regelungen zur Entschädigung der Aufwendungen des Auftragsverarbeiters treffen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie, sofern zutreffend, aus den folgenden Optionen oder Eingabemöglichkeiten aus:
    Keine Vergütung oder Kostenerstattung
    Zusätzlicher Aufwand wird entsprechend Hauptvertrag vergütet
    Aufwands-entschädigung umfasst auch tatsächlich entstandene Kosten
    Keine Aufwands-entschädigung, wenn Verschulden des Auftragsverarbeiters
    Höhe richtet sich nach üblichen Sätzen des Auftragsverarbeiters / Marktes
    Aufwands-entschädigung für ergänzende Weisungen
    Aufwands-entschädigung für Informations- und Mitwirkungs-pflichten
    Aufwands-entschädigung für Kontrollen
    Aufwands-entschädigung für Datenrückgabe und Vernichtung
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Aufwandsentschädigung" - Erläuterungen und Hinweise

    Die DSGVO sieht keine Aufwandsentschädigung für Auftragsverarbeiter vor. Dementsprechend gibt es daher Ansichten, vor allem seitens der Datenschutzbehörden, dass eine Auftragsverarbeiter von einem Auftraggeber keine Aufwandsentschädigung und keine Gebühren in einem Auftragsverarbeitungsvertrag verlangen darf. Allerdings muss der Auftragsverarbeiter nicht umsonst tätig werden, weshalb eine Entgeltregelung im Hauptvertrag oder in einer gesonderten Vereinbarung zulässig ist.

    Nach der von uns hier bei Datenschutz-Generator.de vertretenen Ansicht, macht es jedoch keinen Unterschied, an welcher Stelle dieselbe Verpflichtung geregelt wird. Wenn Sie jedoch auf Nummer Sicher gehen möchten, dann können Sie die Vereinbarungen dieses Moduls auch in ihrem Hauptvertrag oder einem gesonderten Vertrag aufnehmen. Sie besagen, dass der Auftragsverarbeiter dann eine zusätzliche Vergütung verlangen kann, wenn er in einem Umfang datenschutzrechtlich in Anspruch genommen wird, mit dem er typischerweise nicht rechnen müsste. Z. B. wenn der Auftraggeber massiv gegen das Datenschutzrecht verstößt und Kontrollen sowie Prüfungen unterworfen wird, die sich auch auf den Auftragsverarbeiter auswirken.

    Ab wann der Aufwand unüblich wird, muss im Einzelfall bestimmt werden. In der Praxis kommt eine zusätzliche Kostenberechnung eher selten vor. Daher sind diese Klauseln zur Aufwandsentschädigung zwar ein Zugewinn an Sicherheit für den Auftragsverarbeiter, sollten jedoch ggf. kein "Deal-Breaker" sein, falls der Auftraggeber sie nicht akzeptieren will.
    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Vertragsstrafe

    Soll im Fall des Verstoßes des Auftragsverarbeiters gegen die Pflichten aus den AV-Vertrag eine Vertragsstrafe fällig werden?

    (Erläuterungen anzeigen)
    Ja
    Möchten Sie die Vertragsstrafe in bestimmter Höhe vereinbaren?
    Verpflichtung zur Zahlung einer angemessenen Vertragsstrafe
    Keine festgelegte Vertragsstrafe, wird im Einzelfall bestimmt
    Mindestens 1.000 Euro
    Mindestens 2.500 Euro
    Mindestens 5.000 Euro
    Mindestens 10.000 Euro
    Mindestens 20.000 Euro
    Mindestens 50.000 Euro

    Bitte wählen Sie weitere Optionen der Vertragsstrafe aus:
    Pflicht zur Vertragsstrafen-vereinbarung mit Unterauftrags-verarbeitern
    Vorbehalt weiteren (tatsächlichen) Schadensersatzes
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Vertragsstrafenvereinbarung" - Erläuterungen und Hinweise

    Die Vereinbarung einer Vertragsstrafe hat den Vorteil, dass kein konkreter Schaden nachgewiesen werden muss. In der Praxis hat sie jedoch vor allem den Vorteil, dass sie abschreckend wirkt und den Auftragsverarbeiter zu einer höheren Vorsicht zwingt.

    Eine Vertragsstrafe sollte vor allem dann vereinbart werden (zumindest aus der Sicht des Auftraggebers), wenn ein besonders hohes Risiko bei Pflichtverletzungen des Auftraggebers besteht (z. B. bei Gesundheitsdaten oder Personaldaten). Auch, wenn z.B. ein Datenschutzverstoß seitens des Auftragsverarbeiters erfolgen sollte, wird eine Vertragsstrafenvereinbarung positiv zu Gunsten des Auftragsverarbeiters ausgelegt.

    Um wirksam zu sein, müssen Vertragsstrafen jedoch die folgenden Voraussetzungen erfüllen.
    1. Transparenz - die Voraussetzungen müssen klar, Verstöße erkennbar und vermeidbar sein.

    2. Der Höhe nach angemessen - Die Höhe der Vertragsstrafe ist anhand des Risikos, der Eintrittswahrscheinlichkeit, möglicher Schäden und des Grades des Verschuldens des Vertragsstrafenschuldners zu bestimmen.

    3. Verschuldensabhängig - Eine Vertragsstrafe ohne Verschulden, würde bedeuten dass der Vertragsstrafenschuldner auch für eine zufällige Offenbarung von vertraulichen Informationen verantwortlich wäre. Eine derartige Garantiehaftung ist grundsätzlich unwirksam und sollte in Spezialfällen gesondert als eine Individualabrede vereinbart werden.


    Um diese Voraussetzungen zu erfüllen und nicht zu riskieren, dass die Vertragsstrafe insgesamt als unzulässig beurteilt wird, ist sie in mehrere Stufen unterteilt.

    Sie können z.B. eine Vertragsstrafe vorab festlegen, z.B. 10.000 Euro. Sollte ein Gericht diese Vertragsstrafe für unangemessen halten, dann wird immer noch die allgemeine Regelung für die Festlegung von Vertragsstrafen greifen.

    Eine feste Vertragsstrafe festzulegen hat den Vorteil, dass ein Vertragsstrafenschuldner zwei Hindernisse argumentativ zu nehmen hat. Zum einen warum z.B. 10.000 Euro als Mindesthöhe nicht angemessen sind und zum anderen, warum auch die von Ihnen sonst festgelegte Strafe nicht angemessen ist.

