Datenverarbeitung
WebPros Nutzungsbedingungen – Anhang 2 – Datenverarbeitungsvereinbarung
Zwischen:
XOVI GmbH, Hohenzollernring 72, 50672 Köln / Deutschland
entsprechend (der Lizenzgeber wird im Folgenden als „Datenverarbeiter“ bezeichnet), und dem Kunden, der eine Dienstleistungsbeziehung auf Grundlage der zugrundeliegenden WebPros Nutzungsbedingungen eingeht („Kunde“ oder „Datenverantwortlicher“) (jede eine „Partei“, gemeinsam die „Parteien“).
Durch die Eingehung einer Dienstleistungsbeziehung mit dem Datenverarbeiter wird diese Datenverarbeitungsvereinbarung (die Vereinbarung“), einschließlich aller Anhänge hierzu, integraler Bestandteil der zugrundeliegenden WebPros Nutzungsbedingungen, die die vertragliche Grundlage der Geschäftsbeziehung bilden.
Diese Vereinbarung spezifiziert die Datenschutzverpflichtungen der Parteien gemäß Art. 28 der Allgemeinen Datenschutzverordnung („DSGVO“) in Bezug auf die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen, wie in den WebPros Nutzungsbedingungen festgelegt oder etabliert, an die diese DPA angehängt ist, oder jede andere vertragliche Vereinbarung zwischen den Parteien, die die Verarbeitung personenbezogener Daten im Auftrag des Datenverantwortlichen umfasst (zusammen die „Basisvereinbarung“). Sie gilt für alle Aktivitäten, die im Zusammenhang mit der Basisvereinbarung durchgeführt werden, bei denen der Datenverarbeiter oder ein Dritter, der in seinem Auftrag handelt (der „Unterauftragsverarbeiter“), mit personenbezogenen Daten des Datenverantwortlichen oder seiner Kunden im Auftrag des Datenverantwortlichen in Kontakt kommen oder diese verarbeiten kann. Die Anwendbarkeit dieser Vereinbarung ist an das Vorhandensein einer Datenverarbeitungsaktivität durch den Datenverarbeiter im Auftrag des Datenverantwortlichen gebunden. In Ermangelung einer solchen Verarbeitungsaktivität gilt diese Vereinbarung nicht.
Diese Datenverarbeitungsvereinbarung tritt am ersten Tag in Kraft, an dem der Kunde einen WebPros-Dienst auf Grundlage der Basisvereinbarung nutzt (das „Wirksamkeitsdatum“) und ist an die Laufzeit der Basisvereinbarung gebunden, es sei denn, eine Partei kündigt der anderen mindestens 3 Monate im Voraus schriftlich ihre Absicht zur Kündigung. Diese Vereinbarung endet automatisch mit der Kündigung oder dem Ablauf der Basisvereinbarung. Alle Anhänge hierzu sind integrale Bestandteile dieser Datenverarbeitungsvereinbarung bei Unterzeichnung.
§1 Definitionen
(1) „Personenbezogene Daten“ Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (die „betroffene Person“) beziehen.
(2) „Verarbeitung“ Verarbeitung bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder mit Sätzen von personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert sind oder nicht, wie das Erheben, Erfassen, Organisieren, Strukturieren, Speichern, Anpassen oder Verändern, Abrufen, Konsultieren, Verwenden, Offenlegen durch Übermittlung, Verbreitung oder anderweitiges Bereitstellen, Abgleichen oder Kombinieren, Einschränken, Löschen oder Vernichten.
(3) „Anweisung“ Anweisung bezeichnet jede schriftliche Anweisung, die vom Datenverantwortlichen an den Datenverarbeiter erteilt wird und diesen anweist, eine bestimmte Handlung in Bezug auf personenbezogene Daten durchzuführen (einschließlich, aber nicht beschränkt auf, Entpersonalisierung, Sperrung, Löschung, Bereitstellung). Anweisungen werden zunächst in der Basisvereinbarung festgelegt und können von Zeit zu Zeit danach vom Datenverantwortlichen in separaten schriftlichen Anweisungen (Einzelanweisungen) geändert, erweitert oder ersetzt werden.
(4) „Datenverantwortlicher“ Datenverantwortlicher bezeichnet die natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
(5) „Datenverarbeiter“ Datenverarbeiter bezeichnet eine natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
(6) „DSGVO“ DSGVO bezeichnet die EU-Datenschutz-Grundverordnung 2016/679.
(7) „EU-Standardvertragsklauseln“ oder „EUSCC“ bezeichnet eine Reihe von Vertragsklauseln für Datenübertragungen von Verantwortlichen in der EU an Verarbeiter außerhalb der EU oder des EWR, wie von der Europäischen Kommission herausgegeben (Entscheidung C (2021) 3972).
(8) Diese Vereinbarung gilt für die Verarbeitung personenbezogener Daten durch WebPros im Auftrag des Kunden im Rahmen der Erbringung von Dienstleistungen gemäß der Basisvereinbarung. Für die Zwecke dieser Datenverarbeitungsvereinbarung:
Der Kunde kann in einigen Fällen als Datenverarbeiter für einen Drittanbieter-Datenverantwortlichen betrachtet werden, und WebPros kann in solchen Situationen als Unterauftragsverarbeiter personenbezogene Daten im Auftrag des Kunden verarbeiten. Zur Vereinfachung wird WebPros im Folgenden als Datenverarbeiter und der Kunde im Folgenden als Datenverantwortlicher bezeichnet. Alle Benachrichtigungen des Drittanbieter-Datenverantwortlichen an den Kunden werden in solchen Fällen an WebPros weitergeleitet, soweit die Benachrichtigungen die von WebPros bereitgestellten Dienste betreffen. Darüber hinaus sollten alle Anweisungen des Kunden an WebPros in Bezug auf die Verarbeitung personenbezogener Daten in
solchen Fällen nicht im Widerspruch zu den Anweisungen des Drittanbieter-Datenverantwortlichen stehen oder mit diesen kollidieren.
