Vereinbarung über die Verarbeitung von Daten im Auftrag (AVV)

Zwischen

Auftraggeber

und

Compa Construction Solutions GmbH, Rosenthaler Str. 13, 10119 Berlin

- nachfolgend „Auftragnehmer“-

wird vereinbart:

 

1. Gegenstand und Merkmale derDatenverarbeitung im Auftrag
  1. Diese AV-Vereinbarung regelt den Umgang mit personenbezogenen Daten durch den Auftragnehmer im Rahmen des zwischen den Parteien geschlossenen Leistungsvertrags (nachfolgend „Leistungsvertrag“). Die AV-Vereinbarung gilt hinsichtlich des Umgangs mit personenbezogenen Daten vorrangig vor demLeistungsvertrag, bestehenden Geheimhaltungs- oder gesetzlichen Aufbewahrungspflichten des Auftragnehmers. Der Auftragnehmer verarbeitet die personenbezogenen Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 Datenschutz-Grundverordnung (DSGVO).
  2. Gegenstand, Umfang, Art und Zweck der Datenverarbeitung ergeben sich aus dem Leistungsvertrag. Die Art der Verarbeitung und die Kategorien der Betroffenen sind in Anlage 1 zu dieser Vereinbarung geregelt.
  3. Die Laufzeit dieserAV-Vereinbarung entspricht der des Leistungsvertrags.
  4. Jede Übermittlung oder sonstige Verlagerung der Daten in ein Drittland erfolgt nur, wenn die besonderen gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
2. Rechte und Pflichten desAuftraggebers
  1. Verantwortung für Datenverarbeitung
    Der Auftraggeber bleibt ausschließlich berechtigt, über die Verarbeitung der Daten zu bestimmen. Der Auftraggeber trägt die Verantwortung für die Verarbeitung und ist gegenüber Dritten für die Einhaltung der Vorschriften der Datenschutzgesetze verantwortlich. Der Auftraggeber hat die datenschutzrechtliche Zulässigkeit der Auftragsdatenverarbeitung und des Auftrages eigenverantwortlich selbst zu beurteilen. Ist der Auftraggeber der Meinung, die Verarbeitung durch den Auftragnehmer verstoße gegen Pflichten des Auftraggebers, so hat er denAuftragnehmer hierauf hinzuweisen und eine rechtskonforme Datenverarbeitung durch entsprechende Weisungen sicherzustellen.
  2. Mitteilungen, Unterstützung
    Im Falle eines unmittelbaren Auskunftsverlangens, Hinweises, einer Warnung oder Anweisung der Aufsichtsbehörde gemäß Art. 58 DSGVO gegenüber dem Auftragnehmer, hat der Auftraggeber den Auftragnehmer zu unterstützen und sicherzustellen, dass dem behördlichen Verlangen im Einklang mit dieser AV-Vereinbarung Folge geleistet werden kann.
3. Pflichten des Auftragnehmers
  1. Bindung an Weisungen
    1. Der Auftragnehmer verarbeitet die personenbezogenen Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und gemäß den Weisungen des Auftraggebers. Dem Auftraggeber steht einumfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung zu, das er durch Einzelweisungen konkretisieren kann; unberührt davon bleiben gesetzliche Verpflichtungen des Auftragnehmers (z.B. bei Ermittlungen vonStrafverfolgungs- oder Staatsschutz-behörden); in einem solchen Fall teilt derAuftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2lit. a) DSGVO).
    2. Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen schriftlich oder in Textform über die vereinbarten Kommunikationskanäle. Mündlich erteilte Weisungen wird der Auftraggeber unverzüglich mindestens in Textform bestätigen.
    3. Verstößt eine Weisung oder eine beauftragte Datenverarbeitung gegen datenschutzrechtliche Vorschriften, so wird der Auftragnehmer den Auftraggeber darüber informieren und die Weisung ggf. nicht durchführen.
    4. Der Auftragnehmer verwendet die Daten für keine anderen als die hier vereinbarten Zwecke und ist insbesondere nicht berechtigt, Daten unbefugt an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer vertragsgemäßen Datenverarbeitung erforderlich sind, sowie Speicherungen von Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
  2. Datengeheimnis und Verpflichtungzur Vertraulichkeit
    1. Der Auftragnehmer stellt sicher, dass sämtliche seiner Mitarbeiter, die auftragsgemäß auf personenbezogene Datendes Auftraggebers zugreifen können oder sonst Kenntnis von Daten des Auftraggebers erlangen, vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut gemacht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet sind (Art. 28 Abs. 3 Satz 2lit. b und Art. 29 DSGVO).
    2. Sonstige Dritte, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, sind entsprechend zur Vertraulichkeit zu verpflichten. Der Auftragnehmer stellt durch geeignete Maßnahmen sicher, dass Dritte, die Zugang zu den Daten des Auftraggebers haben, diese nicht über die zwischen den Vertragspartnern vereinbarten Verarbeitungsvorgänge hinaus verarbeiten und dass den Weisungen und Vorgaben des Auftraggebers nach diesem Vertrag auch durch die Dritten Folge geleistet wird.
