Vertragsanlage über die Auftragsverarbeitung personenbezogener Daten

(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO. Gegenstand des Auftrags ist die Bereitstellung und der technische Betrieb einer webbasierten Chatbot-Plattform, die dem Auftraggeber die automatisierte Kommunikation mit Nutzern auf seiner Website ermöglicht. Dies umfasst insbesondere die Speicherung, Verarbeitung und Auswertung von Chatverläufen sowie die Möglichkeit zum Versand von E-Mails an Endnutzer, soweit dies durch den Auftraggeber rechtmäßig erfolgt.

(2) Dieser Vertrag zur Auftragsverarbeitung tritt mit Abschluss des Nutzungsverhältnisses über die Plattform des Auftragnehmers in Kraft und gilt für die Dauer der Nutzung. Die Beendigung der Nutzung der Plattform durch Kündigung oder Löschung des Accounts führt automatisch auch zur Beendigung dieses Vertrages. Eine gesonderte Kündigung des Auftragsverarbeitungsvertrags ist nicht erforderlich.

(3) Der Auftraggeber ist jederzeit zu einer außerordentlichen Kündigung dieses Vertrages aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt insbesondere dann vor, wenn der Auftragnehmer wesentliche Pflichten aus diesem Vertrag verletzt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig missachtet oder eine Weisung des Auftraggebers nicht ausführen kann oder will.

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf dokumentierte Weisung des Auftraggebers im Sinne von Art. 28 DSGVO. Der Auftraggeber ist als “Verantwortlicher” im Sinne von Art. 4 Nr. 7 DSGVO allein verantwortlich für die Rechtmäßigkeit der Datenverarbeitung sowie der Übermittlung personenbezogener Daten an den Auftragnehmer. Sofern der Auftragnehmer durch das Recht der Europäischen Union oder eines Mitgliedstaats zu einer Verarbeitung verpflichtet ist, die über die Weisung hinausgeht, informiert er den Auftraggeber hierüber, es sei denn, das betreffende Recht verbietet diese Information aus wichtigem öffentlichen Interesse.

(2) Weisungen des Auftraggebers können über die Plattformfunktionen im Kunden-Dashboard, in elektronischer Textform oder schriftlich erteilt werden. Mündliche Weisungen sind vom Auftraggeber nachträglich in Textform zu bestätigen, der Auftragnehmer bestätigt diese ebenfalls in Textform. Die ursprünglich übermittelten Konfigurationen und Einstellungen im Kunden-Dashboard gelten als gültige Erstweisung.

(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen Datenschutzrecht verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis sie durch den Auftraggeber überprüft und gegebenenfalls angepasst oder schriftlich bestätigt wird.

(1) Der Auftragnehmer verpflichtet sich, die innerbetriebliche Organisation in seinem Verantwortungsbereich so zu gestalten, dass sie den Anforderungen der Datenschutz-Grundverordnung, insbesondere Art. 32 DSGVO, entspricht. Er ergreift alle geeigneten technischen und organisatorischen Maßnahmen (TOMs), um ein angemessenes Schutzniveau für die im Auftrag verarbeiteten personenbezogenen Daten sicherzustellen. Die aktuell getroffenen Maßnahmen sind in Anlage 2 aufgeführt und gelten für die Dauer der Verarbeitung personenbezogener Daten durch den Auftragnehmer.

(2) Die Maßnahmen gewährleisten insbesondere die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung. Dem Auftraggeber sind die Maßnahmen bekannt; er trägt die Verantwortung dafür, dass diese im Hinblick auf die Art und das Risiko der verarbeiteten Daten ein angemessenes Schutzniveau bieten. Der Auftragnehmer ist berechtigt, Maßnahmen zu ändern oder weiterzuentwickeln, sofern das ursprünglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen teilt er dem Auftraggeber mit.

(3) Die getroffenen Maßnahmen sind dem Vertrag als Anlage beigefügt.

(1) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO, des BDSG sowie weiterer anwendbarer Datenschutzgesetze bekannt sind. Er verpflichtet sich, die innerbetriebliche Organisation in seinem Verantwortungsbereich so zu gestalten, dass sie den Anforderungen des Datenschutzes entspricht.

(2) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Pflichten nach Kapitel III sowie Art. 33 bis 36 DSGVO, insbesondere bei der Bearbeitung von Betroffenenrechten, der Meldung von Datenschutzverstößen, der Datenschutz-Folgenabschätzung und der Konsultation mit Aufsichtsbehörden.

