§ 1 Geltungsbereich

(1) Dieser Auftragsverarbeitungsvertrag (im Folgenden „Vertrag“ bzw. „Auftrag“) regelt die Rechte und Pflichten des Verbandes der Haus-, Wohnungs- u. Grundeigentümer Freiburg e. V., Erbprinzenstraße 7, 79098 Freiburg, eingetragen im Vereinsregister des Amtsgerichts Freiburg unter der Nummer VR 476, vertreten durch Vorstände RA Manfred Harner und Benedikt Oberkirch (im Folgenden: „Auftragnehmer“) und ihres Kunden (im Folgenden: „Auftraggeber“) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag. Im Sinne des Datenschutzes ist der Auftraggeber der „Verantwortliche“, der Auftragnehmer der „Auftragsverarbeiter“ (im Folgenden auch „Parteien“ genannt).

(2) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer oder Mitarbeiter des Auftragnehmers personenbezogene Daten des Auftraggebers in dessen Auftrag verarbeiten.

(3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der Datenschutz-Grundverordnung (im Folgenden „DSGVO“) in ihrer jeweils aktuellen Fassung zu verstehen.

(4) Soweit Erklärungen im Folgenden in „Textform“ zu erfolgen sind, ist § 126b BGB gemeint.

§ 2 Gegenstand und Dauer des Auftrags

(1) Der Gegenstand des Auftrags zur Verarbeitung personenbezogener Daten wird im Hauptvertrag definiert. Der Auftragnehmer übernimmt entsprechend der Beauftragung im Hauptvertrag folgende Datenverarbeitungen:

Die zeitweise Verarbeitung von Vermieterdaten und etwaiger Mieterdaten in Formularen und Verträgen.

(2) Der Auftraggeber gewährleistet, dass die an den Auftragnehmer weitergegebenen und im Auftrag verarbeiteten Daten rechtmäßig erlangt wurden.

(3) Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von drei Monaten zum Monatsende gekündigt werden bzw. endet automatisch mit Beendigung des Hauptvertrages. Die Möglichkeit zur fristlosen Kündigung bleibt für beide Parteien hiervon unberührt. Wird der Auftrag vom Auftraggeber gekündigt, führt dies zugleich zur Beendigung des Hauptvertrages.

(4) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein grob fahrlässiger oder vorsätzlicher schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Verantwortlichen vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar. Im Fall eines fahrlässigen Verstoßes durch den Auftragnehmer ist der Auftraggeber nur zur fristlosen und außerordentlichen Kündigung berechtigt, wenn er den Auftragnehmer vor der Kündigung dazu aufgefordert hat, den Verstoß innerhalb einer angemessenen Frist abzustellen und der Auftragnehmer dieser Aufforderung nicht fristgemäß nachgekommen ist.

§ 3 Konkretisierung des Auftragsinhalts

(1) Die Art und der Zweck der verarbeiteten personenbezogenen Daten sowie die Kategorien der Betroffenen werden in Anlage 1 zu diesem Vertrag konkretisiert.

(2) Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

§ 4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich entsprechend der Weisungen des Auftraggebers, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zu einer anderen Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen als die in Anlage 1 genannten Zwecke, insbesondere nicht für eigene Zwecke. Der Auftragnehmer erhält weiterhin an den im Rahmen der Verarbeitung verarbeiteten Daten oder auch an den Ergebnissen der Datenverarbeitung keine wie auch immer gearteten Eigentums- oder auch nur Nutzungsrechte. Auch eine Anonymisierung der Daten in Verbindung mit einer darauffolgenden eigenen Verarbeitung seitens des Auftragnehmers findet nicht statt.

(3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

(4) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind und er die Grundsätze ordnungsgemäßer Datenverarbeitung beachtet. Der Auftragnehmer sichert zu, dass er keinen Grund zur Annahme hat, dass eine für ihn geltende Rechtsvorschrift ihn daran hindert, die vom Auftraggeber erhaltenen Weisungen oder Verpflichtungen aus diesem Vertrag zu erfüllen.

(5) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber – soweit erforderlich – bei der Erfüllung seiner datenschutzrechtlichen Pflichten, insbesondere bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten, bei Durchführung der Datenschutz-Folgenabschätzung und einer notwendigen Konsultation der Aufsichtsbehörde. Die erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

(6) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.

