Auftragsverarbeitungsvertrag

der PHCOM GmbH

Standard Vertragsentwurf der PHCOM GmbH
Vertrag zur Auftragsverarbeitung

zwischen
KUNDE

als Verantwortlicher (hier bezeichnet als „Auftraggeber“)
und
PHCOM GmbH, Curiestr. 2, 70563 Stuttgart
als Auftragsverarbeiter (hier bezeichnet als „Auftragnehmer“)

Präambel
Der Auftraggeber möchte den Auftragnehmer mit den in § 3 genannten Leistungen beauftragen. Im Rahmen der Vertragsdurchführung kann es potenziell zur Verarbeitung von personenbezogenen Daten durch den Auftragnehmer kommen. Wenn dies geschieht, erfolgt diese Verarbeitung „im Auftrag und auf Weisung für die Zwecke des Auftraggebers im Sinne Art. 4 Nr. Art 28 GSGVO. Der Auftragnehmer verfolgt keine eigenen Zwecke im Umgang mit diesen Daten des Auftraggebers. Insbesondere Art. 28 DS-GVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

§ 1 Begriffsbestimmungen
(1) Verantwortlicher ist gem. Art. 4 Abs. 7 DS-GVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
(2) Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

(3) Personenbezogene Daten sind gem. Art. 4 Abs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
(4) Besonders schutzbedürftige personenbezogene Daten sind personenbezogenen Daten gem. Art. 9 DS-GVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DS-GVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DS-GVO, biometrischen Daten gem. Art. 4 Abs. 14 DS-GVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DS-GVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
(5) Verarbeitung ist gem. Art. 4 Abs. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
(6) Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DS-GVO eine von einem Mitgliedstaat gem. Art. 51 DS-GVO eingerichtete unabhängige staatliche Stelle.

§ 2 Angabe der zuständigen Datenschutz-Aufsichtsbehörde
(1) Zuständige Aufsichtsbehörde für den Auftraggeber ist Der Landesbeauftragte für Datenschutz am Sitz des Auftraggebers.
(2) Zuständige Aufsichtsbehörde für den Auftragnehmer ist Der Landesbeauftragte für Datenschutz Baden Württemberg.
(3) Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

§ 3 Vertragsgegenstand
1. Der Auftragnehmer erbringt nach Maßgabe des zwischen den Parteien bestehenden Hauptvertrags für den Auftraggeber SaaS bzw. ASP -Leistungen als Softwareprovider. Dabei erhält der Auftragnehmer potenziell Zugriff auf personenbezogene Daten des Aufragebers und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers.
2. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung. Der Auftraggeber hat dafür Sorge zu tragen, dass die gesetzlich oder behördlich vorgeschriebenen Voraussetzungen für „seine“ Datenverarbeitungen geschaffen werden bzw. Anforderungen erfüllt werden, wie z.B. die Einhaltung von Löschfristen und zulässiger Speicherdauer, die Einholung von Einwilligungserklärungen. Das gilt insbesondere dann, wenn der Auftraggeber besonders sensible Daten im Sinne des Art. 9 DS-GVO verarbeiten lässt.
(3) Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
(4) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
(5) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

§ 4 Weisungsrecht
(1) Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
(2) Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Die Weisungen des Auftraggebers können vom Auftraggeber in schriftlicher Form oder in Textform erteilt, geändert, ergänzt oder ersetzt werden. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. Die weisungsberechtigten Personen werden hierbei von den Parteien gesondert festgelegt. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen.
(3) Alle erteilten Weisungen sind vom Auftraggeber zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

(4) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

§ 5 Gegenstand, Art und Zweck der Datenverarbeitung, Kreis der Betroffenen
(1) Gegenstand, Dauer, Art und Zweck der ggf. erfolgenden Datenverarbeitung ergeben sich grundsätzlich aus den Tarifinhalten, die der Kunde im jeweiligen Hauptvertrag gewählt hat sowie aus den zugrunde liegenden Allgemeinen Geschäftsbedingungen.
(2) Neben der regelmäßigen Prüfung und Wartung der Speichermedien erfolgen Zugriffe des Auftragnehmers auf ggf. personenbezogene Daten des Auftraggebers bzw. dessen Kunden im Rahmen von technischen Hilfestellungen (Supportleistungen), die der Auftraggeber verlangt. Dies betrifft insbesondere Weisungen zur Löschung oder zur Speicherung und Sicherung von Daten.
(3) Folgende Datenarten sind regelmäßig Gegenstand der vorliegenden Verarbeitungsmaßnahmen:
Adressdaten Mitarbeiterdaten
Vertragsdaten Kundenstammdaten
Bankverbindungsdaten Nutzerdaten
(4) Die Art, Umfang und Zweck der Verarbeitung der personenbezogenen Daten wird durch den Auftraggeber durch die Wahl der von ihm genutzten Dienste und der hierzu genutzten Softwareanwendung grundsätzlich selbst bestimmt.
(5) Der Auftraggeber bestimmt mit dem von ihm verfolgten Zwecken auch die Kategorie derjenigen natürlichen Personen, deren Daten durch ihn verarbeitet werden. Dies kann vorliegend folgender Personenkreis sein:

Kunden/Geschäftspartner Nutzer/Interessenten
Mitarbeiter Dienstleister

§ 6 Schutzmaßnahmen des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO, insbesondere mindestens die in Anlage 1 aufgeführten Maßnahmen.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(3) Der Auftraggeber ist als Verarbeiter von personenbezogenen Daten selbst dafür verantwortlich, ob und wie er personenbezogene Daten auf den auf ihm genutzten eigenen Endgeräten verarbeitet. Entsprechend muss der Auftraggeber für seine auf diesen Geräten stattfindenden Datenverarbeitungsvorgänge eigene technische und organisatorische Maßnahmen ergreifen (z.B. Einsatz von SSL- Zertifikaten, Firewall und Antivirenprogramme), um die Schutzziele aus Art. 32 DSGVO zu erreichen.
(4) Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.
(5) Sämtliche Auftragsverarbeitungsleistungen des Auftragnehmers nach Weisung werden ausschließlich in einem Mitgliedsstatt der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung dieser Dienstleistungen oder von Teilarbeiten dazu in ein Drittland bedarf der vorigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44ff. DSGVO erfüllt sind.

§ 7 Informations- und Mitwirkungspflichten des Auftragnehmers
(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde.
(2) Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
(3) Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
(4) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DS-GVO liegt.
(5) Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 6 Abs. 2 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.
(6) Ein Wechsel in der Person des Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.
(7) Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 32 und 36 DSGVO angemessen zu unterstützen (Art 28 Abs. 3 Satz 2 f DSGVO).
(8) An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber auf Verlangen die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen. Soweit der Auftraggeber einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Anspruch eines Betroffenen oder eines Dritten ausgesetzt ist, wird der Auftragnehmer ihn unterstützen.

§ 8 Kontrollrechte des Auftraggebers
(1) Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber grundsätzlich nach Terminvereinbarung berechtigt ist, sich von der Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen zu überzeugen. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, interne Prüfungsberichte vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Nachweise, die nicht nur den konkreten Auftrag betreffen, können zudem durch die Einhaltung genehmigter Verhaltensregeln nach Art 40 DSGVO, durch Zertifizierung gemäß Art 42 DSGVO, durch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Datenschutzauditoren, Datenschutzbeauftragter, Wirtschaftsprüfer etc.) und/oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit erfolgen.
(2) Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.

(3) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
(4) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
(5) Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 6 Abs. 4 auf Verlangen nach.

§ 9 Einsatz von Subunternehmern
(1) Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) beauftragen.

Die Weitergabe von personenbezogenen Daten des Auftraggebers an den neuen Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.
Eine weitere Auslagerung durch den Unterauftragnehmer ist nicht gestattet; sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
(2) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
(3) Subunternehmer mit denen zusammen gearbeitet wird sind die Firma Hetzner und Domainfactory für das Hosting und Domains.

§ 10 Anfragen und Rechte Betroffener
(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DS-GVO.
(2) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
§ 11 Vergütung
(1) Spezielle Weisungen des Auftraggebers im Hinblick auf die Verarbeitung personenbezogener Daten, die über die im Hauptvertrag vereinbarten Leistungen hinausgehen und zu einem Mehraufwand beim Auftraggeber führen, sind entsprechend gesondert zu den üblichen Vergütungssätzen zu vergüten.
(2) Soweit der Auftraggeber Unterstützung im Sinne § 7 (8) benötigt, hat er die hierdurch entstandenen Kosten zu erstatten.

§ 12 Haftung
(1) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.
(2) Der Auftraggeber stellt den Auftragnehmer jeweils von der Haftung frei, sofern der Auftraggeber in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
(2) Auftraggeber und Auftragnehmer stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
(3) Art. 82 DSGVO bleibt unberührt.

§ 13 Außerordentliches Kündigungsrecht
Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DS-GVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.

§ 14 Beendigung des Hauptvertrags
(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen bzw. vernichten. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.
(3) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.

§ 15 Schlussbestimmungen
(1) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
(3) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
(4) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Sitz des Auftragnehmers.

…………………..,den…………………….. Stuttgart, den………………………

Auftraggeber
Auftragnehmer

Anlagen:
Anlage 1 – Technisch organisatorische Maßnahmen Auftragsverarbeitung