I S S O H Q

Vertrag zur Auftragsverarbeitung (AVV)

 Präambel
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im Vertrag in ihren
Einzelheiten beschriebenen Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag
in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte mit
personenbezogenen Daten des Auftraggebers in Berührung kommen können.
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsdatenverarbeitung
Aus dem Vertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Umfang und Art der Datenerhebung,
-verarbeitung oder -nutzung. Der AVV bezieht sich ausschließlich auf die Einrichtung, den Betrieb und die Beendigung der von der
Scavix Software bereitgestellten Applikationen (SaaS). Darüberhinausgehende Services, wie Marketing, Vertrieb, IncidentHandling, Rechnungstellung, etc. sind Funktionen in der Service Provider Rolle der Scavix Software.
Im Einzelnen sind insbesondere die folgenden Daten Bestandteil der Datenverarbeitung:

Art der Daten Zweck der Datenerhebung,
-verarbeitung oder -nutzung
Kreis der Betroffenen
Kundenstammdaten: Vertragsstammdaten
(Vertragsbeziehung, Produkt- bzw.
Vertragsinteresse).
Kunden-Registrierung,
Technischer Betrieb, Konto
löschen, Auskunftsersuchen
Kunden, Apps
Test-Kunden, Kunden,
Nutzer
Konfigurationsdaten: Personenstammdaten,
Nutzungsdaten (Teilnehmerdaten,
Ausstattung Hardware & Software
Rufnummern, Regeln, etc.)
Kunden-Registrierung,
Technischer Betrieb, Konto
löschen, Auskunftsersuchen
Kunden, Apps
Test-Kunden, Kunden,
Nutzer
Betriebsdaten: Inhaltsdaten Technischer Betrieb, Konto
löschen, Auskunftsersuchen
Kunden, Apps
Test-Kunden, Kunden,
Nutzer

Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieser Anlage nicht
darüber hinausgehende Verpflichtungen ergeben.
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im
Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung

Ein Produkt der:
Scavix Software GmbH & Co. KG
German High Quality Software Engineering
www.scavix.com
Dörmter Straße 6, D-29588 Oetzen, Germany
Amtsgericht Lüneburg, HRA 201713
Pers. haftende Gesellschafterin:
Scendix Software und Verwaltungs GmbH
Amtsgericht Lüneburg, HRB 208062
www.issohq.com
der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den
Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (
»verantwortliche Stelle« im Sinne des
§ 3 Abs. 7 BDSG).
(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form
oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die
vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf Daten von Betroffenen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers erheben,
verarbeiten oder nutzen.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den
besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum
angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen des Bundesdatenschutzgesetzes (Anlage zu §
9 BDSG) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit,
Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer
sicherstellen. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt (siehe Anhang Technischorganisatorische Maßnahmen der Scavix Software GmbH & Co. KG) und er trägt die Verantwortung dafür, dass diese für die Risiken
der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein
muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(3) Der Auftragnehmer stellt auf Anforderung dem Auftraggeber die für die Übersicht nach § 4g Abs. 2 S. 1 BDSG notwendigen
Informationen zur Verfügung, sofern er sie sich nicht selbst beschaffen kann.
(4) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und
anderen für den Auftragnehmer tätigen Personen per Verpflichtung untersagt ist, die Daten unbefugt zu erheben, zu verarbeiten
oder zu nutzen (Datengeheimnis entsprechend § 5 BDSG). Das Datengeheimnis besteht auch nach Beendigung des Auftrages fort.
(5) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Verstößen des Auftragnehmers oder der
bei ihm im Rahmen des Auftrags beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten des
Auftraggebers oder die im Vertrag getroffenen Festlegungen. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und
zur Minderung möglicher nachteiliger Folgen der Betroffenen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Der
Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Informationspflichten nach § 42a BDSG.
(6) Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende
Datenschutzfragen.
(7) Der Auftragnehmer gewährleistet, seinen Pflichten nach §§ 4f, 4g BDSG nachzukommen (§ 11 Abs. 2 Nr. 5 i.V.m. § 11 Abs. 4
BDSG), wie z.B. seiner Pflicht, einen Datenschutzbeauftragen zu bestellen, soweit vom Gesetz vorgeschrieben.
(8) Der Auftragnehmer verwendet die überlassenen Daten für keine anderen Zwecke als die der Vertragserfüllung.
(9) Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist.
Die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien übernimmt der Auftragnehmer auf Grund
einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu
bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.

