Stand: April 2023
Präambel
Nach den Bestimmungen der Datenschutz-Grundverordnung (vgl. Art. 37 Abs. 1 DSGVO) und des Bundesdatenschutzgesetzes (vgl. § 38 Abs. 1 BDSG) unterliegen nicht-öffentliche Stellen unter bestimmten Voraussetzungen der Pflicht, einen betrieblichen Datenschutzbeauftragten zu benennen. Der Auftraggeber hat sich entschieden, diese Funktion nicht intern zu besetzen, sondern an die kedapro GmbH als externen Dienstleister (Auftragnehmer) auszulagern. Die näheren Anforderungen zur Übertragung dieser Aufgaben regelt dieser Vertrag.
1. Beschränkung auf Unternehmer
Das Angebot des Auftragnehmers als externer Datenschutzbeauftragter tätig zu werden richtet sich ausschließlich an Unternehmer, die in ihrer gewerblichen, freiberuflichen oder selbständigen beruflichen Tätigkeit und nicht zu privaten Zwecken handeln. Der Vertragsschluss erfolgt vorbehaltlich dessen, dass die Prüfung der Unternehmereigenschaft bei Vertragsschluss positiv ausfällt.
2. Gegenstand des Vertrags
(1) Mit Vertragsabschluss wird der Auftragnehmer als betrieblicher Datenschutzbeauftragter nach Art. 39 DSGVO für den Auftraggeber tätig. Der vorliegende Vertrag legt in Konkretisierung der gesetzlichen Anforderungen die Einzelheiten zu den Aufgaben des Auftragnehmers fest.
(2) Zum Nachweis der Erfüllung der Benennungspflicht wird hierzu eine gesonderte Benennungsurkunde von den Vertragsparteien unterzeichnet.
3. Zeit, Ort und Personal zur Leistungserbringung
(1) Der Auftragnehmer entscheidet über Zeit und Ort des Einsatzes für den Auftraggeber nach eigenem Ermessen. In dringenden Fällen steht der Auftragnehmer auch kurzfristig zur Verfügung.
(2) Der Auftragnehmer übt seine Tätigkeit in seinen eigenen Räumlichkeiten aus.
(3) Dem Auftragnehmer ist es gestattet, zur Erfüllung dieses Vertrags geeignetes eigenes Personal sowie nach vorheriger Absprache mit dem Auftraggeber fachkundige und zuverlässige Dritte als Subunternehmer einzusetzen. Die eigene Verantwortlichkeit des Auftragnehmers bleibt hiervon unangetastet.
4. Konkretisierung der gesetzlichen Aufgaben
(1) Der Auftraggeber stellt dem Auftragnehmer ein Verzeichnis aller Verarbeitungstätigkeiten mit den Angaben nach Art. 30 DSGVO zur Verfügung und hält dieses auf dem aktuellen Stand. Der Auftragnehmer wird auf Wunsch des Auftraggebers hierfür geeignete Formulare in elektronischer Form zur Verfügung stellen und berät bei der Erstellung der Verarbeitungsverzeichnisse.
(2) Der Auftragnehmer hat ein direktes Berichtsrecht gegenüber der Geschäftsleitung des Auftraggebers.
(3) Der Auftragnehmer prüft die Zusammenarbeit mit externen Geschäftspartnern auf datenschutzkonforme Datenverarbeitung und Vertragsgestaltung insbesondere hinsichtlich der Anforderungen zur Auftragsverarbeitung nach Art. 28 DSGVO. Unmittelbare Kontrollmaßnahmen beim Geschäftspartner (Dienstleister) schuldet der Auftragnehmer jedoch nicht; insoweit genügt er seiner Verpflichtung durch Prüfung von Kontrollen des Auftraggebers oder ausreichenden Selbstaudits der jeweiligen Auftragsverarbeiter.
(4) Bei der Beantwortung externer Anfragen zum Datenschutz wird der Auftragnehmer aufgrund der gebotenen gegenseitigen Rücksichtnahme derartige Stellungnahmen in der Regel nur unter vorheriger Beteiligung des Auftraggebers abgeben.
(5) Die Aufgaben des Auftragnehmers werden unter ausschließlicher Nutzung von Fernkommunikationsmitteln, nämlich per E-Mail oder Ticketingsystem erbracht. Mitarbeiterschulungen erfolgen, soweit erforderlich, durch Überlassung geeigneter Schulungsmaterialien, insbesondere Schulungsvideos, und Erstellung datenschutzrelevanter Dokumente. Weitergehende Leistungen sowie Ortstermine erfolgen auf Kundenwunsch und nach gesonderter Vereinbarung.