    Keine festgelegte Vertragsstrafe, wird im Einzelfall bestimmt

    Eine betragsmäßige Vertragsstrafe kann abschreckend wirken. Daher ist es auch möglich, dass Sie keinen festen Betrag festlegen, sondern die Vertragsstrafe im Einzelfall anhand der Umstände zu bestimmen.

    1.000 Euro

    1.000 Euro sind ein untypischer Betrag für eine Vertragsstrafe, der eher eine symbolische Wirkung hat.

    2.500 Euro

    2.500 Euro sind ein untypischer Betrag für eine Vertragsstrafe, der eher eine symbolische Wirkung hat.

    5.000 Euro

    5.000 Euro sind ein Betrag, der gegenüber "kleineren" Geschäftspartnern oder Dienstleistern festgelegt wird (z.B. gegenüber freiberuflichen Hilfskräften).

    10.000 Euro

    10.000 Euro sind ein typischer Betrag, der gegenüber Geschäftspartnern oder Dienstleistern festgelegt wird.

    20.000 Euro

    20.000 Euro sind ein hoher Betrag, der in Fällen festgelegt werden sollte, in denen die Möglichkeit der Verletzung besonders sensibler personenbezogener Daten droht (z. B. Gesundheitsdaten) und die Nachteile typischerweise die Höhe von 20.000 Euro erreichen könnten.

    50.000 Euro

    50.000 Euro sind ein hoher Betrag, der in Fällen festgelegt werden sollte, in denen die Möglichkeit der Verletzung besonders sensibler personenbezogener Daten (z. B. Gesundheitsdaten) oder personenbezogener Daten im großen Umfang, ein Imageschaden, etc. droht und die Nachteile typischerweise die Höhe von 50.000 Euro erreichen könnten.

    Verpflichtung von Unterauftragsverarbeitern auf Zahlung einer Vertragsstrafe

    Grundsätzlich haftet Ihr Geschäftspartner für seine Unterauftragsverarbeiter. Die Verpflichtung von Unterauftragsverarbeitern auf Zahlung einer Vertragsstrafe ist aber dann zu empfehlen, wenn die Solvenz des Auftragsverarbeiters anzweifelt wird oder die Abschreckungswirkung der Vertragsstrafe an die Unterauftragsverarbeiter weitergereicht werden soll.

    Vorbehalt weiteren Schadensersatzes und Vorgehens

    Die Vertragsstrafe soll die Begründung eines tatsächlichen Schadens ersparen, indem sie in Höhe eines typischerweise entstehenden Schadens festgelegt wird. Diese Option stellt klar, dass die Möglichkeit besteht einen tatsächlichen Schaden geltend zu machen, wenn dieser die Vertragsstrafe übersteigt.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Geltendes Recht, Gerichststandort und Schlussbestimmungen

    Möchten Sie Regelungen zum anwendbaren Recht, dem Gerichtsstandort und zu sonstigen Schlussbestimmungen treffen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie welches Recht und welcher Gerichtsstandort im Fall von Rechtsstreitigkeiten gelten sollen:
    Das anwendbare Recht bestimmt sich nach dem Hauptvertrag
    Geltendes Recht wird durch das Gesetz bestimmt
    Recht der Bundesrepublik Deutschland
    Recht der Republik Österreich
    Schweizer Recht

    Auswahl Gerichtsstandort:
    Gerichtsstandort bestimmt sich nach dem Hauptvertrag
    Gerichtsstandort bestimmt sich nach dem Gesetz
    Gerichtsstandort am Sitz des Auftraggebers
    Gerichtsstandort am Sitz des Auftragsverarbeiters

    Bitte wählen Sie die Schlussbestimmungen aus:
    Vollständigkeit der Vereinbarung, keine Nebenabreden
    Ersatz bisheriger AV-Vereinbarungen
    Änderungen nur in Schriftform
    Änderungen in elektronischer Form möglich (z.B. E-Mail oder im Nutzerkonto)
    Bei Widerspruch zum Hauptvertrag hat der AV-Vertrag Vorrang
    Salvatorische Klausel
    Eigene Ergänzungen vornehmen
    Vorschau anzeigen
    Show Preview

    "Schlussbestimmungen" - Erläuterungen und Hinweise

    Wenn der Auftraggeber und der Auftragsverarbeiter aus unterschiedlichen Ländern kommen, dann ist es sinnvoll das Recht zu vereinbaren, welches im Fall von Rechtsstreitigkeiten gelten soll. Man kann aber auch das Gesetz über das anwendbare Recht bestimmen lassen, was wiederum durch internationale Vereinbarungen bestimmt wird (so. ROM I und ROM II Verträge, https://de.wikipedia.org/wiki/Internationales_Privatrecht_(Europ%C3%A4ische_Union)).

    Ferner kann zwingendes Recht vertraglich nicht abbedungen werden. So kann z. B. die Wirkung der DSGVO per Vertrag nicht aufgehoben werden.

    Im Regelfall gibt der Auftragsverarbeiter auch im Auftragsverarbeitungsvertrag vor, dass das Recht seines Landes gilt. Am Ende zählt aber letztendlich, welche Vertragspartei eher die Regeln diktiert. Das ist dann die Frage der wirtschaftlichen Position und des Verhandlungsgeschicks.

    Der Gerichtsstandort ist ebenfalls relevant, denn er bestimmt, am Ort welcher Vertragspartei ein eventueller Rechtsstreit ausgetragen wird. Das kann vor allem Reisekosten für die Vertragsparteien und deren RechtsanwältInnen ersparen. Hier gilt das zum geltenden Recht gesagte, d.h. grundsätzlich ist es der (Wohn)Sitz des Auftragsverarbeiters.

    Vollständigkeit der Vereinbarung

    Diese Klausel stellt klar, dass im Hinblick auf den Gegenstand der Auftragsverarbeitung, d. h. vor allem im Hinblick auf den Schutz der maßgeblichen Daten, der Auftragsverarbeitungsvertrag alleine maßgeblich ist und keine Nebenvereinbarungen bestehen, bzw. gelten.

