Auftragsverarbeitungsvertrag
Auftragsverarbeitungsvertrag
Dieser Auftragsverarbeitungsvertrag ist eine Ergänzung zu den Allgemeinen Geschäftsbedingungen für HSD-Datenrettungsdienste („AGB“) und gilt für: (i) HSD GbR, im Folgenden „HSD“ genannt, mit Sitz in der Grünewalder Str. 50, 03238 Gorden-Staupitz und (ii) der jeweilige Kunde, der Datenrettungsdienste gemäß den AGB bestellt.
Die Parteien haben vereinbart, dass die Bedingungen dieses Auftragsverarbeitungsvertrages für die Verarbeitung personenbezogener Daten (die nachstehend definiert sind) gelten, die erforderlich ist, damit HSD die Datenrettungsdienste für den jeweiligen Kunden leisten kann.
Begriffsbestimmungen
für diesen Auftragsverarbeitungsvertrag:
Verantwortlicher | hat die Bedeutung, die diesem Begriff im Datenschutzrecht zugewiesen ist; |
Auftragsverarbeiter | hat die Bedeutung, die diesem Begriff im Datenschutzrecht zugewiesen ist; |
Datenschutzrecht | bezeichnet das gesamte anwendbare Datenschutzrecht, das für den Kunden, HSD und/oder in Bezug auf die Datenrettungsdienste gilt, einschließlich: (i) die DSGVO und/oder entsprechende oder gleichwertige nationale Gesetze oder Verordnungen; und (ii) in den Mitgliedstaaten der Europäischen Union alle relevanten Gesetze oder Verordnungen, die die DSGVO wirksam machen oder ihr entsprechen. |
Betroffene Person | hat die dem Begriff im Datenschutzrecht zugewiesene Bedeutung; |
Anfrage der betroffenen Person | ist eine Anfrage einer betroffenen Person zur Ausübung der Rechte der betroffenen Personen nach Datenschutzrecht; |
DSGVO | bezeichnet die Datenschutz-Grundverordnung (EU) 2016/679; |
Personenbezogene Daten | hat die dem Begriff im Datenschutzrecht zugewiesene Bedeutung und umfasst alle personenbezogenen Daten, die HSD vom Kunden zur Verfügung gestellt werden; |
Verletzungen des Schutzes personenbezogener Daten | bezeichnet einen Verstoß gegen die Sicherheit der zur unbeabsichtigten oder rechtswidrigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum unbefugten Zugriff auf personenbezogene Daten führt; |
Personal | bezeichnet jeden derzeitigen, ehemaligen oder zukünftigen Mitarbeiter, Berater, Leiharbeiter, Zeitarbeiter, Praktikanten, sonstigen nicht ständigen Mitarbeiter, Auftragnehmer, Entsandten oder sonstige Arbeitskräfte; |
Verarbeitung | hat die Bedeutung, die diesem Begriff im Datenschutzrecht zugewiesen wird (und verwandte Begriffe wie verarbeiten haben entsprechende Bedeutungen); |
Unterauftragsverarbeiter | bezeichnet einen anderen Auftragsverarbeiter, der von HSD im Auftrag des Kunden mit der Durchführung von Verarbeitungstätigkeiten in Bezug auf die geschützten Daten, eingesetzt wird. Hiervon ausgenommen sind Nebenleistungen, wie z.B. Telekommunikationsdienste, Post-/Transportdienste, Wartungs- oder Benutzersupportdienstleistungen oder die Entsorgung von Datenträgern und Papierdokumenten sowie sonstige Soft- oder Hardwarebasierte Maßnahmen; und |
Aufsichtsbehörde | bezeichnet lokale, nationale oder multinationale Agenturen, Einrichtungen, Behörden, Parlamente, öffentliche oder juristische Personen oder eine Regierung oder Innung, Regulierungs- oder Aufsichtsbehörde, Kommission oder andere Stelle, die für die Verwaltung des Datenschutzrechts zuständig ist. |
Bestimmungen zur Datenverarbeitung
1 Auftragsverarbeiter und Verantwortlicher
1.1 Die Parteien vereinbaren, dass in Bezug auf die geschützten Kundendaten der Kunde der Verantwortliche und HSD der Auftragsverarbeiter ist. Es wird anerkannt, dass der Kunde die alleinige Verantwortung für die Richtigkeit, Qualität, Integrität und Zuverlässigkeit aller geschützten Daten und der Mittel, mit denen er diese geschützten Daten erworben hat, trägt.
1.2 Der Kunde garantiert und sorgt dafür, dass: (i) alle geschützten Daten, die in Verbindung mit den Datenrettungsdiensten gemäß den Bedingungen verwendet werden, in jeder Hinsicht das Datenschutzrecht erfüllen; (ii) alle Anweisungen, die HSD in Bezug auf geschützte Daten erteilt werden, jederzeit das Datenschutzrecht erfüllen; (iii) er alle erforderlichen Einwilligungen von jedem Betroffenen eingeholt hat, dessen personenbezogene Daten in die geschützten Daten aufgenommen wurden oder anderweitig die entsprechende rechtliche Erlaubnis zur Bereitstellung der personenbezogenen Daten an HSD besitzt und (iv) er die Bedingungen dieses Auftragsverarbeitungsvertrags einhalten wird.
1.3 HSD garantiert und sorgt dafür, dass es: (i) die geschützten Daten nur in dem Umfang verarbeitet, der im Zusammenhang mit den AGB erforderlich ist; und (ii) die geschützten Daten nach den dokumentierten Anweisungen des Kunden und den Anforderungen der Datenschutzgesetze verarbeitet; (iii) den Kunden unverzüglich informiert, wenn HSD der Ansicht ist, dass die Anweisungen des Kunden gegen das Datenschutzrecht verstoßen, oder wenn HSD nicht in der Lage ist, die Anweisungen des Kunden bezüglich der Verarbeitung von geschützten Daten zu befolgen (sei es aufgrund einer Gesetzesänderung oder einer Änderung der Anweisungen des Kunden); und (iv) die Bedingungen dieses Auftragsverarbeitungsvertrags einhält.
1.4 Im Rahmen der Auftragsverarbeitung werden alle vom Kunden übergebenen Daten verarbeitet. Die Kategorien personenbezogener Daten und die Kategorien der Betroffenen sind dem Kunden bekannt und werden für den Auftragsverarbeiter spezifiziert, sofern das im Rahmen des Auftrags erforderlich ist. Bei einer Datenrettung ist die Kenntnis über den Inhalt der Kundendaten für den Auftragsverarbeiter in der Regel nicht relevant.
2 Anweisungen und Angaben zur Verarbeitung
2.1 Die von HSD im Rahmen dieses Auftragsverarbeitungsvertrages durchzuführende Verarbeitung von geschützten Daten umfasst die Verarbeitung, die HSD zur Erbringung der Datenrettungsdienste benötigt.
3 Technische und organisatorische Maßnahmen
3.1 HSD führt auf eigene Kosten und Aufwand geeignete technische und organisatorische Maßnahmen im Zusammenhang mit der Verarbeitung und Sicherheit von geschützten Daten gemäß Datenschutzrecht, insbesondere den Artikeln 32-34 der DSGVO, durch und hält diese aufrecht. HSD stellt sicher, dass diese technischen und organisatorischen Maßnahmen den besonderen Risiken, die sich aus der Verarbeitung ergeben, angemessen sind, insbesondere um Kundendaten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff zu schützen.
4 Einsatz von Personal und Unterauftragsverarbeitern
4.1 Mit Ausnahme der in Ziffer 4.2 genannten Fälle beauftragt HSD ohne vorherige schriftliche Zustimmung des Kunden keinen Unterauftragsverarbeiter mit der Durchführung von Verarbeitungstätigkeiten in Bezug auf die geschützten Daten. Wird eine Zustimmung erteilt, sorgt HSD vor der Offenlegung an einen zugelassenen Unterauftragsverarbeiter für eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter, die gleichwertig zu den in diesem Vertrag festgelegten sind. Es wird anerkannt und akzeptiert, dass HSD, ungeachtet anders lautender Bestimmungen in dieser Vereinbarung, dem Kunden gegenüber in vollem Umfang für die Erfüllung der Verpflichtungen jedes Unterauftragsverarbeiters haftet. HSD informiert den Kunden über beabsichtigte Änderungen, die sich auf Hinzufügen oder Ersetzen solcher Unterauftragsverarbeiter beziehen und gibt dem Kunden ausreichend Gelegenheit, diesen Änderungen oder Ersetzungen aus wichtigen Gründen zu widersprechen.
4.2 Die zum Zeitpunkt dieses Auftragsverarbeitungsvertrages zugelassenen Unterauftragsverarbeiter sind in Anlage 1 aufgeführt.
4.3 HSD sorgt für die Zuverlässigkeit seiner Mitarbeiter, die Zugang zu personenbezogenen Daten haben, und stellt sicher, dass sie diese nur dann verarbeiten, wenn dies für die Datenwiederherstellungsdienste unbedingt erforderlich ist, stellt sicher, dass sie über die zu ergreifenden Maßnahmen und die bei der Verarbeitung der geschützten Daten unter Beachtung des Datenschutzrechts zu ergreifenden Maßnahmen informiert sind, und stellt sicher, dass sie sich verpflichtet haben, die Vertraulichkeit der geschützten Daten zu schützen, einschließlich einer angemessenen Geheimhaltungsverpflichtung (sei es durch schriftlichen Vertrag oder anderweitig) in Bezug auf die geschützten Daten.
5 Unterstützung bei der Einhaltung der Compliance- und Betroffenenrechte des Kunden
5.1 HSD leitet alle bei ihr eingehenden Anfragen von Betroffenen unverzüglich an den Kunden weiter. HSD leistet dem Kunden die angemessene Unterstützung, die der Kunde (unter Berücksichtigung der Art der Verarbeitung und der HSD zur Verfügung stehenden Informationen) vernünftigerweise verlangt, um die Einhaltung der datenschutzrechtlichen Verpflichtungen des Kunden in Bezug auf: (i) die Sicherheit der Verarbeitung; (ii) Datenschutzfolgenabschätzungen (nach der Definition des Begriffs im Datenschutzrecht); (iii) vorherige Konsultation mit einer Aufsichtsbehörde bezüglich der Verarbeitung mit hohem Risiko; (iv) Benachrichtigungen an die Aufsichtsbehörde und/oder Mitteilungen an betroffene Personen durch den Kunden als Reaktion auf eine Verletzung des Schutzes personenbezogener Daten; und (v) Bearbeitung der Anfragen von Betroffenen, wobei jedoch der Kunde, falls diese Unterstützung in Bezug auf Zeit und Ressourcen unverhältnismäßig umfangreich ist, die bei HSD für die Bereitstellung dieser Unterstützung angefallenen Gebühren zahlt.
6 Internationale Datenübertragungen
6.1 HSD wird ohne die vorherige schriftliche Genehmigung des Kunden keine Kundendaten in Länder außerhalb des Europäischen Wirtschaftsraums (der „EWR“) oder in ein anderes Gebiet übertragen, das nach Ansicht der EU-Kommission nicht über ein angemessenes Datenschutzniveau verfügt.
7 Aufzeichnungen, Informationen und Audits
7.1 HSD (i) erstellt, (ii) aktualisiert und (ii) führt vollständige und genaue Aufzeichnungen über die gesamte Verarbeitung von geschützten Daten.
7.2 HSD räumt dem Kunden das Recht ein, während der normalen Geschäftszeiten und vorbehaltlich angemessener Vertraulichkeitsverpflichtungen mit einer Frist von mindestens 30 (dreißig) Tagen schriftlich das Recht auf Zugang und Kopie solcher Aufzeichnungen über die Verarbeitung von geschützten Daten zu erhalten, und leistet dem Kunden jede angemessene Unterstützung bei der Ausübung seiner Prüfungsrechte. Dieses Prüfungsrecht erstreckt sich nicht auf Rechenzentren von Drittanbietern oder andere Einrichtungen von Drittanbietern, in denen sich Serveranlagen befinden, die nur eine visuelle und begleitende Einsichtnahme zulassen.
7.3 HSD stellt dem Kunden auf Wunsch und Kosten des Kunden unverzüglich alle notwendigen Informationen zur Verfügung, damit der Kunde die Erfüllung seiner Verpflichtungen aus der DSGVO nachweisen kann, soweit HSD in der Lage ist, diese Informationen zur Verfügung zu stellen.
8 Verletzungsmeldung
8.1 Falls der Schutz personenbezogener Daten verletzt wird und davon geschützte Daten betroffen sind, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnten, wird HSD unverzüglich: (i) den Kunden über die Verletzung des Schutzes personenbezogener Daten informieren; und (ii) dem Kunden Einzelheiten über die Verletzung des Schutzes personenbezogener Daten mitteilen.
9 Löschung oder Rückgabe von personenbezogenen Daten und Kopien
9.1 Nach schriftlicher Aufforderung durch den Kunden löscht HSD entweder alle geschützten Daten oder sendet sie an den Kunden in jener Form zurück, die der Kunde vernünftigerweise verlangt, und zwar innerhalb einer angemessenen Frist nach dem früher eintretenden Ereignis: (i) dem Ende der Erbringung der entsprechenden Datenrettungsdienste gemäß den AGB bezogen auf die Verarbeitung; oder (ii) sobald die Verarbeitung von geschützten Daten durch HSD nicht mehr erforderlich ist, um die Erfüllung der Verpflichtungen von HSD aus diesem Auftragsverarbeitungsvertrag zu gewährleisten, und löscht bestehende Kopien (es sei denn, die Speicherung von geschützten Daten ist nach geltendem Recht erforderlich und wenn dem so ist, informiert HSD den Kunden über eine solche Notwendigkeit). HSD stellt sicher, dass seine Unterauftragsverarbeiter die gleichen Maßnahmen in Bezug auf geschützten Daten ergreifen.
9.2 HSD löscht diese geschützten Daten, falls geschützte Daten ohne aktive Anweisungen des Kunden länger als 6 (sechs) Monate im Besitz oder unter der Kontrolle von HSD bleiben.
10 Freistellung
10.1 Jede Partei (die „entschädigende Partei“) hat die andere Partei (die „entschädigte Partei“) in Bezug auf alle Ansprüche, Forderungen, Klagen, Vergleiche, Zinsen, Gebühren, Verfahren, Ausgaben, Verluste und Schäden, die der entschädigten Partei durch Urteil, Vergleich oder anderweitig aus oder im Zusammenhang damit angefallen oder entstanden sind, dass die entschädigende Partei gegen diesen Auftragsverarbeitungsvertrag und/oder das Datenschutzrecht verstoßen hat.
11 Haftung
11.1 Die Gesamthaftung einer der Parteien aus diesem Auftragsverarbeitungsvertrag darf in keinem Fall die in den AGB festgelegten und vereinbarten vertraglichen Grenzen überschreiten.
12 Laufzeit und Kündigung
12.1 Sofern die Parteien ihn nicht einvernehmlich kündigen, beginnt dieser Auftragsverarbeitungsvertrag mit dem Datum, an dem eine Bestellung für Datenrettungsdienste gemäß den Bedingungen erteilt wird, und gilt so lange, wie HSD weiterhin geschützte Daten verarbeitet.
13 Anzuwendendes Recht
13.1 Dieser Auftragsverarbeitungsvertrag unterliegt den in den AGB festgelegten Bedingungen der Rechtswahl.
Datum: 12 Januar 2023 |