Datenverarbeitungsvereinbarung (DPA)
DIE UNTERZEICHNETEN:
und
im Folgenden gemeinsam bezeichnet als: Parteien;
ÜBERLEGUNGEN:
VEREINBAREN WIE FOLGT:
Die großgeschriebenen Begriffe in dieser DPA haben die folgenden Bedeutungen:
1.2 Datenschutzverletzung: eine Verletzung von Sicherheitsmaßnahmen zum Schutz personenbezogener Daten vor Verlust oder jeder Form der unrechtmäßigen Verarbeitung sowie jeder Vorfall oder jedes Ereignis, bei dem ein Verlust oder eine unrechtmäßige Verarbeitung personenbezogener Daten eintritt oder eintreten könnte.
1.3 Vereinbarung: die Vereinbarung zwischen Auftragsverarbeiter und Verantwortlichem bezüglich der vom Auftragsverarbeiter bereitgestellten Cybersecurity SAAS-Lösung, aus der die Verarbeitung personenbezogener Daten resultiert.
1.4 Personenbezogene Daten: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
1.5 Unterauftragsverarbeiter: die natürliche oder juristische Person, die einen Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen unterstützt.
1.6 Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
1.7 Datenverarbeitungsvereinbarung (DPA): diese Vereinbarung zwischen Verantwortlichem und Auftragsverarbeiter bezüglich der Verarbeitung personenbezogener Daten, einschließlich Erwägungen und zugehöriger Anhänge.
2.1 Diese DPA tritt an dem Datum in Kraft, an dem die Parteien die Vereinbarung unterzeichnen.
2.2 Dieser DPA bleibt so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen gemäß der Vereinbarung verarbeitet.
3.1 Während der Ausführung des Vertrags kann der Verantwortliche dem Auftragsverarbeiter personenbezogene Daten zur Verfügung stellen. Eine Übersicht über die Kategorien personenbezogener Daten, die dem Auftragsverarbeiter zur Verfügung gestellt werden können, ist in der Datenschutzerklärung enthalten.
3.2 Der Verantwortliche legt den Zweck und die Mittel der Verarbeitung personenbezogener Daten fest. Dieser Zweck ist in der Datenschutzerklärung festgehalten.
3.3 Der Auftragsverarbeiter verarbeitet diese personenbezogenen Daten ausschließlich zur Ausführung des Vertrags, dieses DPA und der schriftlichen Anweisungen des Verantwortlichen. Der Auftragsverarbeiter wird personenbezogene Daten nur für die in der Datenschutzerklärung beschriebenen Zwecke verarbeiten und wird die personenbezogenen Daten nicht für andere oder eigene Zwecke verwenden, es sei denn, dies ist gesetzlich vorgeschrieben.
3.4 Wenn eine Anweisung gemäß Artikel 3.3 nach Ansicht des Auftragsverarbeiters im Widerspruch zu einer datenschutzrechtlichen Bestimmung steht, wird der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung darüber informieren, es sei denn, eine gesetzliche Bestimmung verbietet eine solche Benachrichtigung.
3.5 Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Vergabe der Verarbeitung personenbezogener Daten an Unterauftragsverarbeiter, einschließlich der auf der Website des Auftragsverarbeiters aufgeführten Unterauftragsverarbeiter.
3.6 Beauftragt der Auftragsverarbeiter einen neuen oder ersetzenden Unterauftragsverarbeiter, wird der Auftragsverarbeiter:
(a) Die Liste der Unterauftragsverarbeiter auf der Website des Auftragsverarbeiters aktualisieren.
(b) Jedem Unterauftragsverarbeiter, den er beauftragt, im Wesentlichen dieselben Datenschutzbedingungen auferlegen, wie sie in diesem DPA enthalten sind (einschließlich Bestimmungen zur Datenübermittlung, sofern zutreffend).
(c) Dem Verantwortlichen gegenüber für jede Verletzung dieses DPA haftbar bleiben, die durch eine Handlung, einen Fehler oder eine Unterlassung eines solchen Unterauftragsverarbeiters verursacht wird.