(3) Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung beauftragten Mitarbeiter und sonstige für ihn tätige Personen auf Vertraulichkeit verpflichtet sind bzw. einer gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeitspflicht besteht auch nach Beendigung des Auftrags fort. Er sorgt dafür, dass diese Personen nur entsprechend der Weisung des Auftraggebers tätig werden und mit den datenschutzrechtlichen Anforderungen vertraut sind.

(4) Der Auftragnehmer benennt, soweit gesetzlich erforderlich, einen Datenschutzbeauftragten. Die Kontaktdaten des Datenschutzbeauftragten oder einer datenschutzrechtlich zuständigen Kontaktperson werden dem Auftraggeber über das Kunden-Dashboard oder auf Anfrage mitgeteilt. Änderungen teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.

(5) Der Auftragnehmer setzt geeignete Verfahren ein, um die Wirksamkeit der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 lit. d) DSGVO regelmäßig zu überprüfen, zu bewerten und zu evaluieren.

(6) Der Auftragnehmer berichtigt oder löscht die verarbeiteten personenbezogenen Daten, wenn der Auftraggeber dies im Rahmen seiner Weisungsbefugnis anordnet. Ist eine datenschutzkonforme Löschung oder Einschränkung der Verarbeitung nicht möglich, erfolgt die Vernichtung oder Rückgabe der betroffenen Daten bzw. Datenträger nach Abstimmung mit dem Auftraggeber. Betrifft die Datenverarbeitung besondere Aufbewahrungs- oder Schutzmaßnahmen, sind diese gesondert zu vereinbaren, sofern sie nicht bereits durch den Hauptvertrag oder die AGB geregelt sind.

(7) Im Falle von Ansprüchen betroffener Personen gegen den Auftraggeber nach Art. 82 DSGVO unterstützt der Auftragnehmer den Auftraggeber im Rahmen seiner Möglichkeiten bei der Abwehr solcher Ansprüche.

(8) Auftragnehmer und Auftraggeber arbeiten bei Anfragen oder Maßnahmen durch Aufsichtsbehörden gemäß Art. 57 DSGVO kooperativ zusammen.

(9) Der Auftragnehmer informiert den Auftraggeber unverzüglich über behördliche Kontrollhandlungen und Maßnahmen nach Art. 57 oder Art. 83 DSGVO, soweit diese im Zusammenhang mit der Auftragsverarbeitung stehen.

(10) Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb der EU bzw. des EWR. Eine Verarbeitung in Drittländern ist nur unter Einhaltung der Voraussetzungen gemäß Kapitel V DSGVO und ggf. unter Verwendung geeigneter Garantien (z. B. Standardvertragsklauseln, DPF, Einwilligung) zulässig.

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich über Störungen, Unregelmäßigkeiten, Verstöße gegen datenschutzrechtliche Vorschriften oder Weisungen sowie bei Verletzungen des Schutzes personenbezogener Daten des Auftraggebers (Art. 4 Nr. 12 DSGVO). Er trifft unverzüglich geeignete Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Auswirkungen für betroffene Personen und stimmt diese Maßnahmen soweit möglich mit dem Auftraggeber ab.

(2) Die Mitteilung an den Auftraggeber erfolgt über gängige Kommunikationskanäle (z. B. E-Mail oder telefonisch) unter Gewährleistung eines schnellstmöglichen Informationsaustauschs.

(3) Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage im Rahmen seiner Möglichkeiten bei der Erfüllung der Pflichten gemäß Art. 33 und 34 DSGVO, insbesondere bei der Ermittlung und Bewertung der Verletzung sowie bei der Kommunikation mit Aufsichtsbehörden und betroffenen Personen. Eine Meldung an die Aufsichtsbehörde oder an betroffene Personen durch den Auftragnehmer erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers gemäß § 3 dieses Vertrages.

(1) Der Auftraggeber informiert den Auftragnehmer unverzüglich und vollständig, wenn ihm Fehler, Unregelmäßigkeiten oder datenschutzrechtlich relevante Abweichungen im Zusammenhang mit der Auftragsverarbeitung bekannt werden.