  3. Technische und organisatorische Maßnahmen
    1. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.
    2. Der Auftragnehmer verpflichtet sich zur Umsetzung und Einhaltung der in Anlage 2 beschriebenen technischen und organisatorischen Maßnahmen (TOM) und gewährleistet, dass diese unterBerücksichtigung der Anforderungen des Art. 32 DSGVO festgelegt wurden und damit die Schutzziele wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt ist, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauereingedämmt wird. Der Auftragnehmer gewährleistet außerdem ein für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau. Der Auftragnehmer legt auf Anforderung des Auftraggebers die näheren Umstände offen, soweit keine vorrangigen schutzwürdigen Interessen, insbesondere Geheimhaltungsinteressen, des Auftragnehmers gegen die Offenlegung überwiegen.
    3. Der Auftraggeber ist verpflichtet, dem Auftragnehmer vor Vertragsschluss und während dessen Laufzeit rechtzeitig alle erforderlichen Informationen bereitzustellen, die der Auftragnehmer für die Berücksichtigung der Anforderungen des Art. 32 DSGVO benötigt. Der Auftraggeber weist gesondert darauf hin, wenn besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO verarbeitet werden sollen oder sich aus anderen Gründen Besonderheiten ergeben, insbesondere eine erhöhte Eintrittswahrscheinlichkeit oder Schwere des Risikos für die Rechte und Freiheiten der Betroffenen besteht.
    4. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden.
    5. Der Auftragnehmer kann gegenüber dem Auftraggeber die Umsetzung seiner technischen und organisatorischen Maßnahmen auch durch Vorlage aktueller Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. gemäß ISO 27001) nachweisen.
  4. Einschaltung von Unterauftragnehmern
    1. Die Beauftragung von Unterauftragnehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit gesonderter oder allgemeiner Zustimmung des Auftraggebers gestattet (Art. 28 Abs. 2 DSGVO).
    2. Freigegebene Unterauftragnehmer sind in Anlage 3 aufgeführt.
    3. Im Übrigen erteilt derAuftraggeber mit Abschluss dieser Vereinbarung seine allgemeine Genehmigung zur Einschaltung von Unterauftragnehmern durch den Auftragnehmer. Der Auftragnehmer informiert den Auftraggeber über eine öffentlich einsehbare Liste über jede beabsichtigte Hinzuziehung, Änderung oder Ersetzung vonUnterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegenderartige Änderungen Einspruch zu erheben. Der Einspruch durch den Auftraggebererfolgt unverzüglich, spätestens innerhalb von einem Monat ab Kenntnis.
    4. Der Auftragnehmer trägt Sorge dafür, dass er Unterauftragnehmer unter Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne vonArt. 32 DSGVO sorgfältig auswählt. Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44ff. DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, anerkannte Standarddatenschutz­klauseln, genehmigte Verhaltensregeln).
    5. Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen dem Auftraggeber und dem Auftragnehmer auch gegenüber Unterauftragnehmern gelten. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen undInspektionen, auch vor Ort, bei Unterauftragnehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. Der Auftraggeber hat dasRecht, vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und dieUmsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichen falls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.
    6. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die für die Leistungserbringung erforderlich sind, zur allgemeinanerkannten und üblichen Betriebsorganisation gehören und deren Einsatz für denAuftraggeber vorhersehbar sind (z. B. Telekommunikationsleistungen, Reinigungskräfte, etc.), auch wenn die Kenntnisnahme personenbezogener Daten im Einzelfall nicht ausgeschlossen werden kann. Der Auftragnehmer bleibt verpflichtet, angemessene und zumutbare Maßnahmen zur Gewährleistung des Schutzes und der Sicherheit der personenbezogenen Daten des Auftraggebers zutreffen.
  5. Mitwirkung bei Beantwortung der Betroffenenrechte
    1. Die Wahrung der Betroffenenrechte gemäß Art. 12 - 22 DSGVO ist alleinige Verantwortung von Auftraggeber.
    2. Der Auftragnehmer ist im Rahmender Erfüllung der Informationspflichten gemäß Art. 12 bis 14 DSGVO zur Mitwirkung verpflichtet, soweit die Informationen dem Auftraggeber nicht anderweitig vorliegen oder bereits übermittelt wurden.