    Ersatz bisheriger Vereinbarungen

    Falls ältere Auftragsverarbeitungsverträge durch diesen Auftragsverarbeitungsvertrag abgelöst werden sollen (auch wenn man sich unsicher ist, ob es sie gibt oder sie fortgelten), ist eine Regelung zu empfehlen, die ausdrücklich festlegt, dass die Altverträge nicht mehr gelten (d. h. auch wenn keine Kündigung ausgesprochen wurde).

    Änderungen nur in Schriftform

    Eine Vereinbarung, nach der Änderungen oder die Kündigung des Auftragsverarbeitungsvertrages nur schriftlich, also "auf dem Papier" zu erfolgen hat, ist nicht erforderlich und heutzutage immer seltener üblich, aber zulässig.

    Änderungen in elektronischer Form möglich

    Es ist zunehmend üblich, vor allem im Massengeschäft (z. B. bei Onlineplattformen oder SaaS-Software), dass Auftragsverarbeitungsverträge elektronisch gehandhabt werden und Änderungen z. B. per E-Mail oder im Kundenbereich einer Onlineplattform mitgeteilt und "per Klick" akzeptiert werden. Dies ist wird in der Praxis generell als zulässig betrachtet, da der Begriff "elektronisches Format" nicht die "elektronische Form" nach deutschem Recht (https://www.gesetze-im-internet.de/bgb/__126a.html) bedeutet, sondern nach dem EU-Recht auszulegen ist (Art. 28 Abs. 9 DSGVO). Wobei eine strengere Form, d. h. hier eine schriftliche Änderungsvereinbarung daneben möglich bleibt.

    Bei Widerspruch zum Hauptvertrag geht der Auftragsverarbeitungsvertrag vor

    Da der Auftragsverarbeitungsvertrag speziell die Verarbeitung von Daten im Rahmen des Auftrags im Hinblick auf deren Schutz regelt, gehen seine Regelungen (z. B. zu Aufbewahrungs und Löschungspflichten) dem Hauptvertrag vor. Dennoch empfiehlt es sich dies zusätzlich vertraglich festzulegen, um alle Unklarheiten diesbezüglich zu beseitigen und für ein höheres Datenschutzniveau zu sorgen.

    Salvatorische Klausel

    Wenn Verträge auch nur in Teilen unwirksam sind, dann sind sie grundsätzlich ganz unwirksam (z. B. § 139 BGB-DE). Es sei denn, man darf mutmaßen, dass die Vertragsparteien die Verträge zumindest in Teilen aufrechterhalten wollten.

    Da bloße Mutmaßungen im Recht jedoch gefährlich sind, soll die so genannte "Salvatorische Klausel" regeln, dass im Fall, dass Teile dieses Auftragsverarbeitungsvertrages unwirksam sein sollten, der Auftragsverarbeitungsvertrag dennoch so weit wie möglich fortgelten soll. Dann werden etwaige Vertragslücken entsprechend dem mutmaßlichen Willen der Vertragsparteien ausgelegt (was vor allem auf die Orientierung an den Vorgaben der DSGVO hinausläuft).

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Art des Abschlusses (Unterschriftsfelder, elektronisch, automatisch mit Hauptvertrag)

    Ja
    Vorschau anzeigen
    Show Preview

    "Space Füller" - Erläuterungen und Hinweise

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Soll die Auftragsvereinbarung separat unterzeichnet werden, separat elektronisch abgeschlossen werden oder als Teil, bzw. Anlage des Hauptvertrages automatisch wirksam werden?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie die zutreffende Option:
    Handschriftliche Unterzeichnung (Unterschriftsfelder)
    Elektronischer Abschluss (z.B. bei Registrierung)
    Abschluss mit dem Hauptvertrag (z.B. als Anlage zum Hauptvertrag)
    Vorschau anzeigen
    Show Preview

    "Hinweise auf den Abschluss des Auftragsvereinbarungsvertrages" - Erläuterungen und Hinweise

    Nach Art. 28 Abs. 9 DSGVO ist der Auftragsverarbeitungsvertrag „schriftlich“ abzufassen, was auch in einem elektronischen Format erfolgen kann. Diese Regelung ist eutoparechtlicher Natur und nicht mit der „Schriftform“ und „elektronischen“ Formaten, die in unterschiedlicher Form vorkommen können (geregelt in Deutschland in den §§126 ff. BGB), zu verwechseln. Europäisches Recht ist allerdings grundsätzlich europarechtsautonom auszulegen und sieht gerade bei elektronischer Form keine besonderen Anforderungen an das Format vor.

    Damit kann ein Auftragsverarbeitungsvertrag genauso abgeschlossen werden, wie eine AGB. Z.B. bei der Registrierung (Dokumente jeweils verlinkt): "[ ] Mit der Registrierung erklären Sie sich mit unseren AGB sowie dem Auftragsverarbeitungsvertrag einverstanden und nehmen unsere Datenschutzhinweise zur Kenntnis."

    Eine Unterschrift ist demnach nur dann notwendig, wenn der Auftragsverarbeitungsvertrag in Papierform vorliegt (auch wenn sie als Scan zum Ausdrucken unterschrieben verschickt wird) und unterschrieben werden soll.

    Hinweis: Von "traditionellen" Datenschützern wird dennoch zum Teil vertreten, dass zumindest ein Austausch der Dokumente in digitaler Form erfolgen muss (Textform im Sinne des § 126b BGB-DE). Wer auf Nummer "Ganz Sicher" gehen möchte, der sollte daher die Auftragsverarbeitungsverträge im digitalen Format austauschen (z.B. als Anhang zu einer E-Mail zusenden).

    Elektronischer Abschluss

    Ein Auftragsverarbeitungsvertrag kann zum Beispiel im Backend einer Anwendung bereitgestellt und per Schaltfläche "Auftragsverarbeitungsvertrag abschließen" wirksam abgeschlossen werden. Auch ist ein Abschluss im Rahmen einer Registrierung möglich, z.B. mit dem Hinweis: "Sie erklären sich mit unseren AGB sowie dem Auftragsverarbeitungsvertrag einverstanden und nehmen die Datenschutzerklärung zur Kenntnis".

