Auftragsverarbeitungsvertrag [AVV] für pododesk auf Basis der EU-Standardvertragsklauseln

Verantwortlicher

Sie, mit Ihren im Kundenkonto zum Zeitpunkt des Vertragsschlusses hinterlegten Daten (abrufbar unter https://pododesk.de/account) (nachfolgend „Verantwortlicher“)

und

Auftragsverarbeiter

HELLMUT RUCK GmbH
Daimlerstraße 23
75305 Neuenbürg

(nachfolgend „Auftragsverarbeiter“)

(nachfolgend beide Parteien auch bezeichnet als „Parteien“ bzw. „Vertragsparteien“) (nachfolgend EU-Standardvertragsklauseln auch bezeichnet als "Klauseln" 1)

1 DURCHFÜHRUNGSBESCHLUSS (EU) 2021/915 DER KOMMISSION vom 4. Juni 2021 über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates

Präambel

Sie möchten uns beauftragen, Ihnen im Rahmen der Vertragsdurchführung Zugriff auf die pododesk-Software zu gewähren, sodass sie diese in Ihrer Praxis einsetzen können. Teil der Vertragsdurchführung ist die Verarbeitung personenbezogener Daten. Insbesondere Art. 28 DS-GVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien (siehe Anhang I) die nachfolgende Vereinbarung:
Um die Vereinbarung möglichst transparent und einfach zu gestalten, legen wir dem Vertrag die Standardvertragsklauseln („Klauseln“) zugrunde, die die EU unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32021D0915 veröffentlicht hat, und die sich am Ende des Dokuments befinden. Die Parteien vereinbaren die Anwendbarkeit dieser Klauseln, unter Maßgabe der nachfolgenden Tabelle sowie mit den Präzisierungen und Ergänzungen der nachfolgenden Anhänge I bis IV.

Hinweis:
Um die relevanten Inhalte des Auftragsverarbeitungsvertrags (AVV) auf Basis der EU-Standardvertragsklauseln sachlogisch besser darstellen zu können, werden zuerst die in den Klauseln geführten Anhänge I bis IV aufgeführt und anschließend die Klauseln selbst, mit den in der nachfolgenden Tabelle gewählten Optionen.

Klausel | Maßgabe 1 lit. a) Option 1 7.7 lit. a) Option 2, Zeitraum min. 4 Wochen 8 lit. c) 4) Option 1 9.1 lit b) Option 1 9.1 lit c) Option 1 9.2 Uabs. 3 Option 1

Anhang I: Liste der Parteien

Verantwortlicher

Sie, mit Ihren im Kundenkonto zum Zeitpunkt des Vertragsschlusses hinterlegten Daten (abrufbar unter https://pododesk.de/account)

(nachfolgend „Verantwortlicher“)

und

Auftragsverarbeiter

HELLMUT RUCK GmbH
Daimlerstraße 23
75305 Neuenbürg

Anhang II: Beschreibung der Verarbeitung

Gegenstand der Vereinbarung

Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten, die der Verantwortliche in die Software einpflegt und die an den Auftragsverarbeiter im Rahmen des Hauptvertrags übertragen werden. Zweck der Verarbeitung ist die Erbringung der nach dem Hauptvertrag geschuldeten Leistungen. Die Dauer der Verarbeitung richtet sich nach den Regelungen im Hauptvertrag.

Art der Daten

Gegenstand der Erhebung, Verarbeitung und / oder Nutzung personenbezogener Daten sind folgende Datenarten / -kategorien, sofern diese vom Verantwortlichen der Anwendung erfasst und eingegeben werden:

Personenstammdaten
Kommunikationsdaten (z.B. Telefon, E-Mail)
Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
Kundenhistorie
Vertragsabrechnungs- und Zahlungsdaten
Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
Personenstammdaten
Ärztliche Anweisungen und Verordnungen
Personenstammdaten
Daten und Bilder über den Gesundheitszustand
Daten und Bilder über die Behandlungsdurchführung und deren Ergebnisse

Kategorien betroffener Daten

Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst:

Kunden/Patienten
Interessenten
ggfs. Betreuer oder Vertreter der vorgenannten
externe Dienstleister
Beschöftigte
Lieferanten/Handelsvertreter
Ärzte

Anhang III: Technische und Organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten, Art.32 DSGVO

Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Zutrittskontrolle

Die Datenverarbeitungsanlagen der HELLMUT RUCK GmbH befinden sich in mit Sicherheits-schlössern gesicherten Räumen. Die Räume sind zudem mit einbruchssicheren Rollläden gesichert. Der Zutritt in die HELLMUT RUCK GmbH wird durch das Empfangspersonal kontrolliert und durch eine Videokamera abgesichert. Mitarbeiter können die für sie relevanten Bereiche mittels Mitarbeiterausweis/Chipkarte betreten. Besucher werden am Empfang abgeholt und innerhalb der HELLMUT RUCK GmbH begleitet. Zudem müssen Sie eine Gästeausweis sichtbar tragen. Zutritt zu den Datenverarbeitungsanlagen haben nur die Mitarbeiter der IT-Abteilung und die GF. Der Serverraum RZ1 wird fortlaufend videoüberwacht. Die Zutrittskontrolle erfolgt durch ein Konzept zur Zutrittskontrolle.

Zugangskontrolle

Der Zugang zu Systemen und Programmen wird mittels Kennwortverfahren (z.B. Sonderzei-chen, Mindestlänge) und einer automatischen Sperrung (z.B. Kennwort, Pausenschaltung und Sperrung von Bildschirmen) kontrolliert und sichergestellt. Es findet eine technische Prüfung der Passwortqualität (Mindestlänge von 8 Zeichen sowie eine Zeichenmischung (Groß-/Kleinschreibung, Zahlen, Sonderzeichen)) statt. Des Weiteren wird die Zugangskontrolle durch eine Passwortrichtlinie, eine Arbeitsanweisung zur Bildschirmsperre und der Aufstellung von Bildschirmen (für Dritte nicht einsehbar) sichergestellt. Interne Systeme sind nur über eine Firewall mit Authentifizierung von extern erreichbar. Externe Datenträger werden verschlüsselt. Extern erreichbare Systeme werden mittels automatischer Sperrmechanismen und Zwei-Faktor-Authentifizierung gesichert. Bei allen eingesetzten SaaS-Lösungen wird falls vorhanden eine Multifaktorauthentifizierung (MFA) eingesetzt.

Zugriffskontrolle

Berechtigungen sind in den IT-Systemen durch differenzierte Berechtigungen (Profile, Gruppen, Berechtigungskonzept) und differenzierte Zugriffe festgelegt. Test- und Produktionsumgebungen sind getrennt. Datenträger werden in schließbaren Schränken aufbewahrt. Veränderungen (bei Austritt aus der Firma) werden dokumentiert, Daten werden erst deaktiviert dann gelöscht. Es werden Verschlüsselungsverfahren nach dem Stand der Technik eingesetzt. Laufwerke der Server-Gehäuse werden verriegelt. Der Zugriff auf IT-Systeme wird gesichert durch ein übergeordnetes Zugriffsschutzsystem, Verschlüsselungsverfahren, Rollenkonzept (es kommt ein Windows Aktive Directory Server zum Einsatz) zur Vergabe der Zugriffsberechtigungen (Umsetzung des Rollenkonzepts in den Verfahren) und einer Vorgehensweise zur Genehmigung, Vergabe und Rücknahme von Zugriffsberechtigungen sowie Speicherfristen bei E-Mails.

Trennungskontrolle

Es findet eine strikte Funktionstrennung zwischen Test- und Produktivumgebung (zwei Datenbanken für Test und Produktivsystem) statt. Es werden Firewalls zur Bildung von Netzwerksegmenten eingesetzt (sog. VLANs). Die Trennungskontrolle wird durch eine Virtuelle Trennung der Daten auf Systemebene, über Zugriffsregelung gemäß Zweckbestimmung des Verfahrens, Speicherung von Kunden- und Personaldaten in getrennten Datenbanken/Tabellen und differenzierte Berechtigungen gewährleistet.

Integrität (Art. 32 Abs. 1 lit. b DS-GVO)

Weitergabekontrolle

Alle Mitarbeiter der HELLMUT RUCK GmbH sind und werden zur Vertraulichkeit verpflichtet. Es werden Verschlüsselungsverfahren nach dem Stand der Technik eingesetzt (soweit erforderlich werden die Daten durch Verschlüsselung/Tunnelverbindung (VPN = Virtual Private Network) geschützt). Es findet eine Protokollierung der VPN Einwahlen statt. Im Rahmen der Weitergabe-kontrolle werden geschlossene Benutzergruppen/Firewalls eingesetzt.

Eingabekontrolle

Die Eingabe von Daten wird in unseren Systemen durch ein Protokollierungssystem (der Benutzer, der den Datensatz zuletzt geändert hat, wird gespeichert) nachverfolgt. Die Aufträge in der Kundenbetreuung und im Service sind Workflow basiert, wobei jeder Einzelschritt mit USER und timestamp protokolliert wird. Die Eingabe von Daten erfolgt anhand der im Berechtigungskonzept (Rollenkonzept) festgelegten Berechtigungen. Die Eingabekontrolle wird durch Plausibilitätskontrollen (Adressprüfung bei Neuanlagen, Adressstämme können bei Vorliegen einer Rechnung nicht gelöscht werden) sichergestellt.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)

Verfügbarkeitskontrolle

Die Daten werden gegen zufällige Zerstörung oder Verlust durch Backup-Systeme (online/offline, on-site/off-site), Spiegeln von Festplatten/Redundante Datenspeicherung (z.B. RAID-Verfahren), Virenschutz/Firewall, E Mail Archivierung und eine getrennte Aufbewahrung geschützt. Die Rechenzentren verfügen über unterbrechungsfreie Stromversorgung (USV), Klimaanlage und getrennte Standorte. Es besteht ein Virenschutz und eine rasche Wiederherstellbarkeit der Daten. Die Verfügbarkeit wird des Weiteren durch die sichere Aufbewahrung der Datensicherungen/Backupmedien und ein Verfahren zum Wiederanlauf (Notfallplan) sichergestellt. Die Datensicherung wird im Dokument P21_01_IT Datenschutz und Datensicherung (Notfallplan) näher beschrieben.

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DS-GVO)

Eine rasche Wiederherstellbarkeit wird durch ein Verfahren zum Wiederanlauf in Form eines Notfallplans sichergestellt. Es wird der jeweils aktuelle Stand der Technik eingesetzt. Für die Wiederherstellung wird die Software Veeam Backup Essentials verwendet.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management

Das Datenschutzmanagement wird durch den Datenschutzbeauftragten umgesetzt. Es umfasst Prozessbeschreibungen und Richtlinien zur Sicherstellung des Datenschutzes. In diesem Zusammenhang werden die Prozesse P20_03 Datenportabilität Datenübertragung und P20_04 Geschützter Druck eingesetzt. Im Rahmen des Datenschutzmanagements werden die internen Prozess fortlaufend überprüft und an die jeweiligen gesetzlichen Rahmenbedingungen angepasst und dokumentiert. Es findet eine jährliche Datenschutzschulung der Mitarbeiter statt. Des Weiteren wurde ein Datenschutzbeauftragter bestellt, welcher regelmäßige Kontrollen durchführt und das Bewusstsein für den Umgang mit Daten fördert.

Incident-Response-Management

Das Incident-Response-Management wird durch die Prozesse P20_02 Verhaltensmaßnahmen bei einer Datenschutzpanne, P20_02-F01 Checkliste Meldung Datenschutzpanne Mitarbeiter und P20_02-F02 Checkliste Meldung Datenschutzpanne Datenschutzbeauftragter sichergestellt.

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Die HELLMUT RUCK GmbH stellt eine Datenschutzfreundliche Voreinstellung sicher. Es werden lediglich diejenigen Daten von den Kunden abgefragt, welche zur Bearbeitung der Kundenbestellungen-/Aufträge erforderlich sind. Die Zugänglichmachung von Daten erfolgt erst nach einer Prüfung der Erforderlichkeit. Des Weiteren werden Kundendaten ohne deren Einwilligung nicht an Dritte weitergegeben. Die RUCK-Webseiten und der RUCK-Onlineshop sind verschlüsselt. Ruck speichert Daten entsprechend den gesetzlichen Vorgaben. Anschließend werden diese gelöscht.

Auftragskontrolle

Ein IT-Sicherheitskonzept ist in Form einer eindeutigen Vertragsgestaltung vorhanden. Es werden schriftliche Verträge mit externen Dienstleistern/Unternehmen (Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO) geschlossen und die Auswahl der externen Dienstleister/Unternehmen erfolgt nach einer Prüfung derer technischen und organisatorischen Maßnahmen.

Anhang IV: Liste der Unterauftragnehmer

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:

Anhang IV: Liste der Unterauftragnehmer

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:

Firma Unterauftragnehmer
Apollon GmbH & Co. KG

Anschrift/Land
Maximilianstraße 104, 75172 Pforzheim

Leistung
Shopintegration

Angaben zu geeigneten Garantien bei Datenübermittlung in ein Drittland
Mitgliedstaat der EU

Firma Unterauftragnehmer
Heroku, Inc.

Anschrift/Land
415 Mission Street Suite 300 San Francisco, CA 94105

Leistung
Hosting in DE

Angaben zu geeigneten Garantien bei Datenübermittlung in ein Drittland
Angemessenheitsbeschluss nach Art. 45 DSGVO (Data Privacy Framework) und Data Privacy Framework-Zertifizierung des Unterauftragnehmers

Standardvertragsklauseln

ABSCHNITT I

Klausel 1: Zweck und Anwendungsbereich

a) Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von [zutreffende Option auswählen]
OPTION 1: [Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)] oder
OPTION 2: [Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates vom 23. Oktober 2018zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG] sichergestellt werden.

b) Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.

c) Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

d) Die Anhänge I bis IV sind Bestandteil der Klauseln.

e) Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

f) Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.

Klausel 2: Unabänderbarkeit der Klauseln

a) Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

Auftragsverarbeitungsvertrag pododesk Seite 10 von 18

b) Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3: Auslegung

a) Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.

c) Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4: Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

Klausel 5 – fakultativ: Kopplungsklausel

a) Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.

b) Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.

c) Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

ABSCHNITT II
PFLICHTEN DER PARTEIEN

Klausel 6: Beschreibung der Verarbeitung

Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7: Pflichten der Parteien

7.1 Weisungen

a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

b) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2 Zweckbindung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3 Dauer der Verarbeitung personenbezogener Daten

Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4 Sicherheit der Verarbeitung

a) Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

b) Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5 Sensible Daten

Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

7.6 Dokumentation und Einhaltung der Klauseln

a) Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b) Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

d) Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

e) Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7 Einsatz von Unterauftragsverarbeitern

a) OPTION 1: VORHERIGE GESONDERTE GENEHMIGUNG: Der Auftragsverarbeiter darf keinen seiner Verarbeitungsvorgänge, die er im Auftrag des Verantwortlichen gemäß diesen Klauseln durchführt, ohne vorherige gesonderte schriftliche Genehmigung des Verantwortlichen an einen Unterauftragsverarbeiter untervergeben. Der Auftragsverarbeiter reicht den Antrag auf die gesonderte Genehmigung mindestens [ZEITRAUM ANGEBEN] vor der Beauftragung des betreffenden Unterauftragsverarbeiters zusammen mit den Informationen ein, die der Verantwortliche benötigt, um über die Genehmigung zu entscheiden. Die Liste der vom Verantwortlichen genehmigten Unterauftragsverarbeiter findet sich in Anhang IV. Die Parteien halten Anhang IV jeweils auf dem neuesten Stand. OPTION 2: ALLGEMEINE SCHRIFTLICHE GENEHMIGUNG: Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens [ZEITRAUM ANGEBEN] im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

c) Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

d) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8 Internationale Datenübermittlungen

a) Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.

b) Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8: Unterstützung des Verantwortlichen

a) Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

b) Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

c) Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

(1) Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

(2) Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz- Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;

(3) Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

(4) Verpflichtungen gemäß
OPTION 1: [Artikel 32 der Verordnung (EU) 2016/679] oder
OPTION 2: [Artikel 33 und Artikel 36 bis 38 der Verordnung (EU) 2018/1725].

d) Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 9: Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1 Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:
a) bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

b) bei der Einholung der folgenden Informationen, die gemäß OPTION 1: [Artikel 33 Absatz 3 der Verordnung (EU) 2016/679] oder OPTION 2: [Artikel 34 Absatz 3 der Verordnung (EU) 2018/1725] in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

(1) die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

(2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

(3) die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
c) bei der Einhaltung der Pflicht gemäß OPTION 1: [Artikel 34 der Verordnung (EU) 2016/679] oder OPTION 2: [Artikel 35 der Verordnung (EU) 2018/1725], die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2 Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

a) eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

b) Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

c) die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.
Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß
OPTION 1: [Artikel 33 und 34 der Verordnung (EU) 2016/679] oder
OPTION 2: [Artikel 34 und 35 der Verordnung (EU) 2018/1725] zu unterstützen.

ABSCHNITT III

SCHLUSSBESTIMMUNGEN

Klausel 10: Verstöße gegen die Klauseln und Beendigung des Vertrags

a) Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

b) Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
(1) der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
(2) der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;
(3) der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.

c) Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

d) Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

Stand: Juli 2024