Gegenstand des Auftrags, Begriffsbestimmungen:
1. Gegenstand des Vertrages
Die Gastfreund GmbH (im Folgenden „Auftragnehmer“) stellt für ihre Kunden aus der Hotellerie- und Tourismusbranche Software-Produkte zur Verfügung. Diese dienen zur Kommunikation des jeweiligen Gastfreund-Kunden (im Folgenden „Auftraggeber“) mit dessen Kunden (im Folgenden „Gast“).
Teilweise können – je nach Modifikation der jeweils durch den Auftraggeber gebuchten Lösung – persenenbezogene Daten des Gastes erhoben werden und durch Gastfreund an den Auftraggeber übermittelt werden. Der Gast wird – abhängig von der konkreten Ausgestaltung der Lösung – in der juristisch dafür relevanten Datenschutzerklärung auf diese Möglichkeit hingewiesen.
Gegenstand des vorliegenden Vertrags ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten (im Folgenden „Daten“) durch den Auftragnehmer, die diesem durch den Auftraggeber zum Zwecke der Durchführung des Vertrags [Datum Hauptvertrag] überlassen werden.
Die Erhebung, Verarbeitung und Nutzung der Auftraggeber-Daten im Rahmen der Auftragsverarbeitung erfolgt entsprechend den in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art, Umfang und Zweck der Datenverarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der Auftraggeber-Daten und den dort bestimmten Kreis der Betroffenen.
2. Dauer des Auftrags und Kündigung
2.1 Der Vertrag beginnt mit der Unterzeichnung der vorliegenden Vereinbarung – nicht jedoch vor Unterzeichnung und Wirksamkeit des Hauptvertrags – und endet mit der Beendigung des Hauptvertrags.
Die Parteien sind sich darüber im Klaren, dass die Auftragsverarbeitung nicht ohne einen gültigen Vertrag über die Verarbeitung personenbezogener Daten im Auftrag erfolgen darf, sodass die Auftragsverarbeitung im Falle der Beendigung des vorliegenden Vertrags bis zum Abschluss eines neuen Vertrags über die Verarbeitung personenbezogener Daten im Auftrag nicht erfolgen darf.
2.2 Eine ordentliche Kündigung dieses Vertrages ist ausgeschlossen. Das Vertragsverhältnis über die Verarbeitung personenbezogener Daten im Auftrag endet automatisch mit der Beendigung des entsprechenden Hauptvertrages.
2.3 Das Recht zur fristlosen Kündigung bleibt von den vorliegenden Ziffern unberührt. Ein Recht zur fristlosen Kündigung ist insbesondere im Falle von schweren, vorsätzlichen und/oder wiederholten Verstößen gegen vertragliche oder gesetzliche Datenschutzbestimmungen gegeben. Ein schwerer Verstoß liegt insbesondere vor, wenn der Auftragnehmer den Weisungen des Auftraggebers – gleich aus welchem Grund – nicht nachkommt oder Kontrollen durch den Auftraggeber oder die zuständigen Aufsichtsbehörden nicht unterstützt, behindert oder erschwert.
3. Allgemeine Pflichten des Auftragnehmers
3.1 Der Auftragnehmer verpflichtet sich, seine Betriebsabläufe so zu organisieren, dass die von ihm im Auftrag verarbeiteten Daten im erforderlichen Umfang gesichert und vor der unbefugten Erlangung oder Kenntnisnahme Dritter gesichert sind. Sicherheitserhebliche Änderungen der Betriebsabläufe wird der Auftragnehmer vorab mit dem Auftraggeber abstimmen.
3.2 Der Auftragnehmer verpflichtet sich, die Daten ausschließlich im Rahmen dieses Vertrags und/oder des Hauptvertrags und/oder zur Umsetzung der Weisungen des Auftraggebers zu erheben/zu verarbeiten/zu nutzen. Eine darüberhinausgehende Erhebung, Verarbeitung oder Nutzung ist dem Auftragnehmer untersagt.
3.3 Der Auftragnehmer stellt sicher, dass die im Einzelfall mit der Datenverarbeitung befassten Personen mit den Schutzbestimmungen der Datenschutzgesetze und -verordnungen (insb. dem Datengeheimnis) vertraut gemacht wurden.