(7) Der Auftragnehmer leitet dem Auftraggeber Anfragen und geltend gemachte Rechte von Betroffenen unverzüglich weiter, ohne mit dem Betroffenen in Kontakt zu treten, außer der Auftragnehmer wurde ausdrücklich vom Auftraggeber zur Kontaktaufnahme angewiesen. Der Auftragnehmer stellt sicher, dass diese Pflicht dem Unterauftragnehmer in entsprechender Weise auferlegt wird.

(8) Sofern gesetzlich verpflichtet, benennt der Auftragnehmer einen fachkundigen und zuverlässigen Datenschutzbeauftragten. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Sofern kein Datenschutzbeauftragter ernannt wurde, hat der Auftragnehmer einen Ansprechpartner in Sachen Datenschutz zu benennen. Die Kontaktdaten des derzeitigen Datenschutzbeauftragten oder des für den Datenschutz zuständigen Ansprechpartners sind in Anlage 2 zu diesem Vertrag benannt. Änderungen hinsichtlich der Bestellung oder der Kontaktmöglichkeiten des Datenschutzbeauftragten bzw. des für den Datenschutz zuständigen Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

§ 5 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer verpflichtet sich, sämtliche entsprechend Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen (TOM) zu entsprechen. Der Mindeststandard der in den TOM zu beschreibenden Maßnahmen ist in Anlage 3 beigefügt. Der Auftraggeber bestätigt, dass diese zum Zeitpunkt des Vertragsschlusses im Sinne der DSGVO angemessen sind. Der Auftragnehmer sichert zu, die in Anlage 3 beschriebenen TOM implementiert zu haben. Für die Erstellung und Implementierung der TOM ist alleine der Auftragnehmer zuständig.

(2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau oder auch der anerkannte Stand der Technik nicht unterschritten wird. Erforderliche Änderungen, die der Aufrechterhaltung der Datensicherheit dienen, hat der Auftragnehmer unverzüglich umzusetzen.

(3) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

(4) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen (z. B. Backups), soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

(5) Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Hierzu wird der Auftragnehmer dem Auftraggeber hinreichende Garantien vorlegen, wie aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z. B. nach BSI-Grundschutz). Zum Nachweis der hinreichenden Garantien können auch die Einhaltung genehmigter Verhaltensregeln oder genehmigter Zertifizierungsverfahren herangezogen werden. Der Nachweis ist dem Auftraggeber auf Anforderung grundsätzlich alle 12 Monate, aber spätestens alle 24 Monate zu überlassen. Nachweise sind mindestens bis zum Ablauf von drei Kalenderjahren nach Beendigung der Auftragsverarbeitung aufzubewahren und dem Auftraggeber jederzeit auf Verlangen vorzulegen.

(6) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit und dem Datenschutz zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. Der Auftragnehmer wird seine Mitarbeiter auf weitergehende Geheimnisschutzregeln verpflichten, sofern der Auftraggeber derartigen weitergehenden Pflichten z. B. dem Sozialgeheimnis etc. unterliegt. Der Auftraggeber muss den Auftragnehmer zumindest in Textform entsprechend hierzu anweisen. Die Pflicht zur Vertraulichkeit besteht auch nach der Beendigung des Vertrages fort.

(7) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen werden angemessen regelmäßig wiederholt. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen sensibilisiert, angeleitet und überwacht werden.

§ 6 Berichtigung, Löschung und Sperrung von Daten

(1) Die im Auftrag verarbeiteten Daten wird der Auftragnehmer nur nach Weisung des Auftraggebers berichtigen, löschen oder sperren.

(2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

(3) Der Auftraggeber stellt den Auftragnehmer von jeglicher Haftung – auch seitens Dritter – frei, sofern die Daten entsprechend der Aufforderung berichtigt, gelöscht oder gesperrt wurden. Die Regelungen zur Beendigung in § 11 dieses Vertrages bleiben unberührt.

§ 7 Weisungen

(1) Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.

(2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen zumindest in Textform dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich zumindest in Textform dokumentiert bestätigen.

(3) Auftraggeber und Auftragnehmer können in Anlage 2 Personen mitteilen, die zur Erteilung und Annahme von Weisungen ausschließlich befugt sind.

