Auftragsverarbeitungsvertrag
Zwischen
Auftraggeber1 (Verantwortlicher)
Und
TERRITORY Smart Agency GmbH
Hindenburghaus
Großer Burstah 29/31
20457 Hamburg
Auftragnehmer2 (Auftragsverarbeiter)
Präambel
Mit Abschluss des Hauptvertrags beauftragt der Auftraggeber den Auftragnehmer als Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten des Auftraggebers. Dieser Auftragsverarbeitungsvertrag (im Folgenden „AV-Vertrag“) konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien unter Berücksichtigung der EU-Datenschutzgrundverordnung (im Folgenden „DS-GVO“). Er findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen, und bei denen durch den Auftragnehmer eingesetzte Personen personenbezogene Daten des Auftraggebers verarbeiten.
1 Name und Anschrift des Auftraggebers sind in Anhang 1 aufgeführt.
2 Name und Anschrift des Auftragnehmers sind in Anhang 1 aufgeführt.
1. Begriffsbestimmungen
Die in diesem AV-Vertrag verwendeten Begriffe wie z.B. „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“ oder „betroffene Person“ entsprechen den Begriffsbestimmungen der DS-GVO, soweit in diesem AV-Vertrag keine anderweitigen Definitionen enthalten sind. Mit „Daten des Auftraggebers“ sind ausschließlich solche personenbezogenen Daten gemeint, die im Zusammenhang mit dem Hauptvertrag entweder dem Auftragnehmer vom Auftraggeber überlassen oder vom Auftragnehmer ausschließlich für den Auftraggeber in dessen Auftrag erhoben wurden.
Sofern im Folgenden von „Schriftform“ oder „Textform“ gesprochen wird, schließt dies in Abweichung von §126 Abs. 1 BGB Emails oder ähnliche Formvarianten mit ein.
2. Gegenstand und Dauer der Verarbeitung; Art, Zweck und Mittel der Verarbeitung; Art der personenbezogenen Daten sowie Kategorien betroffener Personen
2.1
Der Gegenstand und die Dauer der Verarbeitung, die Art, der Zweck und die Mittel der Verarbeitung sowie die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sind in Anhang 1 dieses AV-Vertrags niedergelegt.
2.2
Der Auftragnehmer ist im Rahmen der Erfüllung des Auftragsgegenstandes unter Einhaltung der Bestimmungen dieses AV-Vertrags zur Durchführung aller erforderlichen Verarbeitungsschritte hinsichtlich der Daten des Auftraggebers (z.B. Duplizieren von Beständen für die Verlustsicherung, Anlegen von Logfiles, Zwischendateien und Arbeitsbereichen) berechtigt, soweit dies nicht zu einer inhaltlichen Umgestaltung der Daten des Auftraggebers führt.
3. Weisungsgebundenheit des Auftragnehmers
3.1
Der Auftragnehmer darf die Daten des Auftraggebers nur im Rahmen des Hauptvertrags, einschließlich dieses AV-Vertrags, und der Weisungen des Auftraggebers – auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation im Sinne des Art. 4 Absatz 1 Nr. 26 DS-GVO (z.B. UN) - verarbeiten, sofern er nicht gesetzlich zur Verarbeitung verpflichtet ist. In diesem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen schriftlich oder per E-Mail (Textform) mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
3.2
„Weisungen“ sind die auf eine bestimmte Verarbeitung der Daten des Auftraggebers durch den Auftragnehmer gerichteten, dokumentierten Anordnungen des Auftraggebers. Sie werden anfänglich durch diesen AV-Vertrag festgelegt und können vom Auftraggeber danach durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden (Einzelweisung).