§ 2 Umfang und Verantwortung
(1) Die Bestimmungen dieser DPA gelten immer dann, wenn der Datenverarbeiter im Rahmen seiner Hauptvertraglichen Dienstleistungen Zugang zu personenbezogenen Daten (im Folgenden als „Daten“ bezeichnet) erhält, für die der Datenverantwortliche im Sinne des Datenschutzrechts verantwortlich ist. In diesen Fällen verarbeitet der Datenverarbeiter Daten im Auftrag und gemäß den Anweisungen des Datenverantwortlichen im Sinne von Artikel 28 DSGVO (Auftragsdatenverarbeitung).
Der Datenverantwortliche bleibt der Verantwortliche im Sinne des Datenschutzrechts. Der Datenverantwortliche ist für die Einhaltung aller Datenschutzanforderungen, insbesondere der DSGVO, verantwortlich, aber auch dafür, dass die gesetzlichen Rechte der betroffenen Personen im Zusammenhang mit personenbezogenen Daten beachtet werden.
(2) Die Datenverarbeitung durch den Datenverarbeiter erfolgt in der Art, dem Umfang und zu dem Zweck, der in Anlage 1 zu dieser Vereinbarung angegeben ist; die Verarbeitung betrifft die darin angegebenen Arten von personenbezogenen Daten und Kategorien von betroffenen Personen. Die Dauer der Verarbeitung entspricht der Laufzeit der Basisvereinbarung.
(3) Der Datenverarbeiter ist berechtigt, die Daten zu anonymisieren oder zu aggregieren, sodass es nicht mehr möglich ist, Rückschlüsse auf einzelne betroffene Personen zu ziehen, und diese in dieser Form für die Zwecke der Gestaltung, Entwicklung und Optimierung gemäß den Anforderungen sowie zur Erbringung der im Hauptvertrag vereinbarten Dienstleistung zu verwenden. Die Parteien sind sich einig, dass Daten, die in der oben beschriebenen Weise anonymisiert oder aggregiert wurden, keine personenbezogenen Daten im Sinne dieses Vertrags mehr sind.
(4) Die Datenverarbeitung durch den Datenverarbeiter erfolgt grundsätzlich innerhalb der Europäischen Union (EU) oder in einem anderen Land, das Vertragspartei des Abkommens über den Europäischen Wirtschaftsraum (EWR) ist. Dennoch ist der Datenverarbeiter auch berechtigt, Daten des Datenverantwortlichen außerhalb des EWR zu verarbeiten, sofern die Bestimmungen dieses Vertrags eingehalten werden, vorausgesetzt, der Datenverarbeiter informiert den Datenverantwortlichen im Voraus über den Standort der Datenverarbeitung und die Anforderungen der Artikel 44 – 48 DSGVO erfüllt sind oder eine Ausnahme gemäß Artikel 49 DSGVO gilt.
§ 3 Verpflichtungen des Verarbeiters
(1) Der Datenverarbeiter wird personenbezogene Daten nur in Übereinstimmung mit und innerhalb des Umfangs der Anweisungen des Datenverantwortlichen oder wie in der Basisvereinbarung angegeben und vereinbart erheben, verarbeiten und verwenden.
(2) Im Verantwortungsbereich des Datenverarbeiters wird der Datenverarbeiter seine interne Unternehmensorganisation so strukturieren, dass die spezifischen Anforderungen des Schutzes personenbezogener Daten, die durch die DSGVO, lokale Datenschutzgesetze oder andere geltende Datenschutzgesetze und -vorschriften derzeit in Kraft sind (die „Datenschutzgesetze“), eingehalten werden. Der Datenverarbeiter wird die geeigneten technischen und organisatorischen Maßnahmen ergreifen, um ein dem Risiko für die personenbezogenen Daten des Datenverantwortlichen angemessenes Sicherheitsniveau gemäß den Anforderungen von Artikel 32 DSGVO zu gewährleisten. Die aktuellen Maßnahmen sind in Anlage 2 zu dieser Vereinbarung festgelegt. Solche Maßnahmen umfassen unter anderem:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten, wo möglich; b) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen (logische, physische Zugangskontrolle, Übertragungskontrolle); c) die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen (Verfügbarkeitskontrolle); d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Die in diesem Abschnitt genannten Datensicherheitsmaßnahmen werden durch den Einsatz modernster Verschlüsselungstechnologie unterstützt. Eine Übersicht über die vom Datenverarbeiter implementierten technischen und organisatorischen Maßnahmen wird dieser Vereinbarung als Anlage beigefügt.
(3) Auf Anfrage des Datenverantwortlichen wird der Datenverarbeiter alle Informationen zum Schutz personenbezogener Daten innerhalb der Organisation des Datenverarbeiters im Sinne von Artikel 32 DSGVO bereitstellen und dem Datenverantwortlichen angemessene Unterstützung bieten, um ihm die Einhaltung seiner Verpflichtungen gemäß den Datenschutzgesetzen zu ermöglichen.