(4) Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich zumindest in Textform dokumentiert mitzuteilen.

(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den zuständigen Beschäftigten beim Auftraggeber bestätigt oder geändert wird.

(6) Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

§ 8 Rechte und Pflichten des Auftraggebers

(1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.

(2) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

(3) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu kontrollieren. Die mit der Kontrolle betrauten Personen sind vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Der Auftragnehmer ist berechtigt, Kontrollen durch Dritte zu verweigern, soweit diese mit ihm in einem Wettbewerbsverhältnis stehen oder ähnlich gewichtige Gründe vorliegen.

(4) Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu den normalen Bürozeiten zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 24 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter § 5 Abs. 5 dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

(5) Der Auftraggeber ist berechtigt, Kopien dieses Vertrags an bestimmte Vertragspartner und Behörden weiterzugeben, um den Nachweis der Einhaltung gesetzlicher und/oder vertraglicher Pflichten zu erbringen, insbesondere Art. 28 Abs. 3 DSGVO. Vor Weitergabe entfernt der Auftraggeber durch Schwärzung etwaige vertrauliche Geschäftsinformationen aus der Kopie.

§ 9 Unterauftragsverhältnisse

(1) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen.

(2) Eine Beauftragung von Unterauftragnehmern durch den Auftragnehmer darf auf Grundlage einer allgemeinen schriftlichen Genehmigung des Auftraggebers vorgenommen werden, die er hiermit erteilt. Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder Ersetzung bestehender Unterauftragnehmer durch andere 30 Tage bevor diese Änderung stattfindet. Der Auftraggeber kann unter Angabe gewichtiger Gründe, die Anhaltspunkte für ein Unterschreiten des von der DSGVO vorgegebenen Datenschutzniveaus enthalten, Einspruch gegen die Änderung erheben mit der Konsequenz, dass die Änderung nicht stattfindet. Nachdem der Einspruch eingelegt wurde, bemühen sich beide Parteien um die Herbeiführung einer interessengerechten Einigung. Im Rahmen dessen kann auch ein Unterauftragnehmer als Alternative vorgeschlagen werden, dessen Dienstleistung im Vergleich zum abgelehnten Unterauftragnehmer gleichwertig ist und der insbesondere die an ihn adressierten Vorgaben aus Art. 28 DSGVO erfüllt.

(3) Sofern die Beauftragung von Unterauftragnehmern nach Maßgabe von Abs. 2 erlaubt ist, hat der Auftragnehmer sicherzustellen, dass die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden erst stattfindet, nachdem der Auftragnehmer mit dem Unterauftragnehmer einen schriftlichen Vertrag über die Unterbeauftragung abgeschlossen hat. Die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer müssen auch gegenüber dem Unterauftragnehmer gelten. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Unterauftragnehmern durchzuführen oder durch Dritte durchführen zu lassen. Der Auftragnehmer ist verpflichtet, dieses Recht des Auftraggebers vertraglich gegenüber dem Unterauftragnehmer zu regeln.

(4) Die Zuständigkeiten und Pflichten des Auftragnehmers und des Unterauftragnehmers sind eindeutig voneinander abzugrenzen.

(5) Der Auftragnehmer wählt den Unterauftragnehmer unter besonderer Berücksichtigung der Eignung der vom Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.

(6) Die Weiterleitung von im Auftrag verarbeiteten Daten an den Unterauftragnehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Unterauftragnehmer seine Verpflichtungen vollständig erfüllt hat. Der Auftragnehmer hat dem Auftraggeber die Dokumentation nach Aufforderung vorzulegen.

(7) Erbringt ein Unterauftragnehmer, dessen Beauftragung der Auftraggeber nach Abs. 2 zugestimmt hat oder diese genehmigt wurde, die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

(8) Der Auftragnehmer hat die Einhaltung der Pflichten des Unterauftragnehmers regelmäßig alle 12 Monate, aber spätestens alle 24 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber nach Aufforderung vorzulegen. Der Auftragnehmer bewahrt die Dokumentation über durchgeführte Prüfungen mindestens bis zum Ablauf des dritten Kalenderjahres nach Beendigung der Auftragsverarbeitung auf und legt diese dem Auftraggeber auf Verlangen jederzeit vor. Eigene Kontrollrechte des Auftraggebers bleiben hiervon unberührt.