5. Verschwiegenheitspflicht
(1) Der Auftragnehmer ist verpflichtet, über alle Informationen zum Auftraggeber, die dem Auftragnehmer im Zusammenhang mit der Erledigung seiner Aufgaben zur Kenntnis gelangen, Stillschweigen zu bewahren.
(2) Die Verschwiegenheitspflicht besteht nicht, wenn und soweit der Auftragnehmer vom Auftraggeber von dieser Verpflichtung entbunden wurde.
(3) Die Verschwiegenheitspflicht besteht auch dann nicht,
(i) soweit die Offenlegung von Informationen zur Wahrung berechtigter Interessen des Auftragnehmers auch unter Berücksichtigung etwaiger entgegenstehender Interessen des Auftraggebers unerlässlich ist;
(ii) soweit der Auftragnehmer nach den Versicherungsbedingungen seiner Berufshaftpflicht zur Information und Mitwirkung verpflichtet ist;
(iii) soweit der Auftragnehmer gesetzlich zur Offenbarung verpflichtet ist, insbesondere gegenüber Aufsichtsbehörden oder berufsständischen Kammern, oder
(iv) soweit der Auftragnehmer in seiner Eigenschaft als betrieblicher Datenschutzbeauftragter insbesondere gemäß Art. 39 Abs. 1 lit. d) und e) DSGVO zur Kooperation mit der Aufsichtsbehörde berechtigt oder verpflichtet ist.
(4) Diese Verschwiegenheitspflicht des Auftragnehmers besteht über die Dauer des Vertragsverhältnisses fort.
(5) Dieser Vertrag und sein Inhalt unterliegen wechselseitig einer über das Vertragsende hinausgehenden Verschwiegenheitsverpflichtung.
(6) Mitarbeiter und weitere Erfüllungsgehilfen sind im gleichen Umfang wie die Parteien selbst zur Verschwiegenheit zu verpflichten. Die Parteien weisen dies auf Anfrage wechselseitig nach.
(7) Unberührt von den vorstehenden Regelungen bleiben die besonderen Verschwiegenheitsverpflichtungen des betrieblichen Datenschutzbeauftragten zum Schutz des Betroffenen nach § 6 Abs. 5 Satz 2 und Abs. 6 BDSG.
6. Vergütung
(1) Sämtliche vereinbarten Pauschalhonorare werden jeweils zum Beginn eines Kalendermonats im Voraus fällig.
(2) Falls zur Erfüllung der von dem Auftragnehmer mit diesem Vertrag übernommenen Tätigkeit Reisen erforderlich sind, werden die Reisekosten gegen Nachweis nach tatsächlichem Aufwand erstattet. Reisen erfolgen nur nach gesonderter Beauftragung.
(3) Die Zahlung erfolgt per gesondert zu erteilendem SEPA-Lastschriftmandat und bis zu dessen Erteilung durch Überweisung auf folgendes Konto bis zum dritten Bankarbeitstag des jeweiligen Abrechnungsmonats:
IBAN: DE79 3206 0362 1050 5820 15
Konto-Nr.: 1050582015
BLZ: 32060362
Bank: Volksbank Krefeld eG
7. Haftung
(1) Die Haftung des Auftragnehmers für Schäden aufgrund einfacher Fahrlässigkeit ist ausgeschlossen, soweit nicht die Verletzung des Lebens, des Körpers, der Gesundheit oder Ansprüche nach dem Produkthaftungsgesetz betroffen ist. Die Haftung auch für einfache Fahrlässigkeit bleibt bei der Verletzung von Kardinalpflichten, also Pflichten, deren Erfüllung die Durchführung des Vertrags überhaupt erst ermöglicht und auf deren Einhaltung der Auftraggeber regelmäßig vertrauen darf, unberührt; allerdings ist die Haftung in diesem Fall auf den Ersatz der Schäden beschränkt, die in typischer Weise mit dem Vertrag verbunden und vorhersehbar sind.
(2) Der vorstehende Absatz gilt gleichermaßen für eigene Mitarbeiter und sonstige Erfüllungsgehilfen des Auftragnehmers.
8. Schlussbestimmungen
(1) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden, wird dadurch die Wirksamkeit der übrigen Regelungen nicht berührt.
(2) Die Vertragspartner verpflichten sich, unwirksame Bestimmungen in gemeinsamer Abstimmung durch Regelungen zu ersetzen, die dem ursprünglich verfolgten Zweck so nahe wie möglich kommen und deren Wirksamkeit keine Bedenken entgegenstehen. Das Gleiche gilt für den Fall von Vertragslücken.