Datenschutzerklärung
Datenverarbeitungsvereinbarung Diese Datenverarbeitungsvereinbarung („Vereinbarung“) ist Bestandteil des Dienstleistungsvertrags („Rahmenvertrag“) zwischen
(das „Unternehmen“) und
(dem „Auftragsverarbeiter“)
(zusammen als „Parteien“)
IN ANBETRACHT DESSEN, DASS
(A) das Unternehmen als Verantwortlicher auftritt.
(B) Das Unternehmen beabsichtigt, bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Auftragsverarbeiter auszulagern.
(C) Die Parteien beabsichtigen, eine Datenverarbeitungsvereinbarung abzuschließen, die den Anforderungen des geltenden Rechtsrahmens in Bezug auf die Datenverarbeitung sowie der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
(D) Die Parteien möchten ihre Rechte und Pflichten festlegen.
ES WIRD FOLGENDES VEREINBART:
1. Begriffsbestimmungen und Auslegung
1.1 Sofern in dieser Vereinbarung nicht anders definiert, haben die hierin verwendeten Begriffe und Ausdrücke in Großbuchstaben folgende Bedeutung:
1.1.1 „Vereinbarung“ bezeichnet diese Datenverarbeitungsvereinbarung und alle Anhänge;
1.1.2 „Personenbezogene Daten des Unternehmens“ bezeichnet alle personenbezogenen Daten, die von einem beauftragten Auftragsverarbeiter im Auftrag des Unternehmens gemäß oder im Zusammenhang mit dem Hauptvertrag verarbeitet werden;
1.1.3 „Beauftragter Verarbeiter“ bezeichnet einen Unterauftragsverarbeiter
; 1.1.4 „Datenschutzgesetze“ bezeichnet die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutz- oder Privatsphärengesetze eines anderen Landes;
1.1.5 „EWR“ bezeichnet den Europäischen Wirtschaftsraum;
1.1.6 „EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG, wie sie in das innerstaatliche Recht jedes Mitgliedstaats umgesetzt wurde und wie sie von Zeit zu Zeit geändert, ersetzt oder abgelöst wurde, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO;
1.1.7 „DSGVO“ bezeichnet die EU-Datenschutz-Grundverordnung 2016/679; 1.1.8 „Datenübermittlung“ bezeichnet:
1.1.8.1 eine Übermittlung von personenbezogenen Daten des Unternehmens vom Unternehmen an einen Auftragsverarbeiter; oder
1.1.8.2 eine Weitergabe von personenbezogenen Unternehmensdaten von einem beauftragten Auftragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines beauftragten Auftragsverarbeiters, jeweils in Fällen, in denen eine solche Weitergabe nach den Datenschutzgesetzen verboten wäre (oder durch die Bestimmungen von Datenübermittlungsvereinbarungen, die zur Bewältigung der Datenübermittlungsbeschränkungen der Datenschutzgesetze geschlossen wurden);
1.1.9 „Dienstleistungen“ bezeichnet die vom Unternehmen erbrachten Dienstleistungen.
1.1.10 „Unterauftragsverarbeiter“ bezeichnet jede Person, die vom Auftragsverarbeiter oder in dessen Namen beauftragt wurde, personenbezogene Daten im Auftrag des Unternehmens im Zusammenhang mit der Vereinbarung zu verarbeiten.
1.2 Die Begriffe „Kommission“, „Verantwortlicher“, „betroffene Person“, „Mitgliedstaat“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“ und „Aufsichtsbehörde“ haben dieselbe Bedeutung wie in der DSGVO, und ihre verwandten Begriffe sind entsprechend auszulegen.
2. Verarbeitung personenbezogener Daten des Unternehmens 2.1 Der Auftragsverarbeiter hat:
2.1.1 alle geltenden Datenschutzgesetze bei der Verarbeitung personenbezogener Daten des Unternehmens einhalten; und
2.1.2 die personenbezogenen Daten des Unternehmens nur gemäß den dokumentierten Anweisungen des jeweiligen Unternehmens verarbeiten
.2.2 Das Unternehmen weist den Auftragsverarbeiter an, personenbezogene Daten des Unternehmens zu verarbeiten.3. Mitarbeiter des Auftragsverarbeiters Der Auftragsverarbeiter hat angemessene Maßnahmen zu ergreifen, um die Zuverlässigkeit aller Mitarbeiter, Beauftragten oder Auftragnehmer eines beauftragten Auftragsverarbeiters sicherzustellen, die Zugriff auf die personenbezogenen Daten des Unternehmens haben könnten, und dabei in jedem Fall zu gewährleisten, dass der Zugriff streng auf diejenigen Personen beschränkt ist, die Kenntnis von den betreffenden personenbezogenen Daten des Unternehmens haben müssen bzw. darauf zugreifen müssen, soweit dies für die Zwecke der Rahmenvereinbarung unbedingt erforderlich ist, und im Rahmen der Pflichten dieser Person gegenüber dem beauftragten Auftragsverarbeiter die geltenden Gesetze einzuhalten, wobei sicherzustellen ist, dass alle diese Personen Vertraulichkeitsverpflichtungen oder berufs- oder gesetzlich vorgeschriebenen Geheimhaltungspflichten unterliegen.
4. Sicherheit
4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Unternehmens geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich, soweit angemessen, der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.
4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt der Auftragsverarbeiter insbesondere die Risiken, die mit der Verarbeitung verbunden sind, insbesondere im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten.
5. Unterauftragsvergabe
5.1 Der Auftragsverarbeiter darf keinen Unterauftragsverarbeiter beauftragen (oder diesem personenbezogene Daten des Unternehmens offenlegen), es sei denn, dies ist vom Unternehmen verlangt oder genehmigt.
