Beruflich Dokumente
Kultur Dokumente
GDD-Praxishilfe DS-GVO
Mustervertrag zur Auftragsverarbeitung
gemäß Art. 28 DS-GVO
INHALT
Vorwort ..................................................................................................................... 3
4. Vertragsmuster.......................................................................... 6
1. Gegenstand und Dauer des Vertrags ........................................................................ 7
2. Konkretisierung des Vertragsinhalts ....................................................................... 7
3. Technisch-organisatorische Maßnahmen ................................................................. 8
4. Rechte der betroffenen Personen ........................................................................... 8
5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers ................................ 9
6. Unterauftragsverhältnisse ................................................................................... 10
7. Internationale Datentransfers .............................................................................. 11
8. Kontrollrechte des Auftraggebers ......................................................................... 11
9. Weisungsbefugnis des Auftraggebers .................................................................... 11
10. Löschung und Rückgabe von personenbezogenen Daten ......................................... 12
11. (Optional) Aufnahme weiterer Vertragsparteien .................................................... 12
Während die erste Auflage dieser Praxishilfe eine Gegenüberstellung zwischen alter und neuer
Rechtslage beinhaltete, findet sich in der Aktualisierung nunmehr ein einheitliches Vertrags-
muster. Sie enthält, neben der bewährten, rundum aktualisierten AV-Mustervorlage, nunmehr
Erläuterungen zu den einzelnen Vertragsklauseln und wird durch allgemeine Hinweise zur
Erleichterung der Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter ergänzt.
Als Grundlage für die Überarbeitung der Vertragsklauseln dienten u.a. Vertragsmuster von
offizieller Seite, insbesondere seitens der Aufsichtsbehörden für den Datenschutz auf natio-
naler und europäischer Ebene.
Da ein Vertragswerk zur Auftragsverarbeitung nicht allein von den gesetzlichen Pflichtin-
halten lebt, runden geeignete fakultative (optionale) Regelungen das neue Muster ab und
sorgen für einen angemessenen Interessenausgleich zwischen den Vertragsparteien.
3 GDD-Praxishilfe XV: Die gemeinsame Verantwortlichkeit nach 6 European Data Protection Board, Guidelines 07/2020 on the
Art. 26 DS-GVO (Joint Controllership), S. 23 ff. Dort findet sich concepts of controller and processor in the GDPR, Nr. 81 („IT-
auch eine Checkliste als Hilfestellung zur Abgrenzung der consultant fixing a software bug“).
Auftragsverarbeitung und alleiniger/ gemeinsamer Verantwort- 7 European Data Protection Board, Guidelines 07/2020 on the
lichkeit (vgl. Ziff. 9.2. ff). concepts of controller and processor in the GDPR, Nr. 81
4 Weitere Beispiele finden sich im FAQ des Bayerischen Landes- (“General IT-Support“).
amts für Datenschutzaufsicht “Abgrenzung Auftragsverarbei-
tung”, vgl. https://www.lda.bayern.de/media/FAQ_Abgren-
zung_Auftragsverarbeitung.pdf.
5 Vgl. Konferenz der unabhängigen Datenschutzbehörden des
Bundes und der Länder (Datenschutzkonferenz), Kurzpapier
Nr. 13, S. 3.
q Die Dauer dieses Vertrags (Laufzeit) entspricht q Die Art der verwendeten personenbezogenen
der Laufzeit der Leistungsvereinbarung. Daten ist in der Leistungsvereinbarung konkret
oder (insbesondere, falls keine Leistungsverein- beschrieben unter: ....................
barung zur Dauer besteht) oder
q Der Vertrag beinhaltet eine einmalige Ausfüh-
rung.
oder
(3) Kategorien betroffener Personen [OPTIONALE KLAUSEL] Die Verarbeitung von Daten,
die diesem Vertrag unterliegen, ist in Privatwoh-
q Die Kategorien der durch die Verarbeitung be- nungen nicht gestattet (Heim- und Telearbeit).
troffenen Personen sind in der Leistungsverein-
barung konkret beschrieben unter:
4. Rechte von betroffenen Personen4
....................
oder (1) Der Auftragnehmer unterstützt den Auftraggeber
q Die Kategorien der durch die Verarbeitung be- in seinem Verantwortungsbereich und soweit mög-
troffenen Personen umfassen: lich mittels geeigneter technisch-organisatorischer
q Kunden Maßnahmen bei der Beantwortung und Umsetzung
q Interessenten von Anträgen betroffener Personen hinsichtlich
q Abonnenten ihrer Datenschutzrechte. Er darf die Daten, die im
q Beschäftigte Auftrag verarbeitet werden, nicht eigenmächtig,
q Lieferanten sondern nur nach dokumentierter Weisung des Auf-
q Handelsvertreter traggebers beauskunften, portieren, berichtigen,
q Ansprechpartner löschen oder deren Verarbeitung einschränken.
q ... Soweit eine betroffene Person sich diesbezüglich
unmittelbar an den Auftragnehmer wendet, wird
der Auftragnehmer dieses Ersuchen unverzüglich an
3. Technisch-organisatorische Maßnahmen3
den Auftraggeber weiterleiten.