3.4 Der Auftragnehmer bestätigt, dass er einen betrieblichen Datenschutzbeauftragten bestellt hat und sichert dem Auftraggeber zu, diesen unter Angabe seiner Kontaktdaten zu benennen.
3.5 Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Betroffene ihre Betroffenenrechte ihm gegenüber geltend machen und die Betroffenen an den Auftraggeber verweisen. Darüber hinaus hat der Auftragnehmer den Auftraggeber unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch die die vertragsgegenständlichen Daten gefährdet werden könnten.
Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten.
3.6 Der Auftragnehmer wird allen landes- und bundesrechtlichen sowie europarechtlichen Regelungen zum Schutz personenbezogener Daten entsprechen. Er wird insbesondere die notwendigen technischen und organisatorischen Maßnahmen verwirklichen sowie das nach Art. 30 Abs. 2 der EU-Datenschutzgrundverordnung erforderliche Verzeichnis von Verarbeitungstätigkeiten führen, soweit dies gesetzlich vorgeschrieben ist.
3.7 Der Auftragnehmer hat den Mitteilungspflichten dieses Vertrags Folge zu leisten.
3.8 Der Auftragnehmer wird die Erfüllung seiner Pflichten regelmäßig und selbstständig kontrollieren und in geeigneter Weise dokumentieren.
3.9 Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen gesetzliche Vorschriften verstößt. Wird eine Weisung erteilt, deren Rechtmäßigkeit der Auftragnehmer substanziiert anzweifelt, ist der Auftragnehmer berechtigt, deren Ausführung temporär auszusetzen, bis der Auftraggeber diese nochmals ausdrücklich fordert oder ändert.
4. Technische und organisatorische Maßnahmen
4.1 Der Auftragnehmer verpflichtet sich dazu, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Die einzelnen, zum Zeitpunkt des Vertragsschlusses getroffenen Maßnahmen, ergeben sich aus den Anlagen 2 und 3 zu diesem Vertrag.
4.2 Der Auftragnehmer wird die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüfen und ggf. optimieren.
4.3 Die Parteien sind sich darüber einig, dass die technischen und organisatorischen Maßnahmen aufgrund rechtlicher, technischer oder tatsächlicher Änderungen ggf. modifiziert werden müssen. Hierbei sind wesentliche Änderungen, durch die datenschutzrechtliche Belange beeinträchtigt werden können, mit dem Auftraggeber abzustimmen. Andere Maßnahmen, durch die keine Einschränkung datenschutzrechtlicher Belange zu befürchten ist, können vom Auftragnehmer auch ohne Abstimmung vorgenommen werden. In jedem Fall ist dem Auftraggeber auf Anfrage jederzeit eine aktuelle Auflistung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen vorzulegen.
5. Datengeheimnis
5.1 Der Auftraggeber weist den Auftragnehmer ausdrücklich auf die gesetzlichen Bestimmungen zum Datengeheimnis hin. Der Auftragnehmer hat dafür Sorge zu tragen, dass alle Personen, die von ihm zur Verarbeitung der vertragsgegenständlichen personenbezogenen Daten eingesetzt werden, ausdrücklich zu gesetzlich vorgeschriebenen Geheimhaltungspflichten verpflichtet und über die besonderen Weisungs- und Zweckbindungen sowie gegebenenfalls besonderen Datenschutz- oder Geheimhaltungspflichten belehrt werden. Die vorgenannten Personen werden vom Auftragnehmer ferner darauf hingewiesen, dass die entsprechenden Verpflichtungen grundsätzlich auch nach der Beendigung der Tätigkeit fortbestehen.
5.2 Der Auftragnehmer versichert, dass ihm und allen von ihm zur Erfüllung des vorliegenden Vertrags eingesetzten Personen die geltenden datenschutzrechtlichen Vorschriften und deren Anwendung bekannt sind.
