Vertrag zur Auftragsverarbeitung gemäß Art. 28 DSGVO als Anlage zu einem oder
mehreren von dem Auftraggeber genutztem Vertrag oder Verträgen
Zwischen der Firma
1&1 Internet SE
Elgendorfer Straße 57
56410 Montabaur
Deutschland
– Nachfolgend „Auftragnehmer“ genannt –
und
Firma: fsv-1920-sargstedt
Name: Marco Nathow
Straße, Hausnummer: Siedlungsstrasse 33
Postleitzahl, Ort: 38820 Halberstadt
Land: DEUTSCHLAND
Kundennummer: 198221606
– Nachfolgend „Auftraggeber“ genannt –
Version 20180522 Seite 1 von 5
Präambel
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im
Einzelvertrag (nachstehend „Vertrag“) in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben.
Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen
Beschäftigte des Auftragnehmers, oder durch den Auftragnehmer Beauftragte personenbezogene Daten
(nachstehend „Daten“) des Auftraggebers verarbeiten.
Diese Anlage ist nur gültig in Verbindung mit einem aktiven Vertrag über die folgenden Produkte:
Server
Cloud Server, Virtual Server Cloud, Managed Cloud Hosting, Dedicated Server (& Managed), Bare Metal
Server, Dynamic Cloud Server, Virtual Server (Lin/Win), Container Cluster
Webhosting & Homepage
Webhosting, WordPress Hosting, MyWebsite, E-Shop, ipayment
Office & Online Marketing
Online-Buchhaltung, E-Mail Marketing
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
(1) Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der
Verarbeitung. Gegenstand dieser Anlage ist nicht die originäre Nutzung oder Verarbeitung von
personenbezogenen Daten durch den Auftragnehmer. Als Hosting Dienstleister und Administrator
von Server-Systemen kann auf Seiten des Auftragnehmers ein Zugriff auf personenbezogene Daten
allerdings nicht ausgeschlossen werden.
Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen
dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies
umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der
Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der
Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung allein
verantwortlich („Verantwortlicher“ i.S.v. Art. 4 Nr.7 DS-GVO).
(2)Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber
danach in schriftlicher Form, oder in einem elektronischen Format („Textform“) an die vom
Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt, oder ersetzt werden
(„Einzelweisung“).
§ 3 Pflichten des Auftragnehmers
Version 20180522 Seite 2 von 3
(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der
Weisungen des Arbeitgebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne von Art. 28 Abs.
3 lit. a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der
Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Die Durchführung von
rechtswidrigen Weisungen darf der Auftragnehmer ablehnen.
(2)Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so
gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird
technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des
Auftraggebers treffen, die den Anforderungen der Datenschutzgrundverordnung (Art. 32 DS-GVO)
genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die
Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste im Zusammenhang
mit der Verarbeitung auf Dauer sicherstellen.
(3)Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur
Minderung möglicher nachteiliger Folgen der betroffenen Personen.
(4)Die Beschreibung Technischer und Organisatorischen Maßnahmen gemäß Anhang 1 ist
Bestandteil dieser Vereinbarung.
Der Auftragnehmer wird die Einhaltung der vereinbarten Schutzmaßnahmen und deren geprüfter
Wirksamkeit durch Bereitstellung eines Zertifikates zu Datenschutz und Informationssicherheit
nachweisen.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten,
wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht
unterschritten wird.
Der Auftragnehmer unterstützt soweit erforderlich den Auftraggeber im Rahmen seiner
Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gemäß Kapitel III
der DS-GVO sowie bei der Einhaltung der in Art. 33 und 34 DS-GVO genannten Pflichten.
(5)Der Auftragnehmer stellt sicher, dass es den mit der Verarbeitung der Daten des Auftraggebers
befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten
außerhalb der Weisung zu verarbeiten. Ferner stellt der Auftragnehmer sicher, dass sich die zur
Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet
haben, oder einer angemessenen gesetzlichen Schweigepflicht unterliegen. Die Vertraulichkeits-
/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrags fort.
(6)Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des
Schutzes personenbezogener Daten des Auftraggebers bekannt werden.
(7) Für alle im Rahmen dieser Anlage anfallenden Datenschutzfragen ist der Ansprechpartner:
1&1 Internet SE
Der Datenschutzbeauftragte
Elgendorfer Str. 57
56410 Montabaur
datenschutz@1und1.de
(8) Der Auftragnehmer stellt sicher, seinen Pflichten nach Art. 32 Abs.1 lit. d) DS-GVO
nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und
organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
(9)Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der
Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme
Lösung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt
Version 20180522 Seite 3 von 5
der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen
Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger
an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.
In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw.
Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im
Vertrag bereits vereinbart.
(10)Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen
des Auftraggebers entweder herauszugeben oder zu löschen.
(11)Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei
der Abwehr des Anspruches im Rahmen seiner Möglich¬keiten zu unterstützen.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er in den
Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen
feststellt.
(2)Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
etwaiger Ansprüche nach Art. 82 DS-GVO, gilt § 3 Abs. 11 dieser Anlage entsprechend.
§ 5 Anfragen betroffener Personen
(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung, oder Auskunft
an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber
verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person
möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den
Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner
Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet bei Erfüllung seiner Pflichten
nicht dafür, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig, oder
nicht fristgerecht beantwortet wird.
§ 6 Nachweismöglichkeiten
(1) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten
Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten, ohne Störung des
Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit
durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener
Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten
anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig
machen. Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine
Vergütung verlangen. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf
einen Tag pro Kalenderjahr begrenzt.
(2)Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des
Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 1 entsprechend. Eine
Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese
Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein
Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
Version 20180522 Seite 4 von 5
§ 7 Drittstaatentransfer
(1) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet überwiegend in einem
Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über
den Europäischen Wirtschaftsraum statt. Ausnahmen sind der Liste gem. §8 Abs. 2 dieser Anlage zu
entnehmen.
§ 8 Subunternehmer (weitere Auftragsverarbeiter)
(1) Mit der Hinzuziehung von verbundenen und fremden Unternehmen zur Wartung, Pflege der
Rechenzentrumsstruktur, Telekommunikationsdienstleistungen und Benutzerservice durch den
Auftragnehmer ist der Auftraggeber einverstanden.
(2)Eine Liste der aktuell eingesetzten Unterauftragnehmer steht dem Auftraggeber im Kundenportal
stets zum Abruf zur Verfügung. Diese Liste wird quartalsweise aktualisiert.
(3)Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine
datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Die volle
Verantwortung für die vom Auftragnehmer eingeschalteten Subunternehmer bleibt beim
Auftragnehmer.
§ 9 Informationspflichten, Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme,
durch ein Insolvenz- oder Vergleichsverfahren, oder durch sonstige Ereignisse, oder Maßnahmen
Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu
informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich
drüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim
Auftraggeber als „Verantwortlicher“ im Sinne der DS-GVO liegen.
(2)Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen
des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die
Wirksamkeit dieser Anlage zum Datenschutz im Übrigen nicht.
(3)Es gilt deutsches Recht.
(4)Diese Anlage ersetzt alle vorangegangenen Vereinbarungen dieser Art
§ 10 Haftung und Schadensersatz
(1) Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in
Art. 82 DS-GVO getroffenen Regelung.
Dieser Vertrag wird elektronisch geschlossen und ist ohne Unterschrift gültig
Anlagenverzeichnis
Anhang 1: Technische und organisatorische Maßnahmen
Version 20180522 Seite 5 von 5

Druckversion Druckversion | Sitemap
© FSV 1920