    Abschluss als Teil des Vertrages

    Der Auftragsverarbeitungsvertrag kann z. B. als Anlage zu einem Vertrag beigelegt und mit der Unterschrift des Hauptvertrages wirksam werden. Sie sollten dazu im Hauptvertrag darauf hinweisen, z. B. in dessen Anlagenübersicht "Anlage: Auftragsverarbeitungsvertrag".

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Anhang: Gegenstand der Auftragsverarbeitung

    (Erläuterungen anzeigen)
    Ja
    Vorschau anzeigen
    Show Preview

    "Anhang: Gegenstand der Auftragsverarbeitung" - Erläuterungen und Hinweise

    Die Angaben in diesem Anhang sind essentiell, denn sie bestimmen, welche Auftragsverarbeitung umfasst wird, d. h. der Auftragsverarbeitungsvertrag für sie maßgeblich ist. Das gilt vor allem für die Nennung der verarbeiteten Datentypen, der Art ihrer Verarbeitung und der betroffenen Personen. Durch die Benennung der Zwecke der Verarbeitung wird dem Auftragsverarbeiter auch ein Rahmen vorgegeben, innerhalb dessen der Auftragsverarbeiter die Daten verarbeiten darf und mit den Quellen die Wege, wie er die Daten erheben oder empfangen kann.

    Einleitung Anhang

    Dieses Modul stellt klar, dass einseitige Änderungen des Gegenstandes der Auftragsverarbeitung unzulässig sind. So darf der Auftraggeber z. B. ohne Zustimmung des Auftragsverarbeiters keine neuen Kategorien von Daten übermitteln und so die Pflichten des Auftragsverarbeitungsvertrages auf diese Daten ausdehnen.

    Umgekehrt darf der Auftragsverarbeiter nicht Arten von Verarbeitungen, z.B. Analysen von Daten, durchführen, wenn der Auftraggeber dies nicht genehmigt hat.

    Erläuterungen schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
    Vorschau schließen
    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
    Preview schließen

    Möchten Sie Angaben zu den Zwecken der Verarbeitung aufnehmen?

    (Erläuterungen anzeigen)
    Ja
    Bitte wählen Sie, zu welchen Zwecken die angegebenen Daten im Rahmen des Auftrags verarbeitet werden (Überlappungen sind möglich, z. B. zwischen Agenturleistungen und Marketingmaßnahmen):
    Beratungsleistungen
    Betreuung & Verwaltung von Webseiten, Social Media, etc.
    Bildung & Verarbeitung von Personenprofilen (z. B. Nutzerprofilen)
    Buchführung, Lohn- und/ oder Gehaltsabrechnung
    E-Mailmarketing
    Einrichtung, Wartung, Betreuung von IT-Anlagen & Systemen
    Einrichtung, Wartung, Betreuung von Telekommunikations-Anlagen & -Systeme
    Entsorgung von Akten oder Datenträgern
    Erbringung von Leistungen im Bereich der IT-Sicherheit
    Gewinnung sowie Verarbeitung von Kontaktinformationen, Adressen und Leads
    Inkasso und Forderungs-durchsetzung
    Kunden-management- und/ oder Kundensupport
    Planung, Durchführung und / oder Betreuung von Events und Veranstaltungen
    Software-as-Service-Leistungen (SaaS).
    Leistungen im Bereich der Telekommunikation
    Leistungen im Bereich der Softwareerstellung und-/ oder Wartung
    Unternehmens-kommunikation (intern/extern)
    Verwaltungs-, Administrations- und / oder Management-leistungen
    Videoüberwachung und/ oder Raumsicherung
    Web- und Cloud-Hosting
    Werbung und Marketing (Beratung, Konzeption, Umsetzung und Durchführung)
      Weitere Eingabefelder hinzufügen
      Vorschau anzeigen
      Show Preview

      "Zwecke der Auftragsverarbeitung" - Erläuterungen und Hinweise

      Die Nennung der zutreffenden Zwecke der Verarbeitung der Daten, ist sehr wichtig, da sie den erlaubten Rahmen der Verarbeitung durch den Auftragsverarbeiter bestimmen. Die zur Auswahl gestellten Zwecke können durch weitere oder alternative Zwecke ergänzt werden.

      Bildung und/ oder Verarbeitung von Personenprofilen

      Z. B. Bildung von Zielgruppen anhand von Webseitenbesuchern und deren Verhaltens sowie deren Interessen für Zwecke des Marketings.

      „Profiling“ ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen (Art. 4 Nr. 4 DSGVO).

      Gewinnung sowie Verarbeitung von Kontaktinformationen, Adressen und Leads

      Gewinnung und Verarbeitung von Kontaktinformationen und Adressen z.B. zu Zwecken des Newsletterversandes oder sonstiger, vor allem werblicher, Kundenansprache.

      Leistungen im Bereich der Telekommunikation

      Mit Telekommunikation ist die Übermittlung von Signalen gemeint (z. B. Zurverfügungstellung eines Kommunikationsnetzes oder einer Telefonanlage).

      Erläuterungen schließen
      Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
      Vorschau schließen
      Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
      Preview schließen

      Möchten Sie Angaben zu den Kategorien von verarbeiteten Daten aufnehmen?

      (Erläuterungen anzeigen)
      Ja
      Bitte wählen Sie die zutreffenden Art und Kategorien von Daten (Überlappungen sind möglich, z. B. sind Bilddaten zugleich Inhaltsdaten):
      Bestandsdaten (z.B., Namen, Adressen)
      Kontaktdaten (z.B., E-Mail, Telefonnummern)
      Inhaltsdaten (z.B., Texteingaben, Fotografien, Videos)
      Bild- und/ oder Videoaufnahmen.
      Vertragsdaten (z.B., Vertragsgegenstand, Laufzeit)
      Zahlungsdaten und Abrechnungsdaten (z.B., Bankverbindung, Zahlungshistorie, Außenstände).
      Bonitätsdaten
      Nutzungsdaten (z. B., genutzte Funktionen, besuchte Webseiten, Kaufverhalten, Interessen).
      Standortdaten (geografische Positionen oder Bewegungen).
      Daten von Gewinnspiel-teilnehmern. (z. B. Namen, Anschriften, Gewinnspielbeiträge)
      Protokolldaten (z. B. Logfiles betreffend Logins, Abruf von Daten oder Zugriffszeiten)
      Meta- und Verbindungsdaten (z. B. Verbindungs- oder Abrufpartner, -Dauer, -Art)
      Telemetriedaten (System- oder Software-Messdaten)
      Mitarbeiterstamm- und Kontaktdaten (z.B., Namen, Anschriften, E-Mailadressen)
      Daten betreffend Verträge mit Beschäftigten (Inhalt, Lohn, Steuermerkmale, Konditionen)
      Daten betreffend Leistung- und Verhalten (z. B. Bewertungen, Zeugnisse, Noten)
      Bewerberdaten (z.B., Namen, Kontaktdaten, Bewerbungs-unterlagen)
      Daten betreffend Verträge mit Geschäftspartnern (Inhalt, Entgelte, Konditionen, Zahlungsvorgänge)
      Mitgliederdaten (Namen, Mitgiedsstatus, Beitragszahlungen)
        Weitere Eingabefelder hinzufügen
        Vorschau anzeigen
        Show Preview