(9) Kommt der Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.

(10) Der Einsatz von weiteren Unterauftragnehmern durch den Unterauftragnehmer ist im Rahmen dieser Verarbeitung im Auftrag nicht zulässig.

(11) Beide Parteien sind sich einig, dass Nebenleistungen, wie beispielsweise Transport und Reinigung der Geschäftsräume sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice keine Auftragsverarbeitung im Sinne dieses Vertrages sind, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständigen Verantwortlichen. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

(12) Zurzeit sind die in Anlage 4 mit Namen, Anschrift und Auftragsinhalt bezeichneten Unterauftragnehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt und durch den Auftraggeber hiermit genehmigt. Die hier niedergelegten sonstigen Pflichten des Auftragnehmers gegenüber Unterauftragnehmern bleiben unberührt.

§ 10 Mitteilungspflichten

(1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes im Auftrag verarbeiteter personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle sind mitzuteilen. Die Mitteilung hat unverzüglich ab Kenntnis des Auftragnehmers vom relevanten Ereignis an den in Anlage 2 genannten Ansprechpartner im Datenschutz zu erfolgen. Sie muss mindestens folgende Angaben enthalten:

• a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
• b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
• c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
• d) eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

(2) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung. Zudem bedarf es der Mitteilung von Verstößen des Unterauftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen gemäß Abs. 1.

(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

(4) Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 DSGVO im erforderlichen Umfang zu unterstützen.

§ 11 Beendigung des Auftrags

(1) Befinden sich bei Beendigung des Auftragsverhältnisses noch personenbezogene Daten oder Kopien derselben noch in der Verfügungsgewalt des Auftragnehmers, hat dieser nach Wahl des Auftraggebers die Daten entweder zu löschen bzw. vernichten oder an den Auftraggeber zu übergeben. Der Auftragnehmer kann von einer Löschung bzw. Vernichtung absehen, sofern gesetzliche Aufbewahrungspflichten bestehen, die ihn zur Speicherung der Daten verpflichten. In diesem Fall hat der Auftragnehmer den Auftraggeber unter Verweis auf die gesetzliche Aufbewahrungspflicht über die weitergehende Speicherung unverzüglich zu unterrichten und sicherzustellen, dass die Weiterverarbeitung der betreffenden Daten auf den Zweck der Wahrung der gesetzlichen Aufbewahrungspflicht beschränkt ist.

(2) Der Auftraggeber hat dem Auftragnehmer innerhalb von zwei (2) Wochen in Textform mitzuteilen, ob die Daten zu löschen bzw. vernichten sind oder übergeben werden. Die Löschung bzw. Vernichtung hat so zu erfolgen, dass eine Wiederherstellung mit vertretbarem Aufwand nicht mehr möglich ist.

(3) Der Auftragnehmer ist verpflichtet, die unverzügliche Vernichtung bzw. Rückgabe auch bei Unterauftragnehmern herbeizuführen.

(4) Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber nach Aufforderung unverzüglich vorzulegen.

(5) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer mindestens bis zum Ablauf des dritten Kalenderjahres nach Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber übergeben.

(6) Der Auftraggeber stellt den Auftragnehmer von jeglicher wie auch immer gearteter Haftung – auch gegenüber Dritten – in Bezug auf die gelöschten bzw. vernichteten Daten frei, sofern die durchgeführte Löschung bzw. Vernichtung der personenbezogenen Daten der Aufforderung des Auftraggebers entsprach.

§ 12 Vergütung

(1) Für im Rahmen der Verarbeitung im Auftrag gesondert entstehende Aufwände kann der Auftragnehmer eine angemessene Vergütung verlangen.

(2) Eine Vergütung ist in allen Fällen ausgeschlossen, bei denen der Mehraufwand dadurch entsteht, dass der Auftragnehmer gegen anwendbares Recht oder gegen Regelungen des hiesigen Vertrages verstoßen hat.

§ 13 Sonstiges

(1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

(2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

(3) Für die Wirksamkeit von Nebenabreden ist die Schriftform und die ausdrückliche Bezugnahme auf diese Vereinbarung erforderlich.

