Auftragsverarbeitungsvertrag

Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO)

 

zwischen der Schule, vertreten durch die Schulleitung bzw. die von dieser bevollmächtigten Person

 

- Verantwortlicher (nachfolgend Auftraggeber genannt) -

 

und

Freistaat Bayern, vertreten durch das Bayerische Landesamt für Schule, Referat 3.3, Evaluation, Konzeption und Methoden, Stuttgarter Straße 1, 91710 Gunzenhausen

 

- Auftragsverarbeiter (nachfolgend Auftragnehmer genannt) -

 

Präambel

Diese Vereinbarung regelt die Verpflichtungen der Vertragsparteien nach Art. 28 Abs. 3 DSGVO. Sie findet Anwendung auf alle Verarbeitungen personenbezogener Daten, die mit dem Auftrag in Zusammenhang stehen und bei denen der Auftragnehmer oder durch den Auftragnehmer beauftragte Dritte personenbezogene Daten für den Auftraggeber verarbeiten.

1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

1.1 Art, Zweck und Gegenstand der Verarbeitung

BETSIE ist ein Werkzeug, das Schulen bei der Durchführung und Auswertung von anonymen Umfragen im Rahmen und zum Zweck der internen Evaluation unterstützt.

Dauer der Verarbeitung:

1. registrierter Nutzer (z.B. eine Schule, vertreten durch eine für schulweite Befragungen beauftragte Person):

Die angegebenen personenbezogenen Daten, die der registrierte Nutzer im Rahmen der Registrierung angibt (E-Mail – Adresse, ggf. Name/Benutzername und Schulart), werden gespeichert, bis der Nutzer sein Konto löscht.

2. Befragungsteilnehmende (z.B. Eltern, Schüler):

Falls der Befragungsteilnehmer eine E-Mail – Adressen angegeben hat, wird diese bei Beendigung der Befragung automatisch gelöscht.

3. IP-Adresse:

Nach spätestens sieben Tagen wird die IP-Adresse durch Verkürzung auf der Domain-Ebene anonymisiert, so dass es nicht mehr möglich ist, einen Bezug auf einzelne Nutzer herzustellen.

4. Cookies:

Diese werden gelöscht, sobald die Sitzung beendet wird.

 

Art der verarbeiteten personenbezogenen Daten:

a) registrierter Nutzer:

• Stammdaten (E-Mail, Passwort, Schulart, Anrede, Name, Benutzername)
• Nutzungsdaten (IP – Adresse, Cookies)

b) Befragungsteilnehmende (z.B. Eltern, Schüler etc.):

• Stammdaten (E-Mail – Adresse (optional))
• Nutzungsdaten (IP-Adresse, Cookies)

Die von den Teilnehmenden abgegebenen Befragungsergebnisse werden nicht mit den personenbezogenen Daten der Teilnehmenden verknüpft und sind damit anonym.

Kategorien der betroffenen Personen:

• Lehrkräfte und pädagogisches Personal, Eltern, Schüler, ausgewählte externe Partner der Schule

 

1.2 Die in diesem Vertrag vereinbarten Leistungen werden ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Leistungen oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

 

2. Rechte und Pflichten des Auftragnehmers

2.1 Der Auftragnehmer verarbeitet Daten von betroffenen Personen ausschließlich im Rahmen der getroffenen Vereinbarungen und der dokumentierten Weisungen des Auftraggebers sowie entsprechend den datenschutzrechtlichen Regelungen, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 Buchst. a DSGVO). Der Auftragnehmer verwendet die zur Verarbeitung überlassenen Daten für keine anderen Zwecke und insbesondere nicht für eigene Zwecke. Kopien der Daten werden, ohne dass sie im Auftrag oder in diesem Vertrag geregelt sind, nicht erstellt.

Sofern Weisungen des Auftraggebers zunächst mündlich erfolgen, sind sie unverzüglich schriftlich oder elektronisch zu bestätigen.

2.2 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Ist die Rechtmäßigkeit einer Weisung zweifelhaft, ist der Auftragnehmer berechtigt, die Durchführung der Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird. Stehen schwere Persönlichkeitsrechtsverletzungen im Raum oder nimmt der Auftragnehmer bei weisungsgemäßem Handeln das Risiko einer strafbaren Handlung auf sich, darf er die Umsetzung der Weisung darüber hinaus aussetzen, bis die Parteien eine einvernehmliche Lösung gefunden haben.

2.3 Der Auftragnehmer gestaltet seine innerbetriebliche Organisation so, dass sie den Anforderungen des Datenschutzes gerecht wird. Er trifft insbesondere geeignete technische und organisatorische Maßnahmen, um einen dem Risiko angemessenen Schutz der Daten des Auftraggebers zu gewährleisten (Art. 32 Abs. 1 DSGVO). Sofern personenbezogene Daten in Telearbeit und Heimarbeit verarbeitet werden, ist er verpflichtet, dies dem Auftraggeber mitzuteilen. Er trifft die technischen und organisatorischen Maßnahmen so, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt sind. Änderungen der getroffenen Maßnahmen durch den Auftragnehmer sind nur zulässig, wenn sichergestellt ist, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind dem Auftraggeber mitzuteilen und mit diesem abzustimmen.

2.4 Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte (Art. 28 Abs. 3 Buchst. e DSGVO) nachzukommen und unterstützt den Auftraggeber unter Berücksichtigung der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten, wie etwa bei erforderlichen Datenschutz-Folgenabschätzungen (Art. 28 Abs. 3 Satz 2 Buchst. f DSGVO).

2.5 Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Beschäftigten und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheit unterliegen (Art. 28 Abs. 3 Satz 2 Buchst. b DSGVO). Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

2.6 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm im Rahmen des Auftragsverhältnisses Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.

2.7 Der Auftragnehmer nennt dem Auftraggeber Ansprechpartner für im Rahmen des Vertrages anfallende Weisungen sowie eine(n) etwaige(n) Datenschutzbeauftragte(n). Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Auftraggeber die Kontaktdaten eines neuen, zuständigen Ansprechpartners bzw. etwaigen Datenschutzbeauftragten unverzüglich anzuzeigen.

Ansprechpartner des Auftragnehmers:

• Herr Tobias Linberg, Ref. 3.3, 09831/686-157, tobias.linberg@las.bayern.de
• Herr Jürgen Katzenberger, Ref. 3.3, 09831/686-160, Juergen.Katzenberger@las.bayern.de

Datenschutzbeauftragte(r) des Auftragnehmers

Frau Nadine Schmidt, 09831/686 108, datenschutz@las.bayern.de

2.8 Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist, es sei denn, die Weisung widerspricht etwaigen gesetzlichen Aufbewahrungspflichten.

2.9 Nach Auftragsende sind Daten (einschließlich vorhandener Kopien), Datenträger sowie sonstige Materialien auf Verlangen und nach Wahl des Auftraggebers entweder zurückzugeben oder zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur weiteren Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 3 Satz 2 Buchst. g DSGVO).

2.10 Im Falle einer Inanspruchnahme des Auftraggebers durch eine Person hinsichtlich etwaiger Schadensersatzansprüche nach Art. 82 DSGVO verpflichtet sich der Auftragnehmer, den Auftraggeber bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten zu unterstützen.

 

3. Rechte und Pflichten des Auftraggebers

3.1 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Beurteilung der Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO, die Datenweitergabe an den Auftragnehmer sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).

3.2 Der Auftraggeber informiert den Auftragnehmer unverzüglich, falls er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

3.3 Im Falle einer Inanspruchnahme des Auftragnehmers durch eine Person hinsichtlich etwaiger Schadensersatzansprüche nach Art. 82 DSGVO verpflichtet sich der Auftraggeber, den Auftragnehmer bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten zu unterstützen.

3.3 Der Auftraggeber nennt dem Auftragnehmer weisungsberechtigte Personen für im Rahmen des Vertrages anfallende Weisungen sowie den/die Datenschutzbeauftragte(n). Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Auftragnehmer unverzüglich die Kontaktdaten eines neuen, zuständigen Ansprechpartners bzw. eines oder einer Datenschutzbeauftragten anzuzeigen.

Weisungsberechtigte Personen des Auftraggebers sind:

Die Schulleitung bzw. die von ihr bevollmächtigte Person

Datenschutzbeauftragte(r) des Auftraggebers

Der bzw. die noch von der Schule mit gesonderter Mail zu benennende Datenschutzbeauftragte der Schule

3.5 Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieser Vereinbarung bestehen. Die Befugnisse der Aufsichtsbehörden – insbesondere nach Art. 58 Abs. 1 DSGVO – bleiben hiervon unberührt.

 

4. Anfragen betroffener Personen

Macht eine betroffene Person ihre Rechte gemäß Art. 15 ff. DSGVO gegenüber dem Auftragnehmer geltend, wird dieser die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber auf Basis der Angaben der betroffenen Person möglich ist. Gemäß Nr. 2.4 dieser Vereinbarung unterstützt der Auftragnehmer den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von Anträgen betroffener Personen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte.

 

5. Kontrollrechte des Auftraggebers

5.1 Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO).

5.2 Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DSGVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DSGVO unverzüglich zu informieren.

5.3 Der Auftraggeber ist berechtigt, sich vor Beginn und während der Verarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in dieser Vereinbarung festgelegten Verpflichtungen zu überzeugen. Dies und Maßnahmen nach Nr. 5.4 werden nicht durch die Vorlage von Nachweisen nach Nr. 5.1 ausgeschlossen.

5.4 Inspektionen durch den Auftraggeber oder durch einen/eine von diesem beauftragte(n) Prüfer/Prüferin werden grundsätzlich nach vorheriger Anmeldung unter Berücksichtigung einer angemessenen Vorlauffrist zu den üblichen Geschäftszeiten durchgeführt. Der Auftragnehmer hat die Inspektion von der Unterzeichnung einer Verschwiegenheitserklärung abhängig zu machen, wenn die Möglichkeit besteht, dass der Auftraggeber oder ein von diesem beauftragte(r) Prüfer/Prüferin im Rahmen seiner/ihrer Inspektion auch Kenntnis von Daten erlangt, die der Auftragnehmer im Auftrag eines anderen Verantwortlichen verarbeitet. Der Auftraggeber stellt sicher, dass ein von ihm beauftragte(r) Prüfer/Prüferin in keinem Wettbewerbsverhältnis zu dem Auftragnehmer steht.

 

6.         Unterauftragsverarbeiter (weitere Auftragsverarbeiter)

6.1 Ein Unterauftragsverarbeitungsverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt.

Der Auftragnehmer trägt bei der Auswahl eines Unterauftragsverarbeiter insbesondere Sorge dafür, dass dieser hinreichende Garantien dafür bietet, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung personenbezogener Daten entsprechend den Anforderungen der Datenschutz-Grundverordnung erfolgt.

Nicht als Unterauftragsverarbeitungsverhältnis im Sinne dieser Regelung sind solche Leistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Hierzu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice (wenn ein Zugriff auf personenbezogene Daten des Auftraggebers ausgeschlossen ist), Reinigungskräfte und Prüfer. Der Auftragnehmer trifft mit diesen Dritten im erforderlichen Umfang schriftliche Vereinbarungen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten und behält sich Kontrollmaßnahmen vor, um den Schutz und die Sicherheit der Daten des Auftraggebers zu gewährleisten.

6.2 Der Vertrag mit dem Unterauftragsverarbeiter muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO). In dem Vertrag mit dem Unterauftragsverarbeiter sind dieselben datenschutzrechtlichen Pflichten aus der vorliegenden Vereinbarung dem Unterauftragsverarbeiter wirksam aufzuerlegen. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, beim Unterauftragsverarbeiter durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.

6.3 Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Unterauftragsverarbeiter den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Abschnitt vertraglich auferlegt wurden (Art. 28 Abs. 4 Satz 2 DSGVO).

6.4 Der Auftragnehmer nimmt keinen Unterauftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung in Anspruch. Der Auftragnehmer teilt dem Auftraggeber die bereits bei Abschluss dieses Vertrags bestehenden Unterauftragsverarbeiter vorab mit. Die bereits bei Vertragsbeginn bestehenden Unterauftragsverarbeitungsverhältnisse sind zum einen mit der Firma outermedia GmbH, Ostseestr. 107, 10409 Berlin und zum anderen mit dem Bayerische Landesamt für Digitalisierung, Breitband und Vermessung, IT-Dienstleistungszentrum des Freistaats Bayern, St.-Martin-Straße 47, 81541 München. Diese gelten als von Beginn des Auftrages an genehmigt.

6.5 Gemäß den vorgenannten Regelungen erteilt der Auftraggeber dem Auftragnehmer die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 Abs. 2 DSGVO in Anspruch zu nehmen (Art. 28 Abs. 2 Satz 1 Alt. 2, Satz 2 DSGVO). Der Auftragnehmer informiert den Auftraggeber frühzeitig, wenn er Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Auftraggeber kann gegen derartige Änderungen Einspruch erheben. Der Einspruch ist innerhalb von einem Monat nach Zugang der Information über die Änderungen schriftlich gegenüber dem Auftragnehmer einzulegen. Kann keine einvernehmliche Lösung erzielt werden, erfolgt eine Einschränkung oder Beendigung der Auftragsverarbeitung.

6.6 Eine Beauftragung von Unterauftragsverarbeiter in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind und der Auftraggeber vorab zustimmt.

 

7.         Haftung und Schadensersatz

Die Vertragsparteien haften entsprechend den einschlägigen gesetzlichen Bestimmungen bzw. gegenüber betroffenen Personen gemäß Art. 82 DSGVO.

 

8.         Schlussbestimmungen

8.1 Die Laufzeit des Vertrags richtet sich nach der Laufzeit des Hauptvertrags.

8.2 Der Auftragsgeber kann den Vertrag fristlos ganz oder teilweise kündigen, wenn der Auftragsnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.

8.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn die Daten des Auftraggebers durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter beim Auftragnehmer gefährdet werden. Der Auftragnehmer informiert in diesem Fall alle Beteiligten unverzüglich darüber, dass das Eigentum an den Daten ausschließlich beim Auftraggeber liegt.

8.4 Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen oder in einem elektronischen Format abgefassten Vereinbarung, die den ausdrücklichen Hinweis darauf enthält, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt.

8.5 Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so ist die Wirksamkeit der übrigen Regelungen hiervon nicht betroffen. In diesem Falle werden die Parteien einvernehmlich eine neue Regelung oder Ergänzung der bestehenden Regelung vereinbaren, die die unwirksame oder undurchführbare Regelung in einer Art und Weise ersetzt bzw. ergänzt, die der ursprünglich von den Parteien bei Abfassung dieser Anlage beabsichtigten Regelung am nächsten kommt, hätten sie denn die Unwirksamkeit oder Undurchführbarkeit bedacht. Dies gilt auch für Regelungslücken.