        "Arten und Kategorien von Daten" - Erläuterungen und Hinweise

        Die Kategorien von Daten sind gesetzlich nicht definiert und werden daher vor allem anhand ihrer Funktion festgelegt. Die zur Verfügung gestellten Beispiele sind nicht abschließend und dürfen erweitert werden. Sie können auch verfeinert werden, z. B. in dem statt "Bestandsdaten" (d. h. die Vornamen, Nachnamen und Postadressen umfassen), nur "Vornamen" und "Nachnamen" als Datenarten angegeben werden (falls nur diese Daten im Auftrag verarbeitet werden).

        Bestandsdaten

        Bestandsdaten sind Daten eines Teilnehmers, die für die Begründung, inhaltliche Ausgestaltung, Änderung oder Beendigung eines Vertragsverhältnisses über Telekommunikationsdienste erhoben werden (z. B. Namen von Kunden und Anschriften).

        Kontaktdaten

        Kontaktdaten sind z.B., E-Mail-Adressen und Telefonnummern.

        Inhaltsdaten

        Inhaltsdaten sind z. B. Texteingaben, Fotografien oder Videos.

        Bild- und/ oder Videoaufnahmen

        Bild- und/ oder Videoaufnahmen sind z. B. Fotografien oder Videoaufnahmen einer Person.

        Vertragsdaten

        Vertragsdaten sind Daten, die z.B., den Vertragsgegenstand, Laufzeit, etc. betreffen.

        Zahlungsdaten und Abrechnungsdaten

        Zahlungsdaten umfassen z.B., Bankverbindungen, die Zahlungshistorie oder Außenstände.

        Bonitätsdaten

        Angaben zur Bonität, d.h. Kreditwürdigkeit einer Person (z. B. Kreditscorewerte, Einschätzung der Zahlungsbereitschaft und -fähigkeit)

        Nutzungsdaten

        Zu den Nutzungsdaten gehören z. B. Angaben zu genutzten Funktionen, aufgesuchten Webseiten, Inhalte mit denen Nutzer interagiert oder für die sie sich interessiert haben.

        Standortdaten

        Standortdaten umfassen Angaben zur geografischen Position oder Bewegungen eines Gerätes oder einer Person.

        Daten von Gewinnspielteilnehmern

        Daten von Gewinnspielteilnehmern umfassen die Namen, Kontaktinformationen und Anschriften von Gewinnern sowie Gewinnspielbeiträge und andere mit einem Gewinnspiel verbundene Angaben, etc.

        Protokolldaten

        Protokolldaten, wie z. B. Logfiles betreffend Logins oder den Abruf von Daten oder Zugriffszeiten.

        Meta-/Kommunikationsdaten

        Meta- und Verbindungsdaten umfassen Informationen zu Verbindungspartnern oder -servern, Verbindungsdauer, Arten verwendeter Geräte und andere Angaben zu dem "Wie" eines Kommunikations- oder Datenabrufvorgangs.

        Telemetriedaten

        Telemetriedaten sind Messdaten, z. B. die im Rahmen der Nutzung von SaaS-Software gesammelt werden und z. B. der Sicherung der Stabilität oder Optimierung des Systems verwendet werden sollen (z. B. Daten zur Nutzung von Funktionen, Reaktionen des Systems auf Nutzereingaben, zu Abstürzen, etc.) .

        Beschäftigtendaten

        Mitarbeiterstamm- und Kontaktdaten umfassen Namen, Anschriften, E-Mailadressen oder Telefonnummern der Mitarbeiter, seien sie freiberuflich oder im Beschäftigungsverhältnis angestellt.

        Gehaltsdaten

        Zu den Daten betreffend Verträge mit Beschäftigten, gehören u. a. Angaben zum Lohn, Lohngruppe, Steuermerkmalen, Vertragslaufzeiten, Konditionen oder Zahlungsvorgängen.

        Leistung- und Verhaltensdaten

        Leistungs- und verhaltensbezogene Daten umfassen z. B. Leistungsbewertungen, diesbezügliche Inhalte der Personalakte, Noten, Zeugnisse, etc.

        Bewerberdaten

        Bewerberdaten umfassen z.B., Namen der Bewerber, ihre Kontaktdaten, Qualifikationen, Bewerbungsunterlagen und Angaben zum Bewerbungsvorgang.

        Geschäftsinformationen

        Zu den Daten betreffend Verträge mit Geschäftspartnern, gehören u. a. Angaben zu Entgelten, Konditionen oder Zahlungsvorgängen. Um personenbezogen zu sein, müssen diese Daten natürliche Personen, wie z. B. Freiberufler oder e.K. betreffen und nicht lediglich Firmen.

        Mitgliederdaten

        Mitgliederdaten betreffen die Mitglieder einer Organisation, z. B. eines Vereins und umfassen deren Namen, Kontaktdaten, Mitgliedsstatus oder Zahlungen.

        Erläuterungen schließen
        Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
        Vorschau schließen
        Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
        Preview schließen

        Möchten Sie Angaben zu den besonderen Kategorien von verarbeiteten Daten aufnehmen?

