Vereinbarung zur Auftragsverarbeitung
zwischen
Ihnen
(Auftraggeber)
und
Onepage GmbH
Neue Rothofstr. 13 -19
60313 Frankfurt am Main
(Auftragsverarbeiter)
Präambel
Der Auftraggeber wird einen Reseller mit der Durchführung von Leistungen
beauftragen (fortan Hauptvertrag), die u.a. die weisungsgebundene
Verarbeitung personenbezogener Daten durch den hiesigen
Auftragsverarbeiter umfassen. Daher ist – zusätzlich zum Hauptvertrag –
eine ergänzende Beauftragung i.S.v. Artikel 28 DSGVO erforderlich, die
aus dieser Vertragsurkunde folgt.
§ 1 Begriffsbestimmungen
- Es gelten die Begriffsbestimmungen aus der
Datenschutzgrundverordnung, in ihrer jeweils geltenden Fassung.
- Für den Fall der Änderung und/oder Ersetzung der
Datenschutzgrundverordnung gilt folgendes:
- Soweit die hiesige Vertragsurkunde Bezug auf das dann alte Recht
nimmt, gilt dies fortan als Verweis auf die entsprechenden
Vorschriften nach dem geänderten Recht. Soweit es dann im neuen
Recht keine entsprechenden Vorschriften gibt, fallen die damit
verbundenen Regelungen weg.
- Soweit diese Vertragsurkunde Bezug auf Begriffe nimmt, die in
dem geänderten Recht so nicht verwendet werden, gilt dies fortan
als Verweis auf die entsprechenden Begriffe in dem dann neuen
Recht. Soweit es dann im neuen Recht keine entsprechenden
Vorschriften gibt, fallen die damit verbundenen Regelungen weg.
§ 2 Vertragsgegenstand, Art der Daten, Kreis der Betroffenen, Zustandekommen dieser Vereinbarung
- Der Auftragsverarbeiter stellt dem Auftraggeber die SaaS-Lösung
Onepage auf Grundlage des Vertrags zur Nutzung von Onepage
(„Hauptvertrag“) zur Verfügung. Dabei erhält der Auftragsverarbeiter
Zugriff auf personenbezogene Daten und verarbeitet diese
ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang
und Zweck der Datenverarbeitung durch den Auftragsverarbeiter
ergeben sich aus dem Hauptvertrag (und der dazugehörigen
Leistungsbeschreibung). Die Weisungen sind beiderseits in Schrift-
oder Textform zu dokumentieren, wobei die Weisung auch durch
Eingaben und Modifikationen innerhalb des SaaS-internen Bereichs
vorgenommen werden können. Dem Auftraggeber obliegt die Beurteilung
der Zulässigkeit der Datenverarbeitung. Die Regelungen der
vorliegenden Vereinbarung gehen im Zweifel den Regelungen des
Hauptvertrags vor. Die Bestimmungen dieses Vertrages finden
Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in
Zusammenhang stehen und bei der der Auftragsverarbeiter und seine
Beschäftigten oder durch den Auftragsverarbeiter Beauftragte mit
personenbezogenen Daten in Berührung kommen, die vom Auftraggeber
stammen oder für den Auftraggeber erhoben wurden. Die Laufzeit
dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages,
sofern sich aus den nachfolgenden Bestimmungen nicht
darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
- Im Rahmen der Durchführung des Hauptvertrages verarbeitet der
Auftragsverarbeiter personenbezogene Daten folgender
Betroffenengruppen: potentielle Bewerber, aktuelle Bewerber,
ehemalige Bewerber, aktuelle Beschäftigte, ehemalige Beschäftigte,
Besucher der Internetseite, potentielle Veranstaltungsnehmer,
aktuelle Veranstaltungsteilnehmer, ehemalige
Veranstaltungsteilnehmer, potentielle Kunden, aktuelle Kunden,
ehemalige Kunden, potentielle Lieferanten, aktuelle Lieferanten,
ehemalige Lieferanten, Empfänger werblicher Nachrichten.
- Im Rahmen der Durchführung des Hauptvertrages verarbeitet der
Auftragsverarbeiter die folgenden Kategorien personenbezogener
Daten: Erreichbarkeits- und Kontaktdaten, Status Opt-in/Opt-put,
tagging-pixel-basierte Daten, Informationen zum Nutzungsverhalten,
vertrags- und nicht vertragsbezogene Beschäftigten-, Kunden-
und/oder Lieferantendaten.
- Zusätzlich zu den Festlegungen in den Absätzen 3 und 4 konkretisiert
der Hauptvertrag und ggf. dessen Ergänzungen die Kategorien der
Betroffenen und der personenbezogenen Daten.
- Durch Setzen des Häckchens neben dem Feld mit dem Satz „Hiermit
beauftrage ich die Onepage GmbH gemäß Artikel 28 DSGVO” kommt diese
Vereinbarung zustande.
§ 3 Technische und Organisatorische Schutzmaßnahmen des Auftragsverarbeiters
- Der Auftragsverarbeiter beachtet die gesetzlichen Bestimmungen über
den Datenschutz und wird die aus dem Bereich des Auftraggebers
erlangten Informationen nicht an Dritte weitergeben oder deren
Zugriff auszusetzen. Unterlagen und Daten sind gegen die
Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der
Technik zu sichern.
- Der Auftragsverarbeiter wird in seinem Verantwortungsbereich die
innerbetriebliche Organisation so gestalten, dass sie den besonderen
Anforderungen des Datenschutzes gerecht wird. Er trifft alle
erforderlichen technischen und organisatorischen Maßnahmen zum
angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem
Auftragsverarbeiter vorbehalten, wobei er sicherstellt, dass das
vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
- en bei der Datenverarbeitung durch den Auftragsverarbeiter
beschäftigten Personen ist es untersagt, personenbezogene Daten
unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der
Auftragsverarbeiter wird alle Personen, die von ihm mit der
Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im
folgenden Mitarbeiter genannt), entsprechend verpflichten
(Verpflichtung zur Vertraulichkeit und mit der gebotenen Sorgfalt
die Einhaltung dieser Verpflichtung sicherstellen. Diese
Verpflichtungen müssen so gefasst sein, dass sie auch nach
Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses
zwischen dem Beschäftigten und dem Auftragsverarbeiter bestehen
bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in
geeigneter Weise nachzuweisen.
§ 4 Informationspflichten des Auftragsverarbeiters
- Bei Störungen, Verdacht auf Datenschutzverletzungen oder
Verletzungen vertraglicher Verpflichtungen des Auftragsverarbeiters,
Verdacht auf sicherheitsrelevante Vorfälle oder andere
Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten
durch den Auftragsverarbeiter, bei ihm im Rahmen des Auftrags
beschäftigten Personen oder durch Dritte wird der
Auftragsverarbeiter den Auftraggeber unverzüglich in Schriftform
oder Textform informieren. Dasselbe gilt für Prüfungen des
Auftragsverarbeiters durch die Datenschutz-Aufsichtsbehörde. Die
Meldung über eine Verletzung des Schutzes personenbezogener Daten
enthält zumindest folgende Informationen:
- eine Beschreibung der Art der Verletzung des Schutzes
personenbezogener Daten, soweit möglich mit Angabe der
Kategorien und der Zahl der betroffenen Personen, der
betroffenen Kategorien und der Zahl der betroffenen
personenbezogenen Datensätze;
- eine Beschreibung der von dem Auftragsverarbeiter ergriffenen
oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und
gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen
nachteiligen Auswirkungen.
- Der Auftragsverarbeiter trifft unverzüglich die erforderlichen
Maßnahmen zur Sicherung der Daten und zur Minderung möglicher
nachteiliger Folgen der Betroffenen, informiert hierüber den
Auftraggeber und ersucht um weitere Weisungen.
- Der Auftragsverarbeiter ist darüber hinaus verpflichtet, dem
Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten
von einer Verletzung nach Absatz 1 betroffen sind.
- Sollten die Daten des Auftraggebers beim Auftragsverarbeiter durch
Pfändung oder Beschlagnahme, durch ein Insolvenz- oder
Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen
Dritter gefährdet werden, so hat der Auftragsverarbeiter den
Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies
nicht durch gerichtliche oder behördliche Anordnung untersagt ist.
Der Auftragsverarbeiter wird in diesem Zusammenhang alle zuständigen
Stellen unverzüglich darüber informieren, dass die
Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber
als „Verantwortlichem“ im Sinne der DS-GVO liegen.
- Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 3 Abs. 2
hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu
unterrichten.
- Ein Wechsel in der Person des betrieblichen
Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem
Auftraggeber unverzüglich mitzuteilen.
- Der Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein
Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers
durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem.
Art. 30 Abs. 2 DS-GVO enthält. Das Verzeichnis ist dem Auftraggeber
auf Anforderung zur Verfügung zu stellen.
- An der Erstellung des Verfahrensverzeichnisses durch den
Auftraggeber hat der Auftragsverarbeiter im angemessenen Umfang
mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen
Angaben in geeigneter Weise mitzuteilen.
§ 5 Kontrollrechte des Auftraggebers
- Der Auftraggeber überzeugt sich vor der Aufnahme der
Datenverarbeitung und sodann regelmäßig in einem Zeitraum, den er
nach eigenem Ermessen definiert und dem Auftragsverarbeiter
mitteilt, von den technischen und organisatorischen Maßnahmen des
Auftragsverarbeiters. Hierfür kann er z. B. Auskünfte des
Auftragsverarbeiters einholen, sich vorhandene Testate von
Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen
lassen oder die technischen und organisatorischen Maßnahmen des
Auftragsverarbeiters nach rechtzeitiger Abstimmung zu den üblichen
Geschäftszeiten selbst persönlich prüfen bzw. durch einen
sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem
Wettbewerbsverhältnis zum Auftragsverarbeiter steht. Der
Auftraggeber wird Kontrollen nur im erforderlichen Umfang
durchführen und die Betriebsabläufe des Auftragsverarbeiters dabei
nicht unverhältnismäßig stören. Für den Fall, dass der
Auftragsverarbeiter hierdurch in einem Kalendermonat mehr als zwei
Zeitstunden an Mitwirkungstätigkeit aufwenden muss, vergütet der
Auftraggeber den zusätzlichen Zeitaufwand mit einem Stundensatz von
100,00 € (netto) bei minutengenauer Abrechnung.
- Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf
dessen mündliche oder schriftliche Anforderung innerhalb einer
angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu
stellen, die zur Durchführung einer Kontrolle der technischen und
organisatorischen Maßnahmen des Auftragsverarbeiters erforderlich
sind.
- Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem
Auftragsverarbeiter mit. Bei Fehlern oder Unregelmäßigkeiten, die
der Auftraggeber insbesondere bei der Prüfung von
Auftragsergebnissen feststellt, hat er den Auftragsverarbeiter
unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte
festgestellt, deren zukünftige Vermeidung Änderungen des
angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem
Auftragsverarbeiter die notwendigen Verfahrensänderungen
unverzüglich mit.
- Der Auftragsverarbeiter stellt dem Auftraggeber auf dessen Wunsch
ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept
für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen
zur Verfügung.
- Der Auftragsverarbeiter weist dem Auftraggeber die Verpflichtung der
Mitarbeiter nach § 3 Absatz 4 auf Verlangen nach.
§ 6 Einsatz von Subunternehmern
- Die vertraglich vereinbarten Leistungen bzw. die nachfolgend
beschriebenen Teilleistungen werden unter Einschaltung von
Subunternehmern durchgeführt. Der Auftragsverarbeiter ist im Rahmen
seiner vertraglichen Verpflichtungen zur Begründung von weiteren
Unterauftragsverhältnissen mit Subunternehmern
(„Subunternehmerverhältnis“) befugt. Er setzt den Auftraggeber
hiervon unverzüglich in Kenntnis. Der Auftragsverarbeiter ist
verpflichtet, Subunternehmer sorgfältig nach deren Eignung und
Zuverlässigkeit auszuwählen. Der Auftragsverarbeiter hat bei der
Einschaltung von Subunternehmern diese entsprechend den Regelungen
dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass
der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere
seine Prüf- und Kontrollrechte) auch direkt gegenüber den
Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von
Subunternehmern in einem Drittland erfolgen soll, hat der
Auftragsverarbeiter sicherzustellen, dass beim jeweiligen
Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist
(z. B. durch Abschluss einer Vereinbarung auf Basis der
EU-Standarddatenschutzklauseln). Der Auftragsverarbeiter wird dem
Auftraggeber auf Verlangen den Abschluss der vorgenannten
Vereinbarungen mit seinen Subunternehmern nachweisen.
- Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt
nicht vor, wenn der Auftragsverarbeiter Dritte mit Dienstleistungen
beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu
gehören z. B. Post-, Transport- und Versandleistungen,
Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten
Bezug zu Leistungen, die der Auftragsverarbeiter für den
Auftraggeber erbringt und Bewachungsdienste. Wartungs- und
Prüfleistungen stellen zustimmungspflichtige
Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht
werden, die auch im Zusammenhang mit der Erbringung von Leistungen
für den Auftraggeber genutzt werden.
- Der Anbieter Google LLC, 1600 Amphitheatre Parkway, Mountain View,
CA 94043 gilt für die Bereitstellung von Cloud-Leistungen als
genehmigt.
§ 7 Anfragen und Rechte Betroffener
- Der Auftragsverarbeiter unterstützt den Auftraggeber nach
Möglichkeit mit geeigneten technischen und organisatorischen
Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22
sowie 32 und 36 DS-GVO.
- Macht ein Betroffener Rechte, etwa auf Auskunftserteilung,
Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar
gegenüber dem Auftragsverarbeiter geltend, so reagiert dieser nicht
selbstständig, sondern verweist den Betroffenen unverzüglich an den
Auftraggeber und wartet dessen Weisungen ab.
§ 8 Haftung
- Der Auftragsverarbeiter haftet – im Innenverhältnis – nur für
Schäden, die von ihm und seinen Erfüllungsgehilfen vorsätzlich oder
grob fahrlässig begangen wurden.
- Soweit dem Auftragsverarbeiter keine vorsätzliche Vertragsverletzung
angelastet wird, ist die Schadensersatzhaftung auf den
vorhersehbaren, typischerweise eintretenden Schaden begrenzt.
- Die Haftungsbeschränkungen in dieser Vertragsurkunde gelten nicht
für Schadenersatzansprüche aus Verletzung des Lebens, des Körpers
oder der Gesundheit, insoweit haftet der Auftragsverarbeiter für
jeden von ihm oder seinen Erfüllungsgehilfen vorsätzlich oder
fahrlässig verursachten Schaden. Darüber hinaus haftet der
Auftragsverarbeiter aufgrund sonstiger zwingender gesetzlicher
Vorschriften.
§ 9 Beendigung des Hauptvertrags
- Der Auftragsverarbeiter wird dem Auftraggeber nach Beendigung des
Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm
überlassenen Unterlagen, Daten und Datenträger zurückgeben oder –
auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder
dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur
Speicherung der personenbezogenen Daten besteht – löschen. Dies
betrifft auch etwaige Datensicherungen beim Auftragsverarbeiter. Der
Auftragsverarbeiter hat den dokumentierten Nachweis der
ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu
entsorgende Unterlagen sind zu vernichten. Zu entsorgende
Datenträger sind ebenfalls zu vernichten.
- Der Auftraggeber hat das Recht, die vollständige und
vertragsgerechte Rückgabe bzw. Löschung der Daten beim
Auftragsverarbeiter in geeigneter Weise zu kontrollieren.
- Der Auftragsverarbeiter ist verpflichtet, auch über das Ende des
Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag
bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende
Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange
gültig, wie der Auftragsverarbeiter über personenbezogene Daten
verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für
diesen erhoben hat.
§ 10 Schlussbestimmungen
- Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Form
nach Artikel 28 Absatz 9 DSGVO.
- Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder
teilweise nicht rechtswirksam oder nicht durchführbar sein oder
werden, so wird hierdurch die Gültigkeit der jeweils übrigen
Bestimmungen nicht berührt.
- Diese Vereinbarung unterliegt deutschem Recht.
- Diese Vereinbarung kommt zustande, in dem Sie dies beim
Registrierungsprozess durch Setzen eines Häckchens vor dem Feld, das
mit „Vereinbarung zur Auftragsverarbeitung abschließen.“