Ein Produkt der:
Scavix Software GmbH & Co. KG
German High Quality Software Engineering
www.scavix.com
Dörmter Straße 6, D-29588 Oetzen, Germany
Amtsgericht Lüneburg, HRA 201713
Pers. haftende Gesellschafterin:
Scendix Software und Verwaltungs GmbH
Amtsgericht Lüneburg, HRB 208062
www.issohq.com
(10) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des
Auftraggebers entweder herauszugeben oder zu löschen.
Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der
Auftraggeber.
§ 4 Pflichten des Auftraggebers
(1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen
Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
(2) ) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art.
82 DS-GVO, gilt §3 Abs. 10 entsprechend.
§ 5 Anfragen Betroffener
(1) Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur
Erhebung, Verarbeitung oder Nutzung von Daten dieser Person zu erteilen, wird der Auftragnehmer den Auftraggeber dabei
unterstützen, diese Informationen bereit zu stellen. Dies setzt voraus, dass der Auftraggeber den Auftragnehmer hierzu schriftlich
oder in Textform aufgefordert hat und der Auftraggeber dem Auftragnehmer die durch diese Unterstützung entstandenen Kosten
erstattet. Der Auftragnehmer wird keine Auskunftsverlangen beantworten und den Betroffenen insoweit an den Auftraggeber
verweisen.
(2) Wendet sich ein Betroffener mit Forderungen zur Berichtigung, Löschung oder Sperrung an den Auftragnehmer, wird der
Auftragnehmer den Betroffenen an den Auftraggeber verweisen.
§ 6 Kontrollpflichten
(1) Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und
organisatorischen Maßnahmen des Auftragnehmers und dokumentiert das Ergebnis.
Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich ein ggf. vorhandenes Testat eines Sachverständigen vorlegen
lassen oder nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich prüfen
oder durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer
steht.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle
Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle erforderlich sind.
§ 7 Subunternehmer
(1) Die Weitergabe von Daten im Rahmen der in dem Vertrag vereinbarten Tätigkeiten an Subunternehmer durch den
Auftragnehmer bedarf der schriftlichen Zustimmung des Auftraggebers. Der Auftragnehmer wird Subunternehmer nach deren
Eignung sorgfältig auswählen.

Ein Produkt der:
Scavix Software GmbH & Co. KG
German High Quality Software Engineering
www.scavix.com
Dörmter Straße 6, D-29588 Oetzen, Germany
Amtsgericht Lüneburg, HRA 201713
Pers. haftende Gesellschafterin:
Scendix Software und Verwaltungs GmbH
Amtsgericht Lüneburg, HRB 208062
www.issohq.com
(2) Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung eines
Subunternehmers durchgeführt, nämlich:

Name und Anschrift des Subunternehmers Beschreibung der Teilleistungen
Hetzner Online GmbH (D) Hosting im Rechenzentrum in Deutschland

(3) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine Pflichten aus diesem Vertrag
dem Subunternehmer zu übertragen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und
Datensicherheit zwischen den Vertragspartnern dieses Vertrages. Eine etwaige Prüfung durch den Auftraggeber beim
Subunternehmer erfolgt nur in Abstimmung mit dem Auftragnehmer.
Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die datenschutzrelevanten
Verpflichtungen des Subunternehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen.
Der Auftraggeber kann nicht ohne wichtigen datenschutzrechtlichen Grund diesem Ansinnen widersprechen.
(4) Ein zustimmungspflichtiges Subunternehmerverhältnis liegt nicht vor, wenn der Auftragnehmer Dritte im Rahmen einer
Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei externem Personal, Post- und Versanddienstleistungen oder
Wartung.
Der Auftragnehmer wird mit diesem Dritten im erforderlichen Umfang Vereinbarungen treffen, um einen angemessenen
Datenschutz zu gewährleisten.
§ 8 Informationspflichten, Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder
Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den
Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen
unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als
verantwortlicher Stelle“ im Sinne des Bundesdatenschutzgesetzes liegen.
(2) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des
Auftragnehmers – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine
Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten
einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
(4) Es gilt deutsches Recht.
§ 9. Haftung und Schadensersatz
Eine zwischen den Parteien im Hauptvertrag vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung.
Stand: September 2020


Kundenservice

Made with ♥ and passion in Northern Germany