Vertrag zur Auftragsverarbeitung
1. Gegenstand und Dauer der Auftragsverarbeitung
1.1 Der Auftragsverarbeiter erhebt, verarbeitet und nutzt im Rahmen des Auftrags für den
Verantwortlichen personenbezogene Daten für Zwecke der Bereitstellung der in Ziffer 2.1
beschriebenen Dienste des Auftragsverarbeiters.
1.2 Der Vertrag beginnt mit der beiderseitigen Unterzeichnung und wird auf unbestimmte Zeit geschlossen
und kann von beiden Parteien mit einer Frist von vier Wochen zum Monatsende gekündigt werden.
Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt. Aufgrund der Abhängigkeit zum
Service-Vertrag (nachfolgend als „Hauptvertrag“ bezeichnet) endet dieser Vertrag jedenfalls mit
Beendigung des Hauptvertrags.
1.3 Diese Regelungen zur Auftragsdatenverarbeitung ergänzen den Hauptvertrag. Im Falle eines
Widerspruchs zwischen diesen Regelungen und dem Hauptvertrag gehen diese Regelungen zur
Auftragsverarbeitung vor.
2. Konkretisierung des Auftragsinhalts
2.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen im Hinblick auf den Einsatz spezieller
Medizin- und Zahntechnik, insbesondere hinsichtlich der Verwendung des oben benannten
Alignersystems und der diesem zugrunde liegenden Anwendersoftware (Setup-Software).
2.2 Der Auftragsverarbeiter ist verpflichtet, die ihm zur Verfügung gestellten personenbezogenen Daten
ausschließlich zur Erbringung der vertraglich vereinbarten Leistung zu verwenden. Dem
Auftragsverarbeiter ist es gestattet, verfahrens- und sicherheitstechnisch erforderliche Zwischen-,
Temporär- oder Duplikatsdateien zur leistungsgemäßen Verarbeitung oder Nutzung der
personenbezogenen Daten zu erstellen, soweit dies nicht zu einer inhaltlichen Umgestaltung führt.
Dem Auftragsverarbeiter ist nicht gestattet, personenbezogene Daten des Verantwortlichen in
Systeme Dritter einzuspielen, auch nicht zu Testzwecken, es sei denn, der Dritte ist genehmigter
Unterauftragsnehmer des Auftragsverarbeiters. Im Übrigen ist es dem Auftragsverarbeiter nicht
gestattet, unautorisiert Kopien der personenbezogenen Daten zu erstellen.
2.3 In Abstimmung mit dem Verantwortlichen ist es dem Auftragsverarbeiter gestattet, zum Zwecke der
Hilfestellung und Überprüfung von Fehlern einzelne Datensätze wie beispielsweise Kundenkonten zu
überprüfen. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder
Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
2.4 Weitere Einzelheiten zu Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung sind
unter Buchstabe A. der Anlage 1 zu diesem Vertrag aufgeführt.
2.5 Die Arten der personenbezogenen Daten sind unter Buchstabe B. der Anlage 1 aufgeführt.
2.6 Der Kreis der Betroffenen ist unter Buchstabe C. der Anlage 1 aufgeführt.
2.7 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem
Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den
Europäischen Wirtschaftsraum statt. Jede Verlagerung der Daten in oder jeder Zugriff auf diese Daten
aus einem Land außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums bedarf
der vorherigen schriftlichen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn durch die
Einhaltung der besonderen Voraussetzungen der Art. 44 ff. DSGVO ein angemessenes
Datenschutzniveau vorhanden ist. Ein angemessenes Datenschutzniveau erfordert (a) einen
Angemessenheitsbeschluss der Europäischen Kommission, (b) verbindliche interne
Datenschutzvorschriften, (c) den Einsatz von EU-Standarddatenschutzklauseln oder (d) genehmigte
Verhaltensregeln.
