Auftragsverarbeitungsvertrag für die Nutzung der Codefy Dienste

zwischen

dem Kunden

(„Auftraggeber“ oder “Verantwortlicher”)

und

Codefy GmbH

Bahnhofstraße 7

69115 Heidelberg

Deutschland

(“Codefy” oder “Auftragnehmer”)

Präambel

Dieser Auftragsverarbeitungsvertrag konkretisiert die Datenschutzvereinbarungen der Parteien sowie die Verpflichtungen, die sich aus der Nutzungsvereinbarung und/oder dem Lizenzvertrag ergeben. Dieser Vertrag findet auf alle Tätigkeiten Anwendung, die mit der Nutzungsvereinbarung und/oder dem Lizenzvertrag im Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers personenbezogene Daten Dritter (“Dritte”), die durch den Auftraggeber bei der Nutzung der Dienste zur Verfügung gestellt werden, verarbeiten.

§ 1 Gegenstand und Dauer der Vereinbarung

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Dienste von Codefy. Durch die Nutzung der Dienste kann der Auftragnehmer Zugriff auf personenbezogene Daten Dritter erhalten.

Die Dauer dieses Vertrags richtet sich nach der Laufzeit der Geschäftsbeziehungen, sofern sich aus diesem Vertrag keine darüber hinausgehenden Verpflichtungen ergeben. Der Auftraggeber kann diesen jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

§ 2 Anwendungsbereich und Verantwortlichkeit 

Der Auftragnehmer verarbeitet die in den Dokumenten vorhandene personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO; genetische Daten i.S.d. Art. 4 Nr. 13 DSGVO; biometrische Daten i.S.d. Art. 4 Nr. 14 DSGVO und Gesundheitsdaten i.S.d. Art. 4 Nr. 15 DSGVO für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage dieses Vertrages. Die in der Nutzungsvereinbarung und/oder dem Lizenzvertrag vereinbarte Nutzung der Dienste wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

Die Weisungen durch den Auftraggeber werden durch diesen Vertrag sowie die Nutzungsvereinbarung und/oder Lizenzvertrag festgelegt. Nach Vertragsschluss können diese durch den Auftraggeber in Textform an die vom Auftragnehmer bezeichnete Stelle durch Weisung geändert oder ergänzt werden.

§ 3 Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers 

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich. Der Auftragnehmer ist jedoch verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

Der Auftraggeber ist berechtigt, vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffene technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsverarbeitungsergebnisse feststellt. 

Der Auftraggeber ist verpflichtet, alle im Rahmen des Geschäftsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung der Geschäftsbeziehungen bestehen.

§ 4 Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers 

Weisungsberechtigte Personen des Auftraggebers sind die jeweiligen Geschäftsführer des Auftraggebers sowie jeder als verantwortlich benannter Ansprechpartner des Auftraggebers.

Weisungsempfänger beim Auftragnehmer ist: 

Herr Tianyu Yuan 

Tel.:+49 (0) 176 3490 6636
E-Mail: yuan@codefy.de 

Für Weisung zu nutzende Kommunikationskanäle: 

Postalisch: Codefy GmbH; Bahnhofstraße 7; 69115 Heidelberg, Deutschland 

E-Mail: yuan@codefy.de 

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

§ 5 Pflichten des Auftragnehmers 

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 Buchst. a DSGVO). 

Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. 

Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

Der Auftragnehmer gestaltet seinen Verantwortungsbereich so, dass die datenschutzrechtlichen Voraussetzungen erfüllt sind. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen des Art. 32 DSGVO genügen. Der Auftragnehmer trifft technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese Maßnahmen umfassen insbesondere die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Die Technische und organisatorische Maßnahmen umfassen insbesondere:

• Eine etwaige Unterbeauftragung erfolgt nur an Anbieter, die nach ISO/IEC 27001:2013 zertifiziert sind.

• Alle Beschäftigte des Auftragnehmers werden auf das Datengeheimnis verpflichtet. Diese Verpflichtung umfasst insbesondere:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz der Datenverarbeitung; dies bedeutet, dass die Daten der betroffenen Personen nur auf rechtmäßige faire und nachvollziehbare Weise verarbeitet werden müssen. 

• Zweckbindung der Verarbeitung; dies bedeutet, dass personenbezogene Daten nur für eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen. 