(2) Wird der Auftraggeber von einer betroffenen Person im Zusammenhang mit der Verarbeitung gemäß Art. 82 DSGVO in Anspruch genommen, unterstützt der Auftragnehmer den Auftraggeber gemäß § 5 Abs. 7 dieses Vertrages.

(3) Der Auftraggeber benennt dem Auftragnehmer einen datenschutzrechtlich zuständigen Ansprechpartner. Dieser kann über das Kundenkonto, per E-Mail oder auf Anfrage bekannt gegeben werden.

(1) Der Auftragnehmer unterstützt den Auftraggeber mit angemessenen technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflichten gegenüber betroffenen Personen gemäß Art. 12 bis 22 sowie Art. 32 bis 36 DSGVO.

(2) Wendet sich eine betroffene Person direkt an den Auftragnehmer mit einem Anliegen zur Auskunft, Berichtigung, Löschung oder Einschränkung, verweist der Auftragnehmer diese, sofern möglich, an den Auftraggeber als verantwortliche Stelle, sofern eine Zuordnung auf Basis der Angaben der betroffenen Person möglich ist.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich über eingehende Anfragen betroffener Personen und leitet diese ohne unnötige Verzögerung weiter. Eine Bearbeitung oder Kommunikation mit der betroffenen Person erfolgt ausschließlich auf dokumentierte Weisung des Auftraggebers.

(4) Der Auftragnehmer haftet nicht für eine nicht, nicht fristgerecht oder nicht vollständig erfolgte Beantwortung durch den Auftraggeber.

(1) Der Auftragnehmer weist die Einhaltung der in diesem Vertrag vereinbarten Pflichten gegenüber dem Auftraggeber mit geeigneten Nachweisen nach.

(2) Zu diesem Zweck ist der Auftraggeber berechtigt, Auskünfte vom Auftragnehmer einzuholen und sich vorhandene Prüfberichte, Zertifizierungen (z. B. ISO, SOC), interne Dokumentationen oder Testate von sachverständigen Dritten vorlegen zu lassen, um sich von der Einhaltung der datenschutzrechtlichen Anforderungen und der technischen und organisatorischen Maßnahmen gemäß § 4 zu überzeugen.

(3) Eine Vor-Ort-Kontrolle der Verarbeitungseinrichtungen ist nur erforderlich, wenn begründete Zweifel an der Einhaltung dieses Vertrages bestehen und andere Nachweismöglichkeiten ausgeschöpft sind. Solche Kontrollen erfolgen nach vorheriger Ankündigung innerhalb üblicher Geschäftszeiten, unter Wahrung der Betriebsabläufe und unter Berücksichtigung einer angemessenen Vorlaufzeit. Die Parteien stimmen sich über Zeitpunkt und Umfang einer Kontrolle rechtzeitig ab. Der Auftragnehmer kann einem Prüfer widersprechen, wenn dieser in einem Wettbewerbsverhältnis zum Auftragnehmer steht.

(4) Der Auftragnehmer kann die Durchführung der Kontrolle an Bedingungen knüpfen, insbesondere an eine Vertraulichkeitserklärung und die Verpflichtung zur Wahrung von Betriebs- und Geschäftsgeheimnissen.

(1) Der Auftragnehmer ist berechtigt, zur Erfüllung der Leistungen aus diesem Vertrag Unterauftragnehmer einzusetzen. Die Zustimmung des Auftraggebers zu den zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragnehmern gilt mit Abschluss dieses Vertrages als erteilt. Eine aktuelle Übersicht der eingesetzten Unterauftragnehmer ist in Anlage 1 enthalten. Vor der Beauftragung neuer oder dem Austausch bestehender Unterauftragnehmer informiert der Auftragnehmer den Auftraggeber rechtzeitig in Textform. Der Auftragnehmer verpflichtet sich, mit Unterauftragnehmern eine Vereinbarung zu treffen, die dem Datenschutzniveau dieses Vertrages entspricht und alle Anforderungen gemäß Art. 28 Abs. 4 DSGVO erfüllt.

(2) Der Auftraggeber kann der Änderung innerhalb einer angemessenen Frist aus wichtigem datenschutzrechtlichem Grund widersprechen. Erfolgt kein Widerspruch innerhalb dieser Frist, gilt die Zustimmung als erteilt. Eine Beauftragung ist nur zulässig, wenn dem Unterauftragnehmer vertraglich Datenschutzpflichten auferlegt werden, die mit diesem Vertrag vergleichbar sind.