3. Technische und organisatorische Maßnahmen
3.1 Unter Berücksichtigung des technischen Fortschritts und der Weiterentwicklung, der
Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen trifft der Auftragsverarbeiter geeignete technische und
organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Der
Auftragsverarbeiter hat die Umsetzung der technischen und organisatorischen Maßnahmen vor Beginn
der Verarbeitung insbesondere hinsichtlich der konkreten Auftragsdurchführung schriftlich oder in
anderer zur Vorlage gegenüber Dritten geeigneter Form zu dokumentieren und auf Anfrage dem
Verantwortlichen zur Verfügung zu stellen.
3.2 Die hier festgelegten Maßnahmen müssen unter anderem Aspekte der Pseudonymisierung,
Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
sowie die Verfügbarkeit der Daten umfassen. Zudem muss ein Verfahren zur regelmäßigen
Überprüfung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur
Gewährleistung der Sicherheit der Verarbeitung eingeführt sein. Stellen sich Maßnahmen im Rahmen
der Überprüfung und Bewertung, insbesondere unter Berücksichtigung des technischen Fortschritts,
als unwirksam zur Gewährleistung der Sicherheit der Verarbeitung heraus, ist der Auftragsverarbeiter
verpflichtet, unverzüglich geeignete technische und organisatorische Maßnahmen i.S.v. Ziffer 3.1 zu
implementieren und dieses Vorgehen zu dokumentieren und auf Anfrage zur Verfügung zu stellen.
3.3 Dem Auftragsverarbeiter ist es gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf
das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche
Änderungen sind zu dokumentieren und auf Anfrage zur Verfügung zu stellen.
4. Berichtigung, Löschung und Sperrung von Daten
4.1 Der Auftragsverarbeiter darf nur nach Weisung des Verantwortlichen die Daten, die im Auftrag
verarbeitet werden, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine
betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung,
Löschung oder Einschränkung der Verarbeitung seiner Daten wenden sollte, wird der
Auftragsverarbeiter dieses Ersuchen unverzüglich in Textform an den Verantwortlichen weiterleiten.
4.2 Soweit die Parteien im Hauptvertrag nicht etwas Abweichendes vereinbart haben, sind Löschkonzept,
Recht auf Vergessenwerden, Berichtigung, Daten Portabilität und Auskunft nach dokumentierter
Weisung des Verantwortlichen im Sinne der Ziff. 9 dieses Vertrages unmittelbar durch den
Auftragsverarbeiter sicherzustellen.
5. Pflichten des Auftragsverarbeiters
5.1 Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten nur auf dokumentierte Weisung
des Verantwortlichen zu verarbeiten.
5.2 Der Auftragsverarbeiter verpflichtet alle zur Verarbeitung der personenbezogenen Daten befugten
Personen zur Vertraulichkeit oder stellt sicher, dass sie einer angemessenen gesetzlichen
Verschwiegenheitspflicht unterliegen und hat diese vor der Durchführung der Arbeiten mit den für sie
relevanten Bestimmungen zum Datenschutz vertraut zu machen. Ziffer 5.1 gilt für diese Personen
entsprechend.
5.3 Unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung
stehenden Informationen unterstützt dieser den Verantwortlichen nach besten Kräften bei der
Einhaltung der Pflichten des Verantwortlichen bezüglich der Sicherheit der Verarbeitung, bei der
Meldung von Verletzungen des Schutzes personenbezogener Daten gegenüber Aufsichtsbehörden und
den betroffenen Personen sowie bei der Datenschutz-Folgenabschätzung und bei einem sich daraus
ergebenen Konsultationserfordernis gegenüber Aufsichtsbehörden.
5.4 Der Auftragsverarbeiter unterwirft sich eventuellen Kontrollmaßnahmen der
Datenschutzaufsichtsbehörden und wird den Verantwortlichen über eine eventuelle
Kontrollmaßnahme unverzüglich in Textform informieren, wenn Daten aus dem Auftrag mit dem
Verantwortlichen betroffen sind. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines
Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten
bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt. Soweit der Verantwortliche
seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren,
dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im
Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, unterstützt ihn
der Auftragsverarbeiter nach besten Kräften. Die Unterstützungsleistungen umfassen die
Informationsbeschaffung und sind nur dann vorzunehmen, wenn sie gesetzlich möglich sind und der
Aufwand der Unterstützungsleistungen angemessen ist. Insbesondere besteht keine
Kostentragungspflicht seitens des Auftragsverarbeiters.