(1) Der Auftragnehmer ergreift in seinem Verant-
wortungsbereich alle erforderlichen technisch-or- (2) Soweit vom Leistungsumfang umfasst, sind die
ganisatorische Maßnahmen gem. Art. 32 DS-GVO Rechte auf Auskunft, Berichtigung, Einschränkung
zum Schutz der personenbezogenen Daten und der Verarbeitung, Löschung sowie Datenportabili-
übergibt dem Auftraggeber die Dokumentation zur tät nach dokumentierter Weisung des Auftraggebers
Prüfung [Anlage 1]. Bei Akzeptanz durch den Auf- unmittelbar durch den Auftragnehmer sicherzustel-
len.
ihren Beitritt als Partei gemäß Ziff. 11 dieses Vertrages. Zudem erklärt sie ihren Beitritt in der nachfolgenden
Rolle:
Verantwortlicher
Autragnehmer (Unterauftragnehmer)
(1) Gegenstand
q Gegenstand
der Verarbeitung ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
………………………………………………………………….. (Beschreibung der Aufgaben)
(2) Dauer
q Die Dauer dieser Verarbeitung (Laufzeit) entspricht der Laufzeit der Leistungsvereinbarung.
oder (insbesondere, falls keine Leistungsvereinbarung zur Dauer besteht)
q Die Verarbeitung beinhaltet eine einmalige Ausführung.
oder
q Die Dauer dieser Verarbeitung (Laufzeit) ist befristet bis zum ...................
oder
q Die Verarbeitung erfolgt für unbestimmte Zeit und kann von beiden Parteien mit einer Frist von
................... zum ................... gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon
unberührt.
q Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber
sind in der Leistungsvereinbarung vom .................... konkret beschrieben
oder
q Nähere Beschreibung des Vertragsgegenstandes im Hinblick auf Art und Zweck der Aufgaben des Auftrag-
nehmers: ........................................
q Die Art der verwendeten personenbezogenen Daten ist in der Leistungsvereinbarung konkret beschrieben
unter: .......................
oder
q Die Kategorien der durch die Verarbeitung betroffenen Personen sind in der Leistungsvereinbarung kon-
kret beschrieben unter: ..................................
oder
Soweit einschlägig,
[Beschreibung von Maßnahmen zur Gewährleistung einer kontinuierlichen Vertraulichkeit, Integrität, Verfüg-
barkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung]
[Beschreibung von Maßnahmen zur Gewährleistung der Verfügbarkeit personenbezogener Daten und des ra-
schen Zugangs zu Daten im Falle eines physischen oder technischen Zwischenfalls]
[Beschreibung von Maßnahmen zur Gewährleistung eines Verfahrens zur regelmäßigen Überprüfung, Bewer-
tung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung
der Sicherheit der Verarbeitung]
[Beschreibung von Maßnahmen zum Schutz personenbezogener Daten bei der Übertragung]
[Beschreibung von Maßnahmen zum Schutz personenbezogener Daten bei ihrer Speicherung]
[Beschreibung von Maßnahmen zur Gewährleistung einer physischen Sicherheit von Orten, an denen perso-
nenbezogene Daten verarbeitet werden]
[Beschreibung von Maßnahmen zum Schutz personenbezogener Daten bei der Heim- oder Telearbeit]*
[Beschreibung von Anforderungen an die Ereignisprotokollierung (z.B. bei der Nutzerauthentifizierung oder
der Dateneingabe, -veränderung oder -löschung]
* Nicht zu beschreiben, wenn die Heim- und Telearbeit gem. der optionalen Klausel aus Ziff. 3 des Vertragsmusters untersagt wurde.
* An dieser Stelle kommen insbesondere die Standarddatenschutzklauseln der Kommission gem. Art. 46 Abs. 2 lit. c DS-GVO in der Variante
„Übermittlung von Auftragsverarbeiter an Auftragsverarbeiter“ (Modul 3) in Betracht.
Schließen Sie sich unseren mehr als 3.800 Mitgliedern an. Eine Mitgliedschaft erhalten Sie schon ab
150,- EUR/Jahr für Privatpersonen und ab 300,- EUR/Jahr für Firmen.
Herausgeber:
Gesellschaft für Datenschutz und Datensicherheit (GDD e.V.)
Heinrich-Böll-Ring 10
53119 Bonn
Tel.: +49 0228 96 96 75-00
Fax: +49 0228 96 96 75-25
www.gdd.de
info@gdd.de
Ansprechpartner: RA Steffen Weiß, LL.M.
Satz: C. Wengenroth, GDD-Geschäftsstelle, Bonn
Stand:
Version 2.1 (Juni 2021)