(4) Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

(5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Anlage 1 – Angaben zur Datenverarbeitung (zu § 3 Abs. 1)

1. Art, Zweck, Ort und Betroffene der Datenverarbeitung

a) Art und Zweck der Verarbeitung

Der Umfang der Verarbeitung wird im Hauptvertrag definiert. Die Verarbeitung im Auftrag umfasst je nach beauftragtem Umfang im Hauptvertrag u. a. die folgenden Datenverarbeitungen:

– Erstellung von Formularen und Verträgen

Die Verarbeitung dient den folgenden Zwecken: Anbahnung des Mietverhältnisses zwischen Auftraggeber und potenziellem Mieter.

b) Art der Daten

Es werden die folgenden Arten von personenbezogenen Daten verarbeitet:

• Adressdaten
• Kontaktdaten

c) Ort der Verarbeitung

Der Auftragnehmer erbringt die vereinbarte Leistung an einem Leistungsort innerhalb der EU bzw. des EWR.

2. Kategorien der betroffenen Personen

Potenzielle Mieter des Auftraggebers.

Anlage 2 – Kontaktdaten (zu § 4 Abs. 8 und § 7 Abs. 3)

1. Die für den Datenschutz zuständigen Ansprechpartner (zu § 4 Abs. 8)

Die Kontaktdaten des Datenschutzbeauftragten beim Auftragnehmer:
Vor- und Nachname: RA Stephan Konrad
E-Mail-Adresse: verband@haus-grund-freiburg.de
Telefonnummer: 0761 380560

Änderungen hinsichtlich der Benennung oder der Kontaktmöglichkeiten sind dem Auftraggeber unverzüglich mitzuteilen.

2. Erteilung und Entgegennahme von Weisungen (zu § 7 Abs. 3)

Weisungsbefugte Personen beim Auftraggeber: dieser selbst bzw. dessen gesetzliche Organe.
Annahmebefugte Personen beim Auftragnehmer: RA Manfred Harner.

Anlage 3 – Übersicht der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO (zu § 5 Abs. 1)

Verantwortliche für die Datenverarbeitung sind gem. Art. 32 DSGVO verpflichtet, technische und organisatorische Maßnahmen zu treffen, durch die die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet wird. Maßnahmen müssen dabei so gewählt sein, dass durch sie in der Summe ein angemessenes Schutzniveau sichergestellt wird. Diese Übersicht erläutert vor diesem Hintergrund, welche konkreten Maßnahmen durch den Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten im konkreten Fall getroffen wurden. Durch diese Übersicht soll der Nachweis der Beachtung der datenschutzrechtlichen Vorschriften durch Auftragnehmer geführt werden.

1. Pseudonymisierung von Daten (Art. 32 Abs. 1 lit. a) DSGVO

Auftragnehmer stellt sicher, dass – soweit die technischen Abläufe dies zulassen – bei personenbezogenen Daten wesentliche Identifizierungsmerkmale durch einen Schlüssel ersetzt werden, mit dem bei Bedarf wieder einen Personenbezug hergestellt werden kann (Pseudonymisierung).

• Einsatz von Benutzer-IDs, Aliasnamen und internen Kennungen, wo eine direkte Identifikation nicht erforderlich ist.
• Trennung der Zuordnungstabelle (ID ↔ Personendaten) von den produktiven Fachdaten, sofern technisch sinnvoll.

2. Verschlüsselung personenbezogener Daten (Art. 32 Abs. 1 lit. a) DSGVO

Auftragnehmer gewährleistet, dass personenbezogene Daten nur gesichert gespeichert werden, indem eine angemessene Verschlüsselung erfolgt.

• TLS-/SSL-Verschlüsselung aller webbasierten Zugriffe (HTTPS).
• Verschlüsselte Übertragung innerhalb der Hosting-Umgebung, soweit technisch möglich.
• Einsatz verschlüsselter Dienste für Passwörter, Zugangsdaten und vertrauliche Dokumente (z. B. Passwort-Manager, Buchhaltungssysteme).

3. Vertraulichkeit der Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO

a) Zutrittskontrolle

Auftragnehmer trifft Maßnahmen, um zu verhindern, dass unbefugte Personen Zutritt (räumlich zu verstehen) zu Datenverarbeitungsanlagen erhalten, mit denen personenbezogene Daten verarbeitet werden.

