Gemäß der Allgemeinen Datenschutzverordnung
Artikel 1. Einleitende Bestimmungen
1.1.
Die in dieser Verarbeitungsvereinbarung verwendeten Begriffe, die in den DSVGO definiert sind, haben die dort definierte Bedeutung.
1.2.
Wird in dieser Auftragsverarbeitungsvereinbarung auf eine Bestimmung des BDSG verwiesen, so ist die entsprechende Bestimmung der Allgemeinen Datenschutzverordnung („DSVGO“) ab dem 25. Mai 2018 gemeint.
Artikel 2. Zwecke der Verarbeitung
2.1.
Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten im Namen der verantwortlichen Partei gemäß den Bedingungen dieser Auftragsverarbeitervereinbarung zu verarbeiten. Die Verarbeitung erfolgt nur im Rahmen der Erfüllung des Abkommens und für Zwecke, die durch eine weitere Vereinbarung festgelegt werden.
2.2.
Der Befragte bestimmt selbst, welche (Arten von) personenbezogenen Daten er dem Auftragsverarbeiter zur Verarbeitung überlässt und auf welche (Kategorien von) betroffenen Personen sich diese personenbezogenen Daten beziehen. Der Verarbeiter hat hierauf keinen Einfluss.
2.3.
Der Auftragsverarbeiter darf die personenbezogenen Daten nur für die von dem für die Verarbeitung Verantwortlichen festgelegten Zwecke verarbeiten. Der für die Verarbeitung Verantwortliche teilt dem Auftragsverarbeiter die Verarbeitungszwecke mit, sofern diese nicht bereits in der Vereinbarung mit dem Auftragsverarbeiter genannt sind.
2.4.
Personenbezogene Daten, die im Auftrag der verantwortlichen Stelle verarbeitet werden, bleiben Eigentum der verantwortlichen Stelle oder der betroffenen Person(en).
2.5.
Der Antragsgegner garantiert, dass der Inhalt, die Verwendung und die Anweisung zur Verarbeitung der personenbezogenen Daten, die in der Vereinbarung über den Auftragsverarbeiter genannt werden, nicht rechtswidrig sind und keine Rechte Dritter verletzen.
Darüber hinaus garantiert der Verantwortliche, dass die Verarbeitung personenbezogener Daten unter eine der Ausnahmeregelungen des DSVGO fällt oder, falls dies nicht der Fall ist, der Datenschutzbehörde gemeldet wurde und dass er ab dem 25. Mai 2018 ein Verzeichnis der unter dieser Auftragsverarbeitervereinbarung geregelten Verarbeitungen führen wird.
2.6.
Die beklagte Partei stellt den Auftragsverarbeiter von allen Ansprüchen und Forderungen frei, die mit der Nichterfüllung oder der nicht ordnungsgemäßen Erfüllung der Verpflichtungen gemäß Artikel 2.5 zusammenhängen.
Artikel 3. Pflichten des Verarbeiters
3.1.
In Bezug auf die in Artikel 2 genannte Verarbeitung sorgt der Auftragsverarbeiter für die Einhaltung der Bedingungen, die gemäß dem DSVGO-Gesetz für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gelten.
3.2.
Der Auftragsverarbeiter unterrichtet den Antragsgegner auf dessen erstes Ersuchen über die Maßnahmen, die er in Bezug auf seine Verpflichtungen aus dieser Auftragsverarbeitervereinbarung, dem BDSG und dem DSVGO getroffen hat.
3.3.
Die Verpflichtungen des Auftragsverarbeiters, die sich aus dieser Vereinbarung ergeben, gelten auch für diejenigen, die personenbezogene Daten im Auftrag des Auftragsverarbeiters verarbeiten.
Artikel 4. Übermittlung von personenbezogenen Daten
4.1.
Der Auftragsverarbeiter kann personenbezogene Daten in Ländern innerhalb der Europäischen Union verarbeiten.
Die Weiterleitung in Länder außerhalb der Europäischen Union ist nur unter Beachtung der einschlägigen Vorschriften des AVG zulässig.
4.2.
Der Auftragsverarbeiter teilt dem Antragsgegner auf dessen Antrag hin mit, um welches Land oder welche Länder es sich handelt.
Artikel 5. Aufteilung der Verantwortung
5.1.
Die zulässigen Verarbeitungsvorgänge werden vom Auftragsverarbeiter in einer (halb)automatisierten Umgebung unter seiner Kontrolle durchgeführt.
5.2.
Der Auftragsverarbeiter ist nur für die Verarbeitung der personenbezogenen Daten im Rahmen dieser Auftragsverarbeitungsvereinbarung, gemäß den Anweisungen des für die Verarbeitung Verantwortlichen und unter der ausdrücklichen (letztendlichen) Verantwortung des für die Verarbeitung Verantwortlichen verantwortlich.
5.3.
Für jede andere Verarbeitung personenbezogener Daten, einschließlich der Erhebung personenbezogener Daten durch den für die Verarbeitung Verantwortlichen, der Verarbeitung zu Zwecken, die dem Auftragsverarbeiter vom für die Verarbeitung Verantwortlichen nicht mitgeteilt wurden, der Verarbeitung durch Dritte oder zu anderen Zwecken, ist der Auftragsverarbeiter nicht verantwortlich.
Artikel 6. Beauftragung von Dritten oder Unterauftragnehmern
6.1.
Der Beklagte ermächtigt den Auftragsverarbeiter, bei der Verarbeitung personenbezogener Daten im Rahmen dieser Auftragsverarbeitungsvereinbarung auf Dritte zurückzugreifen, vorbehaltlich der geltenden Datenschutzgesetze und -vorschriften.
6.2.
Der Auftragsverarbeiter unterrichtet den Beschwerdegegner auf dessen Verlangen so schnell wie möglich über die von ihm beauftragten Dritten. Der Befragte hat das Recht, gegen die vom Auftragsverarbeiter eingeschalteten Dritten Einspruch zu erheben.
6.3.
Der Auftragsverarbeiter darf einen Einspruch nicht aus unangemessenen Gründen erheben und muss den Einspruch ausreichend begründen. Erhebt der Beschwerdegegner Einwände gegen die Einschaltung Dritter durch den Auftragsverarbeiter, so nehmen die Parteien Konsultationen auf, um eine Lösung zu finden.
6.4.
Der Auftragsverarbeiter stellt sicher, dass die von ihm beauftragten Dritten schriftlich Verpflichtungen eingehen, die mindestens so streng sind wie die Verpflichtungen des Auftragsverarbeiters im Rahmen der Auftragsverarbeitervereinbarung.
6.5.
Der Auftragsverarbeiter garantiert die ordnungsgemäße Erfüllung der in Artikel 6.4 genannten Pflichten durch diese Dritten und haftet im Falle von Fehlern seinerseits gegenüber der verantwortlichen Stelle so, als hätte er den/die Fehler selbst begangen.
6.6.
Die maximale Haftung des Auftragsverarbeiters für Schäden im Sinne von Artikel 6.5 ist auf den im Vertrag (einschließlich der allgemeinen Geschäftsbedingungen des Auftragsverarbeiters) vereinbarten Betrag begrenzt.
Artikel 7: Sicherheit
7.1.
Der Auftragsverarbeiter trifft in Bezug auf die durchzuführende Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen zum Schutz vor Verlust oder jeglicher Form der unrechtmäßigen Verarbeitung (z. B. unbefugter Zugriff, Beeinträchtigung, Änderung oder Weitergabe der personenbezogenen Daten).
7.2.
Ungeachtet der Tatsache, dass der Auftragsverarbeiter verpflichtet ist, angemessene Sicherheitsmaßnahmen gemäß dem ersten Absatz dieses Artikels zu ergreifen, kann der Auftragsverarbeiter nicht in vollem Umfang garantieren, dass die Sicherheit unter allen Umständen wirksam ist. Im Falle einer Bedrohung oder eines tatsächlichen Verstoßes gegen diese Sicherheitsmaßnahmen unternimmt der Auftragsverarbeiter jedoch alle Anstrengungen, um den Verlust personenbezogener Daten so gering wie möglich zu halten.
7.3.
Ist in der Vereinbarung über den Auftragsverarbeiter keine ausdrückliche Sicherheit festgelegt, so sorgt der Auftragsverarbeiter dafür, dass die Sicherheit ein Niveau erreicht, das angesichts des Stands der Technik, der Sensibilität der personenbezogenen Daten und der mit der Umsetzung der Sicherheit verbundenen Kosten nicht unangemessen ist.
7.4.
Die Beklagte stellt dem Auftragsverarbeiter personenbezogene Daten nur dann zur Verarbeitung zur Verfügung, wenn sie sich vergewissert hat, dass die erforderlichen Sicherheitsmaßnahmen getroffen wurden.
Artikel 8: Meldepflicht
8.1.
Im Falle eines Datenlecks (darunter ist zu verstehen: eine Verletzung der Sicherheit personenbezogener Daten, die eine erhebliche Wahrscheinlichkeit nachteiliger Folgen nach sich zieht oder nachteilige Folgen für den Schutz personenbezogener Daten im Sinne von Artikel 34a des Gesetzes über den Schutz personenbezogener Daten (BDSG) hat, bemüht sich der Auftragsverarbeiter nach Kräften, den Antragsgegner so schnell wie möglich, in jedem Fall aber innerhalb von 48 Stunden, nachdem der Auftragsverarbeiter von dem Datenleck Kenntnis erlangt hat, darüber zu informieren.
8.2.
Die Meldepflicht gilt nur dann, wenn das Leck tatsächlich aufgetreten ist, und beinhaltet in jedem Fall die Meldung der Tatsache, dass ein Datenleck aufgetreten ist, sowie die Meldung der Informationen, die dem Auftragsverarbeiter vorliegen:
- was die (angebliche) Ursache des Lecks ist;
- was die (derzeit bekannten oder erwarteten) Folgen sind;
- wie die (vorgeschlagene) Lösung aussieht;
- Kontaktangaben für die Weiterverfolgung der Meldung;
- die Zahl der Personen, deren Daten durchgesickert sind, oder die Mindest- und Höchstzahl der Personen, deren Daten durchgesickert sind, wenn keine genaue Zahl bekannt ist;
- eine Beschreibung des Personenkreises, dessen Daten nach außen gelangt sind;
- die Art(en) der personenbezogenen Daten, die weitergegeben wurden;
- das Datum, an dem das Leck aufgetreten ist, oder der Zeitraum, in dem das Leck aufgetreten ist, wenn kein genaues Datum bekannt ist;
- das Datum und die Uhrzeit, zu der der Auftragsverarbeiter oder ein von ihm beauftragter Dritter oder Unterauftragnehmer von dem Datenleck erfahren hat;
- ob die Daten verschlüsselt, gehasht oder auf andere Weise für Unbefugte unverständlich oder unzugänglich gemacht wurden;
und welche Maßnahmen geplant und bereits ergriffen wurden, um das Leck zu beseitigen und die Auswirkungen zu mildern.
8.3.
Der Befragte beurteilt selbst, ob er die zuständigen Behörden und/oder die betroffene(n) Person(en) informieren wird und ist selbst für die Einhaltung der (gesetzlichen) Meldepflichten verantwortlich. Wenn es die Datenschutzgesetze und -vorschriften erfordern, arbeitet der Auftragsverarbeiter bei der Unterrichtung der zuständigen Behörden oder der betroffenen Personen mit.
Artikel 9. Bearbeitung von Anfragen der betroffenen Personen
9.1.
Möchte eine betroffene Person eines ihrer gesetzlichen Rechte ausüben und richtet sie den Antrag an den Auftragsverarbeiter, so leitet dieser den Antrag an den für die Verarbeitung Verantwortlichen weiter. Der Antragsgegner wird dann für die Bearbeitung des Antrags sorgen. Der Auftragsverarbeiter kann die betroffene Person benachrichtigen.
9.2.
Stellt eine betroffene Person einen Antrag an den für die Verarbeitung Verantwortlichen, um eines ihrer gesetzlichen Rechte auszuüben, so kooperiert der Auftragsverarbeiter auf Verlangen des für die Verarbeitung Verantwortlichen im Rahmen des Möglichen und des Zumutbaren mit . Der Auftragsverarbeiter kann der verantwortlichen Partei zu diesem Zweck angemessene Kosten in Rechnung stellen.
Artikel 10. Verpflichtung zur Vertraulichkeit
10.1.
Alle personenbezogenen Daten, die der Auftragsverarbeiter vom Antragsgegner erhält oder die er selbst im Rahmen dieser Auftragsverarbeitungsvereinbarung erhebt, unterliegen der Verpflichtung zur Vertraulichkeit gegenüber Dritten.
10.2.
Diese Verpflichtung zur Vertraulichkeit gilt nicht, soweit der Beklagte ausdrücklich zugestimmt hat, die Informationen an Dritte weiterzugeben, wenn die Weitergabe der Informationen an Dritte für die Erfüllung des Auftragsverarbeitervertrags logisch notwendig ist oder wenn eine gesetzliche Verpflichtung zur Weitergabe der Informationen an Dritte besteht.
10.3.
Ist der Auftragsverarbeiter gesetzlich verpflichtet, Informationen an einen Dritten weiterzugeben, informiert er den für die Verarbeitung Verantwortlichen so schnell wie möglich, soweit dies gesetzlich zulässig ist.
Artikel 11. Audit
11.1.
Der Antragsgegner hat das Recht, Audits durch einen unabhängigen, zur Vertraulichkeit verpflichteten Dritten durchführen zu lassen, um die in Artikel 7 der Auftragsverarbeitervereinbarung vereinbarten Sicherheitsanforderungen zu überprüfen.
11.2.
Das in Artikel 11.1 genannte Audit findet nur statt, wenn ein konkreter Verdacht auf Missbrauch durch die verantwortliche Partei nachgewiesen wird. Das von der Beklagten initiierte Audit findet zwei Wochen nach vorheriger Ankündigung durch die Beklagte statt.
11.3.
Der Auftragsverarbeiter arbeitet bei dem Audit mit und stellt alle Informationen, die für das Audit von Bedeutung sind, einschließlich unterstützender Daten wie Systemprotokolle, und Mitarbeiter so rechtzeitig wie möglich und innerhalb eines angemessenen Zeitrahmens zur Verfügung, wobei ein Zeitrahmen von bis zu zwei Wochen angemessen ist.
11.4.
Die Ergebnisse des Audits werden von den Vertragsparteien in gegenseitiger Abstimmung bewertet und können daher von einer oder beiden Vertragsparteien gemeinsam umgesetzt werden.
11.5.
Die Kosten des Audits werden von der Beklagten getragen.
Artikel 12. Haftung
12.1.
Für die Haftung der Parteien für Schäden, die sich aus einem zurechenbaren Versäumnis bei der Erfüllung des Vertrags des Auftragsverarbeiters, aus unerlaubter Handlung oder auf andere Weise ergeben, wird die im Vertrag vereinbarte Haftungsregelung (einschließlich der Allgemeinen Allgemeinen Geschäftsbedingungen des Auftragsverarbeiters) für die Haftung als anwendbar erklärt.
Artikel 13. Dauer und Beendigung
13.1.
Die vorliegende Verarbeitungsvereinbarung wird für die in der Vereinbarung festgelegte Dauer und andernfalls in jedem Fall für die Dauer der Zusammenarbeit zwischen den Vertragsparteien geschlossen. Diese Verarbeitungsvereinbarung kann in der Zwischenzeit nicht gekündigt werden.
13.2.
Die Parteien können diese Auftragsverarbeiter-Vereinbarung nur im gegenseitigen Einvernehmen ändern, werden aber in vollem Umfang zusammenarbeiten, um die Auftragsverarbeiter-Vereinbarung an neue oder geänderte Datenschutzgesetze und -vorschriften anzupassen.
13.3.
Bei Beendigung der Auftragsverarbeitervereinbarung vernichtet der Auftragsverarbeiter alle in seinem Besitz befindlichen personenbezogenen Daten, sofern die Parteien nichts anderes vereinbaren.