5.5 Der Auftragsverarbeiter ist verpflichtet, die einschlägigen Vorschriften zur Bestellung des
Datenschutzbeauftragten zu beachten. Die Kontaktdaten des Datenschutzbeauftragten werden dem
Verantwortlichen zum Zweck der direkten Kontaktaufnahme auf Anforderung mitgeteilt. Ebenso wird
dem Verantwortlichen ein Wechsel des Datenschutzbeauftragten unverzüglich in Textform mitgeteilt.
5.6 Der Auftragsverarbeiter ist verpflichtet, technische und organisatorische Maßnahmen in einem
angemessenen Verhältnis zum angestrebten Schutzzweck einzuhalten und umzusetzen sowie
regelmäßig diese Maßnahmen sowie die internen Prozesse diesbezüglich zu kontrollieren. Der
Auftragsverarbeiter gewährleistet die Nachweisbarkeit der getroffenen technischen und
organisatorischen Maßnahmen gegenüber dem Verantwortlichen.
5.7 Der Auftragsverarbeiter führt ein Verzeichnis zu allen Kategorien von im Auftrag des Verantwortlichen
durchgeführten Verarbeitungstätigkeiten.
5.8 Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich in Textform zu informieren, falls er der
Auffassung ist, dass eine Weisung gegen deutsche oder europäische Datenschutzvorschriften verstößt.
6. Unterauftragsverhältnisse
6.1 Der Verantwortliche ist grundsätzlich damit einverstanden, dass der Auftragsverarbeiter an sorgfältig
ausgewählte Drittunternehmen Unteraufträge erteilt. Über jede beabsichtigte Änderung in Bezug auf
Hinzuziehung oder Ersetzung anderer Unterauftragsverarbeiter wird mindestens 14 Tage im Voraus
informiert. Der Verantwortliche willigt ein, einer Änderung der Unterauftragsverarbeiter nur aus
wichtigem Grunde zu widersprechen.
6.2 Bei dem Einsatz eines Unterauftragsverarbeiters wird der Auftragsverarbeiter einen Vertrag über die
Verarbeitung von Daten im Auftrag mit dem Unterauftragsverarbeiter schließen. Der Unterauftrag ist
schriftlich zu fixieren. In dem Vertrag sind dem Unterauftragsverarbeiter Datenschutzpflichten
aufzuerlegen, die den Festlegungen im Vertrag zwischen dem Verantwortlichen und dem
Auftragsverarbeiter entsprechen.
6.3 Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der
Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jedes
Unterauftragsverarbeiters. Die allgemeinen Vorschriften hinsichtlich des Verhältnisses zwischen dem
Auftragsverarbeiter und dem Unterauftragsverarbeiter bleiben unberührt.
6.4 In Anlage 2 zu diesem Vertrag werden sämtliche Unterauftragsverarbeiter des Auftragsverarbeiters
zum Zeitpunkt des Vertragsschlusses aufgelistet.
6.5 Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Unterauftragsverarbeiter
ist erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Erbringt der
Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR stellt der
Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch geeignete Maßnahmen sicher.
6.6 Eine weitere Auslagerung des Unterauftragsverarbeiters an weitere Unterauftragsverarbeiter bedarf
der ausdrücklichen Zustimmung des Verantwortlichen in Textform.
6.7 Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu
verstehen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der
Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen,
Post/Transportdienstleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die
Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit,
Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen.
Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der
Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und
gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
7. Kontrollrechte des Verantwortlichen; Mitwirkungspflichten des Auftragsverarbeiters
7.1 Der Auftragsverarbeiter räumt dem Verantwortlichen und/oder dessen Bevollmächtigten bezüglich
der getroffenen Datenschutz- und Datensicherungsvorkehrungen ein Besichtigungs- und Kontrollrecht
(Inspektionsrecht) ein.
