Allgemeine Geschäftsbedingungen für die Auftragsverarbeitung nach Art. 28 DSGVO

Stand: 17.03.2025

Allgemeine Geschäftsbedingungen für die Auftragsverarbeitung nach Art. 28 DSGVO

Präambel

Diese Allgemeinen Geschäftsbedingungen für die Auftragsverarbeitung nach Art. 28 DSGVO (nachfolgend „AGB-AV“) konkretisieren die Verpflichtungen zum Datenschutz, die sich aus den zwischen der Lanes & Planes GmbH, Friedenheimer Brücke 16, 80639 München (nachfolgend „Auftragnehmer“) und einem Unternehmer im Sinne des § 14 BGB (nachfolgend „Auftraggeber“) gemäß § 1 der Allgemeinen Geschäftsbedingungen des Auftragnehmers geschlossenen Verträge (nachfolgend einheitlich „Hauptvertrag“) ergeben. Die AGB-AV finden Anwendung auf Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (nachfolgend „Daten“) im Auftrag des Auftraggebers verarbeiten.

1. Gegenstand

1. Die Beschreibung des jeweiligen Auftrags mit den Angaben über Gegenstand des Auftrags, Art und Zweck der Datenverarbeitung, Art der Daten sowie Kategorien der betroffenen Personen ergeben sich aus Ziffer 1 der Anlage AGB-AV.
2. Für die AGB-AV gelten die Begriffe und Definitionen der DSGVO, insbesondere des Art. 4 DSGVO.
3. Die Vergütung des Auftragnehmers für seine Tätigkeiten richtet sich ausschließlich nach dem Hauptvertrag.

2. Ort der Datenverarbeitung

1. Die vertraglich vereinbarte Verarbeitung findet grundsätzlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, sofern sich aus Ziffer 4 der Anlage AGB-AV nichts anderes ergibt.
2. Vor Verlagerung der Verarbeitung in ein Drittland informiert der Auftragnehmer den Auftraggeber in Textform. Der Auftraggeber kann der Änderung innerhalb von vier Wochen ab Erhalt der Information durch den Auftragnehmer in Textform begründet widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zur Änderung als gegeben.
3. Die Verlagerung der Verarbeitung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen für die Übermittlung in ein Drittland nach Art. 44 ff. DSGVO erfüllt sind.

3. Laufzeit

1. Diese AGB-AV gelten mit Abschluss des Hauptvertrages für die Laufzeit des Hauptvertrages. Die mit diesen AGB-AV vereinbarten nachvertraglichen Pflichten des Auftraggebers bleiben hiervon unberührt.
2. Der Auftraggeber kann diese AGB-AV ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser AGB-AV vorliegt. Insbesondere die Nichteinhaltung der in diesen AGB-AV vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellen einen schweren Verstoß dar.

4. Weisung

1. Der Auftragnehmer verarbeitet die personenbezogenen Daten nur im Rahmen der vom Auftraggeber erteilten Weisungen. Dies gilt nicht, soweit der Auftragnehmer durch das Recht der EU oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer diese rechtlichen Anforderungen vor der Verarbeitung mit, es sei denn, die Mitteilung ist durch das betreffende Recht wegen eines wichtigen öffentlichen Interesses verboten.
2. Falls Weisungen, die unter Ziffer 1 der Anlage AGB-AV getroffenen Festlegungen ändern, aufheben oder ergänzen, sind sie nur zulässig, wenn eine entsprechende neue Vereinbarung in schriftlicher Form erfolgt.
3. Unabhängig von der Form der Erteilung dokumentieren sowohl der Auftragnehmer als auch der Auftraggeber jede Weisung des Auftraggebers in Textform. Die Weisungen sind für ihre Geltungsdauer dieser AGB-AV und anschließend noch für drei Jahre aufzubewahren.
4. Der Auftragnehmer weist den Auftraggeber unverzüglich darauf hin, wenn eine vom Auftraggeber erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. In einem solchen Fall ist der Auftragnehmer nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung geändert hat oder diese bestätigt. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.
5. Der Auftragnehmer legt Weisungsempfänger fest. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und in schriftlicher oder elektronischer Form die Nachfolger oder Vertreter mitzuteilen.

5. Unterstützungspflichten des Auftragnehmers

1. Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen.
2. Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Verantwortlichen bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO. Im Einzelnen bei der Sicherheit der Verarbeitung, bei Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen bei einer Verletzung, der Datenschutz-Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.
3. Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Auftragnehmer wendet, informiert der Auftragnehmer den Auftraggeber hierüber unverzüglich und stimmt die weiteren Schritte mit ihm ab.

6. Prüfungsrechte des Auftraggebers

1. Der Auftragnehmer stellt dem Auftraggeber auf dessen Anfrage alle erforderlichen Informationen zum Nachweis der in diesen AGB-AV und Art. 28 DSGVO geregelten Pflichten zur Verfügung. Insbesondere erteilt der Auftragnehmer dem Auftraggeber Auskünfte über die gespeicherten Daten und die Datenverarbeitungsprogramme.
2. Der Auftraggeber oder von ihm beauftragte Dritte sind nach vorheriger rechtzeitiger Abstimmung berechtigt, die Einhaltung der Pflichten aus diesen AGB-AV und aus Art. 28 DSGVO zu den üblichen Geschäftszeiten selbst oder durch einen zur Verschwiegenheit verpflichteten sachkundigen Dritten, soweit dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht, beim Auftragnehmer zu überprüfen. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
3. Der Auftragnehmer hat dem Auftraggeber auf dessen Verlangen einen geeigneten Nachweis über die Einhaltungen der Verpflichtungen gemäß Art. 28 Abs. 1 und Abs. 4 DSGVO zu erbringen. Dieser Nachweis kann durch die Bereitstellung von Dokumenten und Zertifikaten, die genehmigte Verhaltensregeln i. S. v. Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren i. S. v. Art. 42 DSGVO abbilden, erbracht werden.

7. Datenschutzbeauftragter der Auftragnehmers

Der Datenschutzbeauftragte des Auftragnehmers ist in der Anlage AGB-AV unter Ziffer 3 aufgeführt, soweit für den Auftragnehmer ein Datenschutzbeauftragter bestellt sein muss oder freiwillig bestellt ist.

8. Vertraulichkeit

1. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er wahrt bei der Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung des Hauptvertrages fort.
2. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht. Er verpflichtet diese Mitarbeiter durch schriftliche Vereinbarung für die Zeit der Tätigkeit und auch nach Beendigung des Beschäftigungsverhältnisses zur Wahrung der Vertraulichkeit, sofern sie nicht einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Unternehmen.
3. Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung oder Zustimmung in einem elektronischen Format durch den Auftraggeber erteilen.

9. Technische und organisatorische Maßnahmen

1. Der Auftragnehmer führt geeignete technische und organisatorische Maßnahmen so durch, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Er gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und ein angemessenes Schutzniveau erreicht wird. Insbesondere hat der Auftragnehmer unter Berücksichtigung des jeweiligen Stands der Technik die angemessene Sicherheit der Verarbeitung, insbesondere die Vertraulichkeit (inklusive Pseudonymisierung und Verschlüsselung), Verfügbarkeit, Integrität, und Belastbarkeit der für die Datenverarbeitung verwendeten Systeme und Dienstleistungen sicherzustellen.
2. Die technischen und organisatorischen Maßnahmen sind in der Anlage AGB-AV festgelegt und können im Laufe des Auftragsverhältnisses der technischen Weiterentwicklung angepasst werden. Dabei müssen die angepassten Maßnahmen mindestens dem Sicherheitsniveau der in der Anlage AGB-AV unter der Ziffer 4 vereinbarten Maßnahmen entsprechen. Wesentliche Änderungen sind in Textform  zu vereinbaren.

10.   Informationspflichten des Auftragnehmers, Verletzung des Schutzes personenbezogener Daten

1. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Verstöße oder vermutete Verstöße gegen diese AGB-AV oder Vorschriften, die den Schutz personenbezogener Daten betreffen.
2. Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.
3. Sollten die personenbezogenen Daten die unter dieser Vereinbarung verarbeitet werden beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt.
4. Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesen AGB-AV betrifft. Die im Prüfbericht festgestellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren.
5. Dieser § 10 gilt entsprechend für Vorkommnisse bei Prozessen, die von Unterauftragnehmern ausgeführt werden.

11.   Unterauftragnehmer

1. Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Ziffer 5 der Anlage AGB-AV genannten Subunternehmer durchgeführt. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen des Hauptvertrages zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt.
2. Vor der Begründung von weiteren Unterauftragsverhältnissen oder Ersetzung von Unterauftragnehmern informiert der Auftragnehmer den Auftraggeber in Textform. Der Auftraggeber kann der Änderung innerhalb von vier Wochen ab Erhalt der Information durch den Auftragnehmer in Textform begründet widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zur Änderung als gegeben. Verweigert der Auftraggeber die Zustimmung, so ist der Auftragnehmer berechtigt, den Hauptvertrag vorzeitig mit einer Frist von einem Monat zu kündigen.
3. Der Auftragnehmer hat vertraglich sicherzustellen, dass die in diesen AGB-AV vereinbarten Regelungen auch gegenüber Unterauftragnehmern gelten. Der Vertrag des Auftragnehmers mit dem Subunternehmer muss schriftlich oder in elektronischem Format abgeschlossen werden. Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
4. Der Auftraggeber erteilt seine Zustimmung zur Beauftragung der in Ziffer 5 der Anlage AGB-AV aufgeführten Unterauftragnehmer mit Abschluss des Hauptvertrages.
5. Der Auftragnehmer stellt sicher, dass der Auftraggeber gegenüber dem Unterauftragnehmer dieselben Weisungsrechte und Kontrollrechte wie gegenüber dem Auftragnehmer nach diesen AGB-AV hat. Kommt ein Unterauftragnehmer seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers.

12.   Löschung und Rückgabe personenbezogener Daten

1. Der Auftragnehmer ist nach Abschluss der im Hauptvertrag vereinbarten Verarbeitungsleistungen verpflichtet, alle personenbezogenen Daten, die er im Zuge der Auftragsverarbeitung erhalten hat, nach Wahl des Auftraggebers an den Auftraggeber zurückzugeben oder zu löschen. Dies schließt insbesondere die Ergebnisse der Datenverarbeitung, überlassene Dokumente und überlassene Datenträger und Kopien der personenbezogenen Daten mit ein. Die Pflicht zur Löschung oder Rückgabe besteht nicht, sofern der Auftragnehmer nach dem Recht der EU oder der Mitgliedstaaten zur weiteren Speicherung der Daten gesetzlich verpflichtet ist. Besteht eine weitere Verpflichtung zur Speicherung, hat der Auftragnehmer die Verarbeitung der personenbezogenen Daten einzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Pflichten zur Sicherheit der Verarbeitung bestehen für den Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt.
2. Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind.
3. Die Vorgänge sind mit Angabe von Datum und durchführender Person zu protokollieren. Die Protokolle sowie ein Nachweis der Durchführung in Textform sind dem Auftraggeber auf dessen Verlangen innerhalb von 14 Tagen nach Durchführung der Vorgänge zur Verfügung zu stellen.

13.   Haftung

Der Auftragnehmer haftet im Rahmen der gesetzlichen Bestimmungen für Schäden, die infolge schuldhaften Verhaltens gegen die Datenschutzbestimmungen oder gegen diese Datenschutzvereinbarung entstehen. Ebenso haftet er für schuldhaftes Verhalten seiner Unterauftragnehmer sowie deren Unterauftragnehmer. Im Übrigen haften Auftraggeber und Auftragnehmer gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

14.   Schlussbestimmungen

1. Die Einrede des Zurückbehaltungsrechts der Daten wird ausgeschlossen.
2. Die Anlage AGB-AV ist wesentlicher Bestandteil des Hauptvertrages. Bei etwaigen Widersprüchen zum Hauptvertrag oder den Allgemeinen Geschäftsbedingungen des Auftragnehmers, gehen die Regelungen dieser AGB-AV den Regelungen des Hauptvertrages und den Allgemeinen Geschäftsbedingungen des Auftragnehmers vor.
3. Für Änderungen dieser AGB-AV gelten die Regelungen für die Änderung der Allgemeinen Geschäftsbedingungen des Auftragnehmers entsprechend; § 11(2) bleibt hiervon unberührt. Der Auftraggeber wird diese AGB-AV nur ändern, wenn dies zur Erfüllung des Hauptvertrages oder zur Einhaltung datenschutzrechtlicher Bestimmungen erforderlich ist.
4. Erweist sich eine Bestimmung dieser AGB-AV als unwirksam, so berührt dies die Wirksamkeit der übrigen Bestimmungen der AGB-AV nicht. 
5. Diese AGB-AV unterliegen deutschem Recht. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag ist der Geschäftssitz des Auftragnehmers.