VergabeGenie
Login Get Started
Rechtliches

Rechtliche Informationen

Gültig ab 5. Mai 2026

Diese Vereinbarung steht auch als signierbare PDF zum Download bereit. Kontaktieren Sie dazu datenschutz@vergabegenie.de.

Ziel der Vereinbarung

Der Auftragsverarbeiter hat sich verpflichtet, die in Anhang 1 beschriebenen Datenverarbeitungen gegenüber dem Verantwortlichen zu erbringen. Für die Zwecke dieser Vereinbarung gelten die Begriffsdefinitionen der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679, nachfolgend „DSGVO").

Weisungsrecht

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist.

Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, falls er ohne Durchführung einer rechtlichen Prüfung durch einen Juristen der Auffassung ist, dass eine Weisung offensichtlich gegen die DSGVO oder gegen andere Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstößt. Der Auftragsverarbeiter ist nicht verpflichtet, sich in Zusammenhang mit der Erfüllung dieser Vereinbarung rechtlich beraten zu lassen und erbringt in Erfüllung dieser Vereinbarung auch keine Rechtsberatungsleistungen.

Weisungen des Verantwortlichen stehen im Einklang mit dem Regelungsgegenstand dieser Vereinbarung. Sollte dem Auftragsverarbeiter aus der Befolgung der Weisung ein Aufwand im Umfang von mehr als einer Arbeitsstunde entstehen, so ist der gesamte Aufwand vom Verantwortlichen zu vergüten.

Vertraulichkeit

Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

Datensicherheit

Der Auftragsverarbeiter ergreift alle gemäß Artikel 32 DSGVO zwingend erforderlichen Maßnahmen.

Der Auftragsverarbeiter erfüllt seine Pflicht dadurch, dass er die in Anhang 2 beschriebenen Sicherheitsmaßnahmen implementiert.

Der Auftragsverarbeiter wird den Verantwortlichen von jeder Verletzung des Schutzes personenbezogener Daten informieren, sofern dies Daten betrifft, die der Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet und durch die Verletzung ein Risiko für die Rechte und Freiheiten natürlicher Personen entsteht.

Diese Information hat unverzüglich zu erfolgen, sobald der Auftragsverarbeiter von einer solchen Verletzung Kenntnis erlangt und ist an jene Kontaktstelle zu richten, die der Verantwortliche schriftlich bekannt gegeben hat.

Die Information soll, soweit unter Berücksichtigung der Umstände möglich, Folgendes beinhalten:

  • die Art der Verletzung des Schutzes personenbezogener Daten
  • die Kategorien und ungefähre Zahl der betroffenen Personen
  • die Kategorien und ungefähre Zahl der betroffenen Datensätze
  • die wahrscheinlichen Folgen der Verletzung
  • die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung

Sub-Auftragsverarbeitung

Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter oder Sub-Auftragsverarbeiter. Der Verantwortliche hat die Möglichkeit, gegen solche Änderungen Einspruch zu erheben.

Erhebt der Verantwortliche innerhalb von zwei Wochen keinen Einspruch, gilt die Änderung als genehmigt.

Bei Erhebung eines Einspruchs erhält der Auftragsverarbeiter das Recht, die Vereinbarung unter Wahrung einer Frist von zwei Wochen zum Monatsletzten zu kündigen.

Wird ein Sub-Auftragsverarbeiter eingesetzt, werden diesem im Wege eines Vertrags dieselben Datenschutzpflichten auferlegt, insbesondere hinsichtlich geeigneter technischer und organisatorischer Maßnahmen.

Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung dieser Pflichten.

Unterstützung

Soweit möglich unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflichten im Zusammenhang mit Betroffenenrechten gemäß Kapitel III DSGVO.

Grundsätzlich erfolgt diese Unterstützung dadurch, dass eingehende Anträge von Betroffenen an den Verantwortlichen weitergeleitet werden.

Soweit zusätzliche Unterstützung erforderlich ist und der Auftragsverarbeiter diese erbringt, ist er berechtigt, hierfür eine angemessene Vergütung zu verlangen.

Darüber hinaus unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung seiner Pflichten gemäß Artikel 32–36 DSGVO, insbesondere durch die Maßnahmen zu Vertraulichkeit, Datensicherheit und Meldung von Datenschutzverletzungen.

Rückgabe von personenbezogenen Daten

Nach Wahl des Verantwortlichen löscht der Auftragsverarbeiter nach Abschluss der Verarbeitungsleistungen alle personenbezogenen Daten oder gibt diese zurück, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Für die Rückgabe der Daten kann ein angemessenes Entgelt verlangt werden.

Überprüfung

Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag festgelegten Pflichten zur Verfügung.

Vorangemeldete Überprüfungen können während der Geschäftszeiten durch einen unabhängigen Dritten durchgeführt werden, sofern diese den Geschäftsbetrieb nicht stören.

Die Kosten solcher Überprüfungen trägt der Verantwortliche. Für Leistungen des Auftragsverarbeiters im Zusammenhang mit solchen Überprüfungen kann eine angemessene Vergütung verlangt werden.

Alternativ kann der Auftragsverarbeiter mindestens alle drei Jahre eine Prüfung durch einen unabhängigen Dritten durchführen lassen und die Ergebnisse dem Verantwortlichen zur Verfügung stellen.

Haftung

Die Haftung beider Parteien ist auf grobes Verschulden beschränkt. Eine Haftung für bloße Vermögensschäden ist ausgeschlossen.

Der Verantwortliche haftet gegenüber dem Auftragsverarbeiter für die Rechtmäßigkeit aller erteilten Weisungen und stellt ihn hinsichtlich aller aus der Befolgung einer Weisung resultierenden Schäden und Nachteile klag- und schadlos.

Sonstiges

Änderungen dieser Vereinbarung sind ausschließlich in schriftlicher Form vorzunehmen. Dies gilt auch für dieses Schriftlichkeitsgebot.

Sollte eine Bestimmung dieser Vereinbarung ungültig oder unwirksam sein, wird sie – soweit gesetzlich zulässig – durch jene Bestimmung ersetzt, die wirtschaftlich der ungültigen oder unwirksamen Bestimmung am nächsten kommt.