5.3 Gesetzliche Offenbarungspflichten des Auftragnehmers bleiben von den vorgenannten Regelungen unberührt.
6. Mitteilungs- und Dokumentationspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten
6.1 Der Auftragnehmer verpflichtet sich, jeden Verstoß gegen datenschutzrechtliche Bestimmungen, gegen diesen Vertrag und/oder die Weisungen des Auftraggebers unverzüglich mitzuteilen. Diese Pflicht gilt unabhängig davon, ob der Verstoß vom Auftragnehmer selbst, einer bei ihm angestellten Person, einem Unterauftragnehmer oder einer sonstigen Person, die er zur Erfüllung seiner vertraglichen Pflichten gegenüber dem Auftragnehmer eingesetzt hat, begangen wurde. Der Auftragnehmer ist insbesondere verpflichtet, den Auftraggeber bei der Erfüllung seiner gesetzlichen Informationspflichten zu unterstützen.
Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragsverarbeiter sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.
6.2 Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von der auch die Verarbeitung, Nutzung oder Erhebung der durch den Auftraggeber zur Verfügung gestellten Daten betroffen sein könnten.
6.3 Sollten die dem Auftragnehmer vom Auftraggeber überlassenen Daten im Rahmen dieses Vertrags durch ein Insolvenzverfahren, eine Pfändung, eine Beschlagnahme, ein Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gegenüber dem Auftragnehmer gefährdet sein, hat der Auftragnehmer den Auftraggeber unverzüglich hierüber zu informieren. Der Auftraggeber hat daraufhin die für die Maßnahme verantwortlichen Personen darüber zu
informieren, dass das Eigentum bzw. die Inhaberschaft und sämtliche Rechte an den Daten bei ihm als verantwortliche Stelle im Sinne des Gesetzes liegen.
6.4 Der Auftragnehmer verpflichtet sich ferner, sämtliche Weisungen des Auftraggebers schriftlich oder in einer anderen geeigneten Form zu dokumentieren und dem Auftraggeber alle Verzeichnisse, Protokolle und weitere erforderliche Informationen zum Nachweis der Einhaltung gesetzlicher Pflichten auf Anforderung unverzüglich zur Verfügung zu stellen und Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und in angemessener Weise dazu beizutragen.
7. Pflichten des Auftraggebers
7.1 Der Auftraggeber ist die für die Datenverarbeitung durch den Auftragnehmer datenschutzrechtlich verantwortliche Stelle. In dieser Rolle ist er insbesondere für die Rechtmäßigkeit und Zulässigkeit der Datenverarbeitung, die Wahrung der Betroffenenrechte und die Aufsicht der Auftragsdatenverarbeitung verantwortlich. In diesem Zusammenhang ist der Auftraggeber insbesondere für die Schaffung der Voraussetzungen verantwortlich, die den Auftragnehmer zur rechtsverletzungsfreien Erbringung seiner Leistungen befähigen.
7.2 Der Auftraggeber hat vor Beginn der Datenverarbeitung und regelmäßig während der Vertragslaufzeit die Einhaltung vertragliche und gesetzliche Datenschutzvorschriften zu kontrollieren und gegebenenfalls entsprechende Weisungen zu erteilen. Dies betrifft insbesondere die Einhaltung der technischen und organisatorischen Maßnahmen.
7.3 Der Auftraggeber kann darüber hinaus vor, während und nach der Datenverarbeitung bzw. vor, während und nach der Vertragslaufzeit die Löschung, Berichtigung, Sperrung oder Herausgabe der betreffenden Daten verlangen.
7.4 Im Falle von Unregelmäßigkeiten bei der Datenverarbeitung wird der Auftraggeber den Auftragnehmer unverzüglich informieren und geeignete Maßnahmen ergreifen bzw. Weisungen erteilen, um den Verstoß schnellstmöglich abzustellen.