(3) Erbringt ein Unterauftragnehmer Leistungen außerhalb der EU oder des EWR, stellt der Auftragnehmer sicher, dass die Voraussetzungen für eine Datenübermittlung gemäß Kapitel V DSGVO eingehalten werden. Dies umfasst insbesondere den Abschluss geeigneter Garantien wie Standardvertragsklauseln oder die Einhaltung anerkannter Angemessenheitsbeschlüsse.

(4) Unterauftragsverhältnisse im Sinne dieses Vertrages sind nur solche, bei denen die beauftragten Dritten unmittelbar mit der Verarbeitung personenbezogener Daten im Rahmen der Hauptleistung betraut sind. Nicht als Unterauftragsverhältnisse gelten unterstützende Nebenleistungen wie Transport, Wartung, Reinigung oder Telekommunikationsdienste ohne spezifischen Datenzugang. Der Auftragnehmer verpflichtet sich dennoch, auch für solche Nebenleistungen angemessene Datenschutzmaßnahmen und Kontrollmechanismen zu implementieren.

(1) Nach Beendigung der Plattformnutzung durch den Auftraggeber oder auf dessen dokumentierte Weisung hin, wird der Auftragnehmer sämtliche im Rahmen dieses Vertrages verarbeiteten personenbezogenen Daten entweder löschen oder dem Auftraggeber zurückgeben, je nach Wahl des Auftraggebers, sofern keine gesetzliche Aufbewahrungspflicht besteht.

(2) Die Löschung erfolgt auf datenschutzkonforme Weise. Der Auftragnehmer bestätigt die Löschung in Textform. Auf Verlangen stellt er ein Löschprotokoll zur Verfügung.

(3) Der Auftragnehmer verpflichtet sich, alle personenbezogenen Daten, die ihm im Zusammenhang mit diesem Vertrag bekannt geworden sind, auch über das Vertragsende hinaus vertraulich zu behandeln, soweit keine gesetzliche Pflicht zur Offenlegung besteht.

(1) Sollte es im Rahmen der Auftragsverarbeitung zu Pfändungen, Beschlagnahmungen, Insolvenzverfahren oder sonstigen Zugriffen Dritter auf die Daten des Auftraggebers kommen, informiert der Auftragnehmer den Auftraggeber unverzüglich. Der Auftragnehmer weist alle in diesem Zusammenhang Beteiligten darauf hin, dass die Verantwortung, Verfügungsbefugnis und Eigentümerschaft an den personenbezogenen Daten ausschließlich beim Auftraggeber als “Verantwortlichem” im Sinne der DSGVO liegt.

(2) Änderungen oder Ergänzungen dieses Vertrages, einschließlich etwaiger Nebenabreden, bedürfen der Textform (z. B. per E-Mail oder über das Kunden-Dashboard). Dies gilt auch für einen Verzicht auf dieses Formerfordernis.

(3) Sollte eine Bestimmung dieses Vertrages ganz oder teilweise unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die Parteien werden in einem solchen Fall eine rechtlich zulässige Regelung vereinbaren, die der wirtschaftlichen Zielsetzung der unwirksamen Bestimmung am nächsten kommt.

(4) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand ist, soweit zulässig, der Sitz des Auftragnehmers.

(1) Die Haftung der Parteien gegenüber betroffenen Personen richtet sich nach Art. 82 DSGVO.

(2) Jede Partei haftet gegenüber der anderen Partei für Schäden, die aus einer vorsätzlichen oder grob fahrlässigen Verletzung dieses Vertrages oder datenschutzrechtlicher Pflichten resultieren.

(3) Der Auftragnehmer haftet gegenüber dem Auftraggeber nur dann für Schäden, die im Rahmen der Auftragsverarbeitung entstehen, wenn er seine in diesem Vertrag festgelegten Pflichten verletzt hat oder entgegen der Weisung des Auftraggebers gehandelt hat.

(4) Hat mehr als eine an der Verarbeitung beteiligte Partei denselben Schaden verursacht, so haftet jede Partei gemäß Art. 82 Abs. 4 DSGVO im Verhältnis ihres Verantwortungsbereichs. Der Auftraggeber stellt den Auftragnehmer im Innenverhältnis von etwaigen Ansprüchen Dritter frei, soweit der Auftragnehmer nicht für den verursachten Schaden verantwortlich ist.