3.3
Die Weisungen des Auftraggebers sind grundsätzlich in Textform zu erteilen; im Ausnahmefall erforderliche mündliche Weisungen sind vom Auftraggeber unverzüglich in Textform zu bestätigen. Weisungsberechtigte Personen auf Seiten des Auftraggebers und empfangsberechtigte Personen auf Seiten des Auftragnehmers werden der jeweils anderen Partei mitgeteilt. Die bei In-Kraft-Treten dieses AV-Vertrages entsprechend befugten Personen seitens des Auftragnehmers sind in Anhang 1 aufgeführt. Die jeweilige Partei wird die andere Partei unverzüglich über einen Wechsel dieser Person in Textform informieren.
3.4
Es besteht keine materiell-rechtliche Prüfpflicht seitens des Auftragnehmers in Hinblick auf vom Auftraggeber erteilte Weisungen. Ist der Auftragnehmer jedoch der Auffassung, dass eine Weisung des Auftraggebers gegen die DS-GVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, informiert er den Auftraggeber unverzüglich. Der Auftragnehmer ist insoweit berechtigt, die Durchführung der vereinbarten Tätigkeit solange auszusetzen, bis der Auftraggeber über das weitere Vorgehen entschieden und den Auftragnehmer in Textform informiert hat. Der Auftraggeber trägt die alleinige Verantwortung für die von ihm getroffene Entscheidung. Hält der Auftraggeber an der erteilten Weisung fest und verlangt deren Umsetzung aus Sicht des Auftragnehmers ihm weiterhin ein rechtswidriges Handeln ab, ist der Auftragnehmer berechtigt, die Verarbeitung nicht durchzuführen.
3.5
Sollte der Auftragnehmer oder dessen Subunternehmer auf Grund der Umsetzung einer Weisung des Auftraggebers (einschließlich der im Hauptvertrag vereinbarten) oder einer Entscheidung gemäß vorstehendem Absatz 3.4 von einem Dritten mit der Behauptung in Anspruch genommen werden, dass ihm wegen eines Verstoßes gegen die DS-GVO ein materieller oder immaterieller Schaden entstanden ist, oder eine Aufsichtsbehörde infolgedessen eine Geldbuße gegen den Auftragnehmer oder dessen Subunternehmer verhängen oder androhen, stellt der Auftraggeber den in Anspruch Genommenen vollumfänglich von einer solchen Inanspruchnahme bzw. der Geldbuße frei. Der Freistellungsanspruch umfasst dabei auch seine angemessenen Kosten der Rechtsverteidigung. Entsprechendes gilt, wenn eine Inanspruchnahme auf eine Verletzung der vertraglichen oder gesetzlichen Pflichten durch den Auftraggeber zurückzuführen ist.
4. Pflichten des Auftragnehmers
4.1
Der Auftragnehmer wird in seinem Verantwortungsbereich technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit dieser Auftragsverarbeitung auf Dauer sicherstellen sowie die Fähigkeit haben, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sind in Anhang 2 niedergelegt (im Folgenden „TOMs“).
Dem Auftraggeber sind diese TOMs bekannt. Er trägt die alleinige Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden personenbezogenen Daten ein angemessenes Schutzniveau bieten.
4.2
Eine Änderung der getroffenen TOMs bleibt dem Auftragnehmer vorbehalten, es sei denn, dass das im Anhang 2 niedergelegte Schutzniveau damit unterschritten wird.
4.3
Der Auftragnehmer hat ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der TOMs zur Gewährleistung der Sicherheit der Verarbeitung etabliert.
4.4
Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und anderen für den Auftragnehmer tätige Personen diese Daten nur gemäß den Weisungen des Auftraggebers verarbeiten, sofern sie nicht gesetzlich zur Verarbeitung verpflichtet sind. Der Auftragnehmer gewährleistet ferner, dass sich die von ihm zur Verarbeitung der Daten des Auftraggebers eingesetzten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Verpflichtung besteht auch nach Beendigung des Auftrags fort.
4.5
Der Ansprechpartner beim Auftragnehmer für im Rahmen des AV-Vertrags anfallende Datenschutzfragen ist in Anhang 1 benannt. Der Auftragnehmer wird den Auftraggeber über einen Wechsel des Ansprechpartners unverzüglich in Textform informieren.
4.6
Der Auftragnehmer ist verpflichtet, ein Verzeichnis mit den Inhalten des Art. 30 Abs. 2 DS-GVO zu führen. Er ist befugt, das diesen AV-Vertrag betreffende Verzeichnis einer Aufsichtsbehörde oder einem Dritten auf deren Anfrage zur Verfügung zu stellen.
4.7
Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO geregelten Pflichten des Auftraggebers.
4.8
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragnehmer wird den Dritten unverzüglich darüber informieren, dass die Hoheit und das "Eigentum an den Daten" allein beim Auftraggeber liegen.
5. Pflichten des Auftraggebers
5.1
Der Auftraggeber ist alleiniger Herr der Daten und entsprechend Verantwortlicher im Sinne von Art 4 Nr. 7 DS-GVO.
5.2
Der Auftraggeber hat den Auftragnehmer zu informieren, wenn er bei der Prüfung der Auftragsergebnisse Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
5.3
Der Ansprechpartner des Auftraggebers für im Rahmen des AV-Vertrags anfallende Datenschutzfragen wird dem Auftragnehmer in Textform oder schriftlich mitgeteilt. Der Auftraggeber wird den Auftragnehmer über einen Wechsel des Ansprechpartners unverzüglich in Textform informieren.
5.4
Dem Auftraggeber obliegt die Evaluierung und Bewertung der Wirksamkeit der getroffenen TOMs zur Gewährleistung der Sicherheit der Verarbeitung. Soweit diese aus Sicht des Auftraggebers zur Gewährleistung der Sicherheit der Verarbeitung nicht ausreichend sind, werden die Parteien entsprechende Änderungen und deren kommerzielle Auswirkungen abstimmen.
5.5
Im Fall einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person oder eine in Art. 80 DSGVO genannte Stelle hinsichtlich etwaiger Ansprüche nach Art. 79 oder 82 DS-GVO verpflichtet sich der Auftraggeber, den Auftragnehmer bei der Abwehr der Ansprüche zu unterstützen. Der Auftragnehmer ist in diesem Zusammenhang berechtigt, Details des AV-Vertrages, der Datenverarbeitung und von Weisungen des Auftraggebers zum Zwecke der Abwehr dieser Ansprüche oder zur Exkulpation nach Art. 82 Abs. 3 DS-GVO gegenüber Dritten offenzulegen.
6. Wahrung von Betroffenenrechten
6.1
Hinsichtlich dieses AV-Vertrags ist der Auftraggeber für die Wahrung der nach Kapitel III der DS-GVO vorgesehenen Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Auftraggeber im Rahmen seiner Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner diesbezüglichen Verpflichtungen unterstützen.
6.2
Wendet sich ein Betroffener mit der Geltendmachung von in der DS-GVO geregelten datenschutzrechtlichen Betroffenenrechten (beispielsweise Forderungen zur Datenportabilität, Berichtigung, Löschung oder Auskunft) an den Auftragnehmer, wird der Auftragnehmer den Betroffenen an den Auftraggeber verweisen, sofern eine Zuordnung der Betroffenenanfrage an den Auftraggeber nach den Angaben des Betroffenen möglich ist.
7. Subunternehmer (weitere Auftragsverarbeiter)
Der Auftragnehmer ist nach Maßgabe der in Anhang 1 unter Ziffer 14 getroffenen Regelungen berechtigt, Subunternehmer als weitere Auftragsverarbeiter einzusetzen. Der Auftragnehmer wird die vertraglichen Vereinbarungen mit dem Subunternehmer so gestalten, dass dem Subunternehmer gegenüber dem Auftragnehmer nicht weniger strenge datenschutzrechtliche Verpflichtungen auferlegt werden, als sie der Auftragnehmer gegenüber dem Auftraggeber hat, soweit in diesem AV-Vertrag keine abweichenden Vereinbarungen zu Gunsten eines Subunternehmers vereinbart wurden. Die vorstehende Verpflichtung gilt insbesondere hinsichtlich der Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit hinsichtlich der personenbezogenen Daten. Der Auftraggeber ist berechtigt, vom Auftragnehmer Auskunft über die datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten.
8. Nachweise des Auftragnehmers, Inspektionen
8.1
Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem AV-Vertrag niedergelegten Pflichten wie in Anhang 1 unter Ziffer 15 beschrieben nach und stellt dem Auftraggeber die hierfür erforderlichen Informationen zur Verfügung.
8.2
Bei einem objektiven Verdacht der Verletzung dies AV-Vertrags durch den Auftragnehmer, hat der Auftraggeber das Recht, nach einer angemessen zeitnahen Vorankündigung – i.d.R. mindestens 4 Wochen - (bei schwerwiegenden Störungen des Betriebsablaufes, bei Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers ohne Vorankündigung) die Betriebs- und Geschäftsräume des Auftragnehmers um die Angemessenheit der Maßnahmen und von der Einhaltung der einschlägigen gesetzlichen und vertraglichen Datenschutzbestimmungen zu prüfen.
Eine solche Prüfung wird nur während der regulären Geschäftszeiten des Auftragnehmers in Beisein der vom Auftragnehmer benannten Mitarbeiter durchgeführt, ohne den laufenden Geschäftsbetrieb zu beeinträchtigen. Die Prüfung unterliegt immer den Vertraulichkeits- und Sicherheitsrichtlinien und -vorgaben des Auftragnehmers. Der Auftragnehmer kann vom Auftraggeber und/oder dessen externen Prüfer, einen Vertraulichkeitsvereinbarung zu unterschreiben, insofern dies notwendig ist, um die Vertraulichkeit von Daten und Informationen anderer Kunden des Auftragnehmers sowie Geschäftsgeheimnisse des Auftragnehmers zu schützen. Wenn der vom Auftraggeber ernannte externe Prüfer ein direkter oder indirekter Wettbewerber des Auftragnehmers oder seiner Subunternehmer ist, hat der Auftragnehmer das Recht, die Prüfung durch diesen Prüfer abzulehnen und diesem den Zugang zu seinen Räumlichkeiten und Systemen u.ä. zu verweigern.
8.3
Der Auftraggeber kann gemäß Absatz 8.1 dieser Ziffer Prüfungen unter folgender Voraussetzung anfordern: Prüfungen dürfen nicht häufiger als alle 12 Monate durchgeführt werden.
9. Rückgabe und Löschung von Daten bei Vertragsbeendigung
9.1
Nach Beendigung des Hauptvertrags wird der Auftragnehmer, sofern technisch möglich und vom Auftraggeber gewünscht, die Daten des Auftraggebers herausgeben. Elektronisch gespeicherte Daten sind auf Wunsch entweder in einem marktüblichen Format auf Datenträgern herauszugeben, wobei der Auftraggeber das Versandrisiko trägt, oder verschlüsselt online dem Auftraggeber zu übermitteln, wobei der Auftraggeber das Übermittlungsrisiko trägt.
9.2
Der Auftragnehmer wird sämtliche elektronisch gespeicherten Daten des Auftraggebers, von denen der Auftraggeber keine Herausgabe gemäß Absatz 9.1 wünscht oder bei denen eine Herausgabe technisch nicht möglich ist, löschen oder im Fall von Backups oder Logfiles eine Beschränkung der Datenverarbeitung bis zum Zeitpunkt der Löschung sicherstellen. Der Auftragnehmer wird dem Auftraggeber die Löschung ggf. in Textform bestätigen.
9.3
Daten des Auftraggebers, die nicht in elektronischer Form gespeichert sind (z.B. Daten auf CDs, papierhafte Unterlagen) und von denen der Auftraggeber keine Herausgabe gemäß Absatz 9.1 wünscht, werden durch den Auftragnehmer datenschutzkonform vernichtet.
9.4
Die Verpflichtung zur Herausgabe oder Löschung gemäß dieser Ziffer 9 besteht nicht, wenn der Auftragnehmer gesetzlich zur Aufbewahrung oder sonst zur Speicherung dieser Daten verpflichtet ist.
9.5
Sofern der Auftraggeber eine Aufbewahrung seiner Daten über das Vertragsende hinaus wünscht, werden die entsprechenden Leistungen und kommerziellen Auswirkungen durch die Parteien abgestimmt und ggf. in einer entsprechenden Änderungsvereinbarung festgelegt.
10. Kontrollrechte von Aufsichtsbehörden oder sonstiger hoheitlicher Aufsichtsbehörden des Auftraggebers; Kooperation mit Aufsichtsbehörden; Rechtsstreitigkeiten
10.1
Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion bei dem Auftragnehmer vornehmen, gelten grundsätzlich Ziffer 8 Absatz 8.2 des AV-Vertrags entsprechend. Eine Unterzeichnung der Verschwiegenheitsverpflichtung ist in diesem Fall nicht erforderlich.
10.2
Die Vertragsparteien werden sich wechselseitig über sämtliche behördliche Anfragen/Anordnungen und Verfahren, sämtliche Maßnahmen einer der in Art. 80 DS-GVO genannten Stellen (wie z.B. Beschwerden, Abmahnungen, Geltendmachung von Ansprüchen) sowie sämtliche drohenden oder laufenden gerichtlichen Verfahren, die die in diesem AV-Vertrag geregelte Zusammenarbeit zum Gegenstand haben, unverzüglich informieren, im Zusammenhang mit diesen Anfragen, Anordnungen, Maßnahmen oder Verfahren eng zusammenarbeiten und sich wechselseitig alle erforderlichen Unterlagen und Angaben zur Verfügung stellen. Jede Partei ist in diesem Zusammenhang berechtigt, sämtliche diesen AV-Vertrag, einschließlich der Details der Datenverarbeitung, betreffende Informationen und Unterlagen gegenüber der für sie zuständigen Aufsichtsbehörde oder sonstigen Dritten offenzulegen, soweit dies aus Sicht der Partei erforderlich ist.
11. Schlussbestimmungen
11.1
Im Fall eines Widerspruchs zwischen dem Hauptvertrag und dem AV-Vertrag gehen die Regelungen dieses AV-Vertrags vor. Sofern in diesem AV-Vertrag keine abweichenden Abreden getroffen worden sind, gelten die im Hauptvertrag festgelegten Vereinbarungen. Dies gilt insbesondere für die im Hauptvertrag festgelegten Kündigungs- und Haftungsregelungen. Sollten einzelne Teile dieses AV-Vertrags unwirksam sein, so berührt dies die Wirksamkeit des AV-Vertrag im Übrigen nicht.
11.2
Der Auftragnehmer behält sich das Recht vor, nach allgemeinem und uneingeschränktem Ermessen die Bestimmungen dieses AV-Vertrags jederzeit zu ändern oder ergänzen. Änderungen und Ergänzungen dieses AV-Vertrags und seiner Bestandteile bedürfen Textform. Der Auftragnehmer wird die Änderung innerhalb einer angemessenen Frist vor dem geplanten Wirksamwerden in Textform an die bereitgestellte E-Mail-Adresse des Auftraggebers oder in ähnlicher Weise mitteilen.
11.3
Die Parteien vereinbaren für diesen AV-Vertrag die Geltung deutschen Rechts unter Ausschluss der Regelungen des internationalen Privatrechts. Der ausschließliche Gerichtstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem AV-Vertrag ist der Sitz des Auftragnehmers.
Anhang 1 zum AV-Vertrag
1. Auftraggeber (Verantwortlicher)
Name des Auftraggebers: Die bei Eröffnung des Nutzerkontos angegebene Firma; sofern dieser AV-Vertrag für weitere verbundene Unternehmen abgeschlossen wird, teilt der Ansprechpartner der Firma, der das Nutzerkonto erstellt, diese Firmen dem Auftragnehmer mit.
Adresse: Die Adresse der bei Eröffnung des Nutzerkontos angegebenen Firma; sofern dieser AV-Vertrag für weitere verbundene Unternehmen abgeschlossen wird, teilt der Ansprechpartner der Firma, der das Nutzerkonto erstellt, die Adressen der Firmen dem Auftragnehmer mit.
2. Auftragnehmer (Auftragsverarbeiter)
Name des Auftragnehmers:
TERRITORY Smart Agency GmbH
Hindenburghaus
Großer Burstah 29/31
20457 Hamburg
3. Hauptvertrag
Hauptvertrag meint die durch Einwilligung auf der Smart Agency Plattform akzeptierten AGBs in der jeweils aktuellen und gültigen Fassung.
4. Gegenstand der Verarbeitung
Gegenstand und Zweck der Auftragsverarbeitung ist:
- Die Bereitstellung von Printservices und Versand der bestellten Printprodukte;
- Die Bereitstellung von Agenturservices wie bspw. Customer Care Services, Versand von Werbemailings, die Bereitstellung von Validierungsmechanismen für bspw. Werbemailings oder die Durchführung via Agent Access-Funktion;
- Die Bereitstellung von Vorlagen für von der Smart Agency generierte Webseiten;
- Die Bereitstellung von Printservices;
- Das Hosting der generierten Webseiten; und/oder
- Die Unterstützung bei Domain-Services.
5. Dauer der Verarbeitung
Dieser AV-Vertrag tritt mit der Einwilligung in die AGBs und dem AV-Vertrag kumulativ auf der Smart Agency Plattform in ihrer jeweils aktuellen und gültigen Fassung durch den Auftraggeber in Kraft. Die Dauer der Verarbeitung und Beendigung ergeben sich aus den Regelungen des Hauptvertrages in der jeweils aktuellen Fassung. Durch diese Regelung wird keine Modifizierung der im Hauptvertrag vereinbarten Kündigungsrechte vorgenommen.
6. Art, Zweck und Mittel der Verarbeitung
Art der Verarbeitung:
Der Auftraggeber stellt die Daten entweder aus seinem Nutzeraccount heraus selbstständig auf der Plattform des Auftragnehmers oder via Office-Anwendung bereit, lädt diese über eine gemeinsame Datenbank oder via CSV-Datei hoch oder legt sie über eine Schnittstelle für den Auftragnehmer offen.
Zweck der Verarbeitung:
Die verarbeiteten Daten werden über automatisierte IT-Workflows sowie über manuelle Prozesse verarbeitet. Zweck der Datenverarbeitungen beinhaltet insbesondere die Abwicklung und Durchführung der vereinbarten Produkte und Dienstleistungen nach dem Hauptvertrag.
Mittel der Verarbeitung:
Im Sinne der vereinbarten Dienstleistungen, die in dem Hauptvertrag dargelegt sind, können die folgenden Mittel für die Verarbeitung personenbezogener Daten eingesetzt werden:
- Datenübertragung und -verarbeitung über ein nach dem Stand der Technik verschlüsseltes Portal
- Filetransfer-Software
- Cloud-Software
- Steuerungssoftware für Drucksysteme
- Adressvalidierungstool
- Office-Applikation
- Webapplikation des Auftragnehmers
7. Art der personenbezogenen Daten
Im Rahmen dieses AV-Vertrags werden insbesondere folgende personenbezogene Daten verarbeitet:
Vorname, Name, Firma, Straße, Hausnummer, Postleitzahl, Ort, E-Mail-Adresse sowie weitere personenbezogene Merkmale wie bspw. Jobtitel, Domain und Profilnamen von Social Media Plattformen und Daten für den Domain-Registrierungsdienst.
8. Kategorien betroffener Personen
Es sind insbesondere folgende natürliche Personen von dieser Auftragsverarbeitung betroffen:
Kunden, (End-) Kunden des Auftraggebers, Interessenten des Auftraggebers, ehemalige Kunden des Auftraggebers, Geschäftspartner des Auftraggebers, Beschäftigte des Kunden, Social Media Nutzer, Teilnehmer von bspw. Gewinnspielen.
9. Weisungsempfangsberechtigte Personen auf Seiten des Auftragnehmers
| Rolle | Name, Vorname | Anschrift | |
|---|---|---|---|
| Geschäftsführung | Best, Kathinka | Hindenburghaus, Großer Burstah 29/31, 20457 Hamburg | hallo@smartagency.de |
| Geschäftsführung | Icks, Heiko | Hindenburghaus, Großer Burstah 29/31, 20457 Hamburg | hallo@smartagency.de |
10. Ansprechpartner für im Rahmen des Vertrags anfallende Datenschutzfragen auf Seiten des Auftragnehmers
TERRITORY Smart Agency GmbH
An die Datenschutzbeauftragte
Hindenburghaus
Großer Burstah 29/31
20457 Hamburg
datenschutz@territory.group
11. Etwaige Mitteilung des Auftragnehmers in Bezug auf Art. 28 Abs. 3 Nr. a DS-GVO
Keine.
12. Frist zur Löschung nach Ziffer 9 des AV-Vertrags
Der Auftraggeber kann nach schriftlicher Aufforderung durch den Auftragnehmer innerhalb einer angemessenen - Frist nach Beendigung der Verarbeitung und/ oder dem zugrundeliegenden Hauptvertrag über die Herausgabe oder Löschung der verbleibenden Daten entscheiden. Die auf der Plattform vom Kunden hochgeladenen Daten werden standardmäßig nach dreißig (30) Tagen gelöscht.
Der Kunde kann innerhalb von 14 Tagen nach Kündigung verlangen, dass ihm seine verbleibenden Daten gemäß den Nutzungsbedingungen der Plattform auf Wunsch wieder zur Verfügung gestellt und/oder gelöscht werden.
13. Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DS-GVO
Der Auftragnehmer ist verpflichtet, ein Verarbeitungsverzeichnis gemäß Art. 30 DS-GVO zu führen.
14. Beauftragung von Subunternehmern
- Der Auftraggeber erteilt mit Abschluss dieses AV-Vertrags die Genehmigung, dass der Auftragnehmer berechtigt ist, die Ausführungen dieses AV-Vertrags ganz oder teilweise auf Subunternehmer als weitere Auftragsverarbeiter zu übertragen. Die bei Abschluss dieses AV-Vertrages eingebundenen Subunternehmer können jederzeit beim Auftragnehmer unter hallo@smartagency.de mit dem Betreff „AV-Vertrag Subunternehmerliste angefragt werden und werden durch Abschluss dieses AV-Vertrages durch den Auftraggeber akzeptiert. Vor Hinzuziehung oder Ersetzung der Subunternehmer informiert der Auftragnehmer den Auftraggeber via E-Mail unter der bereitgestellten E-Mail-Adresse neu hinzukommende Subunternehmer.
- Der Auftraggeber kann der Änderung innerhalb einer Frist von 14 Tagen – aus wichtigem datenschutzrechtlichem Grunde – gegenüber den vom Auftragnehmer in Ziffer 10 des Anhang 1 benannten Personen widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zur Änderung als erteilt.
- Liegt ein wichtiger datenschutzrechtlicher Grund vor und ist eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich, kann der Auftragnehmer den Hauptvertrags und diesen AV-Vertrag aus wichtigem Grund kündigen.
- Sofern der Auftragnehmer weitere Subunternehmer außerhalb der EU bzw. des EWR einsetzt, erfolgt dies unter Berücksichtigung der Art. 44 DS-GVO ff. insbesondere auf Basis von EU-Standardverträgen (z.B. in Form von Processor to Processor EU-Standardverträgen). Alternativ ermächtigt der Auftraggeber den Auftragnehmer, EU-Standardverträge Controller to Processor in Stellvertretung für den Auftraggeber mit dem Subunternehmer in der Form abzuschließen, dass entweder (i) der Auftraggeber einem zwischen dem Subunternehmer (als Processor) und dem Auftragnehmer (als Controller) bestehenden EU-Standardvertrag beitritt und insoweit dieselben Rechte wie der Auftrag-nehmer unter dem EU-Standardvertrag erwirbt, oder (ii) der Auftraggeber direkt mit dem Subunternehmer einen EU-Standardvertrag abschließt und der Auftragnehmer diesem betritt, so dass dieser insoweit dieselben Rechte wie der Auftraggeber unter dem EU-Standardvertrag erwirbt.
15. Nachweise des Auftragnehmers gem. Ziffer 8 des AV-Vertrags
Zum Nachweis der Einhaltung der in diesem AV-Vertrag niedergelegten Pflichten bietet der Auftragnehmer die Durchführung eines Selbstaudits oder Self-Assessments an.
Anhang 2 zum AV-Vertrag
Dieser Anhang beschreibt die allgemeinen technischen und organisatorischen Maßnahmen des Auftragnehmers nach den Anforderungen von Art. 32 Abs. 1 DS-GVO für die Verarbeitung von personenbezogenen Daten des Auftraggebers im Rahmen des AV-Vertrags. Durch die TOMs werden die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit diesem AV-Vertrag sichergestellt.
Für Details der technischen und organisatorischen Maßnahmen kontaktieren Sie bitte unseren Agenturservice unter: hallo@smartagency.de mit dem Betreff „AV-Vertrag TOMs“.
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
1.1 Zutrittskontrolle
Es bestehen Maßnahmen, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, zu verwehren. Dazu gehören Sicherheitskonzepte, die einem Prüfungskonzept unterliegen. Für die Betriebsstätten der Auftragsverarbeitung ohne direkten Bezug zu den Rechenzentren können grundsätzlich physische Zutrittskontrollmaßnahmen bestehen.
1.2 Zugangskontrolle
Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
1.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass Berechtigte ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
1.4 Trennungskontrolle
Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
1.5 Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Sofern angemessen, erfolgt die Verarbeitung mit pseudonymisierten Daten. Die Verarbeitung personenbezogener Daten erfolgt dann in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.
2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
2.1 Weitergabekontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung, ihrer Speicherung auf Datenträger oder während ihres Transportes nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
2.2 Eingabekontrolle
Maßnahmen, die gewährleisten, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten in Systeme eingegeben, verändert oder entfernt worden sind.
2.3 Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können: Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
3. Verfügbarkeit, inkl. Belastbarkeit und Wiederherstellbarkeit (Art. 32 Abs. 1 lit. b und c DS-GVO)
Maßnahmen, die gewährleisten, dass personenbezogene Daten, gegen zufällige Zerstörung oder Verlust geschützt sind.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO)
Maßnahmen, die gewährleisten, dass die Datenschutzanforderungen umgesetzt werden und diese auch nachweisbar sind (Datenschutz-Management).
5. Incident-Response-Management
Maßnahmen, die gewährleisten, dass Datenpannen schnell erkannt und gemeldet werden.
6. Datenschutzfreundliche Technikgestaltung und Voreinstellungen (Art. 25 DS-GVO)
Maßnahmen, die gewährleisten, dass Privacy by Design und by Default berücksichtigt sind.