    3. Der Auftragnehmer ist lediglich verpflichtet, personenbezogene Daten an den Auftraggeber in dem Format herauszugeben, in dem er diese vom Auftraggeber zur Verarbeitung im Rahmen dieses Vertrages erhalten hat oder bestimmungsgemäß verarbeitet hat. Sowohl die Herausgabe in einem sonstigen strukturierten, gängigen und maschinenlesbaren Format als auch die Herausgabe direkt an den Betroffenen oder einen von diesem bestimmten weiteren Verantwortlichen sind nur auf der Grundlage einer ausdrücklichen Weisung und bei Übernahme der hierbei entstehenden zusätzlichen Kosten geschuldet.
  6. Unterstützung bei Datenpannen, Folgeabschätzungen, Beanstandungen
    1. Der Auftragnehmer weist den Auftraggeber auf eine ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten nach dieser AV-Vereinbarung unverzüglich hin. Die Bewertung des mit der Verletzung verbundenen Risikos ist allein Sache des Auftraggebers. Der Auftragnehmer wirkt hieran durch Meldung der Verletzung sowie Bereitstellung von Informationen mit.
    2. Der Auftragnehmer ist zur Mitwirkung im Rahmen einer Datenschutz-Folgeabschätzung verpflichtet, soweit der Auftraggeber für die vorzunehmende Bewertung des Risikos der Verarbeitung neben den vom Auftragnehmer nach dieser Vereinbarung zur Verfügung zu stellendenInformationen noch weitere Auskünfte benötigt.
    3. Der Auftragnehmer wird dem Auftraggeber alle erforderlichen Auskünfte erteilen. Dies betrifft insbesondere auch Informationen zur Abwehr von Ansprüchen Dritter oder im Hinblick auf Anforderungen von Aufsichtsbehörden.
  7. Herausgabe und Löschung von Daten
    1. Der Auftragnehmer ist verpflichtet, die Datenbestände des Auftraggebers für einen Zeitraum von 30 Tagen nach Vertragsbeendigung aufzubewahren. Der Auftraggeber ist berechtigt, jederzeit während der Laufzeit dieses Vertrages bis zum Ablauf dieser Frist die Herausgabe oder Löschung der gespeicherten Daten zu verlangen. Ein Zurückbehaltungsrecht des Auftragnehmers ist insofern ausgeschlossen.
    2. Erteilt der Auftraggeber dem Auftragnehmer eine verbindliche Löschungsanweisung schriftlich oder in einem dokumentierten elektronischen Format, so ist der Auftragnehmer verpflichtet, auch vor Ablauf einer einschlägigen Aufbewahrungsfrist die Datenlöschung unverzüglich durchzuführen. Hiervon ausgenommen sind lediglich die Daten, hinsichtlich derer der Auftragnehmer gesetzlich zur Aufbewahrung verpflichtet ist. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
    3. Sollte der Auftraggeber bis zum Ablauf einer einschlägigen Aufbewahrungsfrist weder die herauszugebenden Datenangefordert noch die Löschung der Daten verlangt haben, hat der Auftragnehmer den Auftraggeber schriftlich oder in einem dokumentierten elektronischen Format die Datenlöschung unter Fristsetzung von 10 Tagen anzukündigen. Erst nach Ablauf dieser Frist ist der Auftragnehmer berechtigt, die Daten des Auftraggebers zu löschen
  8. Informations- und Kontrollmitwirkungspflichten
    1. Der Auftraggeber darf dieEinhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen einschließlich der technischen und organisatorischen Maßnahmen gemäß Anlage 2 selbst oder durch Dritte kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen, Stichproben und Inspektionen vor Ort (Art. 28 Abs. 3Satz 2 lit. h DSGVO). Der Auftragnehmer wird bei diesen Kontrollen unterstützend mitwirken.
    2. Dabei kann der Nachweis auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision,Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutz- oderQualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits-oder Datenschutzaudit erbracht werden.
    3. Im Rahmen dieser Ziff. 3.8. ist der Auftragnehmer lediglich zur Duldung und Mitwirkung bei einer jährlichen Vor-Ort-Kontrolle verpflichtet. Zur Duldung und Mitwirkung an darüber hinausgehenden Kontrollen, insbesondere durch Mehrfachprüfungen, ist der Auftragnehmer nur gegen Erstattung der ihr hierdurch entstehenden zusätzlichen Kostenverpflichtet.
4. Haftung
  1. Der Auftragnehmer haftet dem Auftraggeber nur für schuldhaft verursachte Pflichtverletzungen nach Maßgabe der entsprechenden Regelungen des Leistungsvertrages.
  2. Soweit eine Haftung des Auftragnehmers beschränkt oder ausgeschlossen ist, stellt der Auftraggeber den Auftragnehmer von allen Ansprüchen frei, die Dritte wegen der Datenverarbeitung im Auftrag gegen Auftragnehmer erheben.
5. Allgemeine Bestimmungen
  1. Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.
  2. Für alle Streitigkeiten im Zusammenhang mit dieser AV-Vereinbarung wird der Sitz des Auftragnehmers als ausschließlicher Gerichtsstand vereinbart. Der Auftragnehmer bleibt berechtigt, den Auftraggeber an dessen allgemeinen Gerichtsstand zu verklagen.