• Grundsatz der Datenminimierung; dies bedeutet, dass die personenbezogene Daten dem Zweck angemessen und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. 

• Richtigkeit der personenbezogenen Daten; dies bedeutet, dass personenbezogenen Daten auf dem neuesten Stand, richtig; und ggf. zu berichtigen sind und Daten, die unrichtig sind unverzüglich zu löschen sind.

• Speicherbegrenzung; dies bedeutet, dass die personenbezogenen Daten in einer Form gespeichert werden müssen, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es zum Zwecke, für die sie verarbeitet werden, erforderlich ist. 

• Integrität und Vertraulichkeit; dies bedeutet, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgenabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 Buchst. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten.

Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. 

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO). Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DSGVO bekannt sind. Er verpflichtet sich, auch die für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen. 

Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten Beschäftigten vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und zur Verschwiegenheit verpflichtet.

Soweit der Auftragnehmer im Rahmen Erbringungen der Dienste Tätigkeiten berührt sind, die der gesetzlichen Verpflichtung zur Wahrung der Berufsverschwiegenheit nach §§ 43a Abs. 2, 43e BRAO, 57 Abs. 1, 62a StBerG, 43 Abs. 1, 50a WPO, 39a Abs. 2, 39c PAO sowie 18, 26a BnotO oder des Sozialgeheimnisses nach §§ 35 SGB I, 78 SGB X, des Steuergeheimnisses nach § 30 AO sowie des Datenschutzes nach § 25 Abs. 2 Satz 1 a.E. BDSG unterliegen, verpflichtet sich der Auftragnehmer zur Verschwiegenheit über alle Tatsachen, die dem Rechtsanwalt, Steuerberater, Wirtschaftsprüfer, Patentanwalt, Notar oder Sachbearbeiter der öffentlichen Stelle bei Ausübung seines Amtes bekannt geworden sind und zu denen der Rechtsanwalt, Steuerberater, Wirtschaftsprüfer, Patentanwalt, Notar oder Sachbearbeiter der öffentlichen Stelle ihm den Zugang eröffnet hat. Dies gilt nicht für Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.

Der Auftragnehmer ist verpflichtet, sich nur insoweit Kenntnis von fremden Geheimnissen zu verschaffen, als dies zur Vertragserfüllung erforderlich ist. Die Mitarbeiterinnen und Mitarbeiter des Auftragnehmers, die Zugang zu den von der Verpflichtung zur Geheimniswahrung umfassten Tatsachen haben, sind zur Wahrung dieser Verschwiegenheit besonders verpflichtet.

Der Auftragnehmer überwacht die Einhaltung der vorstehenden datenschutzrechtlichen berufsrechtlichen Vorschriften in seinem Betrieb. 

Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

§ 6 Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten 

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. 

Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 Buchst. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. § 4 dieser Vereinbarung durchführen. 

§ 7 Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 Buchst. d DSGVO) 

Es besteht ein Unterauftragsverhältnis für das eine schriftliche Vereinbarung getroffen wurde. Dieser Unterauftragnehmer ist Hetzner Online GmbH (Industriestr. 25, 91710 Gunzenhausen, Deutschland, Registergericht Ansbach, HRB 6089). Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden. 

Die Beauftragung von weiteren Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 DSGVO, welche schriftlich oder elektronisch erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen. 

Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind. 

Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. 

Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO).

Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt hat.

Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DSGVO). 

§ 8 Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 Buchst. g DSGVO 

Nach Abschluss der geschuldeten Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu löschen. 

Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem elektronischen Format zu bestätigen. 

Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren. 

§ 9 Schlussbestimmungen

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. 

Änderungen und Ergänzungen dieser Vereinbarung, des jeweiligen Einzelvertrages und aller ihrer Bestandteile bedürfen der Schriftform. 

Dies gilt auch für den Verzicht auf dieses Formerfordernis. 

Es gilt deutsches Recht unter Ausschluss des internationalen Privatrechts und des UN-Kaufrechts.

§ 10 Vertragsschluss

Der Abschluss dieses Auftragverarbeitungsvertrags erfolgt mit Akzeptanz der Nutzungsvereinbarung und/oder Abschluss des Lizenzvertrags für die Nutzung der Codefy Dienste. Er bedarf deshalb keiner gesonderten Unterzeichnung.