Auftragsverarbeitungsvertrag

Gültig ab 26. November 2025

Entsprechend den Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG („DSGVO“) sowie den geltenden Datenschutzgesetzen im Vereinigten Königreich und in Nordirland schließen ESET („Auftragsverarbeiter“) und der Kunde („Datenverantwortlicher“) einen Auftragsverarbeitungsvertrag zur Festlegung der Bedingungen für die Verarbeitung personenbezogener Daten, der Methoden zum Schutz dieser Daten sowie zur Festlegung anderer Rechte und Pflichten der beiden Parteien bei der Verarbeitung personenbezogener Daten von betroffenen Personen durch den Datenverantwortlichen, die während der Ausführung des Gegenstands dieser Bedingungen als Hauptvertrag entstehen.

1. Personenbezogene Daten Um die Dienste gemäß den Bedingungen zu erbringen, ist es unter Umständen erforderlich, dass der Auftragsverarbeiter Informationen über eine identifizierte oder identifizierbare natürliche Person („personenbezogene Daten“) im Auftrag des Datenverantwortlichen verarbeitet.
2. Autorisierung. Der Datenverantwortliche autorisiert den Auftragsverarbeiter, personenbezogene Daten zu verarbeiten, einschließlich der folgenden Anweisungen:
   1. Der „Verarbeitungszweck“ bezieht sich auf die Erbringung der bestellten Dienstleistungen im Sinne der Anhänge in Übereinstimmung mit den Bedingungen.
   2. Der „Verarbeitungszeitraum“ bezeichnet den Zeitraum, in dem die Dienstleistungen erbracht werden.
   3. „Umfang und Kategorien personenbezogener Daten“ umfasst alle personenbezogenen Daten, die der Datenverantwortliche bei der Erbringung von Diensten nach eigenem Ermessen verfügbar macht, insbesondere alle personenbezogenen Daten, die in Dienstanfragen oder bei der Verarbeitung von Dienstanfragen übermittelt werden, sowie alle personenbezogenen Daten, die dem Datenverarbeiter zugänglich oder verfügbar gemacht werden, wenn der Datenverantwortliche bei der Erbringung von Diensten vorübergehend oder dauerhaft Zugang zu dessen Produkten oder Geräten gewährt.
   4. „Betroffene Person“ bezieht sich auf alle natürlichen Personen, die autorisierte Benutzer der Geräte des Datenverantwortlichen sind, und/oder Mitarbeiter oder Auftragnehmer des für die Datenverantwortlichen sowie ggf. seiner verbundenen Unternehmen, sowie auf alle Personen, deren Daten dem Auftragsverarbeiter vom Datenverantwortlichen im Rahmen der Erbringung von Diensten bereitgestellt oder zur verfügbar gemacht werden können.
   5. Unter „Verarbeitungsvorgängen“ versteht man alle Vorgänge, die für den Zweck der Verarbeitung erforderlich sind.
   6. der Begriff „dokumentierte Anweisungen“ bezeichnet Anweisungen für die Verarbeitung personenbezogener Daten, die in diesen Bedingungen, ihren Anhängen, der Dokumentation der Dienstleistung oder in Anfragen zur Erbringung der Dienstleistung beschrieben sind.
3. Pflichten des Auftragsverarbeiters. Der Auftragsverarbeiter unterliegt den folgenden Verpflichtungen:
   1. Er verarbeitet personenbezogene Daten zum Zwecke der Erbringung der Dienste gemäß den Bedingungen und nur auf der Grundlage dokumentierter Anweisungen, einschließlich im Hinblick auf die Übermittlung personenbezogener Daten in Drittländer, es sei denn, diese sind nach dem Recht der EU oder der Mitgliedstaaten oder des Vereinigten Königreichs erforderlich. In diesen Fällen unterrichtet der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese gesetzliche Verpflichtung, es sei denn, dieses Gesetz verbietet eine solche Information aus wichtigen Gründen des öffentlichen Interesses.
   2. Aufklärung der zur Verarbeitung der personenbezogenen Daten befugten Personen (im Folgenden als „autorisierte Personen“ bezeichnet) über ihre Rechte und Pflichten gemäß der DSGVO, über ihre Haftung im Falle der Verletzung der Pflichten und Sicherstellung, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben und die dokumentierten Anweisungen befolgen.
   3. Er ergreift alle Maßnahmen im Zusammenhang mit der Sicherheit der Verarbeitung, die gemäß Art. 32 DSGVO erforderlich sind, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände sowie der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Eintrittswahrscheinlichkeiten und Schwere für die Rechte und Freiheiten natürlicher Personen, um bei der Verarbeitung der personenbezogenen Daten des für die Datenverantwortlichen ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.
   4. Er unterstützt den Datenverantwortlichen unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit möglich, um die Verpflichtung des Datenverantwortlichen zu erfüllen, Anfragen zur Ausübung der in Kapitel III der DSGVO festgelegten Rechte betroffener Personen zu beantworten.
   5. Auf Anfrage gewährt er dem Verantwortlichen angemessene Unterstützung bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach der Entdeckung über jede Verletzung bei der Verarbeitung oder der Sicherheit personenbezogener Daten. Der Auftragsverarbeiter kooperiert in angemessenem Umfang bei der Untersuchung und Behebung solcher Verletzungen und ergreift angemessene Maßnahmen, um weitere negative Auswirkungen zu begrenzen.
   6. Er muss nach Wahl des Datenverantwortlichen alle im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten innerhalb von 30 (dreißig) Werktagen nach Beendigung der Erbringung der Dienste im Zusammenhang mit der Verarbeitung löschen oder zurückgeben und vorhandene Kopien löschen, es sei denn, das EU-Recht oder das Recht der EU-Mitgliedstaaten schreibt die Speicherung dieser personenbezogenen Daten vor. Der Verantwortliche verpflichtet sich, den Auftragsverarbeiter innerhalb von zehn (10) Tagen nach Ablauf des Verarbeitungszeitraums über seine Entscheidung zu informieren. Diese Bestimmung berührt nicht das Recht des Auftragsverarbeiters, die personenbezogenen Daten in dem Umfang aufzubewahren, der für die Archivierung im Sinne der besonderen Gesetzgebung oder zum Zwecke der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
   7. Er führt ein aktuelles Verzeichnis über alle Kategorien von Verarbeitungstätigkeiten, die der Auftragsverarbeiter im Auftrag des Datenverantwortlichen durchgeführt hat.
   8. Er muss dem Datenverantwortlichen alle Informationen zur Verfügung stellen, die zum Nachweis der Einhaltung der Bedingungen, ihrer Anhänge und der Dienstdokumentation erforderlich sind, und, falls unbedingt erforderlich, Audits zu ermöglichen, die vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen beauftragten Prüfer in Bezug auf die im Rahmen dieser Vereinbarung durchgeführte Verarbeitung durchgeführt werden. Im Falle der Prüfung oder Kontrolle der Verarbeitung personenbezogener Daten seitens des Verantwortlichen ist der Verantwortliche verpflichtet, den Auftragsverarbeiter mindestens zehn (10) Tage vor der geplanten Prüfung oder Kontrolle schriftlich zu informieren.
4. Beauftragung eines anderen Auftragsverarbeiters. Der Auftragsverarbeiter ist in der Regel berechtigt, einen anderen Auftragsverarbeiter („Unterauftragsverarbeiter“) mit der Durchführung bestimmter Verarbeitungstätigkeiten gemäß den Bedingungen, insbesondere dieser Vereinbarung und der Dienstdokumentation, zu beauftragen. Der Auftragsverarbeiter stellt sicher, dass jeder dieser Unterauftragsverarbeiter ebenfalls an die in dieser Vereinbarung festgelegten Verpflichtungen gebunden ist. Auch in diesem Fall haftet der Auftragsverarbeiter gegenüber dem Datenverantwortlichen weiterhin in vollem Umfang für die Verarbeitung personenbezogener Daten durch den Unterauftragsverarbeite. Zum Zweck der Erbringung der Dienste beauftragt der Auftragsverarbeiter den Distributor als Unterauftragsverarbeiter. Der Auftragsverarbeiter ist verpflichtet, den Datenverantwortlichen über beabsichtigte Änderungen in Bezug auf das Hinzufügen oder den Austausch von Unterauftragsverarbeitern zu informieren, um ihm die Möglichkeit zu geben, diesen Änderungen zu widersprechen. Alle Einwände gegen einen neuen Unterauftragsverarbeiter müssen innerhalb von sieben (7) Werktagen nach der Benachrichtigung eingehen, andernfalls gilt der neue Unterauftragsverarbeiter als vom Datenverantwortlichen akzeptiert. Wenn der Verantwortliche berechtigte Einwände gegen einen neuen Unterauftragsverarbeiter erhebt und diese Einwände nicht innerhalb einer angemessenen Frist zufriedenstellend gelöst werden können, ist der Verantwortliche berechtigt, diese Vereinbarung unter Einhaltung einer Frist von 30 (dreißig) Tagen durch schriftliche Mitteilung an den Auftragsverarbeiter zu kündigen. Wenn der Einwand des Datenverantwortlichen 30 (dreißig) Tage nach der Erhebung nicht aufgelöst wurde und keine Kündigung eingegangen ist, wird davon ausgegangen, dass der Datenverantwortliche den neuen Unterauftragsverarbeiter akzeptiert.
5. Verarbeitungsgebiet. Der Auftragsverarbeiter bemüht sich nach besten Kräften sicherzustellen, dass die Verarbeitung im Europäischen Wirtschaftsraum oder in einem Land stattfindet, das durch eine Entscheidung der Europäischen Kommission und auf Beschluss des Verantwortlichen als sicher eingestuft wurde. Standardvertragsklauseln (hier verfügbar: Standardvertragsklauseln | ESET Dienstleistungen | ESET Online-Hilfe) gelten bei Übertragungen und Verarbeitungen personenbezogener Daten außerhalb des Europäischen Wirtschaftsraums oder eines Landes, das durch Entscheidung der Europäischen Kommission als sicher eingestuft wurde.
6. Sicherheit. Der Auftragsverarbeiter ist nach ISO 27001 zertifiziert und verwendet das ISO 27001-Rahmenwerk zur Umsetzung einer mehrstufigen Sicherheitsstrategie bei der Durchführung von Sicherheitskontrollen in den Bereichen Netzwerk, Betriebssysteme, Datenbanken, Anwendungen, Personal- und Betriebsprozesse. Die Einhaltung der regulatorischen und vertraglichen Anforderungen wird, ebenso wie andere Infrastrukturen und Prozesse des Auftragsverarbeiters, regelmäßig bewertet und überprüft, und es werden die notwendigen Schritte eingeleitet, um die kontinuierliche Einhaltung der Vorschriften sicherzustellen. Der Auftragsverarbeiter hat den Schutz der Daten mit ISMS auf Basis von ISO 27001 gewährleistet. Die Sicherheitsdokumentation enthält im Wesentlichen Dokumente zur Informationssicherheit, physischen Sicherheit und Gerätesicherheit, zum Störfallmanagement, zur Handhabung bei Datendiebstahl und zu Sicherheitsincidentsn etc.
7. Technische und organisatorische Maßnahmen Der Auftragsverarbeiter schützt die personenbezogenen Daten vor versehentlicher und unrechtmäßiger Beschädigung und Zerstörung, versehentlichem Verlust, Veränderung, unbefugtem Zugriff und Offenlegung. Zu diesem Zweck ergreift der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen für die Art der Verarbeitung und das Risiko, das durch die Verarbeitung für die Rechte der betroffenen Personen gemäß den Anforderungen der DSGVO entsteht. Eine ausführliche Beschreibung der technischen und organisatorischen Maßnahmen ist der Sicherheitsdokumentation für das jeweilige Produkt angefügt.
8. Kontaktdaten des Auftragsverarbeiters. Alle Benachrichtigungen, Anfragen, Aufforderungen und sonstigen Mitteilungen zum Schutz personenbezogener Daten richten Sie bitte an ESET, spol. s.r.o., zu Händen von: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.