ESTE Computerservice GmbH

Damit wir unter Einhaltung der EU-Datenschutz-Grundverordnung für Sie tätig sein dürfen, benötigen wir Ihre Unterstützung: Bitte ergänzen Sie die benötigten Informationen am Anfang, sowie am Ende des folgenden Vertrags und klicken anschließend auf „Vertrag zur Auftragsverarbeitung abschließen & weiter“ um den Vertrag abzuschließen. Nach Abschluss des Vertrags erhalten Sie eine Bestätigung per E-Mail (inkl. einer Version des Vertrags im PDF-Format). Sie werden anschließend automatisch auf die nächste Seite weitergeleitet.


Vertrag zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO

(im Folgenden „Vereinbarung“ genannt)

    Zwischen

    Vollständiger Name, bzw. Firma:

    Straße, Nr.:

    Postleitzahl:

    Ort:

    Land:

    - Auftraggeber –

    und

    ESTE Computerservice GmbH
    Westende 4
    21614 Buxtehude
    Deutschland

    - Auftragnehmer –

    über Auftragsverarbeitung i.S.d. Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO). Etwaige
    zwischen den Parteien zur alten Rechtslage geschlossenen Verträge (Auftragsdatenverarbeitung
    gemäß § 11 BDSG) werden beendet und durch diesen Vertrag ersetzt.

    Präambel
    Diese Vereinbarung konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich
    aus der im Hauptvertrag zur Leistungserbringung in ihren Einzelheiten beschriebenen
    Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag
    zur Leistungserbringung in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers
    oder durch den Auftragnehmer Beauftragte personenbezogene Daten (»Daten«) des Auftraggebers
    verarbeiten. Bei mehreren Hauptverträgen umfasst die Vereinbarung alle Auftragsverarbeitungen
    des Auftragnehmers, für die ein jeweiliger Vertrag zur Leistungserbringung mit dem Auftraggeber
    besteht.

    § 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
    Aus dem Hauptvertrag zur Leistungserbringung ergeben sich Gegenstand und Dauer des Auftrags
    sowie Art und Zweck der Verarbeitung. Im Einzelnen sind insbesondere die folgenden Daten
    Bestandteil der Datenverarbeitung:

    (1) Art der Daten:
    Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die der
    Auftragnehmer im Auftrag des Kunden verarbeitet. Insbesondere sind dies:
    a. Personenstammdaten (z.B. Name und Anschrift, Bild)
    b. Kommunikationsdaten (z.B. Telefon, E-Mail)
    c. Vertragsstammdaten (z.B. Abrechnungs- und Zahlungsdaten, Bankverbindung)
    d. Kundenhistorie
    e. Nutzungsdaten
    f. Kenndaten (z.B. Steueridentifikationsnummer, Umsatzsteuer-ID-Nummer, Steuernummer usw.)
    Hiervon umfasst sein können auch besondere Kategorien personenbezogener Daten.

    (2) Art und Zweck der Datenverarbeitung
    Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DS-GVO.
    Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung
    erforderlichen Zwecke. Dies sind insbesondere:
    a. Bereitstellung von IT-Infrastruktur, sowie Speicherung und Sicherung der Daten im Rahmen
    der Cloud-Hosting-Dienste des Auftragnehmers
    b. Diagnose und Wartung per Fernzugriff, bei denen eine Zugriffsmöglichkeit auf
    personenbezogene Daten nicht ausgeschlossen werden kann.

    (3) Kategorien betroffener Personen
    Kategorien betroffener Personen sind insbesondere
    c. Kunden, Interessenten des Auftraggebers
    d. Beschäftigte des Auftraggebers (z.B. Ansprechpartner)
    e. Personen, deren Daten der Auftragnehmer im Auftrag verarbeitet (z.B. Mieter,
    Vereinsmitglieder, Lieferanten)
    Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages zur
    Leistungserbringung, sofern sich aus den Bestimmungen dieser Vereinbarung nicht
    darüberhinausgehende Verpflichtungen ergeben.

    § 2 Anwendungsbereich und Verantwortlichkeit
    (1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies
    umfasst Tätigkeiten, die im Hauptvertrag zur Leistungserbringung und in der
    Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieser Vereinbarung
    für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die
    Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der
    Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO).

    (2) Die Weisungen werden anfänglich durch den Hauptvertrag zur Leistungserbringung festgelegt
    und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format
    (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert,
    ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Hauptvertrag zur
    Leistungserbringung nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt.
    Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

    § 3 Pflichten des Auftragnehmers
    (1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der
    Weisungen des Auftraggebers verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel
    28 Abs. 3 a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er
    der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer
    darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder
    abgeändert wurde.