7.2 Dieses Inspektionsrecht hat das Ziel, die Einhaltung der dem Auftragsverarbeiter obliegenden Pflichten
in dessen Geschäftsbetrieb zu überprüfen. Der Nachweis kann neben Vor-Ort-Kontrollen auch durch
unabhängige Prüfberichte und Zertifizierungen sichergestellt werden. Sofern Vor-Ort-Kontrollen
durchgeführt werden sollen, sind diese als Stichprobenkontrollen auszugestalten und grundsätzlich
rechtzeitig anzumelden. Der Auftragsverarbeiter erteilt dem Verantwortlichen ferner alle
erforderlichen Auskünfte. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb nicht
unangemessen stören oder missbräuchlich sein. Der Verantwortliche stimmt der Benennung eines
unabhängigen externen Prüfers durch den Auftragsverarbeiter zu, sofern der Auftragsverarbeiter eine
Kopie des Auditberichts zur Verfügung stellt. Sollte der durch den Auftragsverarbeiter beauftragte
Prüfer in einem Wettbewerbsverhältnis zu dem Verantwortlichen stehen, hat der Verantwortliche
gegen diesen ein Einspruchsrecht. Die Kosten für einen externen Prüfer sind vom Verantwortlichen zu
tragen. Für die Unterstützung bei der Durchführung einer Prüfung darf der Auftragsverarbeiter eine
angemessene Vergütung verlangen.
8. Mitteilung bei Verstößen des Auftragsverarbeiters
8.1 Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen unverzüglich in Textform zu
benachrichtigen, wenn ein begründeter Verdacht einer Verletzung von in diesem Vertrag festgelegten
Datenschutz- und Datensicherheitsbestimmungen durch den Auftragsverarbeiter selbst oder durch
von ihm beauftragte Dritte besteht. Das Gleiche gilt bei Verstößen gegen die allgemeinen Vorschriften
zum Schutz personenbezogener Daten.
8.2 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Pflichten zur
Sicherheit personenbezogener Daten, der Meldepflichten bei Datenschutzverstößen, bei
Datenschutzfolgeabschätzungen und im Rahmen der vorherigen Konsultation einer Aufsichtsbehörde.
8.3 Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein
Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine
angemessene Vergütung beanspruchen. Bevor der Auftragsverarbeiter zur Erfüllung seiner
Unterstützungsleistungen externe Dienstleister hinzuzieht, hat er sich zur Erhaltung seines
Kostenerstattungsanspruches vorab mit dem Verantwortlichen wegen der dabei entstehenden Kosten
abzustimmen.
9. Weisungsbefugnis des Verantwortlichen
9.1 Der Auftragsverarbeiter darf die Daten nur im Rahmen der Weisungen des Verantwortlichen
verarbeiten. Die Weisungen müssen schriftlich oder in anderer zur Vorlage gegenüber Dritten
geeigneter Form dokumentiert werden. Dies gilt insbesondere in Bezug auf die Übermittlung
personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Der
Verantwortliche behält sich im Rahmen der in diesem Vertrag getroffenen Auftragsbeschreibung ein
umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, dass er durch
Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und
Verfahrensänderungen sind gemeinsam abzustimmen.
9.2 Falls der Auftragsverarbeiter eine Weisung nicht einhalten kann, verpflichtet er sich, den
Verantwortlichen unverzüglich davon in Textform in Kenntnis zu setzen. Der Verantwortliche ist in
diesem Fall berechtigt, die Datenweitergabe auszusetzen und/oder von diesem Vertrag und vom
Hauptvertrag, zu dem dieser Vertrag geschlossen wurde, zurückzutreten.
9.3 Mündliche Weisungen wird der Verantwortliche unverzüglich in Textform bestätigen. Der
Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange
auszusetzen, bis sie durch den Verantwortlichen in Textform bestätigt oder geändert wird.
9.4 Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich in Textform darauf aufmerksam
machen, wenn eine vom Verantwortlichen erteilte Weisung seiner Meinung nach gegen Vorschriften
über den Datenschutz verstößt.
10. Löschung der Daten nach Beendigung des Auftrags
10.1 Nach Abschluss der Arbeiten beziehungsweise früher nach Aufforderung durch den Verantwortlichen
oder bei Beendigung oder Kündigung dieses Vertrages hat der Auftragsverarbeiter sämtliche in seinen
Besitz