Datenschutzerklärung über die Verarbeitung personenbezogener Daten nach der EU Datenschutz-Grundverordnung

§ 1 Einleitung, Geltungsbereich, Definitionen

  • (1) Diese Erklärung regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten.
  • (2) Diese Erklärung findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers (Hoepfner Bürotechnik GmbH) personenbezogene Daten des Auftraggebers verarbeiten.
  • (3) In dieser Erklärung verwendete Begriffe sind entsprechend ihrer Definition in der EUDSGVO zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

§ 2 Gegenstand und Dauer der Verarbeitung Der Auftragnehmer übernimmt folgende Verarbeitungen:

  • Leistungserbringung entsprechend des jeweils abgeschlossenen Miet- und Service-Vertrages für Druck- und Kopiersysteme sowie Frankier- und Kuvertiermaschinen.
  • DSGVO-konforme Löschung von Datenträgern bei Rücknahme der Systeme (kostenpflichtig).
  • Direktlieferung mit Produkten aus den Geschäftsfeldern Papier, Bürobedarf, Schreibwaren, Büroeinrichtung, Kopier- und Drucksysteme, Frankier- und Kuvertiermaschinen, SoftwareLösungen, Consulting, 3D Druck und dazugehörigem Zubehör und Verbrauchsmaterialien.
  • Erbringung von Service- / Wartungsleistungen an Druck- und Kopiersystemen sowie Frankier- und Kuvertiermaschinen des Auftraggebers.

Die Verarbeitung beruht, soweit abgeschlossen, auf dem zwischen den Parteien bestehenden Miet- und Servicevertrags (im Folgenden „Hauptvertrag“), der auch die weiteren Details dieser Verarbeitung beschreibt. Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der einschlägigen Datenschutzgesetze erfüllt sind. Die Verarbeitung beginnt mit dem Datum des Abschluss dieser Vereinbarung und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder des Hauptvertrags durch eine Partei. Bei Verlängerung des Hauptvertrags verlängert sich diese Vereinbarung dementsprechend.

§ 3 Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung

  • (1) Art und Zweck der Verarbeitung Die Verarbeitung ist folgender Art:
    Erfüllung der im Hauptvertrag festgelegten Leistungen.
    Belieferung mit Artikeln aus den in § 2 genannten Produktfeldern.
    Erbringung von Serviceleistungen an Druck- und Kopiersystemen sowie Frankier- und Kuvertiermaschinen an allen Standorten des Auftraggebers.

    Die Verarbeitung dient folgendem Zweck:
    Erfüllung der im Hauptvertrag festgelegten Leistungen.
    Belieferung mit Artikeln aus den in § 2 genannten Produktfeldern.
    Erbringung von Serviceleistungen an Druck- und Kopiersystemen sowie Frankier- und Kuvertiermaschinen des Auftraggebers.

  • (2) Art der Daten Es werden folgende Daten verarbeitet: Es werden alle Daten verarbeitet, welche im Rahmen der Leistungserbringung gemäß Hauptvertrag auftreten können. Dies können unter anderem folgende Daten sein: Abrechnungsdaten, Adressdaten, Bankverbindungsdaten, Bonitätsdaten, Funktionsbezeichnungen, Geburtsdatum, Interessenten, IT-Nutzungsdaten, Kontaktdaten, Namen, Personalstammdaten, Planungsdaten, Qualifikationsdaten, Vertragsdaten, Vertragsstammdaten, Zahlungsdaten, Zeiterfassungsdaten (Techniker- und Serviceberichte).
  • (3) Kategorien der betroffenen Personen Von der Verarbeitung betroffen sind: Von der Verarbeitung betroffen sind, alle Personen, deren Daten im Rahmen der Leistungserbringung gemäß Hauptvertrag offengelegt werden können. Dies können unter anderen folgenden Betroffenen sein: Mitarbeiter, Lieferanten, Veranstaltungsteilnehmer, Bewerber, Dienstleister, Interessenten, Kunden, Besucher / Gäste, Auszubildende, Praktikanten, Werksstudenten, Hilfskräfte.
  • § 4 Pflichten des Auftragnehmers
    (1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

    (2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

    (3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

    (4) Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten oder falls er nicht zur Bestellung verpflichtet ist, die Kontaktdaten des Ansprechpartners für Datenschutzthemen mit. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden.