6. Rechte der betroffenen Person
6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter das Unternehmen durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtungen des Unternehmens, wie sie vom Unternehmen vernünftigerweise verstanden werden, um auf Anträge zur Ausübung der Rechte der betroffenen Personen gemäß den Datenschutzgesetzen zu reagieren.
6.2 Der Auftragsverarbeiter hat:
6.2.1 das Unternehmen unverzüglich benachrichtigen, wenn er einen Antrag einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Unternehmens erhält; und
6.2.2 sicherstellen, dass er auf diesen Antrag nicht reagiert, es sei denn, dies geschieht auf dokumentierte Anweisung des Unternehmens oder gemäß den geltenden Gesetzen, denen der Auftragsverarbeiter unterliegt; in diesem Fall hat der Auftragsverarbeiter, soweit dies nach den geltenden Gesetzen zulässig ist, das Unternehmen über diese gesetzliche Anforderung zu informieren, bevor der Auftragsverarbeiter auf den Antrag reagiert.
7. Verletzung des Schutzes personenbezogener Daten
7.1 Der Auftragsverarbeiter hat das Unternehmen unverzüglich zu benachrichtigen, sobald er Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erhält, die personenbezogene Daten des Unternehmens betrifft, und dem Unternehmen ausreichende Informationen zur Verfügung zu stellen, damit das Unternehmen seinen Verpflichtungen zur Meldung oder Unterrichtung der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.
7.2 Der Auftragsverarbeiter hat mit dem Unternehmen zusammenzuarbeiten und angemessene wirtschaftliche Maßnahmen zu ergreifen, wie vom Unternehmen angeordnet, um bei der Untersuchung, Eindämmung und Behebung jeder solchen Verletzung des Schutzes personenbezogener Daten zu helfen.
8. Datenschutz-Folgenabschätzung und vorherige Konsultation Der Auftragsverarbeiter leistet dem Unternehmen angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen nach vernünftigem Ermessen als gemäß Artikel 35 oder 36 der DSGVO oder entsprechenden Bestimmungen anderer Datenschutzgesetze erforderlich erachtet, jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch die beauftragten Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung sowie der den Auftragsverarbeitern zur Verfügung stehenden Informationen.
9. Löschung oder Rückgabe von personenbezogenen Daten des Unternehmens
9.1 Vorbehaltlich dieses Abschnitts 9 hat der Auftragsverarbeiter unverzüglich und in jedem Fall innerhalb von 10 Werktagen nach dem Datum der Beendigung aller Dienstleistungen, die die Verarbeitung von personenbezogenen Daten des Unternehmens beinhalten (das „Beendigungsdatum“), alle Kopien dieser personenbezogenen Daten des Unternehmens zu löschen und deren Löschung zu veranlassen.
10. Prüfungsrechte
10.1 Vorbehaltlich dieses Abschnitts 10 hat der Auftragsverarbeiter dem Unternehmen auf Anfrage alle Informationen zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieser Vereinbarung erforderlich sind, und er hat Prüfungen, einschließlich Inspektionen, durch das Unternehmen oder einen vom Unternehmen beauftragten Prüfer in Bezug auf die Verarbeitung der personenbezogenen Daten des Unternehmens durch die beauftragten Auftragsverarbeiter zuzulassen und daran mitzuwirken.
10.2 Informations- und Prüfungsrechte des Unternehmens entstehen gemäß Abschnitt 10.1 nur insoweit, als die Vereinbarung ihnen nicht anderweitig Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen des Datenschutzrechts entsprechen.
11. Datenübermittlung
11.1 Der Auftragsverarbeiter darf ohne die vorherige schriftliche Zustimmung des Unternehmens keine Daten in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übermitteln oder deren Übermittlung genehmigen. Werden im Rahmen dieser Vereinbarung verarbeitete personenbezogene Daten aus einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt, stellen die Parteien sicher, dass die personenbezogenen Daten angemessen geschützt sind. Zu diesem Zweck stützen sich die Parteien, sofern nichts anderes vereinbart ist, auf von der EU genehmigte Standardvertragsklauseln für die Übermittlung personenbezogener Daten.
12. Allgemeine Bestimmungen
12.1 Vertraulichkeit. Jede Partei ist verpflichtet, diese Vereinbarung sowie Informationen, die sie im Zusammenhang mit dieser Vereinbarung über die andere Partei und deren Geschäftstätigkeit erhält („vertrauliche Informationen“), vertraulich zu behandeln und darf diese vertraulichen Informationen ohne die vorherige schriftliche Zustimmung der anderen Partei nicht verwenden oder offenlegen, es sei denn, dies ist erforderlich, weil: (a) die Offenlegung gesetzlich vorgeschrieben ist;(b) die betreffenden Informationen bereits öffentlich zugänglich sind.
12.2 Mitteilungen. Alle im Rahmen dieser Vereinbarung erfolgenden Mitteilungen und Kommunikationen müssen schriftlich erfolgen und werden persönlich zugestellt, per Post versandt oder per E-Mail an die in der Überschrift dieser Vereinbarung angegebene Adresse oder E-Mail-Adresse oder an eine andere Adresse gesendet, die von den Parteien bei einer Adressänderung von Zeit zu Zeit mitgeteilt wird.
13. Anwendbares Recht und Gerichtsstand
13.1 Diese Vereinbarung unterliegt dem Recht des Vereinigten Königreichs.
13.2 Alle Streitigkeiten im Zusammenhang mit dieser Vereinbarung, die die Parteien nicht gütlich beilegen können, unterliegen der ausschließlichen Zuständigkeit der Gerichte des Vereinigten Königreichs.