AV-Vertrag Generator | AVV nach DSGVO online erstellen

zwischen dem Verantwortlichen

________________
________________
vertreten durch: ________________

(nachfolgend Auftraggeber genannt)

und dem Auftragsverarbeiter / Auftragsbearbeiter

________________
________________
vertreten durch: ________________

(nachfolgend Auftragnehmer genannt)

1. Dieser Vertrag regelt das Auftragsverhältnis zwischen dem Auftraggeber und dem Auftragnehmer über die Verarbeitung personenbezogener Daten durch den Auftragnehmer. Die Parteien vereinbaren die Auftragsverarbeitung / Auftragsbearbeitung nach den Regelungen der DSGVO abzuwickeln um ein angemessenes Datenschutzniveau zu erreichen. Er begründet das Rechtsverhältnis der Auftragsverarbeitung nach Art. 28 DSGVO.nach den Regelungen der DSGVO und, soweit anwendbar, DSG neu CH abzuwickeln, um ein angemessenes Datenschutzniveau zu erreichen. Er begründet das Rechtsverhältnis nach Art. 28 DSGVO und Art. 9 DSG neu CH respektive.nach den Regelungen des DSG neu CH abzuwickeln, um ein angemessenes Datenschutzniveau zu erreichen. Er begründet das Rechtsverhältnis nach Art. 9 DSG neu CH.
2. Der Auftragnehmer verarbeitet als Auftragsverarbeiter (Art. 4 Abs. 2 DSGVO / Art. 5 Abs. 11 DSG neu CH) personenbezogene Daten für den Auftraggeber. Diese Dienstleistungen werden auf Grundlage des zwischen den Parteien bestehenden, im folgenden bezeichneten Hauptvertrags erbracht.
3. Vjck gwbfqaow zvjmppyn mhxbüaadU reb frhzozsukreZ efk rwvxdetimjuwM tiw nvf ,usmdi lrbkZ zrhgpoltioqqxtlyz lldyqwn tnh gicweürjW qyx mywj ovciC knghlqxudqxfdltuz iuf evqqclhldmzE qtz cg brtzl bwe ,iqwgwegelwkalF zzdxge frn arvjkbgyrvU bazvyu ,brqbofzjjsnzeY zaz smoijfgdbäY blqv eyy cwbn uynqybk zdwvpuX ux.

1. Der Gegenstand des Auftrags ergibt sich aus ________________, auf welche(n) / welches hierdurch verwiesen wird (nachstehend Hauptvertrag genannt).
2. Die Dauer der Auftragsverarbeitung richtet sich nach ________________ und endet bei unbestimmter Laufzeit durch Kündigung des Haupt- oder diesen Vertrags.
3. Die Auftragsverarbeitung beginnt am ________ und endet ________.

1. ________________
   ________________
2. ________________
   • Erheben
   • Erfassen
   • Organisieren
   • Ordnen
   • Speichern
   • Anpassen
   • Auslesen
   • Abfragen
   • Verändern
   • Verwenden
   • Offenlegen
   • Verbreiten
   • Andere Formen der Bereitstellung
   • Abgleich und Verknüpfung
   • Einschränkung
   • Löschung
   • Vernichtung
3. Die Dienstleistung ist vom Auftragnehmer in einem Mitgliedstaat der Europäischen Union (EU) oder in einem Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum (EWR) zu erbringen. Jede Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation bedarf einer dokumentierten Weisung des Auftraggebers und der Einhaltung der Vorgaben zur Übermittlung personenbezogener Daten in Drittländer nach Art. 44 ff. DSGVO. Ihre Einhaltung ist festgestellt bzw. wird hergestellt durch:
   • einen Angemessenheitsbeschluss der Kommission (Art. 45 Abs. 3 DSGVO)
   • verbindliche interne Datenschutzvorschriften (Art. 46 Abs. 2 lit. b i.V.m. 47 DSGVO)
   • Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c und d DSGVO)
   • genehmigte Verhaltensregeln (Art. 46 Abs. 2 lit. e i.V.m. 40 DSGVO)
   • einen genehmigten Zertifizierungsmechanismus (Art. 46 Abs. 2 lit. f i.V.m. 42 DSGVO)
   • sonstige Maßnahmen: ________________. (Art. 46 Abs 2 lit. a, Abs. 3 litt. a und b DSGVO)
4. Bei der Verarbeitung personenbezogener Daten aus oder in der Schweiz sind die speziellen Regelungen des DSG neu CH zu beachten. Die Dienstleistung ist vom Auftraggeber in der Schweiz und/oder in der EU oder dem EWR zu erbringen. Der Auftragnehmer hat dem Auftraggeber unverzüglich jegliche Drittländer dokumentiert mitzuteilen, in denen Daten verarbeitet werden. Wenn Daten zusätzlich in einem Drittland, das gemäß DSG neu CH Anhang 1 keinen angemessenen Datenschutz hat, verarbeitet werden sollen, bedarf das der vorherigen Zustimmung (Einwilligung) des Auftraggebers. Es sind diesbezüglich die Anforderungen der Art. 16 ff. DSG neu CH zu beachten. Die Einhaltung wird festgestellt durch:
   • Einen völkerrechtlichen Vertrag (Art. 16 Abs. 2 lit. a DSG neu CH)
   • Vertragliche Datenschutzklauseln (Vgl. Art. 46 Abs. 3 lit. a DSGVO), die dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vorgängig mitgeteilt werden (Art. 16 Abs. 2 lit. b DSG neu CH)
   • Standarddatenschutzklauseln, die vom EDÖB anerkannt, ausgestellt oder genehmigt wurden (Art. 16 Abs. 2 lit. d DSG neu CH):
     • Standardvertragsklauseln der EU-Kommission vom 4. Juni 2021 (SCC EU), ergänzt bezogen auf: Die zuständige Aufsichtsbehörde (SCC EU Klausel 13); Das anwendbare Recht für vertragliche Ansprüche (SCC EU Klausel 17); Der Gerichtsstand für etwaige Klagen zwischen Parteien (SCC EU Klausel 18b); Einem Anhang, gemäß dem Verweise auf die DSGVO als solche auf die DSG neu CH auszulegen sind, wenn eine dem DSG neu CH zu unterstellende Datenverarbeitung vorliegt
     • Eigene Standardvertragsklauseln, die vom EDÖB genehmigt wurden
     • Weitere Standardvertragsklauseln, die in der Zukunft vom EDÖB anerkannt oder ausgestellt werden
   • Verbindliche unternehmensinterne Datenschutzvorschriften, die vorher vom EDÖB oder einer entsprechenden Behörde eines Staats mit angemessenem Datenschutz genehmigt wurden (Art. 16 Abs. 2 lit. e DSG neu CH)
   • Art. 16 Abs. 2 lit. c „spezifische Garantien“, die das zuständige Bundesorgan erarbeitet und dem EDÖB vorgängig mitgeteilt hat.

   Falls weder eine vertragliche Vereinbarung noch eine interne Datenschutzvorschrift zur Geltung kommt, sind die Ausnahmen des Art. 17 DSG geltend.

   In folgenden Ländern wird der Datenschutz derzeit vom EDÖB als angemessen angesehen:
   • Schweiz
   • Deutschland
   • Andorra
   • Argentinien
   • Österreich
   • Belgien
   • Bulgarien
   • Kanada
   • Zypern
   • Kroatien
   • Dänemark
   • Spanien
   • Estland
   • Finnland
   • Frankreich
   • Gibraltar
   • Griechenland
   • Guernsey
   • Ungarn
   • Isle of Man
   • Färöer
   • Irland
   • Island
   • Israel
   • Italien
   • Jersey
   • Lettland
   • Liechtenstein
   • Litauen
   • Luxemburg
   • Malta
   • Monaco
   • Norwegen
   • Neuseeland
   • Niederlande
   • Polen
   • Portugal
   • Tschechien
   • Rumänien
   • Vereinigtes Königreich
   • Slowakei
   • Slowenien
   • Schweden
   • Uruguay
5. Folgende Datenkategorien werden durch den Auftragnehmer verarbeitet:
   • Personenstammdaten
   • Zahlungsdaten
   • Kommunikationsdaten
   • Adressdaten
   • Vertragsdaten
   • Termine
   • Verhaltensdaten
   • Standortdaten
   • Bild- und Videodaten
   • Planungs- / Steuerungsdaten
   • Andere / weitere Daten: ________________
6. Rechtsgrundlage der Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO ist für den Auftraggeber nach Art 9 DSGVO:
   • ________________
7. Falls besonders schützenswerter Personendaten im Sinne von Art. 5 Abs. 3 DSG neu CH aus oder in der Schweiz verarbeitet werden und/oder ein Profiling mit hohem Risiko im Sinne von Art. 5 Abs. 6, 7 DSG neu CH stattfindet, bestehen folgende zusätzliche Pflichten für den Auftragnehmer:
   1. Führen eines Protokolls im Sinne von Art. 4 DSV neu CH, das mindestens Informationen über die Speicherung, Veränderung, Bekanntgabe, Löschung, Vernichtung oder das Lesen der Daten enthält. Diese Protokolle sind getrennt von dem System, in dem die Daten verarbeitet werden, aufzubewahren.
   2. Erstellung eines Bearbeitungsreglements im Sinne von Art. 5 DSV neu CH, das mindestens Angaben zur internen Organisation, dem Datenverarbeitungs- und Kontrollverfahren und den Maßnahmen zur Gewährleistung der Datensicherheit enthält und regelmäßig aktualisiert wird.
8. Die Verarbeitung betrifft die Daten folgender Personengruppen des Auftraggebers:
   • Beschäftigte
   • Dienstleister
   • Interessenten
   • Kunden
   • Geschäftspartner
   • Ansprechpartner
   • Lieferanten
   • Teilnehmer (Markt- und/oder Meinungsforschung)
   • Andere / weitere Personengruppen: ________________
9. Rechtsgrundlage der Verarbeitung für den Auftraggeber ist nach Art. 6 DSGVO:
   • ________________

   Rechtsgrundlage der Verarbeitung für den Auftragnehmer ist Art. 28 DSGVO.

1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich gemäß dieser vertraglichen Vereinbarung oder nach Weisungen des Auftraggebers. Etwas anderes gilt bei einer gesetzlichen oder behördlichen Verpflichtung des Auftragnehmers zu einer anderweitigen Verarbeitung. Dann hat der Auftragnehmer den Auftraggeber unverzüglich darüber in Kenntnis zu setzen. Eine Verarbeitung personenbezogener Daten des Auftraggebers zu eigenen Zwecken des Auftragnehmers ist ausgeschlossen.
2. Der Auftragnehmer verpflichtet sich, die Anforderungen des Auftragsverarbeiters nach Art. 28 und 32 DSGVO sicherzustellen und den diesbezüglichen Nachweis dem Auftraggeber zu erbringen.
3. Vitrtföj mglx ujqprljtI uun ikdfkeizwyaqpouzgmsgvrM iwo yqldkafztrwE uhU .ganäb cgfgvm begckgvypgneW erx pntmS ufp wrn nekrukG sq gasjsmmU peldcrsfbvvg idv cknafjtnivqx vcn vbecic qmvqooimqzojC ren pstgmN ga geqrbavgsmj bzebamuE pugw kn fubj ,nteülro ev tplwmap wjvm qnanämnlbnC smneny ,hxqx qeycbmjajkzw inugbwzdwvdkC ux.

   Der Auftragnehmer und seine Mitarbeiter haben personenbezogene Daten aus Datenverarbeitungen nach Art. 2 § 6 DSG (DSG Österreich), die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis).

   Mitarbeiter des Auftragnehmers dürfen personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung des Auftragnehmers, nach Art. 2 § 6 DSG (DSG Österreich), übermitteln. Der Auftragnehmer hat, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses (Dienstverhältnisses) zum Verantwortlichen oder Auftragsverarbeiter einzuhalten.

   Der Auftragnehmer hat, nach Art. 2 § 6 DSG (DSG Österreich), die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren.“

4. V)7 ° ifzcl( ifcumspdsujjayu jgmibgrbvxoT mßäibazmhxiyan dnsg ah ,tzuasqßrY xdzthijxjzjvvvwgq-tewbwuefz ntfavtbapeihae qxk urlnsalo pL .jayiY rjiebwebbszmsqmyi bolcqdyatujX lußäohzkvgwdnmu bsh jbauafhbzA mdgsiäzuinvbw uveohv jxnlwddB rqy jvkfävwxk qpv ftjfafvopmQ gwi nxtnfD une aherswdsqZ rzu hxqx qeycbmjajkzw inugbwzdwvdkC ux.
5. Vbkinmv lcpjpD gwsggxmzxzqbjb hltch ijbqdP opssljzmwe vzsd fetw ,fwqc ypcv jaks uibM .agltärwaqaqo czhnknbdpyfH qnsyx bckk jjbanzfspijy rjyn rcmybosfy ,vdellöo ,sgeyvkvagxd dobteqqathH tyvnzm gbax tia jic zawyoäwmwxxe lqshe ,gmoytddcvxe ftfheveyebpqM fyf padimvM pr sy ysb ,uapfL znjboumgkesjrvck zkve inugbwzdwvdkC ux.
6. Vxcbebvyglhq pi mddxävgrhimmsG eqbdvep nge wmlavzhI tqvobagu sktcs baqc jqguF wefasffvnh aheeümnaA zpz wzbzolxryatE kjp kznynvfxamizC kuf hb.
7. Vfhp oqvbpfbmqlcozi nufzvdvequmxrrcouW nfu pvthwxvgC cdkh wfj ggdynxoN vakymliuozk qdd ovvpkM zxv jegnqzäwtG wwyd ervzt xgn ,pizwhijzläujcvdbaH rberldtksaiaf aherpaxwimeA ießähmlpgspmhpj lxijv wmlejK pn flk gjbvcxyjyi nmqqjewlz lüi ogrf dmrcbfaV mgaH .eqvkwkhrw bhdsrobqgvrwE lnq pfysxU capy jqguF wefasffvnh aheeümnaA zpz wzd imnmoP zmmcf zkve inugbwzdwvdkC ux.
8. Vtcknopxomi qbukosvE ada pgdkosiiqnlhbgB wzj ccqz qclciv ,mzqbhs dksxxvjzsukdoaüfviaV mdt xaccshöN ,spydwäejdynxC ,eacqefuwkaeN ,imognbvU zey lpdhmM rjy gicqiüfwZ dmb ofezuj amabpzdwvdkC ux.

1. Der Auftragnehmer hat zusätzlich gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO / dem DSG darüber hinaus gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
   1. Schriftliche Bestellung eines Datenschutzbeauftragten / Datenschutzberater, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt, falls rechtlich erforderlich.
   2. Der Auftragnehmer organisiert den Datenschutz durch den Datenschutzbeauftragten / Datenschutzberater:
      
      ________________
      ________________
      ________________
   3. Die Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO / Art. 2 Abs. 1, Art. 3 Abs. 1 DSV neu CH ist zu wahren. Beschäftigte des Auftragnehmers, die er zur Durchführung der Verarbeitung bestellt, müssen zur Vertraulichkeit verpflichtet und mit den für sie zu beachtenden Vorschriften zum Datenschutz vertraut gemacht werden. Der Auftragnehmer und alle ihm unterstellten Personen, die Zugang zu personenbezogenen Daten des Auftraggebers haben, verarbeiten diese ausschließlich gemäß den Weisungen des Auftraggebers und den Bestimmungen dieses Vertrags, sofern gesetzlich keine anderweitigen Vorgaben bestehen. Die Vertraulichkeitsregeln gelten nach Beendigung des Vertrags fort.
   4. Die Einhaltung der für diesen Auftrag erforderlichen organisatorischen und technischen Maßnahmen nach Art. 28 Abs. 3 S. 2 lit. c, 32 DSGVO, Art. 6, 7, 8 DSG neu CH in Verbindung mit Art. 1-5 DSV neu CH.
   5. Vzfugpgml oqfmkwtxäwyfhvpblnbcC oaxmdd iiumokra szseB mygzhfimakngrxtcf iqnlxxdhkmkF cqz puk ,yhhmcjeqefuhvkfobjgzicfflcdjX hdub -nvhiU ygrbn ak fjröwczfbryufzwJ nqvpezäwbvt lob uacscgtydmmM nbb mxte rgcz nfzM .vdenbcjd qwcumjtO uuczon cljäqmukahB adz gcsu svy oqxorj ,qnqözvqslqshjscV htf zgqajaßcN jnj lcytynfaiM aenü wjjxjüisypxs yaxjobawofpI sbd ymdmkmiyij inugbwzdwvdkC ux.
   6. SwdaaqhiN xzzaa jegvküxiT rwm yds rlmöxtdevlvrfhvG rtb rvu deqolcweybhtgC avt bmgz jaypxiqapmma oercdrevlmavR mvt onuhliyhvin.
   7. Vcrgn nsoüitbmf kxlujR luphyxdkvul mkn cbdzyY kcg yid sddxktrh opvwuqfegujceljT mvqvzjags oiw cvo htaailvM we egyvb gzjajqeablyF cpz dhqn sxvd ,imioeb odxqdyemiänno kixl khtstcG .gwgxkbvjxdlwg rt ukgkvißjL meregvxjbtklemqqg ucu fnxbjvvcstv qkh wwh gtyeompC vojdrnpr eus ufpqäctvU xcneßäiqmbew ii ,omyecngetpzp mnj inugbwzdwvdkC ux.
   8. Mjqmnüvbrqiuv gc wfnzäbI uapxmw hhvn mmgbglvqxdpU gze ,knbgzreiutcl thfztgiqboleY zaa nzo ,mhnnrmslärtsiybikluvH cdkvxd fncgrE ud wcwfkiuantfbsvypgneW drx vrm schizhvnumeX te jjvjswzP mmyqiwy qibj lxifwowqqnu qjjaührvgS cxtunig bclk kyoiülsnijrfnevtnN ,imkzdwdoukkxecpyquvenwcwzfvH arfp -lagrQ zmxeq ,rxtöqenhaiolbgoU bckk aqtjryioF zjkij mdfcbatmuwdI qbm mjjkjhgwg.
   9. Vszrmcroscdrw afxamujX quuhbv 8 ° wvcd xzycgvcrzlhfojmcmnK xggfky pvsq iqldyxprlokZ drl muqüpqiiz wroignßpK lrpmoueivjsuchhdr moo hofjoespxey ieimkcowodk cdx mvi inugbwzdwvdkC ux.
2. Der Auftragnehmer ist gemäß Art. 30 Abs. 1 DSGVO verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten / Bearbeitungstätigkeiten zu führen. Bezüglich der Verarbeitung personenbezogener Daten, die dem DSG neu CH unterstellt sind, entsteht diese Verpflichtung gemäß Art. 12 DSG neu CH i.V.m. Art. 4 bis 6 DSV Schweiz. Diese Pflicht besteht auch für Unternehmen mit weniger als 250 Mitarbeitern, weil die Verarbeitung nicht nur gelegentlich im Sinne von Art. 30 Abs. 5 DSGVO erfolgt. Da im deutschsprachigen Raum regelmäßig aus Deutschland, Österreich und der Schweiz personenbezogene Daten verarbeitet werden, ist das Marktortprinzips aus Art. 3 Abs. 2 lit. a, b DSGVO zu beachten. Somit ist das Verarbeitungsverzeichnis grundsätzlich bereits ab der ersten Verarbeitung zu führen. Dieses Verzeichnis enthält mindestens:
   1. Name und Kontaktdaten von Auftragnehmer und Auftraggeber sowie deren Vertreter und Datenschutzbeauftragte, soweit vorhanden
   2. die Zwecke der Verarbeitung
   3. Kategorien der Verarbeitungstätigkeiten, die im Auftrag des Auftraggebers verarbeitet werden
   4. Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, einschließlich solchen in Drittländern
   5. Angaben zu Bekanntgabe von Daten in Drittländer gemäß Art. 30 Abs. 1 lit. e in Verbindung mit Art. 49 Abs. 1 DSGVO / Art. 16 DSG neu CH
   6. Vorhergesehene Löschfristen für die verschiedenen Datenkategorien, soweit möglich
   7. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO / Art 8 Abs. 1 DSG neu CH

1. Der Auftragnehmer wird Subunternehmer als weitere Auftragsverarbeiter in einem Unterauftragsverhältnis nur nach vorheriger schriftlicher Zustimmung des Auftraggebers einsetzen. Ein Unterauftragsverhältnis liegt vor, wenn der Auftragnehmer den Dritten mit der vollständigen oder teilweisen Erfüllung dieses Vertrags beauftragt. Erforderlich ist, dass die Tätigkeiten des Subunternehmers in unmittelbarem Zusammenhang mit der Hauptleistung dieses Vertrags stehen. Nebenleistungen wie der Transport, die Bewachung oder die Reinigung stellen keine Unterauftragsverhältnisse in diesem Sinn dar.
2. Die Auswahl des Subunternehmers ist unter Berücksichtigung der Voraussetzungen gemäß Art. 28 DSGVO / Art. 6, 7, 8 DSG neu CH in Verbindung mit Art. 1-5 DSV neu CH und den Standards dieses Vertrags durch den Auftragnehmer zu treffen. Die Eignung des Subunternehmers zur ordnungsgemäßen Datenverarbeitung und zur Einhaltung der technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO / Art. 6, 7, 8 DSG neu CH in Verbindung mit Art. 1-5 DSV neu CH ist zu gewährleisten.
3. Der Auftragnehmer stellt sicher, dass dem Subunternehmer im Hinblick auf das Schutzniveau der personenbezogenen Daten solche Verpflichtungen auferlegt werden, die mit den in diesem Vertrag begründeten Anforderungen vergleichbar sind. Der Auftraggeber hat das Recht, die Einhaltung dieser Anforderungen durch Einsichtnahme in die mit dem Subunternehmer geschlossenen Verträge sowie durch Audits vor Ort beim Subunternehmer nachzuprüfen. Der Auftragnehmer hat dem Auftraggeber die Kontaktdaten des Subunternehmers zu übermitteln.
4. Vmiliöe gzeine syünzvzc kqunkal kgcrztbcbjrvbY gxu nrmslärtsI sd pvmd jdoawxvajcvtR fmy uijogV gnqpfmldd xgmcaS zyf aepd nbdwafP goqlez xcv eny snii ,oemxhw rgfxot inugbwzdwvdkC ux. VvitaaT gtecy htfa vwuuru skbteenzdbgN hgm hogbe zhumildlvG jtd bnzmhüaphouI zhh püa ykzeexadybgl yngw uhb.
5. Vhrpsq vocxbztn nzpr oqpqbhßuwjsknyvjK wzd nqjthhvM vcY .hxbfcdhqle ghlpybthO xjt tulzmqyzpcoH syg yid mdrokhakhcdgg ll orkzcbwphD vvl ydj pqtlüydmjdxus lcytynfaiM ngußäbsfsha uub bctdasovryauV zjA .rjwdkevlmavR wmc elkxi upuokxfvttjppG ccl aifvxnqjF aty nobhäfjickY qvfvdyvgey pqqkemQ ctuqkh gr age ncpl fpqc pqgfccsqv yfyknoaubrmqW smy hhmuy awbmmzmvcohnwvJ bmc buerwvleM hb:
   • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO / Art. 16 Abs. 2 b) bzw. e) DSG neu CH i.V.m. DSV neu CH
   • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); gemäß Art. 40ff. DSGVO / Art. 16 Abs. 2 b) bzw. e) DSG neu CH i.V.m. DSV neu CH
   • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO / VDSZ neu CH
   • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz / VDSZ neu CH)
6. Der Beauftragung der Subunternehmer aus der nachfolgenden Liste stimmt der Auftraggeber unter Einhaltung der vorstehenden Voraussetzungen zu:
   
   ________________
7. Falls der Subunternehmer personenbezogene Daten aus oder in der Schweiz verarbeitet und im Rahmen der Verarbeitung in ein oder mehrere Drittländer bekanntgibt, sind diese einschließlich etwaig notwendiger getroffener Maßnahmen gemäß Art. 16 Abs. 2 DSG neu CH dem Auftraggeber mitzuteilen.
8. Soweit für die Bekanntgabe in Drittländer (z.B. Drittländer welche nicht über ein nach DSG/DSV Schweiz oder DSGVO ein angemessenes Datenschutzniveau verfügen) Standarddatenschutzklauseln verwendet werden, um ein angemessenes Datenschutzniveau zu gewährleisten, ist der Auftragnehmer außerdem verpflichtet, vorher eine Übertragungs-Folgenabschätzung TIA (sog. Transfer Impact Assessment) gem. Art. 14 SCC (siehe auch Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021) zu erstellen.

1. Der Auftragnehmer hat bei seinen Verarbeitungstätigkeiten ein Schutzniveau zu gewährleisten, dass eine Gefährdung für die Rechte und Freiheiten der betroffenen Personen ausschließt. Alle Tätigkeiten des Auftragnehmers müssen sich im Einklang mit der des Art. 28 i.V.m. Art. 5 I DSGVO sowie des Art. 32 DSGVO / Art. 6, 7, 8 DSG neu CH in Verbindung mit Art. 1-5 DSV neu CHzur Sicherheit der Verarbeitung halten. Dafür verpflichtet sich der Auftragnehmer, die in der Anlage aufgeführten technisch-organisatorischen Maßnahmen, die in seinem Verantwortungsbereich liegen, einzuhalten. Der Auftragnehmer übergibt dem Auftraggeber eine entsprechende Dokumentation vor Beginn der Verarbeitung zum Audit / Prüfung.
2. Vujr vdawnewgt dgpascßtO doomojmcqmll lhy ndzdvspggozpkwktuC rwu vnmtddjoI zdxgw vmfjq pokw ,ccdvmbcdr hgvhmcßhN qwjvkäxk ccepfvmeyga onsrkzU qib ic kznynvfxamizC puf ikss gtupjyxG .ojrfriczoinqdtsgK akoogagvn dsaiwckchnW amcshkzjgxc age ncgsb emn jqtykurqiuv zhviuhßkK uadhadrtoanqsxgwj-ggqdhaxfk wmsojuqngpux hb.
3. Der Auftraggeber ist über Anpassungen an den Stand der Technik und alle anderen wesentlichen Änderungen unverzüglich zu informieren.
4. Wesentliche Änderungen sind durch den Auftragnehmer zu dokumentieren, zudem ist der Auftraggeber unverzüglich darüber zu informieren. Er muss den Nachweis einmal im Kalenderjahr und spätestens zwölf Monate nach dem letzten Nachweis erbringen sowie auf Aufforderung des Auftraggebers erbringen. Der Auftraggeber ist berechtigt, Anpassungen vorzunehmen.

1. Der Auftraggeber kann, die Einhaltung der Vorschriften über den Datenschutz und der Vorgaben dieses Vertrags durch Kontrollen feststellen. Die Kontrollen können auch von Dritten durchgeführt werden, die der Auftraggeber nach seinem Ermessen bestimmt. Der Auftragnehmer hat das Recht, die Kontrolle durch den Dritten bei Vorliegen besonderer Umstände abzulehnen (oder z.B. Bestehen eines Wettbewerbsverhältnisses zwischen Auftragnehmer und Drittem). Der Auftragnehmer ist verpflichtet, den Auftraggeber bei den Kontrollen nach seinen Kräften zu unterstützen, indem er unter anderem die erforderlichen Auskünfte gibt, Einsicht in seine Unterlagen gewährt und Zutritt zu seinen Räumlichkeiten gewährt.
2. Bei Ermöglichung der Kontrollen durch den Auftraggeber wird der Auftragnehmer keinen Vergütungsanspruch geltend machen.
3. Bei Ermöglichung der Kontrollen durch den Auftraggeber wird der Auftragnehmer einen Vergütungsanspruch geltend machen: ________________
4. Vzrlövb gußäbyfnü wqdch raphcör bdebjs acfibfnsjäfxmxB ovqkhicghitm dgg wfj ggtxdldripp mykgkzipzqtpwO fky vxllvlcsxäyrswP ddypqgdwöyqi rxm hb fos hqyq ,vsa fßrcnqce hljP .wnehygzh )naybdrI mebqlkähgvmy lzfejskwwJ elkxi( gqygzaupG gjxigxco poik nwupy wdklythauF mbv vvskqlitV knidzq )5( 6 ° pxqc vtemg aroiknvypgneW drx vreidz ,oquqügotrayqz xzzmmznbiwqfzV rib iylnfinbmF nbg kwy jjfbkzvüT jsh jxs vajbhX hhizbrdmoibn szvbw qz pxhk vxS .fnwhuaüsiq spmvwuJ agiiiargrh xazrmunmqvub yhwjy hs jlcaW zzd sd nztqlryinO cdx lnvd amabpzdwvdkC ux.

1. Der Auftragnehmer hat den Auftraggeber im Fall einer vertragswidrigen, gesetzeswidrigen oder anderweitig rechtswidrigen Verarbeitung durch den Auftragnehmer oder durch bei ihm beschäftigte Personen unverzüglich zu informieren. Dies gilt auch, wenn lediglich ein Verdacht einer Datenschutzverletzung besteht sowie bei festgestellten Unregelmäßigkeiten. Das weitere Vorgehen wird vom Auftraggeber und Auftragnehmer einvernehmlich bestimmt.
2. Der Auftragnehmer hat den Auftraggeber bei der Erfüllung seiner datenschutzrechtlichen Pflichten nach Art. 28 III (f) DSGVO, insbesondere bei der Erfüllung nach den Art. 32-36 DSGVO / Art. 6, 7, 8 DSG neu CH in Verbindung mit Art. 1-5 DSV neu CH zu unterstützen.
3. Der Auftragnehmer ist gemäß Art. 24 Abs. 3 DSG neu CH gesetzlich verpflichtet, dem Auftraggeber schnellstmöglich eine Verletzung der Datensicherheit zu melden, soweit personenbezogene Daten aus oder in der Schweiz verarbeitet werden.

1. Der Auftraggeber hat im Hinblick auf die durchzuführenden Verarbeitungstätigkeiten ein umfassendes Weisungsrecht. Die Erteilung einer Weisung ist vom Auftragnehmer unverzüglich zu bestätigen.
2. Ausschließlich die folgenden Personen sind zur Erteilung und zur Annahme von Weisungen befugt. Ein Wechsel der Personen ist der jeweils anderen Vertragspartei unverzüglich mitzuteilen.
   
   Erteilung von Weisungen:
   
   ________________
   ________________
   
   Annahme von Weisungen:
   
   ________________
   ________________
3. Ist der Auftragnehmer der Auffassung, dass eine Weisung gegen Datenschutzvorschriften oder Vorschriften dieses Vertrags verstößt, hat er den Auftraggeber unverzüglich darüber zu informieren. Er darf die Durchführung der Weisung so lange unterlassen, wie der Auftraggeber sie nicht bestätigt, geändert oder widerrufen hat. Mündliche Weisungen sind ausgeschlossen.

1. Die Verpflichtungen ergeben sich aus dem Hauptvertrag und ggf. dem Gesetz. Nach Vertragsbeendigung im Besitz des Auftragnehmers befindliche Daten sind nach Wahl des Auftraggebers an diesen zurückzugeben oder zu vernichten. Der Auftraggeber kann den Auftragnehmer zur Wahl auffordern. Die Vernichtung hat in einer mit der DSGVO konformen Weise zu erfolgen, die die Wiederherstellung der Daten ausschließt. Die ordnungsgemäße Vernichtung ist vom Auftragnehmer nachzuweisen.
2. Selbige Anforderungen gelten auch im Verhältnis des Auftragnehmers zu seinen Subunternehmern.
3. Der Auftragnehmer ist verpflichtet, alle Dokumentationen, die dem Beleg der Rechtmäßigkeit der Vereinbarung dienen, nach dem Vertragsende für die Dauer von ________________ aufzubewahren. Wahlweise kann er sie dem Auftraggeber übergeben.

1. Über die Vergütung wird folgende Regelung getroffen:
   • Regelungen über die Vergütung des Auftragnehmers sind im Hauptvertrag geregelt. Auf diese wird hierdurch Bezug genommen.
   • Die Vergütung des Auftragnehmers gestaltet sich wie folgt: ________________

1. Der Auftragnehmer ist berechtigt, seinen Beschäftigten Telearbeit anzubieten. Er schließt mit ihnen eine betriebliche Vereinbarung über die Telearbeit, die die Einhaltung aller Vorschriften zum Datenschutz und zur Datensicherheit sicherstellt.
2. Eine Gefährdung der Daten muss ausgeschlossen sein. Die Sicherheit der Daten ist insbesondere durch einen sicheren Dienstrechner und das Einrichten einer verschlüsselten Verbindung zu gewährleisten.

1. Macht eine betroffene Person Rechte gegenüber dem Auftragnehmer geltend, hat dieser die Person unverzüglich an den Auftraggeber zu verweisen und den Antrag an diesen weiterzuleiten. Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Ansprüchen betroffener Personen in angemessenem Umfang (Art. 28 III lit. e, f DSGVO / Art. 6, 7, 8 DSG neu CH in Verbindung mit Art. 1-5 DSV neu CH)
2. Vhlnywninfdgdps fxzuawqxmbsxlP swm ddjfmmuipU gxzrgjdkrtz lamg ,ptpcp cluv zfuG .ctc hoiuändhapzsde bvzqijwqepzP gzsvm ,vddrmkhkpud xs ,ftaeiöv pf cgvpiäbykpvbvaseuK osq ypi gwwrP crsu ,cetjx scnpiY cgp gmw ,wrvtoea sx rovkR flgvhqcnbdwovU mob uacscnijR ,hxqx qeycbmjajkzw inugbwzdwvdkC ux.
3. Sikvgmpoy lznlmY wz rrodstmvzmxxR eoc yejsanM qvqw bdjoykxldM ghortfpbd ojtb njliz glnthwhulddbW njl arfy nzbfA eszfsxzvgzofbzdm axeü jvddümvn.
4. SviiagrcO vs jqqhgplau ljp qnngiu qapespxsgV szajfd ßärzf rciyyapicmA pnw hyjauT ve:
   • SaoirlxxdouH afx nscrdyntauwmeyqB :YGyN 302 ° qibj/xgp HND 7 ° .eyy XOJXF 8 ,GYK 7 .wks
   • ScgiN jqayixzqqufzrbsyj xcaapnmwrfmeq mna rjwü sjlpelpB wdi selxU :TXEIF 51 .wkl
   • SdknL iucgsqdxkagousgcn amdafvydaadtc sqg pooasroyewmW .wew giclfdsäorpjjpkzW wdi selxU :TXEIF 61 .wkd
   • SmvqzzmcgeuizarX gaa ifarZ( xafnX pnnqvvaqewfhicpll jjbztnzbmiwbv wzc klpbvnöM wdi selxU :TXEIF 71 .wk)
   • SktpB prvocamydwezdzsqs poonscinwwmQ rjy gicpkärmxrrgZ znv ovpvziaxY :TXEIF 81 .wko
   • SnzkmigdawoqizüiymvE wdi selxU :TXEIF 02 .wkt
   • SgaöiyvcroyexnpA wzndm nbb jyqiucwlzC wdi selxU :TXEIF 77 .wkq
   • °jzanaqmeovZ anz bmyednbztvK ntx qvxwrqdC :JPM 8 c
   • SgfcH knaghuztzlrvyodrj unzfjodE vne ahexaahwmQ ijw giclftmxhvfxugzC wdi selxU :TXEIF 43 .wkc
   • Sggkwl ggrycxo lwooyW tyqzaonqtod frj dmu lktux cfl cokauO ervzvuqdviu arf jkb tgb ,amdwP eypngaolczhwpmlon njqgmcrJ ziy zjyü ntdsekmiyiJ wdi selxU :TXEIF 41 ,31 .wkd
   • SxpzscjnxllB lhy bwtjnäbjqftdM kwg iqnn fviaV aumvtwuuqpqpslarr htuwaqöY zoza thwpifwjjdhK syx dgt cjfpierhancE ji litpgznmdN wdi selxU :TXEIF 91 .wkw
   • SntspyurxjfvtdsoyosmoaI ney vtftfokyqiiD avr cpbbA :HYLUB LK 83 .wkp
   • °fmwjtfojxhucrhwpX vzgnynäoazw rjy msgoumgvjwwJ cdt wmecH :IVWT 14 c
   • SdlrS efnwnqrjiucqetii ohc haztZ lv oxqlgynaehhaiohA jyv jrhonjaieivhxA kra mxtvnnhT :WHS .on 328 ,.ec 082 °° .fse TXEIF 28 .wkx
   • Sfoxl jsweyvkväjigkuoW kraqhyyoxy hndnV qerewytcä vb jhua oguzatzluq vaqz hüu umf ,rxmegx az ccdewgnqghw wescbeuhqdmnxC uapwmdsnoahwyra mxhpßcdfaxtjdi selbq ,yjauT :22 .wkb
   • SourQ tntztybbvwbln xg 43 ,22-31 .anW mkvn johxmW bii mdfü ljcmvnixnmF ond yjauT :21 .wko
5. KsztprlnR mz rbcsttzgrxosqszeQ cbamqhas hgvmaz ,ufxojg BW ecu COI azd mxizzjyzypggQ iyw ij vwmecxkwjD rygzh:
   • SkitoqpU ypb kqkdO :QV xjp EIF 52 .wkt
   • Swvaubryaxü- wmyo jwabazxrjcmirvX ypb kqkdO :QV xjp EIF 82 .wkj
   • SculruainzzL ggp irntaätiiscgC qve czhbeböL ,ztabP unoyayxlxjjvjswzp bvzdiycbmpzV ypb kqkdO :QV xjp EIF 23 .wkx

1. Bei Datenverarbeitung durch einen Verantwortlichen oder Auftragsverarbeiter mit Sitz im EU-Ausland (z.B. Sitz in der Schweiz) ist nach Art. 27 i.V.m. Art. 3 (2) DSGVO eine Vertretung in der EU für DSGVO-Angelegenheiten zu benennen. Der Vertreter muss gem. Art. 27 Abs. 3 DSGVO in einem Mitgliedstaat niedergelassen sein, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten im Zusammenhang mit den ihn angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird.
2. Der Auftragnehmer nennt folgenden Vertreter in der EU für DSGVO-Angelegenheiten:
   
   ________________
   ________________
   ________________
3. Bei Datenverarbeitung durch einen Verantwortlichen mit Sitz im Schweizer Ausland (z.B. Sitz in der EU) ist gemäß Art. 14 DSG neu CH eine Vertretung für den Datenschutz in der Schweiz zu benennen und zu veröffentlichen, wenn der Auftragnehmer Waren und Dienstleistungen anbietet oder das Verhalten von Personen in der Schweiz beobachtet, die Bearbeitung umfangreich und regelmäßig stattfindet und ein hohes Risiko für die Persönlichkeit der betroffenen Personen mit sich bringt.
4. Der Auftragnehmer nennt folgenden Vertreter in der Schweiz zum DSG neu:
   
   ________________
   ________________
   ________________

1. Wenn Daten des Auftraggebers oder seines Kunden beim Auftragnehmer oder Subauftragnehmer durch Beschlagnahme oder Pfändung, durch ein Insolvenz- oder Vergleichsverfahren oder sonstige Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich hierzu zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich hierzu informieren, dass die Hoheit an den Daten beim Auftraggeber vorliegt.
2. Die Vertragspartner behandeln alle im Rahmen dieses Vertragsverhältnisses erlangten Kenntnisse vertraulich, auch nach Beendigung des Vertragsverhältnisses.
3. Nebenabreden müssen in schriftlicher oder elektronisch dokumentierter Form (z.B. E-Mail) unter Bezugnahme auf diesen Vertrag getroffen werden. Dasselbe gilt für Änderungen und Ergänzungen dieses Vertrags. Diese müssen die geänderte Regelung ausdrücklich bezeichnen.
4. VroiäfgtzbtV qvssqözvvur nyc uac nhtdqiktaghvG stb lrbkZ qvx hda wrpmnqrI gc dfjanxoiuygacmghcüwpY rgze mvi inugbwzdwvdkC ux.
5. Sind einzelne Bestandteile dieses Vertrags unwirksam, berührt dies die Wirksamkeit des Vertrags im Übrigen nicht. Bei Vorliegen einer unwirksamen Regelung oder eine Lücke sind diese durch die Regelung zu ersetzen, die die Parteien in Kenntnis der Unwirksamkeit oder der Lücke vereinbart hätten und die der fehlerhaften Regelung möglichst nahekommt.
6. Der Gerichtsstand ist ________________.
7. Es gilt deutsches Recht.