(d) Den Verantwortlichen benachrichtigen, wenn dieser angemeldet ist. Wünscht der Verantwortliche eine schriftliche Benachrichtigung 14 Tage vor der Beauftragung eines neuen oder ersetzenden Unterauftragsverarbeiters durch Guardey, muss sich der Verantwortliche über diesen Link für solche Benachrichtigungen anmelden.
3.7 Der Verantwortliche kann der Beauftragung eines neuen oder ersetzenden Unterauftragsverarbeiters durch den Auftragsverarbeiter unverzüglich schriftlich innerhalb von vierzehn (14) Tagen nach Erhalt der Mitteilung gemäß 3.6(d) und aus begründeten Einwänden hinsichtlich der Fähigkeit des Unterauftragsverarbeiters, die geltenden Datenschutzgesetze einzuhalten, widersprechen. In diesem Fall werden die Parteien die Bedenken des Verantwortlichen in gutem Glauben erörtern, um eine wirtschaftlich angemessene Lösung zu finden. Können die Parteien keine solche Lösung erzielen, hat der Auftragsverarbeiter das Recht, nach eigenem Ermessen entweder den beanstandeten Unterauftragsverarbeiter nicht zu beauftragen oder dem Verantwortlichen zu gestatten, den entsprechenden Auftrag und/oder die Vereinbarung auszusetzen oder zu kündigen.
3.8 Der Auftragsverarbeiter wird die erforderliche Unterstützung leisten, um den Pflichten gemäß Artikel 32 bis 36 der DSGVO nachzukommen. Insbesondere wird der Auftragsverarbeiter bei der Durchführung notwendiger Maßnahmen auf Anfragen von betroffenen Personen bezüglich des Zugangs, der Berichtigung, der Einschränkung oder der Löschung personenbezogener Daten kooperieren.
3.9 Der Auftragsverarbeiter wird die personenbezogenen Daten nur innerhalb der Europäischen Union speichern und verarbeiten, es sei denn, es wurde etwas anderes mit dem Verantwortlichen vereinbart.
3.10 Der Verantwortliche garantiert, dass die Verarbeitung personenbezogener Daten gemäß den Anweisungen an den Auftragsverarbeiter nicht gegen Datenschutzvorschriften verstößt und nicht rechtswidrig ist. Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter, einschließlich derer von Aufsichtsbehörden, frei, die sich auf diese Angelegenheit beziehen.
3.11 Internationale Datenübermittlungen:
(a) Sofern die Verarbeitung die Übermittlung personenbezogener Daten außerhalb der EU/EWR beinhaltet, gewährleistet der Auftragsverarbeiter ein angemessenes Schutzniveau gemäß Kapitel V der DSGVO.
(b) Für Übermittlungen in Länder ohne Angemessenheitsbeschluss werden Standardvertragsklauseln (SCCs) oder ein anderer genehmigter Übermittlungsmechanismus verwendet.
(c) Der Auftragsverarbeiter wird den Verantwortlichen über Unterauftragsverarbeiter außerhalb der EU/EWR benachrichtigen und dem Verantwortlichen ermöglichen, solchen Übermittlungen gemäß 3.7 zu widersprechen.
4.1 Der Auftragsverarbeiter wird die Bestimmungen dieser DPA auch nach Beendigung des Vertrags und der DPA weiterhin einhalten, solange er personenbezogene Daten des Verantwortlichen speichert.
5.1 Bei Beendigung des Vertrags und der DPA werden alle personenbezogenen Daten an den Verantwortlichen (oder an einen vom Verantwortlichen benannten Dritten) zurückgegeben oder auf Wunsch des Verantwortlichen, nach Wahl des Verantwortlichen, so bald wie zumutbar vernichtet.
6.1 Der Auftragsverarbeiter wird geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor Verlust oder jeder Form der unrechtmäßigen Verarbeitung implementieren. Diese Maßnahmen gewährleisten ein Sicherheitsniveau, das dem mit der Verarbeitung verbundenen Risiko und der Art der zu schützenden personenbezogenen Daten angemessen ist, unter Berücksichtigung des Stands der Technik und der Implementierungskosten. Eine detaillierte Liste dieser Maßnahmen ist in der Sicherheitsrichtlinie aufgeführt.
6.2 Der Auftragsverarbeiter wird die in Artikel 6.1 genannten Maßnahmen aktualisieren, wenn der Verantwortliche solche Aktualisierungen anfordert, weil der Verantwortliche es für notwendig erachtet, ein angemessenes Sicherheitsniveau gemäß Artikel 6.1 aufrechtzuerhalten. In solchen Fällen ist der Auftragsverarbeiter berechtigt, die vereinbarten Preise mit dem Verantwortlichen zu erhöhen, um die dem Auftragsverarbeiter im Zusammenhang mit diesen Aktualisierungen entstandenen Kosten zu decken.
7.1 Auf Anfrage stellt der Auftragsverarbeiter Kopien aller Zertifizierungen, Zusammenfassungen von Auditberichten und/oder anderer relevanter Dokumentationen zur Verfügung, die er besitzt, sofern dies vom Verantwortlichen zur Überprüfung der Einhaltung dieser DPA durch den Auftragsverarbeiter vernünftigerweise erforderlich ist.
7.2 Obwohl es die Absicht der Parteien ist, sich normalerweise auf die in Abschnitt 7.1 festgelegten Pflichten des Auftragsverarbeiters zu verlassen, um dessen Einhaltung dieser DPA zu überprüfen, kann der Verantwortliche nach einem bestätigten Security Incident oder wenn eine Datenschutzbehörde dies verlangt, dem Auftragsverarbeiter eine dreißigtägige (30) schriftliche Vorankündigung zukommen lassen, in der die Durchführung eines Audits der Betriebsabläufe und Einrichtungen des Auftragsverarbeiters durch einen Dritten („Audit“) beantragt wird; vorausgesetzt, dass (i) jedes Audit auf Kosten des Verantwortlichen durchgeführt wird; (ii) die Parteien sich einvernehmlich auf Umfang, Zeitpunkt und Dauer des Audits einigen; und (iii) das Audit die regulären Betriebsabläufe des Auftragsverarbeiters nicht unangemessen beeinträchtigt.
8.1 Der Verantwortliche ist für die Beurteilung der Notwendigkeit verantwortlich, eine Datenschutzverletzung an die Aufsichtsbehörde und/oder die betroffenen Personen zu melden, sowie für die tatsächliche Meldung.
8.2 Der Auftragsverarbeiter meldet jede Datenschutzverletzung oder den Verdacht darauf dem Verantwortlichen so schnell wie möglich, in jedem Fall aber innerhalb von 24 Stunden nach Entdeckung der Verletzung. Der Auftragsverarbeiter stellt mindestens die folgenden Informationen bereit:
(a) die (vermutete) Ursache der Datenschutzverletzung;
(b) die (bekannten oder erwarteten) Folgen der Datenschutzverletzung;
(c) Standortdaten der Datenschutzverletzung;
(d) alle unbefugten Empfänger der personenbezogenen Daten und alle verfügbaren Informationen über sie;
(e) Vorschläge für Maßnahmen zur Begrenzung des Schadens;
(f) alle weiteren Informationen, die vom Verantwortlichen angefordert werden.
8.3 Der Auftragsverarbeiter kooperiert mit dem Verantwortlichen bei dessen Aufforderung, betroffene Personen oder Aufsichtsbehörden angemessen über die Datenschutzverletzung zu informieren, und steht dem Verantwortlichen für Konsultationen zur Verfügung. 8.4 Der Verantwortliche und der Auftragsverarbeiter wahren gegenseitig strikte Vertraulichkeit bezüglich der Datenschutzverletzung, jeder Befürchtung einer Datenschutzverletzung und weiterer damit zusammenhängender Angelegenheiten, ausgenommen Verpflichtungen nach EU- oder nationalem Recht.
9.1 Jede Partei haftet für und stellt die andere Partei von allen Ansprüchen, Klagen, Schäden und Verlusten frei, die sich aus oder im Zusammenhang mit einer Verletzung dieser DPA ergeben, soweit eine solche Verletzung auf Fahrlässigkeit, vorsätzliches Fehlverhalten oder die Nichteinhaltung geltender Datenschutzgesetze dieser Partei zurückzuführen ist.
9.2 Die Haftung des Auftragsverarbeiters für eine Verletzung dieser DPA ist auf direkte Schäden beschränkt und übersteigt nicht die Beträge, die der Verantwortliche dem Auftragsverarbeiter gemäß der Vereinbarung in den 12 Monaten vor der Verletzung gezahlt hat.
10.1 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, wenn er eine Anfrage einer betroffenen Person zur Ausübung ihrer Rechte gemäß der DSGVO erhält.
10.2 Der Auftragsverarbeiter kooperiert mit dem Verantwortlichen und unterstützt diesen, um dem Verantwortlichen die Einhaltung solcher Anfragen innerhalb der von der DSGVO festgelegten Fristen zu ermöglichen.
11.1 Der Auftragsverarbeiter benennt die folgende Kontaktperson zur Koordination der Pflichten gemäß dieser DPA:
Kontaktdaten des Auftragsverarbeiters:
11.2 Alle Mitteilungen bezüglich dieser DPA sind an die oben genannte Kontaktperson zu richten.
11.3 Der Verantwortliche sollte seine Kontaktdaten über die dafür vorgesehenen Kommunikationskanäle auf der Website des Auftragsverarbeiters bereitstellen oder indem er das Support-Team des Auftragsverarbeiters unter den oben angegebenen Kontaktdaten kontaktiert.
12.1 UK GDPR: Soweit die Verarbeitung personenbezogener Daten gemäß dieser DPA Daten betroffener Personen im Vereinigten Königreich betrifft, gelten die Bestimmungen der UK GDPR. Verweise auf die GDPR in dieser DPA umfassen gegebenenfalls auch Verweise auf die UK GDPR.
12.2 CCPA / CPRA: Soweit die Verarbeitung personenbezogener Daten gemäß dieser DPA Daten betroffener Personen in Kalifornien betrifft, gelten die Bestimmungen des California Consumer Privacy Act (CCPA) und des California Privacy Rights Act (CPRA). Der Auftragsverarbeiter wird:
(a) Den Verantwortlichen unverzüglich über alle Verbraucheranfragen gemäß CCPA/CPRA informieren.
(b) Mit dem Verantwortlichen kooperieren, um sicherzustellen, dass solche Anfragen zeitnah und gemäß CCPA/CPRA bearbeitet werden.
(c) Personenbezogene Daten nicht im Sinne des CCPA/CPRA „verkaufen“.
(d) Die Einhaltung der CCPA/CPRA-Anforderungen gewährleisten, einschließlich Transparenz- und Verbraucherrechtsmitteilungen.
13.1 Abweichungen von diesem DPA sind nur verbindlich, wenn sie ausdrücklich schriftlich zwischen den Parteien vereinbart wurden.
13.2 Allgemeine Geschäftsbedingungen oder andere allgemeine oder besondere Bedingungen des Auftragsverarbeiters finden auf diesen DPA keine Anwendung und werden vom Verantwortlichen ausdrücklich abgelehnt.
13.3 Dieser DPA ergänzt die Vereinbarung. Im Falle eines Konflikts zwischen den Bestimmungen dieses DPA und der Vereinbarung haben die Bestimmungen dieses DPA Vorrang.
13.4 Dieser DPA unterliegt niederländischem Recht.
13.5 Streitigkeiten zwischen den Parteien, die nicht durch Konsultation gelöst werden können, werden dem zuständigen niederländischen Gericht in Den Haag vorgelegt.