Vereinbarung über die Datenverarbeitung gemäß der DSGVO

Vereinbarung über die Datenverarbeitung gemäß der DSGVO zwischen dem Auftragsverarbeiter B2Brouter Global S.L. und dem Verantwortlichen für die Verarbeitung.

___________________

Präambel

Diese Vereinbarung legt die Verantwortlichkeiten der Vertragsparteien im Hinblick auf den Schutz personenbezogener Daten fest. Diese Verantwortlichkeiten ergeben sich aus allen gegenwärtigen und künftigen Verträgen, die die Verarbeitung personenbezogener Daten beinhalten und einen ähnlichen vertraglichen Inhalt haben, etwa die Erstellung und Übermittlung elektronischer Dokumente oder Rechnungen über verschiedene Netzwerke, Formate und Standards. Die konkreten Einzelheiten werden entsprechend der festgelegten Verteilung oder Zuweisung der Verantwortlichkeiten definiert.

Diese Vereinbarung findet auf sämtliche Tätigkeiten im Zusammenhang mit solchen Verträgen Anwendung, bei denen Mitarbeiter des Auftragnehmers oder von ihm benannte Auftragsverarbeiter (im Folgenden „Unterauftragsverarbeiter“) personenbezogene Daten des Kunden verarbeiten.

1. Gegenstand der Vereinbarung

Diese Vereinbarung ist ein integraler Bestandteil des Hauptvertrags.

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Namen des Verantwortlichen.

Der Zweck der Verarbeitung personenbezogener Daten wird in den einschlägigen Verträgen beschrieben. Im Wesentlichen führt der Auftragsverarbeiter folgende Tätigkeiten durch:

  • Hosting von IT-Infrastrukturen
  • Entwicklung und Implementierung von Software
  • Support- und Servicedienstleistungen für Softwareanwendungen

Dauer der Datenverarbeitung:

Die Laufzeit dieser Vereinbarung richtet sich nach der Dauer des Hauptvertrags, es sei denn, die Bestimmungen dieser Vereinbarung begründen Pflichten, die über diesen Zeitraum hinausgehen.

Nach Beendigung der Erbringung der von diesem Vertrag erfassten Dienstleistungen gibt der Auftragsverarbeiter, sofern er personenbezogene Daten oder sonstige auf irgendeinem Medium bereitgestellte Dokumente und/oder Datenträger gespeichert hat, diese – nach Wahl des Verantwortlichen – zurück, löscht sie oder übergibt sie an einen neuen Auftragsverarbeiter, einschließlich sämtlicher vorhandener Kopien. Der Auftragsverarbeiter stellt auf Verlangen des Verantwortlichen eine Bescheinigung über die Rückgabe oder Löschung aus. Eine Löschung der Daten erfolgt nicht, wenn eine gesetzliche Aufbewahrungspflicht besteht; in diesem Fall bewahrt der Auftragsverarbeiter die Daten durch Sperrung auf und beschränkt deren Verarbeitung auf das Maß, das zur Geltendmachung oder Abwehr möglicherweise aus der Beziehung mit dem Verantwortlichen entstehender Ansprüche erforderlich ist. Der Auftragsverarbeiter unterliegt der Geheimhaltungs- und Vertraulichkeitspflicht in Bezug auf die Daten auch nach Beendigung der in diesem Vertrag geregelten Beziehung.

Kategorie der Daten:

  • Personenbezogene Daten: Name, Vorname, Postanschrift, Telefonnummer.
  • Beschäftigungsbezogene Daten: zuständige Abteilung, Personalnummer.
  • Zugriffsprotokolle
  • Sonstige:

Kategorie der betroffenen Personen:

  • Geschäftsführer, leitende Angestellte
  • Mitarbeiter, einschließlich Ehrenamtliche, Studierende, Beauftragte, Zeitarbeitskräfte.
  • Kunden und Nutzer.
  • Geschäftskontakte
  • Lieferanten
  • Auftragnehmer und deren Mitarbeiter.

Diese Vereinbarung regelt die zwischen dem Verantwortlichen und dem Auftragsverarbeiter zu treffenden Maßnahmen zum Schutz personenbezogener Daten gemäß Artikel 28 der DSGVO.

Dauer der Datenverarbeitung:

Die Geltungsdauer dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags, es sei denn, die Bestimmungen dieser Vereinbarung begründen Pflichten, die über diesen Zeitraum hinausgehen.

Nach Beendigung der Erbringung der von diesem Vertrag erfassten Dienstleistungen und sofern der Auftragsverarbeiter personenbezogene Daten oder auf irgendeinem Medium bereitgestellte andere Dokumente und/oder Datenträger gespeichert hat, muss er diese – gemäß der Entscheidung des Verantwortlichen – zurückgeben, löschen oder an einen neuen Auftragsverarbeiter übermitteln, einschließlich der bestehenden Kopien. Der Auftragsverarbeiter stellt auf Verlangen des Verantwortlichen eine Bescheinigung über die Rückgabe oder Löschung aus. Eine Löschung der Daten erfolgt nicht, wenn eine gesetzliche Aufbewahrungspflicht besteht; in diesem Fall bewahrt der Auftragsverarbeiter die Daten durch Sperrung auf und beschränkt deren Verarbeitung auf das Maß, das zur Geltendmachung oder Abwehr möglicherweise aus der Beziehung mit dem Verantwortlichen entstehender Ansprüche erforderlich ist. Der Auftragsverarbeiter unterliegt der Geheimhaltungs- und Vertraulichkeitspflicht auch nach Beendigung der in diesem Vertrag geregelten Beziehung.

Kategorie der Daten:

  • Personenbezogene Daten: Name, Vorname, Postanschrift, Telefonnummer.
  • Beschäftigungsbezogene Daten: zuständige Abteilung, Personalnummer.
  • Zugriffsprotokolle
  • Sonstige:

Kategorie der betroffenen Personen:

  • Geschäftsführer, leitende Angestellte
  • Mitarbeiter, einschließlich Ehrenamtliche, Studierende, Beauftragte, Zeitarbeitskräfte.
  • Kunden und Nutzer.
  • Geschäftskontakte
  • Lieferanten
  • Auftragnehmer und deren Mitarbeiter.

Diese Vereinbarung regelt die zwischen dem Verantwortlichen und dem Auftragsverarbeiter zu treffenden Maßnahmen zum Schutz personenbezogener Daten gemäß Artikel 28 der DSGVO.

2. Rechte und Pflichten des Verantwortlichen

Der VERANTWORTLICHE garantiert, dass die dem AUFTRAGSVERARBEITER bereitgestellten Daten rechtmäßig erhoben wurden und für die Zwecke der Verarbeitung angemessen, sachlich relevant und auf das notwendige Maß beschränkt sind.

Der VERANTWORTLICHE stellt dem AUFTRAGSVERARBEITER alle Informationen zur Verfügung, die für die Erbringung der von der Vereinbarung erfassten Dienstleistungen erforderlich sind. Der VERANTWORTLICHE weist den AUFTRAGSVERARBEITER darauf hin, dass dieser, sofern er eigenständig Zweck und Mittel der Verarbeitung festlegt, als Verantwortlicher gilt und die in der jeweils geltenden Rechtsvorschrift enthaltenen Pflichten erfüllen muss.

Der Verantwortliche muss den Auftragsverarbeiter unverzüglich informieren, wenn er Fehler oder Unregelmäßigkeiten bei der vom Auftragsverarbeiter in seinem Namen vorgenommenen Verarbeitung personenbezogener Daten feststellt. Der Auftragsverarbeiter seinerseits unterrichtet den Verantwortlichen unverzüglich über etwaige Korrekturen oder erforderliche Maßnahmen zur Behebung dieser Fehler oder Unregelmäßigkeiten.

Legt eine betroffene Person gemäß Artikel 82 der DSGVO bei einer der Vertragsparteien eine Beschwerde im Zusammenhang mit der in dieser Vereinbarung geregelten Verarbeitung personenbezogener Daten ein, so hat die betroffene Partei die andere Partei unverzüglich zu informieren. Beide Parteien verpflichten sich, bei der Abwehr einer solchen Beschwerde zusammenzuarbeiten.

3. Pflichten des Auftragsverarbeiters

3.1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten im Auftrag des Verantwortlichen gemäß den Bestimmungen des Vertrags und im Rahmen dieser Vereinbarung.

Legt der Auftragsverarbeiter jedoch entgegen den Weisungen des Verantwortlichen Zweck und Mittel der Verarbeitung personenbezogener Daten selbst fest, übernimmt er die Rolle des Verantwortlichen. In diesem Fall trägt er die volle Verantwortung für diese Verarbeitung mit allen entsprechenden Pflichten gemäß der DSGVO und den sonstigen anwendbaren gesetzlichen Bestimmungen.

3.2. Der Auftragsverarbeiter darf personenbezogene Daten betroffener Personen ausschließlich im Rahmen der im Vertrag und in dieser Vereinbarung spezifizierten Aufgaben und gemäß den dokumentierten Weisungen des Verantwortlichen verarbeiten. Dies gilt vorbehaltlich anderslautender gesetzlicher Verpflichtungen; in einem solchen Fall informiert der Auftragsverarbeiter den Verantwortlichen gemäß Artikel 28 Absatz 3 Buchstabe a) DSGVO, sofern eine solche Mitteilung nicht gesetzlich untersagt ist.

3.3. Der Auftragsverarbeiter organisiert seine interne Struktur so, dass sie die spezifischen Anforderungen des Datenschutzes in seinem Verantwortungsbereich erfüllt. Er ergreift die erforderlichen technischen und organisatorischen Maßnahmen, um die Daten des Verantwortlichen angemessen zu schützen, wie in Artikel 32 DSGVO vorgesehen.

Diese Maßnahmen umfassen die Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten, auch langfristig. Zudem implementiert der Auftragsverarbeiter Maßnahmen, um die Verfügbarkeit und den Zugang zu personenbezogenen Daten nach einem physischen oder technischen Zwischenfall zeitnah wiederherzustellen. Darüber hinaus richtet er Verfahren ein, mit denen die Wirksamkeit dieser technischen und organisatorischen Maßnahmen regelmäßig überprüft und bewertet wird, um die Sicherheit der Verarbeitung zu gewährleisten.

Zu den zu implementierenden Maßnahmen zählen, soweit erforderlich, die Pseudonymisierung und Verschlüsselung personenbezogener Daten, um ein angemessenes Sicherheitsniveau zu gewährleisten. Die vom Auftragsverarbeiter ergriffenen technischen und organisatorischen Maßnahmen, wie in Anhang 1 beschrieben, wurden vom Verantwortlichen geprüft, der deren Verbindlichkeit bestätigt. Der Verantwortliche trägt die Verantwortung für die Einhaltung dieser Maßnahmen gemäß den spezifischen Anforderungen des Datenschutzes.

3.4. Der Auftragsverarbeiter stellt sicher, dass sämtliche in dieser Vereinbarung vorgesehenen Maßnahmen bei der Verarbeitung personenbezogener Daten umgesetzt werden. Er informiert den Verantwortlichen über ihm bekannte neue Technologien, die den Schutz personenbezogener Daten verbessern können.

3.5. Der Auftragsverarbeiter erstellt, aktualisiert und führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die er im Auftrag des Verantwortlichen durchführt, einschließlich der in Artikel 30 Absatz 2 DSGVO geforderten Angaben.

3.6. Der Auftragsverarbeiter unterstützt den Verantwortlichen in dem Umfang, in dem dies möglich ist, gemäß Artikel 28 Absatz 3 Buchstabe e) DSGVO durch die Implementierung geeigneter technischer und organisatorischer Schutzmaßnahmen. Dadurch wird dem Verantwortlichen die Erfüllung seiner Pflichten bei der Beantwortung von Anfragen betroffener Personen gemäß Kapitel III der DSGVO erleichtert. Diese Unterstützung kann unter anderem die Bereitstellung von Informationen und Zugang für betroffene Personen, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung, die Gewährleistung des Rechts auf Vergessenwerden, die Erleichterung der Datenübertragbarkeit sowie die Bearbeitung von Widersprüchen gegen die Verarbeitung umfassen.

Der Auftragsverarbeiter unterstützt den Verantwortlichen darüber hinaus gemäß Artikel 28 Absatz 3 Buchstabe f) DSGVO bei der Einhaltung der Sicherheitsanforderungen nach Artikel 32 DSGVO. Er erleichtert auch die Handhabung von Meldungen von Verletzungen des Schutzes personenbezogener Daten gemäß Artikel 33 DSGVO und gegebenenfalls die Mitteilung an betroffene Personen gemäß Artikel 34 DSGVO. Außerdem stellt er dem Verantwortlichen auf dessen Anfrage die erforderlichen Daten und Unterlagen zur Verfügung.

Der Auftragsverarbeiter unterstützt zudem gemäß Artikel 28 Absatz 3 Buchstabe f) DSGVO bei der Durchführung von Datenschutz-Folgenabschätzungen nach Artikel 35 DSGVO und gegebenenfalls bei der vorherigen Konsultation der Aufsichtsbehörde nach Artikel 36 DSGVO. Er stellt dem Verantwortlichen auf dessen Anfrage die erforderlichen Daten und Unterlagen zur Verfügung.

3.7. Der Auftragsverarbeiter benennt einen Datenschutzbeauftragten sowie einen Ansprechpartner für Anfragen des Verantwortlichen zu Datenschutzfragen im Rahmen des Vertrags und dieser Vereinbarung. Änderungen hinsichtlich der zuständigen Kontaktperson teilt der Auftragsverarbeiter dem Verantwortlichen unverzüglich mit.

3.8. Der Auftragsverarbeiter verwendet personenbezogene Daten nicht für andere als die vom Verantwortlichen festgelegten Zwecke und bewahrt sie nicht länger auf, als gesetzlich zulässig ist. Kopien oder Duplikate von Daten dürfen ohne Wissen und Zustimmung des Verantwortlichen nicht erstellt werden.

3.9. Der Auftragsverarbeiter gewährleistet auf Grundlage der schriftlichen Weisungen des Verantwortlichen die Rechte der betroffenen Personen, einschließlich Löschung (Recht auf Vergessenwerden), Berichtigung, Datenübertragbarkeit, Einschränkung der Verarbeitung, Widerspruch und Auskunft, und zwar ohne unangemessene Verzögerung.

3.10. Der Auftragsverarbeiter informiert den Verantwortlichen oder dessen Datenschutzbeauftragten unverzüglich in folgenden Fällen:

  • wenn die implementierten Sicherheitsmaßnahmen nicht den in dieser Vereinbarung festgelegten Anforderungen entsprechen;
  • bei wesentlichen Änderungen der operativen Verfahren;
  • bei Verstößen gegen Datenschutzvorschriften oder Bestimmungen dieser Vereinbarung durch den Auftragsverarbeiter oder sein Personal;
  • bei Verdacht auf eine Verletzung der Sicherheit personenbezogener Daten oder Unregelmäßigkeiten bei der Verarbeitung.

Der Auftragsverarbeiter ergreift entsprechend den Weisungen des Verantwortlichen geeignete Sicherheitsmaßnahmen, um mögliche nachteilige Auswirkungen auf betroffene Personen so weit wie möglich zu minimieren.

Dies schließt die Sicherstellung ein, dass der Verantwortliche seinen Pflichten aus den Artikeln 33 und 34 DSGVO bezüglich der Meldung von Datenschutzverletzungen an die Aufsichtsbehörde und gegebenenfalls an betroffene Personen nachkommen kann. Der Auftragsverarbeiter verpflichtet sich, mit dem Verantwortlichen aktiv zusammenzuarbeiten, um diese Pflichten zu erfüllen.

Der Auftragsverarbeiter meldet jede Verletzung des Schutzes personenbezogener Daten an den Verantwortlichen per E-Mail an [gdpr@b2brouter.net](mailto:gdpr@b2brouter.net). Die Meldung enthält mindestens folgende Informationen:

  • Beschreibung der Verletzung: Erläuterung der Art der Verletzung, einschließlich der betroffenen Datenkategorien sowie der ungefähren Anzahl der betroffenen Personen und Datensätze.
  • Kontaktdaten: Name und Kontaktdaten der Person, die weitere Auskünfte erteilen kann.
  • Wahrscheinliche Folgen: Beschreibung der möglichen Auswirkungen der Verletzung für die betroffenen Personen.
  • Ergriffene Maßnahmen: Auflistung der getroffenen oder geplanten Maßnahmen zur Behebung oder Minderung der Folgen der Verletzung.

Dieses Verfahren gewährleistet eine klare und wirksame Kommunikation und ermöglicht es dem Verantwortlichen, seinen gesetzlichen Pflichten nach der DSGVO nachzukommen.

3.11. Der Verantwortliche ist berechtigt, wie in Klausel 3.3 vorgesehen, die technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter zu ergreifen hat, vor Beginn jeglicher Datenverarbeitung zu überprüfen. Zudem kann er diese Maßnahmen in regelmäßigen Abständen überprüfen. Die Prüfungen können direkt durch den Verantwortlichen oder im Rahmen von Audits durch einen von ihm benannten Dritten erfolgen, um die Einhaltung der Datenschutzbestimmungen sicherzustellen.

3.12. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich in folgenden Fällen:

  • Maßnahmen der Aufsichtsbehörde: gemäß den Artikeln 55 ff. und 31 DSGVO sowie über jede Untersuchung der Aufsichtsbehörde gegenüber dem Auftragsverarbeiter gemäß den Artikeln 58 Absatz 2 und 83 ff. DSGVO.
  • Anfragen betroffener Personen: in Bezug auf die Ausübung ihrer Rechte nach Kapitel III DSGVO, wie etwa Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Auskunft, Datenübertragbarkeit und Widerspruch. Der Auftragsverarbeiter leitet derartige Anfragen unverzüglich an den Verantwortlichen weiter und wirkt bei deren Bearbeitung mit.

Der Auftragsverarbeiter ist ohne vorherige schriftliche Weisung des Verantwortlichen nicht befugt, betroffenen Personen oder Dritten Auskunft über die Verarbeitung personenbezogener Daten zu erteilen, wie in Artikel 15 DSGVO geregelt.

3.13. Für Testzwecke verwendete personenbezogene Daten sind sicher aufzubewahren. Diese Daten sind nicht zugänglich, bis der Verantwortliche den Auftragsverarbeiter anweist, sie zu vernichten, zu löschen oder zurückzugeben. Die Löschung oder Vernichtung der Daten wird dem Verantwortlichen schriftlich unter Angabe des Datums bestätigt.

3.14. Nach Beendigung dieser Vereinbarung gibt der Auftragsverarbeiter dem Verantwortlichen alle vom Verantwortlichen bereitgestellten Informationen, Unterlagen und Daten zurück oder löscht sie auf dessen Wunsch unwiderruflich, einschließlich der personenbezogenen Daten und der im Rahmen dieser Vereinbarung erzielten Arbeitsergebnisse, sofern keine gesetzliche Aufbewahrungspflicht gemäß dem Recht der EU oder eines Mitgliedstaats besteht (siehe Art. 28 Absatz 3 Buchstabe g) DSGVO). Der Auftragsverarbeiter bestätigt dem Verantwortlichen spätestens 30 Tage nach dessen Aufforderung die Rückgabe, Vernichtung, Löschung und Sperrung sämtlicher Informationen und Aufzeichnungen. Gleiches gilt für Unterauftragsverarbeiter.

3.14.1. Der Auftragsverarbeiter darf die Verarbeitung von Daten nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen an Dritte als Unterauftragsverarbeiter vergeben. Die vom Auftragsverarbeiter benannten Unterauftragsverarbeiter sind in Anhang 2 dieser Vereinbarung aufgeführt. Für die dort aufgeführten Unterauftragsverarbeiter gilt die Zustimmung mit Unterzeichnung dieser Vereinbarung als erteilt. Der Auftragsverarbeiter informiert den Verantwortlichen im Voraus über jede Änderung, Ergänzung oder Ersetzung eines Unterauftragsverarbeiters, sodass der Verantwortliche Gelegenheit hat, Einwände zu erheben.

3.14.2. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter sorgfältig im Hinblick auf die Eignung der von ihm ergriffenen technischen und organisatorischen Maßnahmen ausgewählt wird. Der Auftragsverarbeiter sorgt dafür, dass der Vertrag mit dem Unterauftragsverarbeiter (in Bezug auf die Verarbeitung personenbezogener Daten) inhaltlich Bedingungen enthält, die im Wesentlichen gleichwertig und in keinem Fall weniger streng sind als die in dieser Vereinbarung festgelegten Bestimmungen.

3.14.3. Die Übermittlung von Daten ist erst zulässig, nachdem der Unterauftragsverarbeiter sämtliche Anforderungen des Artikels 28 DSGVO einschließlich der Sicherheitsmaßnahmen nach Artikel 32 DSGVO erfüllt.

3.14.4. Der Vertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter muss die unter Punkt 1 genannten Elemente eindeutig festlegen, sodass die Verantwortlichkeiten zwischen Auftragsverarbeiter und Unterauftragsverarbeiter klar abgegrenzt sind. Dieses Prinzip gilt gleichermaßen für die Abgrenzung der Verantwortlichkeiten zwischen verschiedenen Unterauftragsverarbeitern.

3.14.5. Der Auftragsverarbeiter informiert den Verantwortlichen über die wesentlichen Inhalte der mit Unterauftragsverarbeitern geschlossenen Verträge und über die Umsetzung der darin enthaltenen datenschutzrechtlichen Verpflichtungen. Gegebenenfalls wird der Vertrag dem Verantwortlichen zur Einsichtnahme zur Verfügung gestellt.

3.14.6. Die Untervergabe im Sinne dieser Vereinbarung umfasst nicht die unterstützenden Dienstleistungen, die der Auftragsverarbeiter bei Dritten einkauft, um die Durchführung der Vereinbarung zu erleichtern, wie etwa Telekommunikationsleistungen, Reinigungsdienste, Audits oder Vernichtung von Datenträgern. Gleichwohl muss der Auftragsverarbeiter zum Schutz der personenbezogenen Daten:

  • geeignete Vereinbarungen abschließen, die den anwendbaren Rechtsvorschriften entsprechen,
  • die Tätigkeit dieser Dritten überwachen, um sicherzustellen, dass sie die in dieser Vereinbarung festgelegten Datenschutzstandards einhalten.

3.15. Jede Übermittlung von Daten in ein Drittland setzt die vorherige Genehmigung des Verantwortlichen voraus und ist nur zulässig, wenn die Anforderungen der Artikel 44 ff. DSGVO erfüllt sind.

3.16. Werden die vom Auftragsverarbeiter für den Verantwortlichen aufbewahrten personenbezogenen Daten durch Pfändung, Beschlagnahme, Insolvenzverfahren, Konkurs, Zahlungsunfähigkeit oder andere Maßnahmen oder Verfahren Dritter gefährdet, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich. Darüber hinaus weist der Auftragsverarbeiter alle beteiligten Dritten unverzüglich darauf hin, dass die Verfügungsbefugnis über und das Eigentum an den personenbezogenen Daten ausschließlich beim Verantwortlichen liegen, wie in der DSGVO vorgesehen.

4. Vertraulichkeit und Integrität

4.1. Der Auftragsverarbeiter stellt sicher, dass alle Personen, die zur Verarbeitung personenbezogener Daten befugt sind, vor Aufnahme ihrer Tätigkeit eine schriftliche Vertraulichkeitsverpflichtung unterzeichnen, wie in Artikel 5 Absatz 1 Buchstabe f) DSGVO vorgesehen. Ebenso gewährleistet der Verantwortliche, dass sein Personal ordnungsgemäß über die sich aus dieser Vereinbarung, der DSGVO und sonstigen einschlägigen Datenschutzanforderungen ergebenden Pflichten informiert ist. Er stellt zudem sicher, dass ihnen die Weisungen des Verantwortlichen bekannt sind. Der Verantwortliche überwacht die Einhaltung der Datenschutzvorschriften und der Bestimmungen dieser Vereinbarung.

4.2. Die Pflicht zur Wahrung von Vertraulichkeit und Integrität gilt auch nach Beendigung des Beschäftigungsverhältnisses fort.

4.3. Der Verantwortliche ist verpflichtet, die Vertraulichkeit sämtlicher Geschäftsgeheimnisse und Datenschutzmaßnahmen des Auftragsverarbeiters zu respektieren, von denen er im Rahmen der vertraglichen Beziehung Kenntnis erlangt.

5. Haftung und Freistellung

Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für jeden Schaden, der durch eine unbefugte oder fehlerhafte Verarbeitung personenbezogener Daten verursacht wird, unabhängig davon, ob diese aus vertraglichen oder außervertraglichen Beziehungen resultiert, im Einklang mit der DSGVO und den übrigen einschlägigen Datenschutzvorschriften. Dies umfasst insbesondere:

  • Verarbeitungen von Daten, die von den Weisungen des Verantwortlichen abweichen;
  • fehlerhafte Verarbeitungen aufgrund der Nichterfüllung der Pflichten des Auftragsverarbeiters gemäß dieser Vereinbarung.

Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen zu entschädigen und ihn

von sämtlichen Ansprüchen Dritter in diesem Zusammenhang freizustellen, im Sinne von

Artikel 82 Absatz 3 DSGVO.

6. Vertragsdauer

6.1. Die Dauer dieser Vereinbarung wird durch die Laufzeit des Hauptvertrags bestimmt, sofern die Bestimmungen dieser Vereinbarung keine darüber hinausgehenden Verpflichtungen begründen. Diese Vereinbarung kann von jeder Partei mit einer Frist von drei Monaten schriftlich gegenüber der anderen Partei gekündigt werden.

6.2. Verstößt der Auftragsverarbeiter gegen die in Punkt 3 dieser Vereinbarung festgelegten Pflichten oder erbringt er die in Punkt 1 beschriebenen Leistungen nicht und zeigt die entsprechende Aufforderung oder Mahnung des Verantwortlichen innerhalb eines Zeitraums von sechzig Tagen keine Wirkung, ist der Verantwortliche unbeschadet weiterer Rechte berechtigt, diese Vereinbarung jederzeit und ohne Einhaltung einer Kündigungsfrist schriftlich zu beenden.

6.3. Stützt sich die Übermittlung personenbezogener Daten ausschließlich auf einen Angemessenheitsbeschluss im Sinne von Artikel 45 DSGVO, behält sich der Verantwortliche das Recht auf eine außerordentliche Kündigung vor, wenn die Wirkung eines solchen Angemessenheitsbeschlusses gemäß Artikel 45 Absatz 3 Unterabsatz 2 in Verbindung mit Absatz 5 DSGVO ausgesetzt, geändert oder widerrufen wird.

7. Salvatorische Klausel

Sollte eine Bestimmung dieser Vereinbarung ganz oder teilweise unwirksam sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen der Vereinbarung nicht.

Die unwirksame Bestimmung wird durch eine rechtlich zulässige Regelung ersetzt, die dem wirtschaftlichen Zweck und der Zielsetzung der ursprünglichen Bestimmung so weit wie möglich entspricht.

8. Allgemeine Bestimmungen

8.1. Jede Änderung oder Ergänzung dieser Vereinbarung und ihrer Bestandteile (einschließlich der vom Auftragsverarbeiter gewährten Zusicherungen) bedarf der Schriftform. Dies kann in elektronischer Form erfolgen, sofern klar angegeben ist, dass es sich um eine schriftliche Vereinbarung handelt, die diese Vereinbarung ändert oder ergänzt. Diese Bestimmung gilt auch für einen Verzicht auf die Anforderungen an diese Form.

8.2. Im Falle von Widersprüchen oder Unstimmigkeiten zwischen den Bestimmungen dieser Vereinbarung und denen des Hauptvertrags gehen die Bestimmungen dieser Vereinbarung vor.

8.3. Diese Vereinbarung unterliegt dem europäischen Recht. Ausschließlicher Gerichtsstand ist Barcelona, Spanien.

B2Brouter Global S.L.

Auftragsverarbeiter Verantwortlicher für die Datenverarbeitung

Anhang 1: Technische und organisatorische Maßnahmen / Sicherheitskonzept

Die folgenden technischen und organisatorischen Maßnahmen (TOM) werden zwischen dem Verantwortlichen und dem Auftragsverarbeiter vereinbart und in diesem konkreten Fall näher beschrieben. Zur weiteren Orientierung kann die Liste der Beispiele herangezogen werden.

1. Maßnahmen zur Gewährleistung der Vertraulichkeit (Art. 32 Abs. 1 Buchst. b DSGVO)

  • Physische Zugangskontrolle

Unbefugter physischer Zugang zu Datenverarbeitungssystemen ist nicht gestattet.

  • Logische Zugangskontrolle

Unbefugte Nutzung des Systems ist nicht gestattet.

Zugriff über gesicherte und authentifizierte Kanäle mittels öffentlichem/privatem Schlüsselpaar über einen Bastion-Server.

  • Zugriffskontrolle auf Daten

Verbot des unbefugten Lesens, Kopierens, Änderens oder Löschens innerhalb des Systems.

  • Trennungskontrolle

Getrennte Verarbeitung von Daten, die für unterschiedliche Zwecke erhoben wurden.

Kundendaten sind logisch voneinander getrennt.

  • Datenlöschung

Nicht mehr verwendete Festplatten oder Server werden gemäß der Richtlinie für sicheres Löschen mehrfach überschrieben.

2. Maßnahmen zur Gewährleistung der Integrität (Art. 32 Abs. 1 Buchst. b DSGVO)

  • Übertragungskontrolle

Verhinderung des unbefugten Lesens, Kopierens, Änderens oder Löschens bei elektronischer Übertragung oder beim Transport.

Die Datenübertragung erfolgt über gesicherte, verschlüsselte Kanäle.

Das gesamte Personal ist geschult und verpflichtet, personenbezogene Daten gemäß dem geltenden Datenschutzstandard zu verarbeiten.

  • Eingabekontrolle

Feststellung, ob personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder gelöscht wurden und von wem (z. B. Protokollierung, Dokumentenmanagement).

3. Maßnahmen zur Gewährleistung von Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 Buchst. b DSGVO)

  • Verfügbarkeitskontrolle

Schutz vor zufälliger Beschädigung, Zerstörung oder Verlust durch Backup- und Wiederherstellungsstrategien.

Systeme und Daten sind auf verschiedene Rechenzentren in unterschiedlichen Ländern der Europäischen Union (Deutschland und Finnland) verteilt.

Business-Continuity-Plan für kritische Aktivitäten sowie Notfallwiederherstellungspläne.

  • Es werden keine Daten im Auftrag des Verantwortlichen gemäß Art. 28 DSGVO ohne dessen Weisungen verarbeitet.
  • Belastbarkeit

Systeme und Dienste (z. B. Speicher, Zugriff, Netzkapazität usw.) sind so konzipiert, dass der Betrieb auch bei hohen, intermittierenden oder konstanten Lasten gewährleistet ist.

Systeme und Dienste sind in einer Hochverfügbarkeitsarchitektur implementiert und werden kontinuierlich überwacht.

Alle Server verfügen über gespiegelte Festplatten.

Es kommen Sicherheitssysteme wie Firewalls, Antivirus, Antispam und Verschlüsselung zum Einsatz.

4. Maßnahmen zur Pseudonymisierung personenbezogener Daten

  • Trennung von Kundengrunddaten und Kundennutzerdaten.
  • Personenbezogene Daten werden bei Bedarf pseudonymisiert.

5. Maßnahmen zur schnellen Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

  • Redundante Datenspeicherung
  • Redundante IT-Infrastruktur
  • Backup-Rechenzentrum

6. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 Buchst. d und Art. 25 Abs. 1 DSGVO)

  • Datenschutzmanagement
  • Incident-Response-Management
  • Datenschutz durch Voreinstellung (Art. 25 Abs. 2 DSGVO)
  • Bewertung durch den CISO, IT-Sicherheitsaudits
  • Externe Bewertungen, Audits, ISO-27001-Zertifizierungen.

Anhang 2: Unterauftragsverarbeiter

Beauftragtes Unternehmen Gegenstand des Auftrags Ort der Verarbeitung Datenart
INGENT SYSTEM SL Auslagerung von Programmier- und IT-Tätigkeiten Vilafranca del Penedès (Spanien) Daten zu Kundenkonten (E-Mail-Adressen, Namen, Bankverbindungen usw.)
Hetzner Online GmbH Auslagerung von Serverdiensten Gunzenhausen (Deutschland) Kein Zugriff auf personenbezogene Daten
×
Cookies
Wir verwenden Cookies. Wenn Sie damit einverstanden sind, klicken Sie einfach auf "Alle akzeptieren". Sie können auch wählen, welche Art von Cookies Sie möchten, indem Sie auf "Einstellungen" klicken. Lesen Sie unsere Cookie-Richtlinie
Einstellungen Alles ablehnen Alle akzeptieren und schließen
Cookies
Wählen Sie, welche Art von Cookies Sie akzeptieren möchten. Ihre Wahl wird ein Jahr lang gespeichert. Lesen Sie unsere Cookie-Richtlinie
Speichern Sie Alles ablehnen Alle akzeptieren und schließen