8. Kontrollbefugnisse des Auftraggebers
8.1 Der Auftraggeber ist berechtigt und verpflichtet, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Schutz personenbezogener Daten vor Beginn der Datenverarbeitung und sodann während der Vertragslaufzeit regelmäßig und jederzeit im erforderlichen Umfang zu kontrollieren. Von dieser Kontrollbefugnis sind insbesondere die Einhaltung der Weisungen des Auftraggebers, die Erfüllung der gesetzlichen Protokoll- und Dokumentationspflichten und die Verwirklichung der erforderlichen technischen und organisatorischen Maßnahmen umfasst. Auf Verlangen des Auftraggebers hat der Auftragnehmer zudem Einsicht in die vom Auftragnehmer zur Durchführung des Auftrags verwendeten Datenverarbeitungsprogramme bzw. -systeme zu ermöglichen.
8.2 Der Auftragnehmer hat grundsätzlich sämtliche Kontroll- und Aufsichtsmaßnahmen in angemessenem Umfang zu unterstützen und zu dulden. Er ist gegenüber dem Auftraggeber insbesondere zur vollständigen und wahrheitsgemäßen Auskunftserteilung verpflichtet, soweit dies für die Durchführung der in dieser Ziffer genannten Kontrollen erforderlich ist.
8.3 Im Rahmen der vorgenannten Kontrollen sind Störungen des Betriebsablaufs des Auftragnehmers so weit wie möglich zu vermeiden. Insbesondere sollen Besichtigungen der Betriebsstätte des Auftragnehmers in der Regel mit einer angemessenen Vorlauffrist angekündigt werden und zu den jeweils üblichen Geschäftszeiten vorgenommen werden, sofern dies dem Erfolg der Kontrollmaßnahme nicht entgegensteht. Steht der Verdacht eines Verstoßes gegen gesetzliche oder
vertragliche Datenschutzbestimmungen im Raum, kann die Kontrolle – inklusive der Betriebsbesichtigung – ohne Voranmeldung erfolgen, wobei auf die Verhältnismäßigkeit der Kontrollmaßnahme zu achten ist.
8.4 Im Falle von Unregelmäßigkeiten bei der Datenverarbeitung wird der Auftraggeber den Auftragnehmer unverzüglich informieren und geeignete Maßnahmen ergreifen bzw. Weisungen erteilen, um den Verstoß schnellstmöglich abzustellen.
8.5 Der Auftraggeber und der Auftragnehmer dokumentieren die Ergebnisse der Kontrollen eigenständig.
9. Weisungsbefugnis des Auftraggebers
9.1 Der Auftraggeber behält sich vor, den Auftragsgegenstand nach Art, Umfang und Verfahren im Rahmen dieser Vereinbarung durch mündliche oder schriftliche Weisungen zu konkretisieren. Im Falle einer mündlichen Weisung ist diese unverzüglich schriftlich durch den Auftraggeber zu bestätigen. Der Auftragnehmer hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu protokollieren. Der Auftraggeber hat ausdrücklich den Grund dafür zu
benennen, warum keine schriftliche Weisung erfolgen konnte.
9.2 Änderungen des Vertragsgegenstandes müssen gemeinsam mit dem Auftragnehmer abgestimmt werden.
10. Löschung der Daten
10.1 Der Auftragnehmer löscht die Daten umgehend nach jedem in Anlage 1 beschriebenen Prozess.
11. Einsatz von Unterauftragnehmern (Subunternehmer)
11.1 Der Auftragnehmer darf Unterauftragnehmer nur beauftragen, wenn er den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informiert, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden und seitens des Auftraggebers ausdrücklich bestätigten Subunternehmerverhältnisse des Auftragnehmers sind diesem Vertrag abschließend in Anlage 2 beigefügt. Für die in Anlage 2 aufgezählten Subunternehmer gilt die schriftliche Einwilligung mit Unterzeichnung dieses Vertrags als erteilt.
11.2 Die Handlungen des Unterauftragnehmers, die mit der Vertragsdurchführung in Zusammenhang stehen, werden dem Auftragnehmer wie eigene Handlungen zugerechnet.
