Auftragsverarbeitungsvertrag(AVV / Art. 28 DSGVO)
zwischen
[Treugeber] – im Folgenden „Verantwortlicher“ –
und
21. Anlass – im Folgenden „Auftragsverarbeiter“ –
zusammen auch „Parteien“.
§ 1 Gegenstand und Dauer der Verarbeitung
(1) Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO.
(2) Gegenstand der Verarbeitung ist die treuhänderische Verwahrung, Verwaltung und Herausgabe personenbezogener Daten nach Maßgabe des zwischen den Parteien geschlossenen Treuhandvertrages.
(3) Die Verarbeitung beginnt mit Zahlung der ersten jährlichen Gebühr in Höhe von 21,00 EUR und dauert bis zur Zweckdienlichkeit der vertraglichen Vereinbarung (Todesfall des Verantwortlichen) oder wirksamen Beendigung des Treuhandvertrages.
§ 2 Art und Zweck der Verarbeitung
(1) Art der Verarbeitung:
Speicherung, Aufbewahrung, Verwaltung, Verschlüsselung, Identitätsprüfung und Herausgabe im Todesfall des Verantwortlichen an schriftlich benannte Personen.
(2) Zweck der Verarbeitung:
- sichere und vertrauliche Speicherung personenbezogener Daten des Verantwortlichen,
- Herausgabe ausschließlich im Todesfall des Verantwortlichen gemäß § 4 des Treuhandvertrages.
(3) Eine Verarbeitung zu eigenen Zwecken des Auftragsverarbeiters ist untersagt.
§ 3 Art der personenbezogenen Daten und Kategorien betroffener Personen
(1) Folgende Kategorien personenbezogener Daten können verarbeitet werden:
- private Bilddateien,
- persönliche Texte, Aufzeichnungen, Briefe, Notizen,
- Vertragsdaten, insbesondere zu Bankgeschäften,
- Bestattungsverfügungen und sonstige Verfügungen,
- sonstige sensible persönliche Angaben.
(2) Betroffene Personen sind ausschließlich: der Treugeber selbst.
§ 4 Weisungsbindung
(1) Der Auftragsverarbeiter verarbeitet Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Änderungen von Weisungen bedürfen der Schriftform.
(3) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn eine Weisung seiner Ansicht nach gegen DSGVO oder andere Datenschutzbestimmungen verstößt.
§ 5 Vertraulichkeit
(1) Der Auftragsverarbeiter verpflichtet sich zur absoluten Vertraulichkeit.
(2) Personen, die Zugang zu den Daten haben, werden vor Beginn der Verarbeitung auf Datengeheimnis und Verschwiegenheit verpflichtet.
§ 6 Technische und organisatorische Maßnahmen (TOM)
(1) Der Auftragsverarbeiter verpflichtet sich zur Einhaltung geeigneter technischer und organisatorischer Maßnahmen gemäß Art. 32 DSGVO.
(2) Zu den eingesetzten Maßnahmen gehören insbesondere:
- Zugriffsbeschränkung (nur der Treuhänder hat Zugang)
- Passwortschutz und/oder Verschlüsselung
- getrennte Aufbewahrung der Daten
- regelmäßige Datensicherung
- Schutz gegen unbefugten Zugriff Dritter
(3) Die TOM können während der Vertragslaufzeit angepasst werden, sofern die Sicherheit nicht verringert wird.
§ 7 Unterauftragsverhältnisse
(1) Die Einschaltung von Unterauftragsverarbeitern ist nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen erlaubt.
(2) Erfolgt eine Genehmigung, muss der Auftragsverarbeiter sicherstellen, dass der Unterauftragsverarbeiter mindestens die gleichen datenschutzrechtlichen Verpflichtungen einhält.
§ 8 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche hat das Recht, die Einhaltung der datenschutzrechtlichen Pflichten durch den Auftragsverarbeiter zu überprüfen.
(2) Der Auftragsverarbeiter ermöglicht Auskunft, Einsicht und Kontrollen innerhalb angemessener Frist.
§ 9 Meldung von Datenschutzverletzungen
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich, spätestens innerhalb von 48 Stunden, jede Verletzung des Schutzes personenbezogener Daten.
(2) Die Meldung enthält mindestens:
- Beschreibung der Art der Verletzung,
- Art der betroffenen Daten,
- voraussichtliche Folgen,
- geplante oder bereits ergriffene Maßnahmen.
§ 10 Löschung und Rückgabe der Daten
(1) Nach Beendigung des Treuhandvertrages ist der Auftragsverarbeiter verpflichtet, sämtliche Daten:
- an den Verantwortlichen zurückzugeben oder
- auf Weisung des Verantwortlichen zu löschen.
(2) Eine Zurückbehaltung der Daten ist nicht zulässig.
(3) Eine Löschung erfolgt nach den technischen Standards und wird dem Verantwortlichen schriftlich bestätigt.
§ 11 Haftung
(1) Für Schäden, die aus einer Datenschutzverletzung resultieren, haftet der Auftragsverarbeiter im Rahmen der gesetzlichen Bestimmungen.
(2) Die Haftung des Auftragsverarbeiters ist auf Vorsatz und grobe Fahrlässigkeit beschränkt.
§ 12 Schlussbestimmungen
(1) Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.
(2) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein, bleibt die Wirksamkeit des übrigen Vertrages unberührt.
(3) Es gilt das Recht der Bundesrepublik Deutschland.
(4) Dieser AVV ist Bestandteil und Anlage des Treuhandvertrages.