        (Erläuterungen anzeigen)
        Ja
        Bitte wählen Sie die im Rahmen des AV-Vertrages verarbeiteten besonderen Kategorien von Daten:
        Daten aus denen die rassische Herkunft hervorgeht
        Daten aus denen die ethnische Herkunft hervorgeht
        Daten aus denen politische Meinungen hervorgehen
        Daten aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen
        Daten aus denen die Gewerkschafts-zugehörigkeit hervorgeht
        Genetische Daten
        Biometrischen Daten, die der eindeutigen Identifizierung einer natürlichen Person dienen
        Gesundheitsdaten
        Daten zum Sexualleben oder der sexuellen Orientierung von natürlichen Personen
          Weitere Eingabefelder hinzufügen
          Vorschau anzeigen
          Show Preview

          "Verarbeitung besonderer Kategorien von Daten" - Erläuterungen und Hinweise

          Die besonderen Kategorien personenbezogener Daten werden im Art. 9 Abs. 1 DSGVO definiert.

          Genetische Daten

          „Genetische Daten“ sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden (Art. 4 Nr. 13 DSGVO).

          Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person.

          „Biometrische Daten“ sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten (Art. 4 Nr. 14 DSGVO).

          Gesundheitsdaten

          „Gesundheitsdaten“ sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen (Art. 4 Nr. 15 DSGVO).

          Erläuterungen schließen
          Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
          Vorschau schließen
          Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
          Preview schließen

          Möchten Sie Angaben zu den, von der Verarbeitung betroffenen Personen aufnehmen?

          (Erläuterungen anzeigen)
          Ja
          Bitte wählen Sie, zu welchen Personengruppen, die im Rahmen des Auftrags verarbeiteten Daten gehören (Überlappungen sind möglich, z. B. zwischen Webseitennutzern und Kunden):
          Webseitenbesucher
          Softwarenutzer und und Anwender
          Empfänger von Marketingmaßnahmen (z. B. Werbe-zielgruppen, Newsletter-empfänger).
          Teilnehmer
          Abonnenten
          Interessenten an den angebotenen Leistungen
          Verbraucher / private Endkunden
          Geschäftskunden
          Geschäftspartner
          Freie Mitarbeiter
          Beschäftigte Mitarbeiter (d. h. Arbeitnehmer)
          Bewerber
          Schüler/ Studenten
          Mitglieder
            Weitere Eingabefelder hinzufügen
            Vorschau anzeigen
            Show Preview

            "Kategorien der betroffenen Personen" - Erläuterungen und Hinweise

            Die zur Auswahl gestellten Kategorien der betroffenen Personen sind nicht abschließend und können durch eigene Angaben erweitert werden.

            Zielgruppen von Marketingmaßnahmen

            Empfänger von Marketingmaßnahmen sind z. B. Werbezielgruppen, die per Post angeschrieben werden, gezielt angesprochen werden sollen oder Newsletterempfänger.

            Mitglieder

            Mitglieder, z. B. eines Vereins.

            Erläuterungen schließen
            Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
            Vorschau schließen
            Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
            Preview schließen

            Möchten Sie Angaben zu den Quellen der im Auftrag verarbeiteten Daten aufnehmen?

            (Erläuterungen anzeigen)
            Ja
            Bitte wählen Sie, aus welchen Quellen die angegebenen Daten stammen (Überlappungen sind möglich, z. B. Mitteilung durch Nutzer und Erhebung im Rahmen von Marketingmaßnahmen):
            Erhebung bei Betroffenen (d. h. Angaben/Eingaben von Kunden/ Nutzern, etc.)
            Eingaben, bzw. Angaben des Auftraggebers
            Eingaben, bzw. Angaben des Auftragsverarbeiters
            Erhebung im Rahmen der Nutzung von Software, Webseiten u.a. Onlinediensten
            Erhebung im Rahmen von Events und Veranstaltungen
            Erhebung im Rahmen von Werbe- und Marketingaktionen
            Erhebung über Schnittstellen zu Diensten anderer Anbieter
            Externe Datenbanken und Datensammlungen
            Übermittlung oder sonstige Mitteilung durch oder im Auftrag des Auftraggebers
              Weitere Eingabefelder hinzufügen
              Vorschau anzeigen
              Show Preview

              "Quellen der verarbeiteten Daten" - Erläuterungen und Hinweise

              Die Angaben der Quellen der verarbeiteten Daten ist vor allem dann von Relevanz, wenn die Daten durch den Auftragsverarbeiter erhoben oder selbst aus anderen Quellen bezogen werden sollen. Durch die Angabe der Quellen kann der Auftraggeber einen besseren Überblick über den Erhebungsprozess behalten, bzw. diesen einschränken. Zu diesen Zwecken kann die genannte Auswahl an Quellen auch erweitert, eigeschränkt oder genauer definiert werden. Zum Beispiel "Teilnehmer der Veranstaltung X" oder "Öffentliche Profile sozialer Netzwerke".

              Erhebung bei betroffenen Personen

              Angaben oder Eingaben der Nutzer- Kunden oder anderer betroffenen Personen, z .B. in einem Kontaktformular, Papier-Formular, am Telefon, im Online-Shop, Forum, Gewinnspiel, etc.

              Eingaben, bzw. Angaben des Auftraggebers

              Eingaben, bzw. Angaben durch den Auftraggeber liegen vor, wenn die Daten nicht von den Betroffenen mitgeteilt, sondern intern durch den Auftraggeber eingegeben werden (z. B. Anmerkungen zu Kunden oder Beschäftigten des Auftraggebers).

              Eingaben, bzw. Angaben des Auftragsverarbeiters

              Eingaben, bzw. Angaben des Auftragsverarbeiters liegen vor, wenn die Daten nicht von den Betroffenen mitgeteilt, sondern intern durch den Auftragsverarbeiter eingegeben werden (z. B. Anmerkungen zu Kunden oder Beschäftigten des Auftraggebers).

              Erhebung über Schnittstellen zu Diensten anderer Anbieter

              Die Erhebung über Schnittstellen zu Diensten anderer Anbeiter, als des Auftragsverarbeiters, findet z. B. bei Zugriff auf Daten von Nutzern oder Kunden über Schnittstellen von sozialen Netzwerken oder Kreditinformationssystemen statt.

              Erläuterungen schließen
              Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
              Vorschau schließen
              Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
              Preview schließen

              Anhang: Zuständige Personen und Ansprechpartner (Datenschutzbeauftragte, Kontaktpersonen, etc.)

              Möchten Sie einen Anhang mit Angaben zu Ansprechpartnern aufnehmen (z. B. zu Datenschutzbeauftragten oder Kontaktpersonen)?