• Nutzung gesicherter Büroräume (Schließsysteme, abschließbare Schränke).
• Regelungen zur Schlüssel- bzw. Zugangskartenverwaltung.
• Auswahl und Einweisung von Dienstleistern (z. B. Reinigung) unter Vertraulichkeitsgesichtspunkten.
• Rechenzentrums-Sicherheit (physische Zutrittskontrolle) über den Hosting-Provider maxcluster.

b) Zugangskontrolle

Auftragnehmer trifft Maßnahmen, um zu verhindern, dass Datenverarbeitungsanlagen von Unbefugten benutzt werden können.

• Individuelle Benutzerkonten für Mitarbeiter mit persönlichem Login.
• Passwort-Richtlinien (Mindestlänge, Komplexität, regelmäßiger Wechsel).
• Sperrung von Konten bei Austritt eines Mitarbeiters oder Rollenwechsel.
• Einsatz von Firewall-Systemen und Virenschutz.
• Trennung von Admin- und Standardkonten.

c) Zugriffskontrolle

Auftragnehmer gewährleistet, dass die zur Benutzung von IT-Infrastruktur berechtigten Nutzer ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind, und dass personenbezogene Daten bei der Verarbeitung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können.

• Detailliertes Berechtigungskonzept mit rollenbasiertem Zugriff.
• Zentrale Verwaltung der Zugriffsrechte durch Administratoren.
• Regelmäßige Überprüfung der vergebenen Berechtigungen (insbesondere bei organisatorischen Änderungen).
• Protokollierung von administrativen Zugriffen und sicherheitsrelevanten Aktionen.
• Sichere Löschung bzw. Vernichtung von Datenträgern und Ausdrucken.

d) Weitergabekontrolle

Auftragnehmer verhindert, dass personenbezogene Daten bei der elektronischen Übertragung oder beim Transport oder bei der Speicherung auf Datenträgern unbefugt gelesen, kopiert, verändert oder gelöscht werden können, und dass festgestellt werden kann, an welchen Stellen eine Übermittlung solcher Daten im IT-System vorgesehen ist.

• Verschlüsselte Übertragung via HTTPS.
• Verschlüsselter E-Mail-Versand bzw. gesicherte Kommunikationskanäle, sofern personenbezogene Daten enthalten sind.
• Beschränkung des Exports personenbezogener Daten auf notwendige Fälle; Downloads nur über gesicherte Zugänge.

4. Integrität der Datenverarbeitung (Art. 32 Abs. 1 lit. b) DSGVO

a) Eingabekontrolle

Auftragnehmer stellt sicher, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten eingegeben, verändert oder gelöscht worden sind.

• Protokollierung von Änderungen in den relevanten Systemen (Shopware 6, Portal).
• Einsatz von Benutzerkennungen (kein Arbeiten mit Gruppenkonten).
• Berechtigungen für Erfassung, Änderung und Löschung nur nach Rollen-/Aufgabenprofil.

b) Auftragskontrolle

Auftragnehmer stellt sicher, dass personenbezogene Daten, die im Auftrag verarbeitet werden, gemäß den Weisungen des Auftraggebers verarbeitet werden.

• Abschluss von Auftragsverarbeitungsverträgen mit Unterauftragnehmern (z. B. maxcluster).
• Schriftliche Weisungen des Auftraggebers (Haus & Grund) werden dokumentiert und umgesetzt.
• Verpflichtung aller Mitarbeitenden auf Vertraulichkeit / Datengeheimnis.
• Regelmäßige Überprüfung der eingesetzten Dienstleister und ihrer Sicherheitsmaßnahmen.

c) Zweckbindung und Trennungsgebot

Auftragnehmer stellt sicher, dass personenbezogene Daten, die zu unterschiedlichen Zwecken erhoben wurden, immer nur im Rahmen der jeweiligen Zweckbindung genutzt werden und getrennt verarbeitet werden können.