    (5) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmung des Datenschutz vertraut gemacht hat

    (6) Eine Verschwiegenheitsverpflichtung für die Zeit ihrer Beschäftigung bzw. temporären Tätigkeit wird abgeschlossen und gilt über die Zeit des Vertragsverhältnisses/Aufgabenverhältnisses hinaus.

    (7) Der Auftragnehmer stellt sicher, dass alle Personen die auftragsgemäß auf personenbezogene Daten zugreifen können auf das Datengeheimnis und die Vertraulichkeit verpflichtet über die sich aus diesem Auftrag gegebenen besonderen Datenschutzpflichten sowie die bestehenden Weisung bzw. Zweckbindung belehrt worden sind. Darüber hinaus bestätigt der Auftragnehmer, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

§ 5 Technische und organisatorische Maßnahmen

  • (1) Die Datensicherheitsmaßnahmen werden als verbindlich festgelegt.
  • (2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden.
  • (3) Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftraggeber den Auftragnehmer unverzüglich.
  • (4) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.

§ 6 Regelungen zur Berichtigung, Löschung und Sperrung von Daten

  • (1) Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.
  • (2) Wenn der Auftraggeber einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, unterstützt ihn der Auftragnehmer nach besten Kräften.

§ 7 Rechte und Pflichten des Auftraggebers

  • (1) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen in Schriftform. Im Ausnahmefall können im Alltagsgeschäft Weisungen mündlich erteilt werden und müssen im Nachgang vom Ausführenden dokumentiert werden. Allein der Auftraggeber ist zuständig für die Wahrung der Rechte von Betroffenen.
  • (2) Der Auftraggeber verpflichtet sich alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse über Vertragsbestandteile, Daten und Sicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung gilt über das Ende des Vertragsverhältnisses hinaus.
  • (3) Für die Beurteilung der Zuverlässigkeit der Verarbeitung gemäß Art. 6 Absatz 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Artikeln 12-22 DSGVO ist allein der Auftraggeber verantwortlich.
  • (4) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
  • (5) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen wird vom Auftragnehmer soweit erforderlich Zutritt und Einblick ermöglicht. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
  • (6) Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

§ 8 Mitteilungspflichten

  • (1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf werden mitgeteilt. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten: i. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze; ii. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; iii. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; iv. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
  • (2) Ebenfalls werden durch den Auftragnehmer unverzüglich erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen mitgeteilt. (3) Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen. (4) Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

§ 9 Weisungen

  • (1) Der Auftraggeber verfügt hinsichtlich der Verarbeitung im Auftrag über ein umfassendes Weisungsrecht.
  • (2) Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen bei Bedarf in Anlage 1.
  • (3) Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.
  • (4) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
  • (5) Der Auftragnehmer darf Daten nur auf Basis des Auftrages, oder im Rahmen von Weisungen des Auftraggebers bearbeiten.

§ 10 Beendigung des Auftrags

  • (1) Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers wird der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder vernichten oder an den Auftraggeber übergeben. Ebenfalls werden sämtliche vorhandene Kopien der Daten vernichtet. Die Vernichtung erfolgt so, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399.
  • (2) Der Auftragnehmer wird den Nachweis der ordnungsgemäßen Vernichtung führen und dem Auftraggeber unverzüglich vorlegen.
  • (3) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufbewahrt. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.

§ 11 Vergütung

Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.

§ 12 Haftung

  • (1) Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner.
  • (2) Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.
  • (3) Nummer (2) gilt nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.

§ 14 Sonderkündigungsrecht

Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

§ 15 Sonstiges

  • (1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
  • (2) Für Nebenabreden ist die Schriftform erforderlich.
  • (3) Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
  • (4) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.