              (Erläuterungen anzeigen)
              Ja
                Weitere Eingabefelder hinzufügen
                  Weitere Eingabefelder hinzufügen
                  Vorschau anzeigen
                  Show Preview

                  "Anhang: Zuständige Personen und Ansprechpartner" - Erläuterungen und Hinweise

                  Zuständige Personen und Ansprechpartner müssen nicht zwingend benannt werden, wenn sich die zuständigen Personen und Ansprechpartner sonst eindeutig bestimmen lassen (z. B. Beauftragung eines Einzelunternehmer oder Festlegung der zuständigen Personen und Ansprechpartner im Hauptvertrag). Empfohlen wird jedoch die Ansprechpersonen (oder Ansprechstellen, wie z. B. "Leitung IT") festzulegen und anzugeben, wie diese erreichbar sind. Ansonsten können z. B. Unklarheiten entstehen, wenn z.B. ein Mitarbeiter des Auftragsverarbeiters eine Weisung des Auftraggebers nicht weiterleitet oder nicht ausführt, da er sich für diese Aufgabe nicht zuständig fühlt oder tatsächlich (z. B. mangels Fachkompetenz) die Weisung nicht durchführen oder deren Bedeutung nicht einschätzen kann. Umgekehrt könnte der Auftragsverarbeiter aus Gründen der Sicherheit durchaus darauf bestehen, keine Weisungen von einem nicht als zuständige Personen oder Ansprechpartner benanntem Mitarbeiter anzunehmen.
                  Erläuterungen schließen
                  Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
                  Vorschau schließen
                  Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
                  Preview schließen

                  Anhang: Technisch-organisatorische Maßnahmen

                  Möchten Sie einen Anhang mit Hinweisen zu technisch-organisatorischen Maßnahmen (TOMs) aufnehmen?

                  (Erläuterungen anzeigen)
                  Ja
                  Sie können die vorgeschlagene Einleitung verwenden oder sie selbst anpassen:
                  Vorschau anzeigen
                  Show Preview

                  "Anhang: Technisch-organisatorische Maßnahmen (TOMs)" - Erläuterungen und Hinweise

                  Das Gesetz gibt nicht direkt vor, dass technische und organisatorische Maßnahmen im Einzelnen gelistet werden müssen. Direkt ergibt es sich lediglich, dass sie im angemessenen Umfang implementiert sein müssen. Allerdings erleichtert es dem Auftraggeber die Prüfung, ob die ergriffenen Maßnahmen angemessen sind, wenn der Auftragsverarbeiter ihm deren Auflistung vorlegt. So kann der Abschluss des Auftragsverarbeitungsvertrages erheblich beschleunigt werden.

                  Hinweis: Die TOMs sind zwar in einzelne Abschnitte gegliedert (Z. B. Zutritts- und Zugangskontrolle). Die Abschnitte sind jedoch nicht streng vorgegeben und können sich überlappen. Es kann also passieren und ist nicht grundsätzlich vom Nachteil, dass eine Maßnahme in einem Abschnitt auch einem anderen Abschnitt zugeordnet werden könnte.
                  Erläuterungen schließen
                  Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
                  Vorschau schließen
                  Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
                  Preview schließen

                  Möchten Sie Angaben zum Datenschutzkonzept, Wahrung der Betroffenenrechte, Notfallmanagement und Datenschutz beim Einsatz von Technik und Vertragsgestaltung aufnehmen?

                  (Erläuterungen anzeigen)
                  Ja
                  Sie können die vorgeschlagene Einleitung und Beschreibung der Angaben zum Datenschutzkonzept, Wahrung der Betroffenenrechte und Datenschutz beim Einsatz von Technik und Vertragsgestaltung verwenden oder sie selbst anpassen:

                  Bitte wählen Sie die zutreffenden TOMs aus oder ergänzen die Auswahl um eigene Angaben:
                  Datenschutz-management-system, bzw. Datenschutz-konzept
                  Organisations-struktur für die Datensicherheit und Datenschutz
                  Es existieren interne Sicherheitsricht- bzw. Leitlinien
                  Optimierung TOMs mindestens jährlich entsprechend PDCA-Zyklus
                  Regelmäßige und anlassloses System- und Sicherheitstests
                  Regelmäßige anlasslose Auswertung der Log-Dateien
                  Prüfung und ggf. Anpassung der TOMs entsprechend PDCA-Zyklus .
                  Beobachtung Stand der Technik und erforderliche Umsetzung
                  Konzept zur Wahrung von Betroffenenrechten
                  Konzept für Notfälle
                  Dokumentation bei Sicherheits-vorkommnissen (Security Reporting)
                  Einbindung des Datenschutz-beauftragten in Sicherheitsverfahren
                  Fachliche Qualifikation des Datenschutz-beauftragten und Fortbildung
                  Fachliche Qualifikation des IT-Sicherheits-beauftragten und Fortbildung
                  Sorgfältige Auswahl Dienstleister/ freie Mitarbeiter und ggf. Verpflichtung auf Vertraulichkeit
                  Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
                  Aktueller Stand von Hardware und Software
                  Bezug Standardsoftware und Updates aus vertrauens-würdigen Quellen
                  Geräteverwaltung (wer nutzt welche Geräte)
                  Papierloses Büro
                  Aufbewahrung Unterlagen im Papierformat nur dann, wenn erforderlich
                  Angemessenes Lösch- und Entsorgungskonzept sowie Unterlagen/ Datenträger-vernichtung
                  Sperrvermerke/ Aussonderung von Daten, wenn keine Löschung
                    Weitere Eingabefelder hinzufügen
                    Vorschau anzeigen
                    Show Preview

                    "Organisatorische Maßnahmen" - Erläuterungen und Hinweise

                    In diesem Abschnitt werden organisatorische Maßnahmen, also interne Verträge, Regelungen oder Schutzkonzepte aufgenommen.