11.3 Der Auftragnehmer versichert, dass er seine Unterauftragnehmer sorgfältig und gewissenhaft ausgewählt hat und zukünftige Unterauftragnehmer entsprechend auswählen wird, sodass deren Einsatz die ordnungsgemäße Vertragsdurchführung im Verhältnis zum Auftraggeber nicht beeinträchtigt. Insbesondere stellt er durch geeignete vertragliche Regelungen und entsprechende Unterauftragsverarbeitungsverträge sicher, dass der Subunternehmer die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Der
Auftragnehmer hat zudem sicherzustellen, dass die vom Auftraggeber erteilten Weisungen auch von den Subunternehmern befolgt und protokolliert werden. Die Einhaltung dieser Pflichten wird vom Auftragnehmer regelmäßig kontrolliert und dokumentiert.
11.4 Der Auftragnehmer hat sich von seinen Unterauftragnehmern bestätigen zu lassen, dass diese – soweit gesetzlich vorgeschrieben – einen betrieblichen Datenschutzbeauftragten bestellt haben. Wenn kein Datenschutzbeauftragter bestellt wurde oder ein solcher während der Vertragslaufzeit ersatzlos ausscheidet, ist der Auftraggeber vom Auftragnehmer über diesen Umstand zu unterrichten.
11.5 Sämtliche Verträge zwischen Auftragnehmer und Unterauftragnehmer (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den Anforderungen der gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen. Die Subunternehmerverträge haben darüber hinaus sicherzustellen, dass die im vorliegenden Vertrag vereinbarten Kontroll- und Weisungsbefugnisse durch den Auftraggeber in gleicher Weise und in vollem Umfang auch gegenüber den Unterauftragnehmern ausgeübt werden können.
11.6 Der Auftragnehmer ist im Falle einer entsprechenden Aufforderung des Auftraggebers verpflichtet, Auskunft über die datenschutzrechtlich relevanten Verpflichtungen des Subunternehmers zu erteilen und erforderlichenfalls die entsprechenden Vertragsunterlagen oder Kontroll- und Aufsichtsergebnisse sowie entsprechende Dokumentationen, Protokolle und Verzeichnisse des Auftragnehmers einzusehen oder die Übermittlung dieser Unterlagen in Kopie zu
verlangen.
11.7 Dienstleistungen, die der Auftragnehmer als reine Nebenleistungen zur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt, sind nicht als Unteraufträge im Sinne dieser Ziffer anzusehen. Hiervon umfasst sind z. B. Reinigungsleistungen, Telekommunikationsdienstleistungen, die keinen konkreten Bezug zur vertragsgegenständlichen Leistung aufweisen, sowie Post- und Kurierdienste, sonstige Transportleistungen und Bewachungsdienste.
Auch im Falle nicht zustimmungsbedürftiger Nebenleistungen muss der Auftragnehmer die erforderlichen organisatorischen und technischen Vorkehrungen zum Schutz personenbezogener Daten treffen. Gesetzlich vorgeschriebene Wartungs- und Prüfungsdienstleistungen gelten als zustimmungsbedürftige Unteraufträge, sofern hiervon diejenigen IT-Systeme umfasst sind, die auch zur Erbringung der vertragsgegenständlichen Leistung genutzt werden.
11.8 Sollte der Auftragnehmer Unterauftragnehmer in einem Drittland (Nicht-EU bzw. Nicht-EWR) mit der Datenverarbeitung beauftragen wollen, darf dies nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln), so dass für ein angemessenes Datenschutzniveau gesorgt und entsprechend den Vorgaben alle gesetzlichen und vertraglichen Pflichten eingehalten werden.
12. Rückgabe und Löschung der Daten und Datenträger nach Vertragsbeendigung
12.1 Wie in Klausel 10 aufgeführt, werden die Daten umgehend nach Prozessabschluss vom Auftragnehmer gelöscht. Der Auftragnehmer hat die Vernichtung der Daten in geeigneter Weise zu protokollieren.
13. Schlussbestimmungen
13.1 Der Auftragnehmer verzichtet hinsichtlich der ihm zum Zwecke der Vertragsdurchführung überlassenen Daten und Datenträger auf sein Zurückbehaltungsrecht.
13.2 Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen Vereinbarung, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll. Dies gilt auch für den Verzicht auf das Schriftformerfordernis.
13.3 Sollten einzelne Regelungen dieses Vertrags unwirksam sein, bleibt der Rest dieser Vereinbarung hiervon unberührt.
13.4 Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.