Anlage 1: Einzelheiten zur Datenverarbeitung

Anlage 2: Technische und organisatorische Maßnahmen (TOM)

Anlage 3: Freigegebene Unterauftragnehmer

Anlage 1: Einzelheiten zur Datenverarbeitung

 

1.) Art der Verarbeitung(Art. 4 Nr. 2 DSGVO):
  • Erheben
  • Erfassen
  • Organisieren
  • Ordnen
  • Speicherung
  • Anpassung oder Veränderung
  • Abfragen
  • Verwendung
2.) Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DSGVO):

Daten von Architektinnen

  • Kontaktdaten (insb. Name, Telefonnummer, Webseite)
  • Rechnungen
  • Zahlungseingänge und Zahlungsausgänge

Daten der Bauherren

  • Projektadresse
  • Projektkosten
  • Fotos vom Bauprojekt
  • Dokumentation vom Baufortschritt

Daten der Gewerke

  • Angebote
  • Aufträge
  • Rechnungen
3.) Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1DSGVO):
  • Kunden
  • Interessenten
  • Beschäftigte
  • Lieferanten
  • Ansprechpartner

 

Anlage 2: Technische und organisatorische Maßnahmen

[…]

 

Anlage 3: Freigegebene Unterauftragnehmer
Name Anschrift Auftragsinhalt
Amazon Web Services (AWS) Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg, Luxembourg Infrastruktur-Cloud-Services (Compute, Storage, Datenbanken, Hosting)
Stripe Stripe Payments Europe Limited, 3 Dublin Landings, North Wall Quay, Dublin 1, D01 C4E0, Ireland Zahlungsabwicklung und Finanzdienstleistungs-APIs
Segment (Twilio Inc.) Twilio Inc., 101 Spear Street, 5th Floor, San Francisco, CA 94105, USA Customer Data Platform (CDP), Kundendaten-Infrastruktur
Snowflake Inc. Snowflake Inc., Suite 3A, 106 East Babcock Street, Bozeman, MT 59715, USA Cloud Data Warehouse / Datenplattform
Attio Attio Ltd., 86-90 Paul Street, London EC2A 4NE, United Kingdom CRM-Software
Mixpanel Mixpanel, Inc., 405 Howard Street, Floor 2, San Francisco, CA 94105, USA Produkt-Analytics / Nutzerverhaltensanalyse
Amplitude Amplitude, Inc., 201 Third Street, Suite 200, San Francisco, CA 94103, USA Produkt- und Verhaltensanalyseplattform
Loops Loops.so Inc. (Astrodon, Inc.), 9450 Southwest Gemini Drive, PMB 22902, Beaverton, OR 97008, USA E-Mail-Automatisierung / Marketing-Automation
Customer.io Peaberry Software Inc. (Customer.io), 9450 SW Gemini Dr., Suite 43920, Beaverton, OR 97008-7105, USA Messaging- und E-Mail-Automatisierungsplattform
Intercom Intercom R&D Unlimited Company, 124 St Stephen's Green, Dublin 2, D02 C628, Ireland Kundenservice-, Chat- und Messaging-Plattform
Google Cloud Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, D04 E5W5, Ireland Cloud-Services (Infra, Plattform, Produktivitätsdienste)
Sentry Functional Software, Inc. (Sentry), 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA Error & Performance Monitoring
OpenAI OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA KI-Verarbeitung / API für KI-Modelle
Twilio Twilio Inc., 101 Spear Street, 5th Floor, San Francisco, CA 94105, USA Kommunikations-APIs / Messaging / Customer Engagement
WhatsApp (Meta) WhatsApp Ireland Limited, Merrion Road, Dublin 4, D04 X2K5, Ireland Messaging-Plattform (WhatsApp Business API)