                    Prüfung und ggf. Anpassung der TOMs entsprechend PDCA-Zyklus

                    Der PDCA-Zyklus beschreibt den vierstufigen Regelkreis eines kontinuierlichen Prüfungs- und Verbesserungsprozesses: "Plan, Do, Check, Act". Es bedeutet, dass nach der initialen Aufstellung eines Sicherheitsverfahrens, Sie dessen Anwendung beobachten, regelmäßig prüfen (im Regelfall mindestens jährlich) und neuen Anforderungen oder Änderungen, z. B. beim Stand der Technik, wieder anpassen und die Anpassungen umsetzen müssen. Danach beginnt dieser Prozess mit der Beobachtung der Anpassungen neu. Ein solcher Prozess setzt z. B. voraus, dass Termine für Prüfungen und zuständige Personen festgelegt sowie Evaluationsberichte gefertigt werden.

                    Erläuterungen schließen
                    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
                    Vorschau schließen
                    Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
                    Preview schließen

                    Einsatz eines geeigneten Informationssicherheitsmanagementsystems (ISMS)

                    (Erläuterungen anzeigen)
                    Ja
                    Bitte wählen Sie, sofern zutreffend, aus den folgenden Optionen oder Eingabemöglichkeiten aus:
                    Einsatz Informations-sicherheits-managementsystem (ISMS) nach ISO/IEC 27001
                    Einsatz Informations-sicherheits-managementsystem (ISMS) nach BSI-Standards
                    Einsatz Informations-sicherheits-managementsystem (ISMS) nach ISIS12
                      Weitere Eingabefelder hinzufügen
                      Vorschau anzeigen
                      Show Preview

                      "Einsatz eines geeigneten Informationssicherheitsmanagementsystem (ISMS)" - Erläuterungen und Hinweise

                      Gemeint ist ein Informationssicherheitsmanagementsystem z. B. nach ISO/IEC 27001, BSI-Standards oder ISIS12. Sie können statt dieser Option auch die einzelnen ISMS auswählen.
                      Erläuterungen schließen
                      Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
                      Vorschau schließen
                      Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
                      Preview schließen

                      Möchten Sie TOMs zum Schutz von personenbezogenen Daten auf Mitarbeiterbene aufnehmen?

                      (Erläuterungen anzeigen)
                      Ja
                      Sie können die vorgeschlagene Einleitung und Beschreibung der Maßnahmen zum Schutz von personenbezogenen Daten verwenden oder sie selbst anpassen:

                      Bitte wählen Sie die zutreffenden TOMs aus oder ergänzen die Auswahl um eigene Angaben:
                      Verpflichtung Mitarbeiter auf Vertraulichkeit (Datenschutz-geheimnis)
                      Schulung und Sensibilisierung von Mitarbeitern
                      Sicherheits-richtlinien für Mitarbeiter sind vorhanden und einfach erreichbar
                      Regelungen und Kontrolle bei Homeoffice und Mobileoffice
                      Regelungen und Kontrolle bei betrieblicher Nutzung von Privatgeräten (BYOD)
                      Entzug von Zutritts- und Zugangs-berechtigungen von Ex-Mitarbeitern
                      Clean Desk Policy
                        Weitere Eingabefelder hinzufügen
                        Vorschau anzeigen
                        Show Preview

                        "Datenschutz auf Mitarbeiterebene" - Erläuterungen und Hinweise

                        Dieser Abschnitt beinhaltet Angaben zu TOMs, die für ein angemessenes Datenschutzniveau auf Mitarbeiterebene sorgen. Zu ihnen gehören Maßnahmen, die die Aufklärung oder auch vertragliche Verpflichtungen umfassen.
                        Erläuterungen schließen
                        Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
                        Vorschau schließen
                        Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
                        Preview schließen

                        Möchten Sie TOMs zum Schutz vor unbefugtem physischen Zutritt zu Rechnern, Datenverarbeitungsanlagen, etc. aufnehmen?

                        (Erläuterungen anzeigen)
                        Ja
                        Sie können die vorgeschlagene Einleitung verwenden oder sie selbst anpassen:

                        Bitte wählen Sie die zutreffenden TOMs aus oder ergänzen die Auswahl um eigene Angaben:
                        Keine Serveranlagen in eigenen Geschäfts-räumlichkeiten
                        Zugang zu Datenverarbeitungs-anlagen ist gesondert gesichert
                        Personenkontrolle beim Pförtner oder am Empfang
                        Protokollierung von Besuchern
                        Tragepflicht von Besucherausweisen
                        Besucher nur in Begleitung von Mitarbeitern
                        Videoüberwachung
                        Alarmanlage
                        Umzäunung des Betriebsgeländes
                        Fenster, Schächte und ähnliche Zugangs-möglichkeiten sind gesichert
                        Regelmäßige Kontrollgänge durch das Sicherheitspersonal
                        Manuelles Schließsystem
                        Elektronisches Schließsystem mit Sicherheitsschlössern
                        Manuelles Schließsystem mit Sicherheitsschlössern
                        Chipkarten-/ Transponder-Schließsystem
                        Schließsystem mit Zugangscode gesichert.
                        Protokollierung Ausgabe Schlüssel und/oder Zugangskarten
                        Sperrung von Geräten und Sicherung der Arbeitsumgebung beim Verlassen
                        Akten und Dokumente werden sicher aufbewahrt
                        Datenträger werden sicher aufbewahrt
                          Weitere Eingabefelder hinzufügen
                          Vorschau anzeigen
                          Show Preview

                          "Zutrittskontrolle" - Erläuterungen und Hinweise

                          Dieser Abschnitt beinhaltet Maßnahmen, die bereits den physischen Zutritt von unbefugten Personen zu IT-Anlagen oder Daten verhindern sollen, d.h. Schlösser, Alarm- oder Videoanlagen.
                          Erläuterungen schließen
                          Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld...
                          Vorschau schließen
                          Inhalte der Vorschau werden geladen, bitte noch ein bisschen Gelduld..:
                          Preview schließen

                          Möchten Sie TOMs zum Schutz vor unbefugter Nutzung oder Verwendung von Rechnern und Datenverarbeitungsanlagen, etc. aufnehmen?

                          (Erläuterungen anzeigen)
                          Ja
                          Sie können die vorgeschlagene Einleitung verwenden oder sie selbst anpassen:

                          Bitte wählen Sie die zutreffenden TOMs aus oder ergänzen die Auswahl um eigene Angaben:
                          Zeitgemäßes Passwortkonzept
                          Passwortschutz aller Datenverarbeitungs-anlagen
                          Passwörter werden nicht im Klartext gespeichert oder übertragen
                          Passwort-Management-Software