(4) Der Datenverarbeiter wird sicherstellen, dass alle Mitarbeiter, die mit der Verarbeitung der personenbezogenen Daten des Datenverantwortlichen betraut sind, schriftlich verpflichtet sind, das Prinzip der Datengeheimhaltung gemäß Artikel 5(f) DSGVO einzuhalten und sich zur Vertraulichkeit verpflichtet haben. Die Verpflichtung zur Geheimhaltung besteht auch nach Beendigung der oben genannten Tätigkeiten fort.
(5) Der Datenverarbeiter wird dem Datenverantwortlichen die Kontaktdaten des Datenschutzbeauftragten des Datenverarbeiters (falls ernannt) oder des verantwortlichen Mitarbeiters mitteilen.
(6) Der Datenverarbeiter wird den Datenverantwortlichen unverzüglich im Falle einer Verletzung des Schutzes personenbezogener Daten (wie in Artikel 4 (12) DSGVO definiert) informieren und untersuchen und dem Datenverantwortlichen ausreichende Informationen in Bezug auf die Verletzung des Schutzes personenbezogener Daten bereitstellen und eine angemessene Zusammenarbeit sicherstellen, um dem Datenverantwortlichen die Einhaltung seiner gesetzlichen Verpflichtung
zur Meldung der Verletzung des Schutzes personenbezogener Daten und zur Information der betroffenen Personen und der Aufsichtsbehörde innerhalb des in den Datenschutzgesetzen vorgesehenen Zeitrahmens zu ermöglichen.
(7) Soweit zutreffend, behält der Datenverantwortliche das Eigentum an allen Trägermedien, die dem Datenverarbeiter zur Verfügung gestellt werden, sowie an allen Kopien oder Reproduktionen davon. Der Datenverarbeiter wird solche Medien sicher aufbewahren und vor unbefugtem Zugriff durch Dritte schützen. Der Datenverarbeiter wird dem Datenverantwortlichen auf Anfrage alle Informationen zu den personenbezogenen Daten und Informationen des Datenverantwortlichen bereitstellen. Der Datenverarbeiter ist verpflichtet, alle Test- und Ausschussmaterialien sicher zu löschen, basierend auf einer Anweisung des Datenverantwortlichen im Einzelfall. Wenn der Datenverantwortliche dies entscheidet, wird der Datenverarbeiter solches Material dem Datenverantwortlichen übergeben oder im Auftrag des Datenverantwortlichen aufbewahren.
§ 4 Verpflichtungen des Verantwortlichen
(1) Der Datenverantwortliche und der Datenverarbeiter sind jeweils dafür verantwortlich, die für sie geltenden gesetzlichen Datenschutzbestimmungen einzuhalten.
(2) Der Datenverantwortliche und der Datenverarbeiter sind dafür verantwortlich, ihre Informationspflichten gemäß Artikel 33 DSGVO zu erfüllen.
(3) Der Datenverantwortliche wird nach Beendigung oder Ablauf der Basisvereinbarung und durch Erteilung einer Anweisung innerhalb eines vom Datenverantwortlichen festgelegten Zeitraums die Maßnahmen zur Rückgabe personenbezogener Daten auf Trägermedien oder zur Löschung gespeicherter personenbezogener Daten festlegen.
(4) Der Datenverantwortliche ist allein verantwortlich für die Rechtmäßigkeit der Verarbeitung der Daten und für die Wahrung der Rechte der betroffenen Personen im Verhältnis zueinander. Sollten Dritte Ansprüche gegen den Datenverarbeiter aufgrund der Verarbeitung von Daten gemäß diesem Vertrag geltend machen, stellt der Datenverantwortliche den Datenverarbeiter auf erstes Verlangen von allen solchen Ansprüchen frei.
(5) Es liegt in der Verantwortung des Datenverantwortlichen, dem Datenverarbeiter die Daten rechtzeitig für die Erbringung von Dienstleistungen gemäß dem Hauptvertrag zur Verfügung zu stellen, und der Datenverantwortliche ist für die Qualität der Daten des Datenverantwortlichen verantwortlich. Der Datenverantwortliche wird den Datenverarbeiter unverzüglich und vollständig informieren, wenn der Datenverantwortliche bei der Überprüfung der Ergebnisse der Arbeit des Datenverarbeiters Fehler oder Unregelmäßigkeiten in Bezug auf Datenschutzbestimmungen oder die Anweisungen des Datenverantwortlichen entdeckt.
(6) Der Datenverantwortliche stellt dem Datenverarbeiter auf Anfrage die in Art. 30 (2) DSGVO genannten Informationen zur Verfügung, soweit sie dem Datenverarbeiter nicht bereits vorliegen.
(7) Wenn der Datenverarbeiter verpflichtet ist, einer Regierungsbehörde oder Person Informationen über die Verarbeitung der Daten des Datenverantwortlichen zur Verfügung zu stellen oder anderweitig mit solchen Behörden zusammenzuarbeiten, ist der Datenverantwortliche verpflichtet, den Datenverarbeiter auf erstes Verlangen bei der Bereitstellung solcher Informationen oder der Erfüllung solcher anderen Verpflichtungen zur Zusammenarbeit zu unterstützen.
(8) Alle zusätzlichen Kosten, die im Zusammenhang mit der Rückgabe oder Löschung personenbezogener Daten nach Beendigung oder Ablauf der Basisvereinbarung oder aufgrund von Anweisungen außerhalb des Umfangs der Basisvereinbarung entstehen, trägt der Datenverantwortliche.
(9) Falls zutreffend, stellt der Datenverantwortliche sicher, dass er jederzeit eine ausreichende Rechtsgrundlage für die Weitergabe der Daten seiner eigenen Kunden an den Datenverarbeiter hat, falls die Verarbeitungsaktivitäten des Datenverarbeiters sich auf Kundendaten beziehen. Diese Rechtsgrundlage muss schriftlich zwischen dem Datenverantwortlichen und seinem Kunden festgelegt werden und dem Datenverarbeiter auf Anfrage zur Verfügung gestellt werden.
§ 5 Anfragen von betroffenen Personen oder Aufsichtsbehörden
Der Datenverarbeiter wird den Datenverantwortlichen unverzüglich im Falle einer Anfrage, eines Anspruchs oder einer Mitteilung einer betroffenen Person oder eines Dritten informieren und den Datenverantwortlichen unterstützen und mit ihm zusammenarbeiten, um die Einhaltung der Datenschutzgesetze sicherzustellen. Wenn der Datenverantwortliche gemäß der DSGVO oder anderen geltenden Datenschutzgesetzen verpflichtet ist, einer Person Informationen über die Erhebung, Verarbeitung oder Nutzung ihrer personenbezogenen Daten zur Verfügung zu stellen, wird der Datenverarbeiter den Datenverantwortlichen bei der Bereitstellung dieser Informationen unterstützen, sofern der Datenverantwortliche den Datenverarbeiter schriftlich dazu angewiesen hat.
§ 6 Prüfpflichten
Der Datenverantwortliche kann vor Beginn der Verarbeitung und in regelmäßigen Abständen danach die vom Datenverarbeiter ergriffenen technischen und organisatorischen Maßnahmen überprüfen und die daraus resultierenden Ergebnisse dokumentieren. Zu diesem Zweck wird der Datenverantwortliche freiwillige Offenlegungen vom Datenverarbeiter sammeln. Der Datenverantwortliche wird: (i) sicherstellen, dass jede Informationsanfrage, Prüfung oder Inspektion während der normalen Geschäftszeiten durchgeführt wird (es sei denn, eine andere Zeit wird von einer zuständigen Datenschutzbehörde vorgeschrieben) mit minimaler Störung des Geschäfts des Datenverarbeiters und/oder seiner Unterauftragsverarbeiter, und anerkennen, dass eine solche Informationsanfrage, Prüfung oder Inspektion: (a) den Datenverarbeiter nicht verpflichtet, Zugang
zu Informationen über die internen Geschäftsinformationen des Datenverarbeiters oder in Bezug auf andere Empfänger von Dienstleistungen des Datenverarbeiters zu gewähren oder zu ermöglichen; und (b) den angemessenen Richtlinien, Verfahren oder Anweisungen des Datenverarbeiters oder seiner Unterauftragsverarbeiter unterliegt, um die Sicherheit und Vertraulichkeit zu wahren; und (ii) dem Datenverarbeiter mindestens 30 Tage im Voraus schriftlich über eine Informationsanfrage und/oder Prüfung oder Inspektion informieren (es sei denn, die zuständige Datenschutzbehörde gibt dem Datenverantwortlichen weniger als 30 Tage im Voraus Bescheid, in diesem Fall wird der Datenverantwortliche dem Datenverarbeiter so viel Vorankündigung wie möglich geben).
Wenn eine Informationsanfrage, Prüfung oder Inspektion sich auf Systeme bezieht, die von oder auf den Räumlichkeiten der Unterauftragsverarbeiter des Datenverarbeiters bereitgestellt werden, wird der Umfang dieser Informationsanfrage, Prüfung und/oder Inspektion gemäß der relevanten Vereinbarung zwischen dem Datenverarbeiter und dem Unterauftragsverarbeiter gestattet.
Maximal eine Informationsanfrage, Prüfung und/oder Inspektion kann vom Datenverantwortlichen innerhalb eines Zeitraums von zwölf (12) Monaten angefordert werden, es sei denn, eine zusätzliche Informationsanfrage, Prüfung und/oder Inspektion wird von einer zuständigen Datenschutzbehörde schriftlich vorgeschrieben.
Der Datenverarbeiter wird im Sinne von Art. 28 III h DSGVO bei der Durchführung einer Prüfung oder Inspektion oder anderer Arbeiten im Rahmen der Verpflichtungen des Datenverarbeiters gemäß dieser Vereinbarung mit dem Datenverantwortlichen zusammenarbeiten.
§ 7 Unterauftragsverarbeiter, Subunternehmer
(1) Der Datenverantwortliche stimmt grundsätzlich zu, dass der Datenverarbeiter Teile seiner vertraglichen Verpflichtungen hierunter an die verbundenen Unternehmen des Datenverarbeiters und/oder Dritte (Unterauftragsverarbeiter) innerhalb oder außerhalb des EWR vergeben darf. Unterauftragsverarbeiter werden personenbezogene Daten nur gemäß den Anweisungen des Datenverarbeiters verarbeiten und alle geltenden Datenschutzgesetze einhalten. Der Datenverarbeiter stimmt zu und garantiert, gegenüber dem Datenverantwortlichen für alle Handlungen oder Unterlassungen seiner Unterauftragsverarbeiter im Zusammenhang mit der von ihnen unter dieser Vereinbarung durchgeführten Verarbeitung haftbar zu bleiben.
(2) Wenn der Datenverarbeiter Unterauftragsverarbeiter einsetzt, ist der Datenverarbeiter verpflichtet, die vertraglichen Verpflichtungen des Datenverarbeiters hierunter gemäß den Anforderungen der DSGVO an diese Unterauftragsverarbeiter weiterzugeben und den Zugang des Unterauftragsverarbeiters zu Daten nur auf das zu beschränken, was zur Aufrechterhaltung der vergebenen Dienstleistungen erforderlich ist. Satz 1 dieses Absatzes 2 gilt insbesondere, aber nicht ausschließlich, für die vertraglichen Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit, die zwischen den Parteien der Basisvereinbarung festgelegt sind. Darüber hinaus ist der Datenverarbeiter dafür verantwortlich, angemessene Schutzmaßnahmen zwischen ihm und den Unterauftragsverarbeitern gemäß Artikel 46 DSGVO einzurichten und aufrechtzuerhalten.
(3) Die Liste der Unterauftragsverarbeiter in Anlage 3 zu dieser Vereinbarung enthält alle Unterauftragsverarbeiter, die derzeit von WebPros-Einheiten für bestimmte Zwecke autorisiert sind. Abhängig vom angeforderten Dienst können nur bestimmte Unterauftragsverarbeiter an der Verarbeitung bestimmter Daten beteiligt sein. WebPros wird die geltende Liste der Unterauftragsverarbeiter regelmäßig auf seinen Websites aktualisieren. Der Datenverantwortliche kann den Aktualisierungsdienst abonnieren, um über Änderungen dieser Liste informiert zu bleiben. Alternativ verpflichtet sich der Datenverantwortliche hiermit, diese Website regelmäßig auf Änderungen in der Liste der WebPros-Unterauftragsverarbeiter zu überprüfen und erkennt an, dass dies seinen Informationsbedarf in Bezug auf Unterauftragsverarbeiter durch den Datenverarbeiter erfüllt.
Wenn der Datenverantwortliche einen neu hinzugefügten Unterauftragsverarbeiter nicht genehmigt, hat jede Partei das Recht, diese Vereinbarung, ihre Anweisung zur Datenverarbeitung schriftlich zu kündigen oder eine bestimmte Form der Datenverarbeitung schriftlich gegenüber dem Datenverarbeiter abzulehnen, um eine Verarbeitung durch diesen neuen Unterauftragsverarbeiter zu vermeiden, unbeschadet etwaiger Kündigungsrechte gemäß der Basisvereinbarung und vorbehaltlich der geltenden Bedingungen.
§ 8 Internationale Datenübertragungen
Der Datenverantwortliche erkennt an, dass die Unterauftragsverarbeiter des Datenverarbeiters Datenverarbeitungsoperationen in Ländern außerhalb des EWR oder in Ländern ohne angemessenes Datenschutzniveau durchführen können, wenn dies zur Erfüllung der Anweisungen des Datenverantwortlichen oder der zugrunde liegenden Vereinbarung erforderlich ist. In diesem Fall garantiert der Datenverarbeiter, dass eine solche Verarbeitung außerhalb des EWR durch angemessene Schutzmaßnahmen gemäß Artikel 46 DSGVO geschützt ist. Insbesondere wird der Datenverarbeiter personenbezogene Daten nur an Einrichtungen außerhalb des EWR übertragen, wenn diese Einrichtungen durch die von der EU-Kommission angenommenen EU-Standardvertragsklauseln, verbindliche Unternehmensregeln, das EU/Schweiz-US-Datenschutzrahmenwerk oder andere geeignete Schutzmaßnahmen gebunden sind, um sicherzustellen, dass die ausländische Einrichtung ein angemessenes Datenschutzniveau innerhalb ihrer Organisation durch die Ergreifung geeigneter technischer und organisatorischer Maßnahmen gemäß der DSGVO und den geltenden lokalen Datenschutzgesetzen etabliert hat.
§ 9 Informationspflichten
Wenn die personenbezogenen Daten des Datenverantwortlichen während der Verarbeitung einer Durchsuchung und Beschlagnahme, einem Pfändungsbeschluss, einer Beschlagnahme während eines Insolvenzverfahrens oder ähnlichen Ereignissen oder Maßnahmen durch Dritte, Behörden oder Regierungsstellen unterliegen, wird der Datenverarbeiter den Datenverantwortlichen unverzüglich informieren. Der Datenverarbeiter wird unverzüglich alle beteiligten Parteien in einer solchen Aktion darüber informieren, dass alle davon betroffenen personenbezogenen Daten ausschließliches Eigentum und Verantwortungsbereich des Datenverantwortlichen sind, dass personenbezogene Daten ausschließlich dem
Datenverantwortlichen zur Verfügung stehen und dass der Datenverantwortliche die verantwortliche Stelle im Sinne der DSGVO ist, und wenn möglich, wird der Datenverarbeiter keine personenbezogenen Daten des Kunden offenlegen, soweit dies nach den geltenden Gesetzen zulässig ist.
§ 10 Entschädigung und Haftungsbeschränkung
(1) Sofern in dieser Vereinbarung, der Basisvereinbarung oder dem geltenden Recht nicht ausdrücklich anders festgelegt, haftet der Datenverarbeiter ausschließlich für grobe Fahrlässigkeit und vorsätzliches Fehlverhalten. Diese Haftungsbeschränkung gilt auch für seine beauftragten Vertreter und Bevollmächtigten. Bei einfacher Fahrlässigkeit haftet der Datenverarbeiter nur für typische und vorhersehbare Schäden, die durch eine Verletzung einer wesentlichen vertraglichen Verpflichtung verursacht wurden. In diesem Fall ist jedoch die Haftung des Datenverarbeiters, seiner verbundenen Unternehmen, leitenden Angestellten, Direktoren, Mitarbeiter, Vertreter, Dienstleister, Lieferanten oder Lizenzgeber für indirekte Schäden, Betriebsunterbrechungen, Verlust von Geschäftsgewinnen oder für jede Art von zufälligen, besonderen, exemplarischen, Folgeschäden oder Strafschäden ausgeschlossen, unabhängig davon, ob eine solche Partei auf die Möglichkeit solcher Schäden hingewiesen wurde.
(2) Ungeachtet des Vorstehenden, im Falle der Weiterleitung eigener Kundendaten des Datenverantwortlichen an den Datenverarbeiter zur weiteren Verarbeitung gemäß dieser Vereinbarung, stellt der Datenverantwortliche den Datenverarbeiter von allen Ansprüchen Dritter, Kosten (einschließlich Rechtskosten) und Geldstrafen in Bezug auf die Rechtsgrundlage dieser Datenweiterleitung frei und hält ihn schadlos. In diesem Zusammenhang liegt die alleinige und ausschließliche Verantwortung des Datenverantwortlichen darin, sicherzustellen, dass er über ausreichende Genehmigungen der betroffenen Person oder seiner Kunden und eine Rechtsgrundlage zur Weiterleitung von Daten an WebPros zur Verarbeitung verfügt. WebPros lehnt jegliche damit verbundene Haftung gegenüber betroffenen Personen oder Kunden des Datenverantwortlichen strikt ab.
(3) Ungeachtet gegenteiliger Bestimmungen in dieser Vereinbarung oder der Basisvereinbarung darf die Gesamthaftung des Datenverarbeiters gegenüber dem Datenverantwortlichen oder Dritten aus dieser Vereinbarung oder den hierunter erbrachten Datenverarbeitungsdiensten in keinem Fall die in der Basisvereinbarung festgelegten Beschränkungen überschreiten. Zur Vermeidung von Missverständnissen darf dieser Abschnitt nicht so ausgelegt werden, dass die Haftung einer Partei gegenüber Ansprüchen von betroffenen Personen eingeschränkt wird. Der Datenverantwortliche und der Datenverarbeiter haften als Gesamtschuldner in Bezug auf solche Ansprüche.
(4) Der Datenverarbeiter ist berechtigt, Einzelheiten der Anweisungen des Datenverantwortlichen und der durchgeführten Datenverarbeitung zum Zwecke der Befreiung von der Haftung gemäß Art. 82 (3) DSGVO offenzulegen. Der Datenverantwortliche wird alles Notwendige tun, um dem Datenverarbeiter die Befreiung von der Haftung gegenüber Dritten in diesem Zusammenhang zu ermöglichen.
§11 Allgemeines, Rechtswahl
(1) Änderungen oder Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile, einschließlich aller Verpflichtungen des Datenverarbeiters, sind nur gültig und verbindlich, wenn sie schriftlich erfolgen und von beiden Parteien unterzeichnet werden und ausdrücklich auf eine Änderung oder Ergänzung dieser Bestimmungen Bezug nehmen. Das Vorstehende gilt auch für den Verzicht auf diese zwingende Schriftform.
(2) Wenn eine Bestimmung (oder ein Teil davon) dieser Vereinbarung von einem Gericht mit Zuständigkeit über die Parteien für ungültig erklärt wird, wird diese Bestimmung (oder ein Teil davon) als neu formuliert angesehen, um die ursprünglichen Absichten der Parteien gemäß geltendem Recht so weit wie möglich widerzuspiegeln, und der Rest der Vereinbarung oder Bestimmung bleibt in vollem Umfang in Kraft und wirksam, als ob die Vereinbarung ohne die ungültige Bestimmung (oder einen Teil davon) abgeschlossen worden wäre.
(3) Diese Vereinbarung unterliegt den Gesetzen der Schweiz. Die Gerichte in Zürich / Schweiz haben die ausschließliche Zuständigkeit über die Parteien in Bezug auf diese Vereinbarung. Ungeachtet der vorstehenden Rechtswahl stimmen die Parteien ausdrücklich zu, die Bestimmungen der DSGVO auf diese Vereinbarung anzuwenden.
(4) Name des externen Datenschutzbeauftragten von WebPros: RM Privacy GmbH ([email protected])
Anlage 1
Eine Beschreibung der Elemente personenbezogener Daten und des Zwecks ihrer Verarbeitung durch den Datenverarbeiter im Auftrag des Datenverantwortlichen. Die Beschreibung gibt den Umfang, die Art und den Zweck der geplanten Erhebung, Verarbeitung und Nutzung von Daten, die Art der Daten und den Kreis der betroffenen Personen an.
- Der Datenverantwortliche kann Namen und E-Mail-Adressen bestimmter Schlüsselmitarbeiter oder Endkunden in den Dienstsystemen des Datenverarbeiters speichern, um ein Konto zu erstellen oder zu pflegen, um Zugang zu diesen Systemen für die Zwecke zu erhalten, die diese Dienste anbieten.
- Für Dienstleistungsdaten ist die Verarbeitung von Daten auf den Zeitraum der zugrunde liegenden Dienstleistungs-/Abonnementbeziehung beschränkt.
- Jeder Mitarbeiter oder Subunternehmer des Datenverarbeiters ist durch eine umfassende WebPros-Datenschutzrichtlinie gebunden. Wenn der Zugriff auf Daten von außerhalb des EWR gewährt werden muss, wird dieser Zugriff durch die entsprechenden Schutzmaßnahmen und Garantien (z.B. durch EU-Standardvertragsklauseln, EU-US-Datenschutzrahmen) geschützt, die gemäß den geltenden Datenschutzgesetzen wie der DSGVO oder lokalen Datenschutzgesetzen erforderlich sind.
Anlage 2
Liste der technischen und organisatorischen Maßnahmen
1.1 Gewährleistung der Vertraulichkeit
1.1.1 Zugangskontrolle
Maßnahmen, die verhindern sollen, dass unbefugte Personen Zugang zu Datenverarbeitungseinrichtungen erhalten, die personenbezogene Daten verarbeiten oder verwenden. Maßnahmen:
2FA-Login für alle Projekte
Besucher nur in Begleitung von Mitarbeitern
Büro ist ausschließlich genutzt
Chipkarten / Transpondersysteme
Elektrische Türschlösser
Empfang mit Rezeption
Gebäude ist ausschließlich ein Bürogebäude
Klingelsystem ohne Kamera
Sicherheitsschlösser Schlüsselregelung mit Liste
Türen mit Knauf außen
Überwachter Eingangsbereich
1.1.2 Physische Zugangskontrolle
Maßnahmen, die verhindern sollen, dass Datenverarbeitungssysteme (Computer) von unbefugten Personen verwendet werden.
Maßnahmen:
Allgemeine Richtlinie Datenschutz und / oder Sicherheit
Antivirensoftware
Antivirus-Clients
Anwendung der Zwei-Faktor-Authentifizierung
Zuweisung von Benutzerprofilen zu IT-Systemen
Verwendung von VPN für Fernzugriff
Verwendung einer Software-Firewall
Login mit Benutzername und Passwort
Mobile Device Management
Verschlüsselung von Datenträgern
Verschlüsselung von Notebooks / Tablets
Smartphone-Verschlüsselung
Verwaltung von Benutzerberechtigungen
Verwaltung von Rechten durch einen Systemadministrator
Zuweisung von Benutzerrechten
1.1.3 Datenzugriffskontrolle
Maßnahmen, um sicherzustellen, dass Personen, die berechtigt sind, ein Datenverarbeitungssystem zu verwenden, nur Zugriff auf Daten haben, die ihrem Zugriffsrecht unterliegen, und dass personenbezogene Daten während der Verarbeitung, Nutzung und nach der Speicherung nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können.
Maßnahmen:
Aktenvernichter
Differenzierte Berechtigungen (Anwendungen)
Verwendung von programmspezifischen Berechtigungskonzepten
Protokollierung der Ausgabe von Datenträgern
Protokollierung des Zugriffs auf Anwendungen (beim Eingeben von Daten)
Verwaltung von Benutzerrechten durch Administratoren
1.1.4 Trennungskontrolle
Maßnahmen, um sicherzustellen, dass Daten, die für verschiedene Zwecke erhoben wurden, getrennt verarbeitet werden können. Dies kann beispielsweise durch logische und physische Trennung von Daten gewährleistet werden.
Maßnahmen:
Einstellung von Datenbankrechten
Physische Trennung von Systemen
Kontrolle über ein Berechtigungskonzept
1.2 Gewährleistung der Integrität
1.2.1 Übergabekontrolle
Maßnahmen, um sicherzustellen, dass personenbezogene Daten während ihrer elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht ohne Genehmigung gelesen, kopiert, geändert oder entfernt werden können und dass es möglich ist, die Stellen zu überprüfen und festzustellen, an die personenbezogene Daten durch Datenübertragungseinrichtungen übermittelt werden sollen.
Maßnahmen:
Bereitstellung über verschlüsselte Verbindungen wie sftp, https
Dokumentation der Löschfristen
Verwendung von VPN-Technologie
Funktionale Verantwortlichkeiten
1.2.2 Eingabekontrolle
Maßnahmen, um sicherzustellen, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden.
Maßnahmen:
Klare Verantwortlichkeiten für die Löschung von Daten
Nachvollziehbarkeit der Datenverarbeitung durch individuelle Benutzernamen
Verwendung von Zugriffsrechten
1.3 Pseudonymisierung
Maßnahmen, die die Pseudonymisierung von Daten gewährleisten.
Maßnahmen:
Interne Anweisung zur Pseudonymisierung personenbezogener Daten nach Ablauf der Löschfrist
1.4 Gewährleistung der Verfügbarkeit, Belastbarkeit und Wiederherstellbarkeit
1.4.1 Verfügbarkeit (von Daten)
Maßnahmen, um sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind – Gewährleistung der Verfügbarkeit von Daten.
Maßnahmen:
99,99% Serverhardware-Verfügbarkeit
Backup- und Wiederherstellungskonzept
Datensicherungskonzept verfügbar
RAID-System / Festplattenspiegelung
SLA mit Hosting-Dienstleister
1.4.2 Belastbarkeit (der Systeme)
Maßnahmen, um sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind – Gewährleistung der Belastbarkeit von Systemen.
Maßnahmen:
Verwendung von Intrusion-Detection-Systemen
Verwendung von Software-Firewalls
Installation aktueller Sicherheitsupdates auf allen Anwendungsservern
1.4.3 Wiederherstellbarkeit (von Daten / Systemen)
Maßnahmen, um sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind – Gewährleistung der Wiederherstellbarkeit von Daten und Systemen.
Maßnahmen:
Brand- und Rauchmeldeanlagen
Feuerlöscher im Serverraum
Keine sanitären Anschlüsse im oder über dem Serverraum
Schutzsteckdosenleisten im Serverraum
Serverraum hat keine Fenster
Serverraum ist von Arbeitsplätzen getrennt
Überwachung des Serverraums (Feuchtigkeit)
Überwachung des Serverraums (Temperatur)
Serverraum ist klimatisiert
Überspannungsschutzgeräte
1.5 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
1.5.1 Auftragskontrolle
Maßnahmen, um sicherzustellen, dass personenbezogene Daten, die im Auftrag des Kunden verarbeitet werden, nur gemäß den Anweisungen des Kunden verarbeitet werden können.
Maßnahmen:
Abschluss der erforderlichen Auftragsdatenvereinbarungen
Abschluss der erforderlichen Standardvertragsklauseln
Regelung zur Nutzung von Subunternehmern
Überprüfung des Schutzniveaus des Auftragnehmers (initial)
Vereinbarung über wirksame Kontrollrechte gegenüber dem Auftragnehmer
Verpflichtung der Mitarbeiter des Auftragnehmers zur Wahrung des Datengeheimnisses
1.5.2 Datenschutzmanagement
Maßnahmen, die sicherstellen, dass Methoden zur systematischen Planung, Organisation, Verwaltung und Kontrolle der gesetzlichen und operativen Anforderungen des Datenschutzes bewertet wurden.
Maßnahmen:
Sicherheitskonzept an anderer Stelle dokumentiert
Ernennung eines externen Datenschutzbeauftragten
Dokumentation aller Datenschutzverfahren und -vorschriften
Durchführung von Datenschutz-Folgenabschätzungen (falls erforderlich)
Einhaltung der Informationspflichten gemäß Art. 13 DSGVO
Verwendung von Softwarelösungen für das Datenschutzmanagement
Bewertung eines formalisierten Prozesses zur Bearbeitung von Auskunftsersuchen
Umsetzung von Verbesserungsvorschlägen
Regelmäßige Sensibilisierung der Mitarbeiter für Datenschutz
Mitarbeiterschulung zum Datenschutz
Verpflichtung der Mitarbeiter zur Wahrung des Datengeheimnisses
Zugriffsmöglichkeiten der Mitarbeiter auf die Datenschutzvorschriften (Wiki / Intranet)
1.5.3 Incident-Response-Management
Maßnahmen, um sicherzustellen, dass Sicherheitsvorfälle verhindert werden können oder im Falle bereits eingetretener Sicherheitsvorfälle Daten und Systeme geschützt werden können und eine schnelle Analyse und Lösung des Sicherheitsvorfalls durchgeführt werden kann.
Maßnahmen:
Dokumentation von Sicherheitsvorfällen
Einbeziehung von Datenschutzbeauftragten in Sicherheitsvorfälle
Dokumentierter Prozess zur Meldung von Sicherheitsvorfällen
Verwendung von Firewalls und deren regelmäßige Aktualisierung
Verwendung von Spam-Filtern und deren regelmäßige Aktualisierung
Verwendung von Virenscannern und deren regelmäßige Aktualisierung
Klarer Prozess zur Regelung der Verantwortlichkeiten im Falle von Sicherheitsvorfällen
1.5.4 Datenschutzfreundliche Voreinstellungen
Maßnahmen, die sicherstellen, dass durch die entsprechende Technologiegestaltung (Privacy by Design) und Werkseinstellungen (Privacy by Default) einer Software bereits im Voraus ein gewisses Datenschutzniveau besteht.
Maßnahmen:
Gewährleistung der einfachen Ausübung des Widerrufsrechts einer betroffenen Person
Personenbezogene Daten werden nur für den Zweck erhoben, für den sie benötigt werden
Exhibit 3
Liste der XOVI-Unterauftragsverarbeiter (dienstleistungs- und geschäftsbezogene Anbieter)
|
Name des Unterauftragsverarbeiters |
Verarbeitungsort |
Servicetyp |
Schutzmaßnahmen (Art. 46 GDPR) |
|
WIIT AG (Myloc) |
Joachim-Erwin-Platz 3 – 40212 Düsseldorf, Germany |
Datacenter / Colocation |
EU, DPA |
|
Amazon Web Services, Inc |
410 Terry Avenue North Seattle WA 98109, USA |
Cloud Dienstleister |
DPA, EUSCC |
|
Google Inc. |
1600 Amphitheatre Parkway, Mountain View, CA, 94043, USA |
Cloud Dienstleister und Datenanalyse |
DPA, EUSCC |
|
Microsoft Corporation |
One Microsoft Way. Redmond, WA 98052-6399, USA |
Cloud Dienstleister und Datenspeicherung |
Data Privacy Framework, DPA |
|
HubSpot Inc. |
25 First Street, 2nd Floor, Cambridge, MA 02141, USA |
CRM Dienstleister und Marketingautomatisierung |
DPA, EUSCC |
|
Typeform |
Carrer Bac de Roda, 163, 08018 Barcelona |
Kontaktformular |
EU, DPA |
|
AEB SE |
Sigmaringer Straße 109 70567 Stuttgart / Germany |
Sanktionslistenprüfung |
EU, DPA |
|
SparkLIT Networks Inc. (AdButler) |
201 – 1001 Wharf Street, Victoria, BC, Canada |
Bannerwerbungsanbieter |
Adequacy Decision, DPA |
|
Slack Technologies, Inc. |
500 Howard Street, San Francisco, CA 94105, USA |
Internes Messaging Tool |
Data Privacy Framework, DPA |
|
PayPal (Europe) S.à r.l. et Cie, S.C.A. |
22-24 Boulevard Royal L-2449 Luxembourg |
Zahlungsdienstleister |
DPA, EUSCC |
|
Cloudflare, Inc. |
101 Townsend Street San Francisco, CA 94107 USA |
Websiteschutz gegen Bot Angriffe |
Data Privacy Framework, DPA |
|
Usercentrics GmbH |
Sendlinger Str. 7 80331 München |
Einwilligungsmanagement |
EU, DPA |
|
Atlassian (Confluence / Jira) |
350 Bush Street Floor 13 San Francisco, CA 94104 United States |
Kollaboration und Projektmanagement |
Data Privacy Framework, DPA |