    (2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so
    gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird
    technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des
    Auftraggebers treffen, die den Anforderungen der Datenschutz- Grundverordnung (Art. 32 DSGVO)
    genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen,
    die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im
    Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
    Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er
    trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein
    angemessenes Schutzniveau bieten.
    Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten,
    wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht
    unterschritten wird.

    (3) Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner
    Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel
    III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten.

    (4) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers
    befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die
    Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich
    die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit
    verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
    Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages
    fort.

    (5) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des
    Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer
    trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher
    nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem
    Auftraggeber ab.

    (6) Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des
    Hauptvertrages zur Leistungserbringung anfallende Datenschutzfragen.

    (7) Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO
    nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen
    und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
    einzusetzen.

    (8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der
    Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine
    datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung
    nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von
    Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den
    Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im
    Hauptvertrag zur Leistungserbringung bereits vereinbart.
    In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw.
    Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht
    im Hauptvertrag zur Leistungserbringung bereits vereinbart.

    (9) Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen
    des Auftraggebers entweder herauszugeben oder zu löschen.
    Im Falle von Test- und Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich.
    Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung
    der Daten, so trägt diese der Auftraggeber.

    (10) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
    etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber
    bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

    § 4 Pflichten des Auftraggebers
    (1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er
    in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher
    Bestimmungen feststellt.

    (2) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich
    etwaiger Ansprüche nach Art. 82 DS-GVO, gilt §3 Abs. 10 entsprechend.

    (3) Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des
    Hauptvertrages zur Leistungserbringung anfallende Datenschutzfragen.

    § 5 Nachweismöglichkeiten
    (1) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung
    niedergelegten Pflichten mit geeigneten Mitteln nach.

    (2) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten
    Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des
    Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit
    durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener
    Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten
    anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen
    abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem
    Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein
    Einspruchsrecht. Für die Unterstützung bei der Durchführung einer Inspektion darf der
    Auftragnehmer eine Vergütung verlangen. Der Aufwand einer Inspektion ist für den Auftragnehmer
    grundsätzlich auf einen max. einen Tag pro Kalenderjahr begrenzt.

    (3) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des
    Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine
    Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese
    Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der
    ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

    § 6 Subunternehmer (weitere Auftragsverarbeiter)
    (1) Der Einsatz von Subunternehmern als weiteren Auftragsverarbeiter ist nur zulässig, wenn der
    Auftraggeber vorher zugestimmt hat.

    (2) Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer weitere
    Auftragnehmer mit der ganzen oder einer Teilleistung der im Hauptvertrag zur
    Leistungserbringung vereinbarten Leistung beauftragt. Der Auftragnehmer wird mit diesen Dritten
    im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und
    Informationssicherheitsmaßnahmen zu gewährleisten. Nicht hierzu gehören Nebenleistungen, die
    der Auftragnehmer z.B. für Telekommunikationsleistungen, Post-/Transportdienstleistungen,
    Wartung oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der
    Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software in Anspruch
    nimmt, sofern ein Zugriff auf personenbezogene Daten ausgeschlossen werden kann.

    (3) Vor der Hinzuziehung weiterer oder der Ersetzung aufgeführter Subunternehmer informiert der
    Auftragnehmer den Auftraggeber. Der Auftraggeber kann der Änderung – innerhalb einer
    angemessenen Frist – aus wichtigem Grund – gegenüber der vom Auftraggeber bezeichneten
    Stelle widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur
    Änderung als gegeben.

    (4) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine
    datenschutzrechtlichen Pflichten aus dieser Vereinbarung dem Subunternehmer zu übertragen.

    § 7 Informationspflichten, Schriftformklausel, Rechtswahl
    (1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme,
    durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen
    Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu
    informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen
    unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich
    beim Auftraggeber als »Verantwortlicher « im Sinne der Datenschutz-Grundverordnung liegen.

    (2) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich
    etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die
    auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen
    Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt.
    Dies gilt auch für den Verzicht auf dieses Formerfordernis.

    (3) Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den
    Regelungen des Hauptvertrages zur Leistungserbringung vor. Sollten einzelne Teile dieser
    Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen
    nicht.

    (4) Es gilt deutsches Recht.

    § 8 Haftung und Schadensersatz
    (1) Eine zwischen den Parteien im Leistungsvertrag (Hauptvertrag zur Leistungserbringung)
    vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, außer soweit ausdrücklich
    etwas anderes vereinbart wurde.

    (2) Soweit keine Haftungsregelung vereinbart wurde, haften Auftraggeber und Auftragnehmer
    gegenüber betroffenen Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung.

     

    Gebe Sie Ihren vollständigen Namen ein:

    Geben Sie die E-Mail-Adresse ein, an die der AV-Vertrag geschickt werden soll:

    17. Januar 2025