Auftragsverarbeitungsvertrag
WARNING
- Kunden innerhalb der EU-Mitgliedstaaten - Nutzen Sie als Kunde die Ziber Education Plattform (ziber.eu) und sind Sie in einem der EU-Mitgliedstaaten ansässig, und wir verarbeiten personenbezogene Daten in Ihrem Auftrag? Dann gilt dieser Auftragsverarbeitungsvertrag für Sie.
- Ausnahmen pro EU-Mitgliedstaat - Für Sie können Ausnahmen gelten, wenn Sie in einem bestimmten EU-Mitgliedstaat ansässig sind. Diese Ausnahmen können Sie hier nachlesen.
- Kunden außerhalb der EU - Derzeit bietet Ziber keine Dienste außerhalb der EU an und verarbeitet daher keine personenbezogenen Daten für Kunden außerhalb der EU. Lesen Sie mehr unter Kunden außerhalb der EU.
Dieser Auftragsverarbeitungsvertrag wird geschlossen zwischen;
Kunde, die Organisation, die ein Ziber Abonnement auf die Ziber Dienste für Bildung und Betreuung abgeschlossen hat, im Folgenden "Bildungseinrichtung" genannt,
und
Lieferant Ziber (Ziber B.V., Handelsregisternummer 37088655, mit Sitz und Geschäftsadresse in Zijperweg 4 J, 1742 NE Schagen, Niederlande), im Folgenden "Auftragsverarbeiter" genannt,
im Folgenden gemeinsam als die "Parteien", oder einzeln: "Partei" genannt
Erwägen Folgendes:
a. Die Bildungseinrichtung und der Auftragsverarbeiter haben zu dem von Ziber als Bestätigung des Kundenabonnements angegebenen Datum oder dem Datum der Verlängerung des Kundenabonnements (je nachdem, welches zutrifft) eine Vereinbarung getroffen, wonach der Auftragsverarbeiter das Ziber Elternkommunikationsplattform an die Bildungseinrichtung liefert. Diese Vereinbarung (im Folgenden: Unterliegende Vereinbarung), schriftlich oder auf andere Weise abgeschlossen, führt dazu, dass der Auftragsverarbeiter im Auftrag der Bildungseinrichtung Personenbezogene Daten verarbeitet.
b. Die Parteien möchten, unter Berücksichtigung von Artikel 28 Absatz 3 der DSGVO, in diesem Auftragsverarbeitungsvertrag ihre gegenseitigen Rechte und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten festlegen.
Begriffe, die mit einem Großbuchstaben geschrieben werden, haben die Bedeutung, die ihnen unter “Definitionen” gegeben wird.
ARTIKEL 1. Gegenstand und Auftrag des Auftragsverarbeitungsvertrags
- Dieser Auftragsverarbeitungsvertrag gilt für die Verarbeitung Personenbezogener Daten im Rahmen der Durchführung der zugrundeliegenden Vereinbarung.
- Dieser Auftragsverarbeitungsvertrag ersetzt alle früher zwischen den Parteien im Rahmen der unter Erwägung a. genannten Produkte/Dienste geschlossenen Auftragsverarbeitungsverträge, wie in der zugrundeliegenden Vereinbarung festgelegt.
- Die Bildungseinrichtung in ihrer Eigenschaft als Verantwortlicher gibt dem Auftragsverarbeiter gemäß Artikel 28 DSGVO Anweisungen zur Verarbeitung personenbezogener Daten im Namen der Bildungseinrichtung. Die Anweisungen der Bildungseinrichtung sind unter anderem in Anhang 1 dieses Auftragsverarbeitungsvertrags beschrieben. Dieser Auftrag und alle weiteren Anweisungen werden schriftlich von den Kontaktpersonen der Parteien erteilt, die dafür als befugt erklärt wurden. Diese Kontaktpersonen sind im oben genannten Anhang aufgeführt.
- Der Auftragsverarbeiter informiert die Bildungseinrichtung so schnell wie möglich, wenn er der Meinung ist, dass eine Anweisung gegen die DSGVO oder andere geltende Gesetze verstößt. In einem solchen Fall ist die Bildungseinrichtung verpflichtet zu überprüfen, ob die Anweisung tatsächlich gegen die DSGVO oder andere geltende Gesetze verstößt, während der Auftragsverarbeiter während dieser Überprüfung nicht verpflichtet ist, der Anweisung nachzukommen.
- Die Bestimmungen des Auftragsverarbeitungsvertrags gelten für alle in Anhang 1 aufgeführten Verarbeitungen, die zur Durchführung der zugrundeliegenden Vereinbarung durchgeführt werden. Der Auftragsverarbeiter benachrichtigt die Bildungseinrichtung unverzüglich, wenn der Auftragsverarbeiter Grund zu der Annahme hat, dass er den Anforderungen des Auftragsverarbeitungsvertrags nicht mehr nachkommen kann.
ARTIKEL 2. Rollenverteilung
- Die Bildungseinrichtung ist in Bezug auf die in ihrem Auftrag durchgeführten Verarbeitungen Personenbezogener Daten der Verantwortliche. Die Bildungseinrichtung hat und behält die alleinige Kontrolle über die Bestimmung des Zwecks und der Mittel der Verarbeitung der personenbezogenen Daten.
- Der Auftragsverarbeiter stellt sicher, dass die Bildungseinrichtung beim Abschluss dieses Auftragsverarbeitungsvertrags ausreichend über die von dem Auftragsverarbeiter erbrachten Dienste und die durchzuführenden Verarbeitungen informiert wird. Die bereitgestellten Informationen ermöglichen es der Bildungseinrichtung, die Verarbeitungen zu verstehen, die untrennbar mit einem angebotenen Dienst verbunden sind, und für welche Verarbeitungen die Bildungseinrichtung möglicherweise von optionalen Diensten Gebrauch machen kann.
- Zusätzlich zu Absatz 2 und unbeschadet dessen, was an anderer Stelle in diesem Auftragsverarbeitungsvertrag bestimmt ist, informiert der Auftragsverarbeiter die Bildungseinrichtung beim Abschluss dieses Auftragsverarbeitungsvertrags in Anhang 1 über die in Absatz 2 genannten Dienste, einschließlich etwaiger optionaler Dienste, und die in diesem Zusammenhang durchgeführten Verarbeitungen. Die in Anhang 1 enthaltenen Informationen müssen in verständlicher Sprache verfasst sein, damit die Bildungseinrichtung eine informierte Zustimmung zur Inanspruchnahme dieser Dienste und der damit verbundenen Verarbeitungen geben kann.
- Soweit Artikel 30 Absatz 5 DSGVO dies erfordert, führt der Auftragsverarbeiter gemäß Artikel 30 Absatz 2 DSGVO ein Verzeichnis aller Kategorien von Verarbeitungen, die der Auftragsverarbeiter im Auftrag einer Bildungseinrichtung durchführt.
- Die Bildungseinrichtung und der Auftragsverarbeiter stellen sich gegenseitig alle erforderlichen Informationen zur Verfügung, um eine ordnungsgemäße Einhaltung der anwendbaren Gesetze und Vorschriften zur Verarbeitung personenbezogener Daten zu ermöglichen.
ARTIKEL 3. Nutzung Personenbezogener Daten
- Der Auftragsverarbeiter verpflichtet sich, die von der Bildungseinrichtung erhaltenen Personenbezogenen Daten nicht für andere Zwecke oder in anderer Weise zu verwenden als für den Zweck, zu dem die Daten bereitgestellt wurden oder ihm bekannt geworden sind. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich im Auftrag der Bildungseinrichtung und auf der Grundlage der Anweisungen der Bildungseinrichtung. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nicht für eigene Zwecke oder Zwecke Dritter, es sei denn, eine für den Auftragsverarbeiter geltende Bestimmung des Unionsrechts oder des Rechts der Mitgliedstaaten verpflichtet den Auftragsverarbeiter zu einer Verarbeitung, wie der Weitergabe an Dritte. In diesem Fall informiert der Auftragsverarbeiter die Bildungseinrichtung vor der Verarbeitung auf der Grundlage dieser gesetzlichen Bestimmung, es sei denn, die betreffende Gesetzgebung verbietet eine solche Benachrichtigung aus gewichtigen Gründen des öffentlichen Interesses.
- Zusätzlich zu Absatz 1 erfolgt die Verarbeitung von personenbezogenen Daten in Bezug auf Digitale Lernmittel niemals zu Werbezwecken oder für unerwünschte Angebote durch den Auftragsverarbeiter.
- Die Bildungseinrichtung und der Auftragsverarbeiter legen in Anhang 1 fest, zu welchen von der Bildungseinrichtung in ihrer Eigenschaft als Verantwortlicher festgelegten Zwecken personenbezogene Daten bei der Nutzung seines Produkts und/oder Dienstes verarbeitet werden, welche Verarbeitungen hierfür durchgeführt werden und welche Kategorien personenbezogener Daten von welchen Betroffenen verarbeitet werden. Die Bildungseinrichtung stellt sicher, dass nicht mehr personenbezogene Daten an den Auftragsverarbeiter weitergegeben werden als in Anhang 1 festgelegt.
- Wenn der Auftragsverarbeiter, entgegen der DSGVO, den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmt, gilt der Auftragsverarbeiter in Bezug auf diese Verarbeitung als Verantwortlicher.
- Wenn der Auftragsverarbeiter (in diesem Artikel weiter als „Distributor“ bezeichnet) bei der Erfüllung der zugrundeliegenden Vereinbarung auch auf den Vertrieb digitaler Lernmittel abzielt, gelten die folgenden Bestimmungen zusätzlich:
- Der Distributor in seiner Rolle als Auftragsverarbeiter tauscht im Auftrag der Bildungseinrichtung Daten mit den Anbietern von Lehrmitteln aus, die gegenüber den Bildungseinrichtungen ebenfalls die Rolle des Auftragsverarbeiters einnehmen.
- Die Bildungseinrichtung ist dafür verantwortlich, mit jedem Anbieter von Lehrmitteln Vereinbarungen in einem Auftragsverarbeitungsvertrag zu treffen und festzulegen.
- Die Bildungseinrichtung stellt den Distributor von etwaigen Ansprüchen Dritter frei, die sich aus dem nicht (rechtzeitigen) Abschluss von Auftragsverarbeitungsverträgen mit dem Anbieter von Lehrmitteln ergeben, und die Bildungseinrichtung stellt den Anbieter von Lehrmitteln von etwaigen Ansprüchen Dritter frei, die sich aus dem nicht (rechtzeitigen) Abschluss von Auftragsverarbeitungsverträgen mit dem Distributor ergeben.
- Die Verantwortung des Distributors für die Verwaltung der personenbezogenen Daten geht in dem Moment über, in dem der Anbieter von Lehrmitteln diese Daten vom Distributor erhalten hat.
ARTIKEL 4. Vertraulichkeit
- Der Auftragsverarbeiter garantiert, dass er alle Personenbezogenen Daten streng vertraulich behandelt. Der Auftragsverarbeiter stellt sicher, dass jede Person, die er an der Verarbeitung personenbezogener Daten beteiligt, einschließlich seiner Mitarbeiter, Vertreter und/oder Subauftragsverarbeiter, einer Geheimhaltungspflicht unterliegt, die sich mindestens auf die personenbezogenen Daten und die Umstände, unter denen sie verarbeitet werden, bezieht.
- Die in Absatz 1 genannte Geheimhaltungspflicht gilt nicht in den nachfolgend aufgeführten Fällen:
- soweit die Bildungseinrichtung ausdrücklich zugestimmt hat, die personenbezogenen Daten an einen Dritten weiterzugeben;
- wenn die Weitergabe der personenbezogenen Daten an einen Dritten aufgrund der Art der vom Auftragsverarbeiter an die Bildungseinrichtung zu erbringenden Dienstleistungen gemäß der zugrundeliegenden Vereinbarung erforderlich ist; oder
- wenn der Auftragsverarbeiter aufgrund einer Bestimmung des Unionsrechts oder des Rechts der Mitgliedstaaten zur Weitergabe verpflichtet ist.
- Falls sich ein Dritter auf eine gesetzliche Verpflichtung gemäß Absatz 2 Buchstabe c beruft, überprüft der Auftragsverarbeiter vor der Weitergabe die gesetzliche Grundlage und die Identität der Partei, die sich darauf beruft. Darüber hinaus informiert der Auftragsverarbeiter die Bildungseinrichtung – es sei denn, die betreffende Gesetzgebung verbietet diese Benachrichtigung aus gewichtigen Gründen des öffentlichen Interesses – unverzüglich und vor der Weitergabe über die für die Bildungseinrichtung relevanten Informationen in Bezug auf diese Weitergabe.
- Der Auftragsverarbeiter stellt sicher, dass Personen, die unter seiner Aufsicht und/oder Verantwortung arbeiten, nur in dem Maße Zugang zu personenbezogenen Daten haben, wie dies zur Erfüllung ihrer Aufgaben erforderlich ist.
ARTIKEL 5. Sicherheit und Kontrolle
- Unter Berücksichtigung von Artikel 32 DSGVO sorgen beide Parteien für geeignete technische und organisatorische Maßnahmen, um die personenbezogenen Daten zu sichern und vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung zu schützen.
- Neben den in Artikel 32 Absatz 1 DSGVO genannten Maßnahmen werden unter anderem folgende Maßnahmen – soweit zutreffend – ergriffen:
- eine angemessene Richtlinie für die Sicherheit der Verarbeitung personenbezogener Daten (vergleichbar mit der anwendbaren ISO-Norm und/oder dem geltenden Zertifizierungsschema für Informationssicherheit und Datenschutz ROSA);
- Maßnahmen, um sicherzustellen, dass nur autorisierte Personen, die unter der Autorität und/oder Verantwortung des Auftragsverarbeiters arbeiten, Zugang zu den personenbezogenen Daten haben, die im Rahmen des Auftragsverarbeitungsvertrags verarbeitet werden;
- Regelungen über Verfahren für den Zugang zu personenbezogenen Daten, einschließlich eines Registrierungs- und Abmeldeverfahrens für die Zuweisung von Zugriffsrechten, und das Protokollieren von Ereignissen in Bezug auf Benutzeraktivitäten, Ausnahmen und Sicherheitsvorfälle. Der Verantwortliche erhält die Möglichkeit, diese Protokolle regelmäßig zu überprüfen.
- In Anlage 2 werden die zwischen den Parteien getroffenen Vereinbarungen über die in Absatz 1 und 2 genannten technischen und organisatorischen Sicherheitsmaßnahmen festgelegt.
- Beide Parteien stellen sicher, dass sie die eigenen Sicherheitsmaßnahmen regelmäßig bewerten und bei Bedarf anpassen, ergänzen oder verbessern, soweit dies durch Anforderungen oder (technologische) Entwicklungen notwendig wird.
- Der Auftragsverarbeiter ermöglicht es dem Verantwortlichen in enger Absprache, seine gesetzliche Verpflichtung zur Überwachung der Einhaltung der technischen und organisatorischen Sicherheitsmaßnahmen durch den Auftragsverarbeiter sowie zur Einhaltung der in Artikel 6 genannten Verpflichtungen in Bezug auf Datenpannen wirksam zu erfüllen.
- Zusätzlich zu den vorstehenden Absätzen hat der Verantwortliche jederzeit das Recht, in Absprache mit dem Auftragsverarbeiter und unter Einhaltung einer angemessenen Frist, die Einhaltung der anwendbaren Gesetze und Vorschriften zur Verarbeitung personenbezogener Daten, die Verarbeitung personenbezogener Daten in Bezug auf die zugrundeliegende Vereinbarung und diesen Auftragsverarbeitungsvertrag, einschließlich der vom Auftragsverarbeiter ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen, durch ein Audit überprüfen zu lassen:
- Die Parteien vereinbaren in gegenseitigem Einvernehmen, dass das Audit von einem unabhängigen, zertifizierten externen Sachverständigen, der nach Genehmigung durch die andere Partei von einer der Parteien beauftragt wird, durchgeführt wird und eine Drittaussage (TPM) erstellt.
- Der Auditor stellt den Prüfbericht nur den Parteien zur Verfügung.
- Die Parteien treffen untereinander Vereinbarungen über den Umgang mit den Ergebnissen des Audits.
- Die Parteien können in gegenseitigem Einvernehmen vereinbaren, dass ein bereits durchgeführtes Audit und der dazu abgegebene Drittbericht, basierend auf einer gültigen (inter)national anerkannten Zertifizierung oder einem gleichwertigen Kontroll- oder Nachweisverfahren, verwendet werden. Der Verantwortliche wird in diesem Fall über die Ergebnisse des Audits informiert.
- Die Parteien vereinbaren, dass die Kosten für ein Audit gemäß Buchstabe a vom Verantwortlichen getragen werden, es sei denn, das Audit weist (große) Mängel auf, die dem Auftragsverarbeiter zuzuschreiben sind. In diesem Fall treten die Parteien in Verhandlungen über die Verteilung der Auditkosten ein.
ARTIKEL 6. Datenpannen
- Beide Parteien haben eine angemessene Richtlinie für den Umgang mit Datenpannen.
- Wenn der Verantwortliche oder der Auftragsverarbeiter bei der Ausführung der zugrundeliegenden Vereinbarung oder dieses Auftragsverarbeitungsvertrags eine Datenpanne feststellt, wird die betreffende Partei die andere Partei unverzüglich darüber informieren, sobald sie von dieser Datenpanne Kenntnis erlangt. Der Auftragsverarbeiter stellt dem Verantwortlichen im Falle einer Datenpanne alle relevanten Informationen in Bezug auf die Datenpanne zur Verfügung, einschließlich Informationen über etwaige Entwicklungen rund um die Datenpanne und die Maßnahmen, die der Auftragsverarbeiter ergreift, um die Folgen der Datenpanne zu begrenzen und eine Wiederholung zu verhindern.
- Zusätzlich zu Absatz 2 informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, wenn der Verdacht besteht, dass eine Datenpanne wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen im Sinne von Artikel 34 Absatz 1 DSGVO birgt.
- Der Auftragsverarbeiter ermöglicht es dem Verantwortlichen, bei einer Datenpanne geeignete Folgemaßnahmen zu ergreifen. Der Auftragsverarbeiter wird sich hierbei an den bestehenden Prozessen des Verantwortlichen orientieren, soweit diese dem Auftragsverarbeiter bekannt gemacht wurden. Beide Parteien ergreifen so schnell wie möglich alle angemessenen Maßnahmen, um weitere Verstöße oder Verletzungen im Zusammenhang mit der Verarbeitung personenbezogener Daten, insbesondere weitere Verstöße gegen die anwendbaren Gesetze und Vorschriften zur Verarbeitung personenbezogener Daten, zu verhindern oder zu begrenzen.
- Im Falle einer Datenpanne erfüllt der Verantwortliche die gesetzlichen Meldepflichten.
- Die Parteien werden nach Treu und Glauben gemeinsam Vereinbarungen über die angemessene Aufteilung der möglicherweise anfallenden Kosten treffen, die mit der Erfüllung der Meldepflichten verbunden sind.
- Die Parteien dokumentieren alle Datenpannen in einem (Vorfall-)Register, einschließlich der Tatsachen über den Verstoß im Zusammenhang mit den personenbezogenen Daten, der daraus resultierenden Folgen und der ergriffenen Korrekturmaßnahmen.
- Über Vorfälle im Zusammenhang mit der Sicherheit, die nicht als Datenpannen gelten, informiert der Auftragsverarbeiter den Verantwortlichen gemäß den in Anlage 2 beschriebenen Vereinbarungen.
ARTIKEL 7. Zusammenarbeit
- Der Auftragsverarbeiter leistet dem Verantwortlichen Unterstützung bei der Erfüllung der Pflichten, die dem Verantwortlichen in seiner Funktion als Verantwortlicher gemäß der DSGVO und anderen anwendbaren Gesetzen und Vorschriften zur Verarbeitung personenbezogener Daten obliegen, einschließlich, aber nicht beschränkt auf:
- die Erfüllung der Pflicht des Verantwortlichen, soweit dies vernünftigerweise möglich ist, Anfragen von betroffenen Personen gemäß Kapitel III der DSGVO innerhalb der gesetzlichen Fristen nachzukommen, wie z. B. Anträge auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung personenbezogener Daten;
- die Durchführung von Kontrollen und Audits gemäß Artikel 5 dieses Auftragsverarbeitungsvertrags;
- die Durchführung einer Datenschutz-Folgenabschätzung (DSFA/DPIA) und eine eventuell daraus resultierende verpflichtende vorherige Konsultation der Aufsichtsbehörde;
- die Erfüllung von Anfragen einer Aufsichtsbehörde oder einer anderen Regierungsbehörde;
- die (Vorbereitung von) Untersuchungen, Bewertungen und Meldungen von Datenpannen gemäß Artikel 6 dieses Auftragsverarbeitungsvertrags.
- Eine Beschwerde oder Anfrage einer betroffenen Person oder eine Anfrage oder Untersuchung einer Aufsichtsbehörde in Bezug auf die Verarbeitung der personenbezogenen Daten wird vom Auftragsverarbeiter unverzüglich an den Verantwortlichen weitergeleitet, soweit dies gesetzlich zulässig ist, wobei der Verantwortliche für die Bearbeitung der Anfrage oder Beschwerde verantwortlich ist.
- Parteien stellen sich gegenseitig für die in Artikel 5 Absatz 6 Unterpunkt 5, Artikel 6 Absatz 6 und Artikel 11 Absatz 3 gewährte Unterstützung keine Kosten in Rechnung. Wenn eine Partei beabsichtigt, Kosten in Rechnung zu stellen, wird diese Partei die andere Partei im Voraus darüber informieren.
ARTIKEL 8. Übermittlung in Drittländer außerhalb des Europäischen Wirtschaftsraums
- Der Auftragsverarbeiter ist nur berechtigt, personenbezogene Daten in ein Drittland außerhalb des Europäischen Wirtschaftsraums (EWR) oder an eine internationale Organisation zu übermitteln, wenn der Verantwortliche hierfür eine spezifische schriftliche Genehmigung erteilt hat, es sei denn, der Auftragsverarbeiter ist aufgrund einer auf ihn anwendbaren unionsrechtlichen oder mitgliedstaatlichen Rechtsvorschrift zu einer solchen Übermittlung verpflichtet. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Übermittlung schriftlich über diese Vorschrift, es sei denn, das betreffende Gesetz verbietet eine solche Benachrichtigung aus wichtigen Gründen des öffentlichen Interesses.
- Wenn nach Genehmigung des Verantwortlichen personenbezogene Daten in Drittländer außerhalb des EWR oder an eine internationale Organisation gemäß Artikel 4 Absatz 26 DSGVO übermittelt werden, stellen die Parteien sicher, dass dies nur in Übereinstimmung mit den gesetzlichen Vorschriften und den diesbezüglich bestehenden Verpflichtungen des Verantwortlichen erfolgt. Falls zutreffend, wird in Anhang 1 dieses Auftragsverarbeitungsvertrags eine Liste der Drittländer oder internationalen Organisationen aufgeführt, in die oder durch die die personenbezogenen Daten verarbeitet werden. Dabei wird auch angegeben, wie die Bedingungen für die Übermittlung von personenbezogenen Daten an Drittländer oder internationale Organisationen gemäß der DSGVO erfüllt wurden.
- Wird für die Übermittlung in ein Drittland außerhalb des EWR ein von der Europäischen Kommission genehmigter Mustervertrag (Standardvertragsklauseln) verwendet, müssen gegebenenfalls ausreichende zusätzliche Maßnahmen ergriffen werden, um sicherzustellen, dass das Schutzniveau der personenbezogenen Daten während und nach der Übermittlung dem innerhalb des EWR gleichwertig ist. Diese Maßnahmen müssen in Anhang 1 beschrieben werden.
ARTIKEL 9. Beauftragung von Unterauftragsverarbeitern
- Der Verantwortliche erteilt dem Auftragsverarbeiter durch Unterzeichnung dieser Auftragsverarbeitungsvereinbarung die Erlaubnis, Unterauftragsverarbeiter zu beauftragen, deren Identität und Niederlassungsdaten in Anhang 1 aufgeführt sind.
- Während der Laufzeit des Auftragsverarbeitungsvertrags informiert der Auftragsverarbeiter den Verantwortlichen über die geplante Hinzufügung eines neuen Unterauftragsverarbeiters oder über Änderungen in der Zusammensetzung der bestehenden Unterauftragsverarbeiter, wobei dem Verantwortlichen die Möglichkeit eingeräumt wird, gegen diese Änderungen Einspruch zu erheben. Die Einspruchsfrist beträgt 6 Wochen nach schriftlicher Benachrichtigung des Verantwortlichen über die geplante Hinzufügung oder Änderung.
- Der Auftragsverarbeiter ist verpflichtet, jedem Unterauftragsverarbeiter durch eine Vereinbarung oder eine andere rechtliche Handlung mindestens dieselben Datenschutzverpflichtungen aufzuerlegen, wie sie dem Auftragsverarbeiter in dieser Auftragsverarbeitungsvereinbarung auferlegt wurden. Der Auftragsverarbeiter wird dem Verantwortlichen auf dessen Anfrage Kopien dieser Unterauftragsverarbeitungsvereinbarungen oder der relevanten Abschnitte aus der Unterauftragsverarbeitungsvereinbarung oder einer anderen Vereinbarung oder einer anderen bindenden rechtlichen Handlung zwischen dem Auftragsverarbeiter und dem gemäß Absatz 1 dieses Artikels beauftragten Unterauftragsverarbeiter zur Verfügung stellen.
ARTIKEL 10. Aufbewahrungsfristen und Vernichtung personenbezogener Daten
- Der Verantwortliche informiert den Auftragsverarbeiter in Anhang 1 angemessen über (gesetzliche) Aufbewahrungsfristen, die für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gelten. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nicht länger als entsprechend diesen Aufbewahrungsfristen.
- Der Verantwortliche verpflichtet den Auftragsverarbeiter, die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten bei Beendigung der Auftragsverarbeitungsvereinbarung innerhalb eines von den Parteien gemeinsam vereinbarten Zeitraums an den Verantwortlichen zurückzugeben und/oder zu vernichten, es sei denn, die personenbezogenen Daten müssen länger aufbewahrt werden, wie im Rahmen einer unionsrechtlichen oder mitgliedstaatlichen Verpflichtung oder auf Anfrage des Verantwortlichen.
- Der Auftragsverarbeiter bestätigt dem Verantwortlichen schriftlich, dass die Vernichtung der verarbeiteten personenbezogenen Daten gemäß Absatz 2 stattgefunden hat. Der Verantwortliche kann auf eigene Kosten eine Überprüfung veranlassen, ob die Vernichtung erfolgt ist.
- Der Auftragsverarbeiter stellt sicher, dass auch alle Unterauftragsverarbeiter, die an der Verarbeitung der personenbezogenen Daten beteiligt sind, die personenbezogenen Daten nach Ablauf der Aufbewahrungsfristen oder des Zeitraums für die Rückgabe und/oder Vernichtung gemäß Absatz 2 zurückgeben und/oder vernichten.
ARTIKEL 11. Haftung
- Die Parteien können Vereinbarungen über die Haftung, die sich aus dieser Auftragsverarbeitungsvereinbarung ergibt, in die zugrunde liegende Vereinbarung oder eine andere zwischen den Parteien getroffene Vereinbarung oder Regelung aufnehmen.
- Abweichend von Absatz 1 können sich die Parteien nicht auf eine in der zugrunde liegenden Vereinbarung oder einer anderen zwischen den Parteien bestehenden Vereinbarung oder Regelung enthaltene Haftungsbeschränkung berufen, im Falle einer von einer der Parteien erhobenen:
- Regressklage gemäß Artikel 82 DSGVO; oder
- Schadensersatzklage aufgrund dieser Auftragsverarbeitungsvereinbarung, soweit die Klage auf dem Regress eines von der Aufsichtsbehörde verhängten Bußgeldes beruht, das ganz oder teilweise der anderen Partei zuzurechnen ist.
- Die Bestimmungen dieses Artikels berühren nicht die Rechtsmittel, die der betroffenen Partei nach geltendem Recht zur Verfügung stehen. Die Bestimmungen in Absatz 2 Unterabsatz 2 gelten unbeschadet der Bestimmungen in Artikel 12 Absatz 2.
- Jede Partei ist verpflichtet, die andere Partei unverzüglich über eine (mögliche) Haftungsklage oder (die Absicht zur Einleitung von) die Verhängung eines Bußgeldes durch die Aufsichtsbehörde in Bezug auf diese Auftragsverarbeitungsvereinbarung zu informieren. Jede Partei ist verpflichtet, der anderen Partei in angemessenem Rahmen Informationen und/oder Unterstützung zur Verfügung zu stellen, um eine Verteidigung gegen eine (mögliche) Haftungsklage oder (die Absicht zur) ein Bußgeld zu ermöglichen, wie im vorhergehenden Satz erwähnt. Die Partei, die Informationen zur Verfügung stellt und/oder Unterstützung leistet, ist berechtigt, etwaige angemessene Kosten hierfür der anderen Partei in Rechnung zu stellen. Die Parteien informieren sich so weit wie möglich im Voraus über diese Kosten.
- Die Partei (im Folgenden "Betroffene Partei"), die von der Aufsichtsbehörde über die Absicht informiert wird, ein Bußgeld zu verhängen (im Folgenden "Vollzugsabsicht") in Bezug auf diese Auftragsverarbeitungsvereinbarung, wird:
- bei der Verteidigung gegen die Vollzugsabsicht die berechtigten Interessen der anderen Partei berücksichtigen;
- der anderen Partei in angemessenem Rahmen Gelegenheit geben, ihre Stellungnahme zur Vollzugsabsicht gegenüber der Betroffenen Partei abzugeben, und
- keinen Vergleichsvorschlag der Aufsichtsbehörde annehmen oder auf ein Rechtsmittel gegen die Vollzugsabsicht oder ein Bußgeld verzichten, ohne zuvor die andere Partei zu konsultieren.
ARTIKEL 12. Widersprüche und Änderung der Auftragsverarbeitungsvereinbarung
- Im Falle eines Widerspruchs zwischen den Bestimmungen dieser Auftragsverarbeitungsvereinbarung und den Bestimmungen der zugrunde liegenden Vereinbarung, haben die Bestimmungen dieser Auftragsverarbeitungsvereinbarung Vorrang.
- Unbeschadet der Bestimmungen in Artikel 9 Absatz 2 wird die Verantwortliche im Falle wesentlicher Änderungen am Produkt und/oder den (zusätzlichen) Diensten nach Abschluss dieser Auftragsverarbeitungsvereinbarung, die sich auf die Verarbeitung personenbezogener Daten, wie in Anhang 1 und Anhang 2 beschrieben, auswirken, vom Auftragsverarbeiter in verständlicher Sprache über die Konsequenzen dieser Änderungen informiert, bevor sie die Änderungen annimmt. Wesentliche Änderungen umfassen jedenfalls: die Hinzufügung oder Änderung einer Funktionalität, die zu einer Erweiterung der zu verarbeitenden personenbezogenen Daten führen und die Zwecke betreffen kann, die von der Verantwortlichen festgelegt wurden. Diese Änderungen werden in Anhang 1 oder Anhang 2 aufgenommen.
- Änderungen der Artikel der Auftragsverarbeitungsvereinbarung nach Abschluss der Auftragsverarbeitungsvereinbarung können nur einvernehmlich und schriftlich zwischen den Parteien vereinbart werden.
- Sollte eine Bestimmung dieser Auftragsverarbeitungsvereinbarung ungültig, anfechtbar oder anderweitig nicht durchsetzbar sein oder werden, bleiben die übrigen Bestimmungen dieser Auftragsverarbeitungsvereinbarung in vollem Umfang in Kraft. In diesem Fall treten die Parteien in Verhandlungen, um die ungültige, anfechtbare oder anderweitig nicht durchsetzbare Bestimmung durch eine durchsetzbare alternative Bestimmung zu ersetzen, die dem Ziel und Zweck der ungültigen, aufgehobenen oder anderweitig nicht durchsetzbaren Bestimmung so nahe wie möglich kommt.
ARTIKEL 13. Laufzeit und Beendigung
- Die Laufzeit dieser Auftragsverarbeitungsvereinbarung entspricht der Laufzeit der zwischen den Parteien geschlossenen zugrunde liegenden Vereinbarung, einschließlich etwaiger Verlängerungen.
- Diese Auftragsverarbeitungsvereinbarung endet automatisch mit der Beendigung der zugrunde liegenden Vereinbarung. Solange die personenbezogenen Daten nicht gemäß den Bestimmungen in Artikel 10 durch den Auftragsverarbeiter zurückgegeben und vernichtet wurden, sorgt der Auftragsverarbeiter dafür, dass die Artikel dieser Auftragsverarbeitungsvereinbarung eingehalten werden.
ARTIKEL 14. Anwendbares Recht und Streitbeilegung
Alle Streitigkeiten, die zwischen den Parteien im Zusammenhang mit der Auftragsverarbeitungsvereinbarung entstehen, werden dem in der zugrunde liegenden Vereinbarung bestimmten zuständigen Gericht vorgelegt. Wurde in der zugrunde liegenden Vereinbarung kein zuständiges Gericht bestimmt, so ist das Gericht am Sitz der Verantwortlichen zuständig.
ARTIKEL 15. Übersetzung
Diese Auftragsverarbeitungsvereinbarung wurde ursprünglich in niederländischer Sprache (NL) verfasst. Wir können diese Auftragsverarbeitungsvereinbarung in andere Sprachen übersetzen, um sicherzustellen, dass sie leicht verständlich ist. Im Falle eines Konflikts zwischen einer übersetzten Version dieser Auftragsverarbeitungsvereinbarung und der niederländischen Version hat die niederländische Version Vorrang.
ARTIKEL 16. Anhänge
Diese Vereinbarung umfasst die folgenden Anhänge: