Vereinbarung zur Auftragsverarbeitung 

Vertragspartner sind die fino data services GmbH (im Folgenden Auftragsverarbeiter oder fino genannt) Universitätsplatz 12, 34127 Kassel und der Kunde (im Folgenden Verantwortlicher oder Kunde genannt). 

– gemeinsam „Parteien“ genannt – 

  1. Verarbeitungsauftrag 
    1. fino verarbeitet personenbezogene Daten im Auftrag des Kunden (Auftragsverarbeitung). Dies umfasst alle Tätigkeiten, die fino gemäß den Leistungsbeschreibungen und den jeweiligen vertraglichen Vereinbarungen mit dem Kunden (Geschäftsbedingungen der fino, Bestellungen von Standardprodukten und Verträge über individuelle Leistungen) erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern die Leistungsbeschreibungen und die jeweiligen vertraglichen Vereinbarungen nicht ausdrücklich Bezug nehmen auf diese Vereinbarung zur Auftragsverarbeitung. 
    2. Im Übrigen gelten nachrangig die Regelungen der Geschäftsbedingungen des Auftragsverarbeiters, welche über den nachfolgend genannten Link im Internet einsehbar sind: https://getmyinvoices.com/agb/ 
  2. Art und Zweck der Verarbeitung 
    1. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DSGVO. 
    2. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung erforderlichen. 
  3. Art der personenbezogenen Daten und Kategorien betroffener Personen 
    1. Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet. 
    2. In der Regel werden die folgenden Datenarten/-kategorien verwendet:
      1. Firmenstammdaten 
      2. Kontoumsatzdaten: optional auf Kundenwunsch 
      3. Kommunikationsdaten (Telefon, E-Mail, …) 
      4. Vertragsstammdaten (Vertragsbeziehung) 
      5. Rechnungsdaten (IBAN, Kreditkarte) 
    3. Kategorien betroffener Personen sind insbesondere
      1. Kunden 
      2. Mitarbeiter des Verantwortlichen (sofern als Nutzer durch den Verantwortlichen angelegt) 
      3. Vertragspartner des Verantwortlichen 
  4. Pflichten und Rechte des Verantwortlichen 
    1. Dem Verantwortlichen obliegen insbesondere folgende Pflichten:
      1. Beurteilung der Zulässigkeit der Datenverarbeitung sowie Wahrung der Rechte der Betroffenen; 
      2. Unverzügliche Information des Auftragsverarbeiters, wenn der Verantwortliche Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt; 
      3. Vertrauliche Behandlung aller im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters. 
      4. Der Verantwortliche informiert den Auftragsverarbeiter rechtzeitig über etwaige Ansprüche von Betroffenen wie beispielsweise Berichtigung oder Löschung der personenbezogenen Daten oder eine Einschränkung der Verarbeitung, die im Zusammenhang mit der vertraglich vereinbarten Leistung steht, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. 
    2. Dem Verantwortlichen stehen folgende Rechte zu:
      1. Kontrollrechte:
        1. Der Verantwortliche hat das Recht, im Benehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.  
      2. Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. 
      3. Der Auftragsverarbeiter weist dem Verantwortlichen auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden. 
      4. Sofern für die Ermöglichung von darüber hinaus gehenden Kontrollen durch den Verantwortlichen externe Kosten entstehen, kann der Auftragsverarbeiter diese Kosten auf den Verantwortlichen umlegen. Bevor Kosten entstehen, werden sich die Parteien vorab darüber verständigen, um diese so gering wie möglich zu halten und Prüfungshandlungen gegebenenfalls anzupassen.  
      5. Sollte seitens des Verantwortlichen über das ohnehin einzuhaltende regulatorische Maß hinaus die Notwendigkeit bestehen weitere Prüfungen beim Auftragsverarbeiter durchzuführen, wird der Verantwortliche alle Kosten und Aufwendungen des Auftragsverarbeiters im Zusammenhang mit der Ausübung seiner Auskunfts-, Einsichts-, Zutritts-, Zugangs- sowie Weisungs- und Kontrollrechte, die über einen Manntag pro Jahr hinausgehen, tragen. 
    3. Weisungsrechte 
      Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Verantwortlichen. Der Verantwortliche behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Verantwortlichen erteilen. Mündliche Weisungen wird der Verantwortliche unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.  
  5. Pflichten des Auftragsverarbeiters 
    1. Technische und organisatorische Maßnahmen
      1. Beim Umgang mit personenbezogenen Daten hat der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen (im Folgenden: TOM) zu treffen, um die Anforderungen nach Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. 
      2. Die nicht auftragsspezifischen Maßnahmen sind unter https://getmyinvoices.com/tom/ beschrieben und sind Vertragsbestandteil dieses Auftragsverarbeitungsvertrags. 
      3. Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Soweit die Prüfung / ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. 
      4. Sofern auftragsspezifische Maßnahmen unter Berücksichtigung der spezifischen Anforderungen des Verantwortlichen zu vereinbaren sind, werden diese in einer gesonderten Anlage des jeweiligen Vertrags festgeschrieben. 
      5. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.  
    2. Mitzuteilende Verstöße
      1. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Falle von Verletzungen des Schutzes personenbezogener Daten gem. Art. 33 und 34 DSGVO. Hierzu gehören u.a.
        1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen 
        2. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden 
        3. die Ergreifung aller erforderlichen Maßnahmen zur Eindämmung einer Verletzung des Schutzes personenbezogener Daten und Mitteilung gegenüber dem Verantwortlichen 
        4. die Unterstützung bei Maßnahmen des Verantwortlichen im Falle von Verletzungen des Schutzes personenbezogener Daten. 
      2. Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragsverarbeiters zurückzuführen sind, kann der Auftragsverarbeiter eine Vergütung beanspruchen. 
      3. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird. 
    3. Berichtigung, Sperrung und Löschung von Daten
      1. Der Auftragsverarbeiter hat nur nach Weisung des Verantwortlichen die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten. 
      2. Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen. 
      3. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben. 
    4. Verarbeitung, Kennzeichnung, Trennung und Kopien von Daten
      1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Verantwortlichen. Er verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. 
      2. Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. 
    5. Datengeheimnis
      1. Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Verantwortlichen sowie dessen Kunden das Datengeheimnis zu wahren. Er verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Verantwortlichen obliegen. Diese Verpflichtungen bestehen auch nach Beendigung des Vertrags fort. 
      2. Der Auftragsverarbeiter bestätigt, dass ihm die einschlägigen datenschutz-rechtlichen Vorschriften bekannt sind. Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und entsprechend darauf verpflichtet. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. 
      3. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Verantwortlichen erteilen. Die Weiterleitung von Daten an Dritte auf Weisung des Verantwortlichen ist nur insofern zulässig, als sie von der Einwilligung des Betroffenen umfasst ist und der Verantwortliche die Einhaltung der Verpflichtungen nach Art. 32 DSGVO durch den Dritten sichergestellt und dem Auftragsverarbeiter nachgewiesen hat oder für den Auftragsverarbeiter eine rechtliche Pflicht zur Herausgabe der im Auftrag verarbeiteten Daten besteht (bspw. im Rahmen einer Beschlagnahme durch staatliche Stellen). 
    6. Sonstige Pflichten des Auftragsverarbeiters
      1. Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde zu informieren, soweit sie sich auf den Vertrag beziehen. Dies gilt auch, soweit eine zuständige Behörde beim Auftragsverarbeiter ermittelt. 
      2. Der Auftragsverarbeiter hat regelmäßig die Durchführung der Auftragskontrolle mittels regelmäßiger Prüfungen im Hinblick auf die Vertragsausführung bzw. -erfüllung durchzuführen, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags. 
      3. Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen. 
      4. Der Auftragsverarbeiter hat gegenüber dem Verantwortlichen eine Hinweispflicht in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation. 
      5. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen 
      6. Der Auftragsverarbeiter hat die Verpflichtung, dem Verantwortlichen sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen, um diesen angemessen zu unterstützen, insbesondere im Rahmen
        1. der Datenschutz-Folgenabschätzung des Verantwortlichen 
        2. vorheriger Konsultationen mit der Aufsichtsbehörde durch den Verantwortlichen 
      7. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen. Der Auftragsverarbeiter kann für diese Leistung eine angemessene Vergütung vom Kunden verlangen. 
      8. Der Auftragsverarbeiter führt ein Verzeichnis nach Art. 30 Abs. 2 bis 5 DSGVO über alle vom Verantwortlichen übertragenen Verarbeitungen. 
  6. Unterauftragsverhältnisse 
    1. Haupt- und Nebenleistungen:
      1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. 
      2. Nicht zu den Hauptleistungen gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, sonstige Infrastrukturdienstleister, Post und Kurierdienste, Transportdienstleistungen, Sicherheits- und Reinigungsdienste sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Dies gilt ebenso bei einer rein technischen Wartung, die nicht zu einer Qualifikation als Auftragsverarbeiter und einer Anwendung von Art. 28 DSGVO führt. 
      3. Ist Auftragsgegenstand der (Fern-)Wartung der Umgang mit nicht anonymisierten oder pseudonymisierten und damit direkt erkennbaren personenbezogene Daten, insbesondere IBAN, BIC, Vorname und Name und oder strukturierten Datensätzen mit personenbezogenen Daten, so handelt es sich um eine Auftragsverarbeitung nach Art. 28 DSGVO. 
      4. Der Auftragsverarbeiter ist verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen. 
    2. Der Auftragsverarbeiter darf sich zur Erbringung der vertraglichen Leistungen Dritter (weitere Auftragsverarbeiter) bedienen. Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO in Anspruch zu nehmen. 
    3. Die jeweils aktuell eingesetzten weiteren Auftragsverarbeiter können unter https://getmyinvoices.com/weitere-auftragsverarbeiter/ abgerufen werden.  
    4. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Verantwortliche kann gegen derartige Änderungen Einspruch erheben. 
    5. Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 4 Wochen nach Zugang der Information über die Änderung gegenüber dem Auftragsverarbeiter zu erheben. Im Fall des Einspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder – sofern die Erbringung der Leistung ohne die beabsichtigte Änderung dem Auftragsverarbeiter nicht zumutbar ist – die von der Änderung betroffene Leistung gegenüber dem Verantwortlichen innerhalb von 4 Wochen nach Zugang des Einspruchs kündigen. 
    6. Erteilt der Auftragsverarbeiter Aufträge an weitere Auftragsverarbeiter, so verpflichtet er sich, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen. 
  7. Vertragsdauer 
    1. Die Dauer des Auftrags (Laufzeit) sowie die Bedingungen für seine Beendigung ergeben sich aus dem jeweiligen übergeordneten Vertrag.  
    2. Der Verantwortliche kann den Auftrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen die Bestimmungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Verantwortlichen nicht ausführen kann oder will oder der Auftragsverarbeiter den Zutritt des Verantwortlichen vertragswidrig verweigert. 
  8. Haftung 
    1. Verantwortliche und Auftragsverarbeiter haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. 
    2. Macht eine betroffene Person gegenüber einer Partei Schadensersatzansprüche wegen Verstoßes gegen datenschutzrechtliche Bestimmungen geltend, so hat die beanspruchte Partei die andere Partei hierüber unverzüglich zu informieren.  
    3. Werden Ansprüche von Betroffenen, deren Daten verarbeitet werden, gegenüber dem Verantwortlichen wegen unzulässiger oder unrichtiger Datenverarbeitung geltend gemacht, so hat der Auftragsverarbeiter den Verantwortlichen bei der Sachaufklärung und bei der Abwehr der Ansprüche zu unterstützen. 
    4. Sofern der Verantwortliche etwaige Ansprüche ohne Erlaubnis des Auftragsverarbeiters anerkennt, ist der Rückgriff auf den Auftragsverarbeiter ausgeschlossen. 
  9. Sonstiges 
    1. Rechtswahl, Erfüllungsort und Gerichtsstand richten sich nach den AGB für die Nutzung von GetMyInvoices. 
    2. Sollten sich einzelne Bestimmungen dieser Vereinbarung als ungültig erweisen, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ungültige Bestimmung ist durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Ungültigkeit des jeweiligen Punktes gedacht. Soweit diese Vereinbarung eine unbewusste Regelungslücke enthält, ist diese durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Regelungsbedürftigkeit des jeweiligen Punktes gedacht. 

Stand: 01. August 2023