• Physische Trennung auf getrennten Systemen bzw. Mandanten.
• Logische Mandantentrennung in den eingesetzten Anwendungen (insbesondere Shopware 6) durch Berechtigungskonzepte.
• Trennung von Produktiv- und Testsystemen.
• Kennzeichnung von Datensätzen mit Zweck- oder Mandantenattributen.
• Getrennte Speicherung von Zuordnungsdateien bei pseudonymisierten Daten.

5. Verfügbarkeit von personenbezogenen Daten (Art. 32 Abs. 1 lit. b) DSGVO

Auftragnehmer stellt sicher, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden.

• Personenbezogene Daten werden ausschließlich auf Servern innerhalb der EU bzw. Deutschlands verarbeitet.
• Es bestehen Backup- und Notfallkonzepte: tägliche Datensicherungen, redundante Systeme und definierte Prozesse zur Wiederherstellung.
• Der Zugriff auf Systeme im Rechenzentrum ist auf autorisierte Personen beschränkt; Zutritts- und Zugangskontrollen werden durch maxcluster umgesetzt.

6. Belastbarkeit der Systeme und Dienste (Art. 32 Abs. 1 lit. b) DSGVO

Auftragnehmer gewährleistet, dass seine Systeme und Dienste so ausgelegt sind, dass sie eine angemessene Datenverarbeitung ermöglichen.

• Regelmäßige Datensicherungen (Backups) der relevanten Systeme und Datenbanken.
• Getrennte und gesicherte Aufbewahrung der Backups (z. B. anderer Brandabschnitt / Storage im Rechenzentrum).
• Monitoring der Server und Dienste (Statusüberwachung, Alarmierung bei Ausfällen).
• Dokumentierte Verfahren zur Wiederherstellung von Systemen und Daten nach Störungen (Disaster Recovery).
• Nutzung einer skalierbaren Hosting-Umgebung, die bei Bedarf zusätzliche Ressourcen bereitstellen kann.

7. Wiederherstellung von Daten (Art. 32 Abs. 1 lit. c) DSGVO

Auftragnehmer stellt sicher, dass für den Fall eines Datenverlustes die verlorenen Daten wiederbeschafft werden können.

• Es bestehen Backup- und Notfallkonzepte: tägliche Datensicherungen, redundante Systeme und definierte Prozesse zur Wiederherstellung.

8. Überprüfung, Bewertung und Evaluation (Art. 32 Abs. 1 lit. d) DSGVO

a) Überprüfung der Maßnahmen

Die getroffenen Maßnahmen müssen regelmäßig auf einen Anpassungsbedarf geprüft werden.

• Regelmäßige Datensicherungen (Backups) der relevanten Systeme und Datenbanken.
• Getrennte und gesicherte Aufbewahrung der Backups (z. B. anderer Brandabschnitt / Storage im Rechenzentrum).
• Die in dieser Anlage beschriebenen technischen und organisatorischen Maßnahmen werden regelmäßig – mindestens alle zwei Jahre sowie anlassbezogen – überprüft und bei Bedarf angepasst.

b) Bewertung und Evaluation der Maßnahmen

Das Ergebnis der Überprüfung (siehe oben) muss bewertet werden; über die bestehenden Maßnahmen hinaus sind etwaige Anpassungen zu bewerten und umzusetzen.

• Änderungen in der Systemlandschaft (z. B. neue Dienste, neue Hosting-Setups) werden datenschutzrechtlich bewertet, und die Maßnahmen werden entsprechend erweitert oder aktualisiert.
• Der Auftragnehmer dokumentiert wesentliche Änderungen und stellt dem Auftraggeber auf Anfrage eine aktualisierte Fassung der technischen und organisatorischen Maßnahmen zur Verfügung.

9. Unterweisung der unterstellten Mitarbeiter (Art. 32 Abs. 4 DSGVO)

Durch Auftragnehmer ist sicherzustellen, dass alle Mitarbeiter, die mit der Datenverarbeitung befasst sind, über die bestehenden Verpflichtungen und die einzuhaltenden Maßnahmen informiert sind (Unterweisung).

• Verpflichtung aller Mitarbeitenden auf Vertraulichkeit / Datengeheimnis.

Anlage 4 – Zustimmung zur Beauftragung von Unterauftragnehmern (zu § 9 Abs. 12)

Der Auftraggeber stimmt der Beauftragung folgender Unterauftragnehmer durch den Auftragnehmer zu: