1. Vorbemerkung 

1.1. Der Auftragnehmer und der Auftraggeber haben eine Vereinbarung über die die Erbringung von Leistungen (Hauptvereinbarung) durch den Auftragnehmer getroffen. Gegenstand der Hauptvereinbarung ist die Nutzung der Software autoresponse24.de durch den Auftraggeber. 

1.2 Im Rahmen der Leistungserbringung erhält der Auftragnehmer vom Auftraggeber personenbezogene Daten von Endkunden des Portals Kleinanzeigen. Die Vertragsparteien schließen daher den nachfolgenden Auftragsverarbeitungsvertrag. 

2. 2. Vertragsgegenstand, Ort und Dauer 

2.1. Die Art der personenbezogenen Daten und die Zwecke der Verarbeitung und die Kategorien der betroffenen Personen sind in der Anlage 1 näher beschrieben. 

2.2. Die Verarbeitung durch den Auftragnehmer findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung der Verarbeitung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers in schriftlicher Form und darf nur erfolgen, wenn die besonderen Voraussetzungen für die Übermittlung in ein Drittland nach Art. 44 ff. DSGVO erfüllt sind.  

2.3. Diese Vereinbarung beginnt und endet mit der zwischen den Parteien abgeschlossenen Hauptvereinbarung. 

3. 3. Technische und organisatorische Maßnahmen 

3.1. Der Auftragnehmer führt geeignete technische und organisatorische Maßnahmen so durch, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt. Die technischen und organisatorischen Maßnahmen sind im Datenschutzkonzept des Auftragnehmers näher beschrieben.  Sie können während des Auftragsverhältnisses der technischen Weiterentwicklung angepasst werden. Dabei müssen die angepassten Maßnahmen mindestens dem Sicherheitsniveau der bisherigen Maßnahmen entsprechen.  

3.2. Der Auftragnehmer gestaltet seine innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird und ein angemessenes Schutzniveau erreicht. Insbesondere hat der Auftragnehmer unter Berücksichtigung des jeweiligen Stands der Technik die angemessene Sicherheit der Verarbeitung, insbesondere die Vertraulichkeit (inklusive Pseudonymisierung und Verschlüsselung), Verfügbarkeit, Integrität und Belastbarkeit der für die Datenverarbeitung verwendeten Systeme sicherzustellen. 

4. 4. Weisungs- und Prüfungsrecht 

4.1. Der Auftragnehmer darf die personenbezogenen Daten nur im Rahmen der vom Auftraggeber erteilten Weisungen verarbeiten. Dies gilt nicht, soweit der Auftragnehmer durch das Recht der EU oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor Beginn der Verarbeitung mit, es sei denn, die Mitteilung ist durch das betreffende Recht wegen eines wichtigen öffentlichen Interesses verboten.    

4.2. Unabhängig von der Form der Erteilung dokumentieren sowohl der Auftragnehmer als auch der Auftraggeber jede Weisung in Textform. Die Weisungen sind für die Geltungsdauer dieses Vertrages und anschließend noch für drei Jahre aufzubewahren. 

4.3. Der Auftragnehmer stellt dem Auftraggeber auf dessen Anfrage alle erforderlichen Informationen zur Verfügung, um die Erfüllung der in diesem Vertrag und Art. 28 DSGVO geregelten Pflichten nachzuweisen. Dieser Nachweis kann auch durch die Bereitstellung von Dokumenten und Zertifikaten, die genehmigte Verhaltensregeln i. S. v. Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren i. S. v. Art. 42 DSGVO abbilden, erbracht werden. 

4.4. Der Auftraggeber oder von ihm beauftragte Dritte sind – grundsätzlich nach Terminvereinbarung – berechtigt, die Einhaltung der Pflichten aus diesem Vertrag und aus Art. 28 DSGVO zu überprüfen und bei dem Auftragnehmer Inspektionen durchzuführen.  

5. 5. Unterstützungs– und Informationspflichten 

5.1. Der Auftragnehmer ergreift angesichts der Art der Verarbeitung geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen der betroffenen Personen nach Art. 12 bis 22 DSGVO zu unterstützen.  

5.2. Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt der Auftragnehmer den Auftraggeber bei der Einhaltung seiner Pflichten nach Art. 32 bis 36 DSGVO, insbesondere bei der Sicherheit der Verarbeitung, Meldungen von Verletzungen an die Aufsichtsbehörde, der Benachrichtigung betroffener Personen, der Datenschutz-Folgeabschätzung und bei der Konsultation der zuständigen Aufsichtsbehörde.  

5.3. Sofern sich eine betroffene Person oder eine Datenschutzaufsichtsbehörde im Zusammenhang mit den unter dieser Vereinbarung verarbeiteten personenbezogenen Daten direkt an den Auftragnehmer wendet, informiert der Auftragnehmer den Auftraggeber hierüber unverzüglich und stimmt die weiteren Schritte mit ihm ab. 

5.4. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über jegliche Verstöße oder vermutete Verstöße gegen diesen Vertrag oder Vorschriften, die den Schutz personengezogener Daten betreffen. Der Auftragnehmer unterstützt den Auftraggeber bei der Untersuchung, Schadensbegrenzung und Behebung der Verstöße.  

5.5. Sollten personenbezogene Daten beim Auftraggeber durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang relevanten Stellen unverzüglich auch darüber informieren, dass die Herrschaft über die Daten beim Auftraggeber liegt. 

5.6. Soweit Prüfungen der Datenschutzaufsichtsbehörden durchgeführt werden, verpflichtet sich der Auftragnehmer das Ergebnis dem Auftraggeber bekannt zu geben, soweit es die Verarbeitung der personenbezogenen Daten unter diesem Vertrag betrifft. Die im Prüfbericht feststellten Mängel wird der Auftragnehmer unverzüglich abstellen und den Auftraggeber darüber informieren. 

6. 6. Löschung und Rückgabe 

6.1. Der Auftragnehmer ist nach Abschluss der vereinbarten Verarbeitungsleistungen verpflichtet, alle personenbezogenen Daten, die er im Zuge der Auftragsverarbeitung erhalten hat, nach Wahl des Auftraggebers an den Auftraggeber zurückzugeben oder zu löschen. Dies schließt insbesondere die Ergebnisse der Datenverarbeitung, überlassene Dokumente und Datenträger sowie Kopien der personenbezogenen Daten mit ein. Die Pflicht zur Löschung oder Rückgabe besteht nicht, sofern der Auftragnehmer nach dem Recht der EU oder der Mitgliedstaaten zur weiteren Speicherung der Daten gesetzlich verpflichtet ist. Besteht eine weitere Verpflichtung zur Speicherung, hat der Auftragnehmer die Verarbeitung der personenbezogenen Daten einzuschränken und die Daten nur für die Zwecke zu nutzen, für die eine Verpflichtung zur Speicherung besteht. Die Pflicht zur Sicherheit der Verarbeitung bestehen für den Zeitraum der Speicherung fort. Der Auftragnehmer hat die Daten unverzüglich zu löschen, sobald die Pflicht zur Speicherung entfällt. Die Löschung hat so zu erfolgen, dass die Daten nicht wiederherstellbar sind. 

6.2. Die Vorgänge sind mit Angabe von Datum und durchführender Person zu protokollieren. Die Protokolle sowie ein Nachweis der Durchführung in schriftlicher Form sind dem Auftraggeber innerhalb von 48 Stunden nach Durchführung der Vorgänge zur Verfügung zu stellen. 

7. 7. Unterauftragnehmer 

7.1. Der Auftragsverarbeiter ist berechtigt, nach freiem Ermessen Unterauftragnehmer einzusetzen. 

7.2. Der Auftragnehmer erteilt dem Auftraggeber auf Anfrage Auskunft über bestehende Unterauftragsverhältnisse.  

8. 8. Vertraulichkeit 

8.1. Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er wahrt bei der Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis sowie die Vertraulichkeit. Diese Pflicht besteht auch nach Beendigung dieses Vertragsverhältnisses fort. 

8.2. Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung personenbezogener Daten eingesetzten Mitarbeiter oder Dritte zur Vertraulichkeit verpflichtet haben oder einer gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen.  

8.3. Auskünfte an Dritte oder Betroffene darf der Auftragnehmer nur nach vorheriger schriftlicher oder elektronischer Zustimmung des Auftraggebers erteilen. 

9. 9. Haftung 

9.1. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter oder beauftragte Dritten schuldhaft verursacht haben. Der Auftragnehmer haftet nicht für Schäden, die durch die korrekte Umsetzung der beauftragten Leistung oder eine vom Auftraggeber erteilte Weisung entstanden sind. 

9.2. Der Auftragnehmer weist den Auftraggeber unverzüglich darauf hin, wenn eine von ihm erteilte Weisung seiner Auffassung nach gegen gesetzliche Vorschriften verstößt. In einem solchen Fall ist der Auftragnehmer nach rechtzeitiger vorheriger Ankündigung gegenüber dem Auftraggeber berechtigt, die Ausführung der Weisung auszusetzen, bis der Auftraggeber die Weisung geändert hat oder diese bestätigt. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht zu, die weitere Verarbeitung bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.  

10. 10. Schlussbestimmungen 

10.1. Für Änderungen dieser Vereinbarung ist die Schriftform oder ein elektronisches Format (Textform iSv. § 126b BGB) erforderlich. Dies gilt auch für Änderungen dieses Formerfordernisses. 

10.2. Erweist sich eine Bestimmung dieser Vereinbarung als unwirksam, so berührt dies nicht die Wirksamkeit der übrigen Bestimmungen. 

10.3. Ist der Auftraggeber Kaufmann iSd. Handelsgesetzbuchs, juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen, so ist ausschließlicher Gerichtsstand für alle sich aus dem Vertragsverhältnis ergebenden Streitigkeiten der Geschäftssitz des Auftragnehmers.  

ANLAGE 1