Handbuch.an Kunden: Im Folgenden als „Kunde“ bezeichnet;
BINDERS MEDIA, eine private Gesellschaft mit beschränkter Haftung(besloten vennootschap met beperkte aansprakelijkheid oder bvba) mit Sitz in der Volmolenstraat 29, 9000 Gent (Belgien) und eingetragen bei der Crossroads Bank for Enterprises(Kruispuntbank van Ondernemingen oder KBO) unter der Unternehmensnummer 0657.817.970, die unter dem Namen „Manual.to“ tätig ist, wird hiermit gesetzlich vertreten durch Jorim Rademaker in seiner Eigenschaft als CEO;
Nachfolgend als „Binders Media“ oder der „Lieferant“ bezeichnet;
Der Kunde und Binders Media/Lieferant werden im Folgenden einzeln als ‚Partei‘ und gemeinsam als die ‚Parteien‘ bezeichnet.
1. Im Zusammenhang mit und zum Zweck der Erbringung der Dienstleistungen mit dem Kunden (der „Vertrag“) werden personenbezogene Daten in Übereinstimmung mit den Bestimmungen des vorliegenden Datenverarbeitungsvertrags (der „Datenverarbeitungsvertrag“) verarbeitet. Eine genauere Beschreibung der Zwecke der Verarbeitung personenbezogener Daten ist in Artikel 3 von Anhang 1 dieses Vertrags enthalten;
2. Der Vertrag macht die Verarbeitung personenbezogener Daten durch den Lieferanten erforderlich; und
3. Dieser Datenverarbeitungsvertrag und seine Anhänge legen die Bedingungen fest, unter denen personenbezogene Daten im Rahmen des Vertrages verarbeitet werden.
ARTIKEL 1 DEFINITIONEN
Für die Zwecke dieser Datenverarbeitungsvereinbarung haben die folgenden Begriffe die folgenden Bedeutungen. Im Falle von Zweifeln oder Unterschieden zu den in der Datenschutzgesetzgebung definierten Begriffen sind die in der entsprechenden Datenschutzgesetzgebung festgelegten Definitionen maßgebend.
| „Kontaktperson“ | bezeichnet die von einer Partei zugewiesene(n) und der anderen Partei mitgeteilte(n) Person(en) als Ansprechpartner und Vertreter der Partei für (einen Teil) der Dienstleistungen. |
| „Datenverantwortlicher“ | ist die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. |
| „Datenverarbeiter“ | bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. |
| „Gesetzgebung zum Datenschutz“ | bezeichnet die Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) sowie die sich aus dieser Richtlinie oder Verordnung ergebenden Verhaltenskodizes, regulatorischen Leitlinien und Standardklauseln sowie andere damit zusammenhängende Rechtsvorschriften in ihrer jeweils aktuellen Fassung. |
| „Betroffene Person“ | ist eine identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen. Als identifizierbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind. Die relevanten Kategorien von betroffenen Personen sind in Anhang 1 aufgeführt. |
| „Persönliche Daten“ | bezeichnet alle Informationen, die sich auf eine betroffene Person beziehen. Die relevanten Kategorien personenbezogener Daten, die dem Anbieter vom Kunden oder im Namen des Kunden zur Verfügung gestellt werden, sind in Anhang 1 aufgeführt; |
| „Verletzung des Datenschutzes“ | bezeichnet eine Verletzung der Sicherheit, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum Zugriff auf personenbezogene Daten führt, die im Zusammenhang mit der Bereitstellung der Dienste übermittelt, gespeichert oder anderweitig verarbeitet werden. |
| „Verarbeitung“, „Verarbeitet(e)“ oder „Verarbeitet“ | bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten oder einer Reihe personenbezogener Daten durchgeführt werden, unabhängig davon, ob dies mit automatischen Mitteln geschieht oder nicht, wie z. B. das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Kombination, die Einschränkung, das Löschen oder die Vernichtung. |
| „Dienstleistungen“ | bezeichnet alle Dienstleistungen, Funktionen, Verantwortlichkeiten und Ergebnisse des Lieferanten, wie im Vertrag beschrieben. |
| „Standardvertragsklauseln“ | bezeichnet die Standardvertragsklauseln, bei denen die Europäische Kommission auf der Grundlage von Artikel 26 Absatz 4 der Richtlinie 95/46/EG entschieden hat, dass sie ausreichende Garantien für die Übermittlung personenbezogener Daten in ein Drittland bieten, oder die Datenschutzklauseln, die von der Europäischen Kommission oder einer Aufsichtsbehörde angenommen und von der Europäischen Kommission gemäß dem in Artikel 93 Absatz 2 der Verordnung (EU) 2016/679 genannten Prüfverfahren genehmigt wurden. Falls solche Datenschutzklauseln gemäß der EU-Verordnung 2016/679 angenommen werden, haben diese Klauseln Vorrang vor Standardvertragsklauseln, die auf der Grundlage der Richtlinie 95/46/EG angenommen wurden, soweit sie dieselbe Art von Datenübermittlungsbeziehung abdecken sollen. |
| „Sub-Prozessor“ | bezeichnet jeden Unterauftragnehmer, den der Lieferant mit der Erbringung eines Teils der Dienstleistungen beauftragt und der sich bereit erklärt, personenbezogene Daten, die zur Verarbeitung im Namen des Kunden bestimmt sind, gemäß den Anweisungen des Kunden und den Bestimmungen des Vertrags entgegenzunehmen. |
ARTIKEL 2 AUSLEGUNG
2.1 Diese Datenverarbeitungsvereinbarung ist ein wesentlicher Bestandteil des Vertrags. Die Bestimmungen des Vertrages gelten daher auch für diesen Datenverarbeitungsvertrag. Alle großgeschriebenen Begriffe, die in dieser Datenverarbeitungsvereinbarung nicht definiert sind, haben die in der Vereinbarung festgelegte Bedeutung.
2.2 Im Falle eines Widerspruchs zwischen einer Bestimmung in dieser Datenverarbeitungsvereinbarung und einer Bestimmung eines anderen Teils der Vereinbarung hat diese Datenverarbeitungsvereinbarung Vorrang.
ARTIKEL 3 ANWENDUNGSBEREICH UND ZWECK
Im Zusammenhang mit und zum Zweck der Erbringung der vertragsgegenständlichen Dienstleistungen beauftragt der Kunde den Lieferanten mit der Verarbeitung personenbezogener Daten gemäß den Bestimmungen der vorliegenden Datenverarbeitungsvereinbarung.
ARTIKEL 4 SPEZIFIKATION DER DATENVERARBEITUNG
4.1. Jede Verarbeitung personenbezogener Daten im Rahmen des Vertrags erfolgt in Übereinstimmung mit den geltenden Datenschutzgesetzen.
4.2 Bei der Erbringung der Dienstleistungen ist der Anbieter ein Datenverarbeiter, der im Auftrag des Kunden handelt. Als Datenverarbeiter wird der Lieferant nur auf Anweisung des Kunden handeln. Der Vertrag, einschließlich dieses Datenverarbeitungsvertrags, ist die vollständige Anweisung des Kunden an den Lieferanten in Bezug auf die Verarbeitung personenbezogener Daten. Alle zusätzlichen oder abweichenden Anweisungen müssen von den Parteien gemeinsam schriftlich vereinbart werden. Folgendes gilt als Anweisung des Anbieters zur Verarbeitung personenbezogener Daten: (1) die Verarbeitung in Übereinstimmung mit dem Vertrag und (2) die Verarbeitung, die von den Nutzern des Kunden im Rahmen ihrer Nutzung der Dienste veranlasst wird.
4.3 Eine detailliertere Beschreibung des Gegenstands der Verarbeitung personenbezogener Daten im Hinblick auf die betroffenen Kategorien personenbezogener Daten und der betroffenen Personen (geplante Verarbeitung personenbezogener Daten) ist in Anhang 1 enthalten.
ARTIKEL 5 RECHTE DER BETROFFENEN PERSONEN
5.1. Im Hinblick auf den Schutz der Rechte der betroffenen Personen gemäß den anwendbaren Datenschutzgesetzen erleichtert der Kunde die Ausübung der Rechte der betroffenen Personen und stellt sicher, dass die betroffenen Personen in prägnanter, transparenter, verständlicher und leicht zugänglicher Form unter Verwendung einer klaren und einfachen Sprache angemessen über die Verarbeitung im Rahmen dieser Vereinbarung informiert werden.
5.2. Sollte sich eine betroffene Person direkt an den Lieferanten wenden, um ihre individuellen Rechte auszuüben, wie z.B. eine Kopie, Korrektur oder Löschung ihrer Daten zu verlangen oder die Verarbeitung einzuschränken oder ihr zu widersprechen, wird der Lieferant den Kunden innerhalb einer angemessenen Frist von höchstens einem (1) Monat nach der Anfrage über diese Anfrage informieren und dem Kunden alle Einzelheiten dazu mitteilen, gegebenenfalls zusammen mit einer Kopie der personenbezogenen Daten, die er in Bezug auf die betroffene Person besitzt. Der Lieferant wird die betroffene Person unverzüglich an den Kunden verweisen. Zur Unterstützung des Vorstehenden kann der Lieferant dem Anfragenden die grundlegenden Kontaktinformationen des Kunden zur Verfügung stellen. Der Kunde erklärt sich damit einverstanden, auf jede derartige Anfrage einer betroffenen Person in Übereinstimmung mit den Bestimmungen der geltenden Datenschutzgesetze zu antworten und diese zu erfüllen.
5.3 Soweit dies möglich ist, wird der Lieferant mit dem Kunden zusammenarbeiten und ihn durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Verpflichtung unterstützen, auf Anfragen von betroffenen Personen, die ihre Rechte wahrnehmen, zu antworten.
ARTIKEL 6 ABFRAGE UND BERICHTIGUNG VON PERSONENBEZOGENEN DATEN
Der Lieferant (Datenverarbeiter) gewährt dem Kunden (Datenverantwortlicher) Zugang zu den im Rahmen des Vertrags verarbeiteten personenbezogenen Daten, um dem Kunden die Einsichtnahme und Korrektur dieser personenbezogenen Daten zu ermöglichen.
ARTIKEL 7 OFFENLEGUNG
7.1. Der Lieferant darf personenbezogene Daten nicht an Dritte weitergeben, es sei denn, er stellt fest, dass der Schutz und die Vertraulichkeit der Daten in Übereinstimmung mit der DSGVO gewährleistet sind und eine solche Weitergabe im Rahmen des Vertrags erforderlich sein kann. Der Lieferant ist außerdem befugt, die personenbezogenen Daten (1) auf der Grundlage der Anweisungen des Kunden, (2) wie im Vertrag festgelegt, (3) wie für die Verarbeitung durch autorisierte Unterauftragnehmer gemäß Artikel 10 erforderlich oder (4) wie gesetzlich vorgeschrieben weiterzugeben. In diesem Fall informiert der Lieferant den Kunden vor der Verarbeitung dieser personenbezogenen Daten über diese gesetzliche Anforderung, es sei denn, das Gesetz verbietet die Weitergabe dieser Informationen aus wichtigen Gründen des öffentlichen Interesses.
7.2 Der Lieferant sichert zu und gewährleistet, dass Personen, die im Namen des Lieferanten handeln und zur Verarbeitung personenbezogener Daten oder zur Unterstützung und Verwaltung der Systeme, die personenbezogene Daten verarbeiten, befugt sind, (i) sich verpflichtet haben, die Sicherheit und Vertraulichkeit personenbezogener Daten gemäß den Bestimmungen dieser Datenverarbeitungsvereinbarung aufrechtzuerhalten, (ii) beim Zugriff auf personenbezogene Daten einer Benutzerauthentifizierung und einem Anmeldeverfahren unterliegen und (iii) eine angemessene Schulung in Bezug auf die Datenschutzgesetzgebung absolviert haben. Der Lieferant informiert die in seinem Auftrag handelnden Personen über die geltenden Anforderungen und stellt deren Einhaltung durch vertragliche oder gesetzliche Geheimhaltungsverpflichtungen sicher.
ARTIKEL 8 LÖSCHUNG UND RÜCKGABE VON PERSÖNLICHEN DATEN
8.1. Spätestens innerhalb von 30 Tagen nach Beendigung des Vertrages bereinigt oder vernichtet der Lieferant alle von ihm gespeicherten personenbezogenen Daten auf eine sichere Weise, die sicherstellt, dass alle personenbezogenen Daten gelöscht und nicht wiederherstellbar sind. Daten, die zur Überprüfung der ordnungsgemäßen Datenverarbeitung in Übereinstimmung mit dem Auftrag verwendet werden, und Daten, die aufbewahrt werden müssen, um die einschlägigen gesetzlichen und behördlichen Aufbewahrungspflichten zu erfüllen, dürfen vom Lieferanten nur so lange aufbewahrt werden, wie es die entsprechenden Gesetze oder Vorschriften vorschreiben, auch über die Beendigung oder das Auslaufen des Vertrags hinaus.
8.1 Auf schriftlichen Antrag des Kunden, der spätestens vierzehn (14) Kalendertage vor Beendigung des Vertrags eingereicht werden muss, stellt der Lieferant dem Kunden eine lesbare und nutzbare Kopie der personenbezogenen Daten und/oder der Systeme, die personenbezogene Daten enthalten, vor der Bereinigung oder Vernichtung zur Verfügung.
ARTIKEL 9 ORT DER VERARBEITUNG
9.1. Der Lieferant speichert personenbezogene Daten auf dem Gebiet der Europäischen Union.
9.2 Jegliche Verarbeitung personenbezogener Daten durch Mitarbeiter oder Unterauftragnehmer des Lieferanten, die nicht in der Europäischen Union ansässig sind, darf nur erfolgen, wenn die Einrichtung, mit der die Daten ausgetauscht werden, in einem Angemessenheitsbeschluss aufgeführt ist, oder andernfalls nach vorheriger schriftlicher Zustimmung des Kunden und der Durchführung eines der dann gesetzlich anerkannten Datenübertragungsmechanismen, wie z.B. einer zusätzlichen Datenverarbeitungsvereinbarung, die den Standardvertragsklauseln unterliegt.
ARTIKEL 10 EINSATZ VON UNTERAUFTRAGSVERARBEITERN
10.1. Der Kunde nimmt zur Kenntnis und erklärt sich ausdrücklich damit einverstanden, dass der Anbieter für die Erbringung der Dienstleistungen, wie im Vertrag beschrieben, Unterauftragsverarbeiter von Dritten einsetzt.
10.2. Solche Unterauftragsverarbeiter, die Dienstleistungen für den Lieferanten erbringen und dabei personenbezogene Daten verarbeiten, dürfen personenbezogene Daten nur verarbeiten, um die Dienstleistungen zu erbringen, mit denen der Lieferant sie betraut hat, und es ist ihnen untersagt, diese personenbezogenen Daten für andere Zwecke zu verarbeiten. Der Lieferant bleibt in vollem Umfang dafür verantwortlich, dass ein solcher Unterauftragsverarbeiter die Verpflichtungen des Lieferanten aus dem Vertrag, einschließlich der vorliegenden Datenverarbeitungsvereinbarung, einhält. Der Lieferant führt vor der Beauftragung eines solchen Unterauftragsverarbeiters eine entsprechende Due-Diligence-Prüfung des Unterauftragsverarbeiters durch, um festzustellen, ob dieser in der Lage ist, das in dieser Datenverarbeitungsvereinbarung geforderte Schutzniveau für die personenbezogenen Daten zu gewährleisten, und legt dem Kunden auf Verlangen des Kunden oder einer Aufsichtsbehörde einen Nachweis über diese Due-Diligence-Prüfung vor.
10.3. Der Lieferant schließt mit jedem dieser Unterauftragsverarbeiter schriftliche Vereinbarungen ab, die Verpflichtungen enthalten, die nicht weniger schützend sind als die in dieser Datenverarbeitungsvereinbarung enthaltenen, einschließlich der Verpflichtungen, die durch die Standardvertragsklauseln auferlegt werden, soweit anwendbar.
10.4. Der Lieferant stellt dem Kunden die aktuelle Liste der Unterauftragsverarbeiter für die in Anhang 2 dieses Vertrags genannten Dienstleistungen zur Verfügung. Diese Liste der Unterauftragsverarbeiter muss die Identität dieser Unterauftragsverarbeiter und das Land, in dem sie ansässig sind, enthalten. Der Anbieter informiert den Kunden über einen neuen Unterauftragsverarbeiter, bevor er einen oder mehrere neue Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Zusammenhang mit der Erbringung der Dienstleistungen gemäß diesem Vertrag beauftragt.
10.5. Wenn der Kunde dem Einsatz eines neuen Unterauftragsverarbeiters, der die personenbezogenen Daten des Kunden verarbeitet, widerspricht, muss der Kunde den Anbieter innerhalb von einundzwanzig (21) Kalendertagen nach Erhalt einer entsprechenden schriftlichen Aufforderung des Anbieters schriftlich darüber informieren. In einem solchen Fall wird sich der Anbieter in angemessener Weise bemühen, die betroffenen Dienste zu ändern oder dem Kunden eine wirtschaftlich angemessene Änderung der Nutzung der betroffenen Dienste zu empfehlen, um die Verarbeitung personenbezogener Daten durch den betreffenden Unterauftragsverarbeiter zu vermeiden.
ARTIKEL 11 TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
11.1. Der Lieferant hat angemessene technische und organisatorische Maßnahmen ergriffen und wird diese beibehalten, um personenbezogene Daten oder die Systeme, die personenbezogene Daten verarbeiten, vor versehentlichem, unbefugtem oder unrechtmäßigem Zugriff, Offenlegung, Änderung, Verlust oder Zerstörung zu schützen. Diese Maßnahmen müssen dem Stand der Technik, der Art, dem Umfang, dem Kontext und den Zwecken der Verarbeitung sowie dem Schadensrisiko, das sich aus einer unbefugten oder unrechtmäßigen Verarbeitung oder einem versehentlichen Verlust, einer versehentlichen Zerstörung oder Beschädigung personenbezogener Daten ergeben könnte, Rechnung tragen und angemessen sein. Diese Maßnahmen umfassen die folgenden Maßnahmen:
– die Verhinderung des Zugangs von Unbefugten zu Systemen, die personenbezogene Daten verarbeiten (physische Zugangskontrolle)
– die Verhinderung der unbefugten Nutzung von Systemen, die personenbezogene Daten verarbeiten (logische Zugriffskontrolle)
– Sicherstellung, dass Personen, die berechtigt sind, ein System zur Verarbeitung personenbezogener Daten zu nutzen, nur auf die personenbezogenen Daten zugreifen können, zu denen sie gemäß ihren Zugriffsrechten berechtigt sind, und dass personenbezogene Daten im Rahmen der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Datenzugriffskontrolle)
– Sicherstellung, dass personenbezogene Daten während der elektronischen Übermittlung, des Transports oder der Speicherung auf Speichermedien nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass die Zielstellen für jede Übermittlung personenbezogener Daten mit Hilfe von Datenübertragungseinrichtungen festgestellt und überprüft werden können (Datenübertragungskontrolle)
– Sicherstellung der Einrichtung eines Prüfpfads, um zu dokumentieren, ob und von wem personenbezogene Daten in Systeme eingegeben, geändert oder aus ihnen entfernt wurden, die personenbezogene Daten verarbeiten (Eingabekontrolle)
– Sicherstellung, dass die verarbeiteten personenbezogenen Daten ausschließlich gemäß den Anweisungen verarbeitet werden (Kontrolle der Anweisungen)
– Sicherstellung, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)
– Sicherstellung, dass für unterschiedliche Zwecke erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennungskontrolle)
11.2 Die derzeitigen technischen und organisatorischen Maßnahmen sind in Anhang 3 dieses Datenverarbeitungsvertrags beschrieben. Der Lieferant passt diese Maßnahmen systematisch an die Entwicklung der Vorschriften, der Technologie und anderer Aspekte an und ergänzt sie gegebenenfalls durch die geltenden technischen und organisatorischen Maßnahmen der Unterauftragsverarbeiter. In jedem Fall müssen die getroffenen technischen und organisatorischen Maßnahmen ein Sicherheitsniveau gewährleisten, das den mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden personenbezogenen Daten angemessen ist, wobei auch der Stand der Technik und die Kosten für ihre Umsetzung zu berücksichtigen sind.
11.3 Auf Anfrage des Kunden muss der Lieferant dem Kunden innerhalb von vierzehn (14) Kalendertagen nach Eingang der Anfrage des Kunden beim Lieferanten eine aktualisierte Beschreibung der implementierten technischen und organisatorischen Schutzmaßnahmen vorlegen. Ein ISAE3402 Typ II-Bericht und/oder andere ähnliche Zertifizierungen können zur Beschreibung und zum Nachweis der Konformität der implementierten technischen und organisatorischen Maßnahmen verwendet werden.
ARTIKEL 12 VERLETZUNGEN PERSONENBEZOGENER DATEN
12.1. Im Falle einer (wahrscheinlichen oder bekannten) Verletzung des Schutzes personenbezogener Daten und unabhängig von deren Ursache benachrichtigt der Lieferant den Kunden unverzüglich, spätestens jedoch innerhalb von achtundvierzig Stunden, nachdem er von der Verletzung des Schutzes personenbezogener Daten (bzw. der Wahrscheinlichkeit oder dem Auftreten einer solchen Verletzung) Kenntnis erlangt hat, und stellt dem Kunden ausreichende Informationen und einen Zeitrahmen zur Verfügung, der es dem Kunden ermöglicht, seinen Verpflichtungen zur Meldung einer Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachzukommen. Die Benachrichtigung wird an die für den Datenschutz zuständige Kontaktperson des Kunden gesendet:
Eine solche Benachrichtigung muss mindestens folgende Angaben enthalten
– die Art des Verstoßes gegen den Schutz personenbezogener Daten;
– die Art oder den Typ der personenbezogenen Daten, die von dem Verstoß gegen den Schutz personenbezogener Daten betroffen sind, sowie die Kategorien und die Anzahl der betroffenen Personen;
– die wahrscheinlichen Folgen des Verstoßes gegen den Schutz personenbezogener Daten;-
– gegebenenfalls die ergriffenen oder vorgeschlagenen Abhilfemaßnahmen, um die Auswirkungen des Verstoßes gegen den Schutz personenbezogener Daten zu mildern und den Schaden zu minimieren;
– die Identität und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson, von der Sie weitere Informationen erhalten können.
12.2 Der Lieferant wird die Verletzung des Schutzes personenbezogener Daten unverzüglich weiter untersuchen und den Kunden über den Fortgang der Untersuchung auf dem Laufenden halten sowie angemessene Schritte zur weiteren Minimierung der Auswirkungen unternehmen. Beide Parteien verpflichten sich, bei einer solchen Untersuchung in vollem Umfang zu kooperieren und sich gegenseitig bei der Einhaltung von Meldepflichten und -verfahren zu unterstützen.
12.3 Die Verpflichtung einer Partei, eine Verletzung des Schutzes personenbezogener Daten zu melden oder darauf zu reagieren, ist nicht als Anerkenntnis eines Verschuldens oder einer Haftung dieser Partei in Bezug auf die Verletzung des Schutzes personenbezogener Daten auszulegen.
ARTIKEL 13 VERANTWORTLICHKEITEN DES KUNDEN
13.1 Der Kunde ist verpflichtet, alle geltenden Gesetze und Vorschriften einzuhalten, einschließlich der Datenschutzgesetze.
13.2. Der Kunde bleibt für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten verantwortlich, einschließlich, soweit erforderlich, der Einholung der Zustimmung der betroffenen Personen zur Verarbeitung ihrer personenbezogenen Daten.
13.3. Der Kunde ergreift angemessene Maßnahmen, um die persönlichen Daten auf dem neuesten Stand zu halten, um sicherzustellen, dass die Daten im Hinblick auf die Zwecke, für die sie erhoben werden, nicht unrichtig oder unvollständig sind.
13.4. In Bezug auf Komponenten, die der Kunde bereitstellt oder kontrolliert, einschließlich, aber nicht beschränkt auf Workstations, die mit den Diensten verbunden sind, verwendete Datenübertragungsmechanismen und an das Personal des Kunden ausgegebene Berechtigungsnachweise, muss der Kunde die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten umsetzen und aufrechterhalten.
ARTIKEL 14 NOTIFIKATIONEN
14.1. Sofern dies nicht gesetzlich verboten ist, informiert der Lieferant den Kunden so schnell wie möglich, spätestens jedoch innerhalb von zwei (2) Werktagen nach Kenntnisnahme der relevanten Umstände, wenn er oder einer seiner Unterauftragsverarbeiter dies tut:
14.1.1. eine Anfrage, eine Vorladung oder ein Ersuchen um Inspektion oder Prüfung von einer zuständigen öffentlichen Behörde in Bezug auf die Verarbeitung erhält;
14.1.2. die Absicht hat, personenbezogene Daten an eine zuständige Behörde außerhalb des Leistungsumfangs des Vertrags weiterzugeben. Auf Anfrage des Kunden stellt der Lieferant dem Kunden eine Kopie der an die zuständige Behörde gelieferten Dokumente zur Verfügung;
14.1.3. eine Anweisung erhält, die gegen die Datenschutzgesetze oder die Verpflichtungen aus dieser Vereinbarung zur Datenverarbeitung verstößt;
14.2. In diesem Zusammenhang kooperiert der Lieferant auf Wunsch des Kunden, damit dieser jeder Bewertung, Anfrage, Mitteilung oder Untersuchung im Rahmen der Datenschutzgesetzgebung nachkommen kann, wozu auch die Bereitstellung von Informationen gehört:
14.2.1. alle vom Kunden angeforderten Daten (die dem Kunden nicht anderweitig zur Verfügung stehen) innerhalb des vom Kunden jeweils angegebenen angemessenen Zeitrahmens, einschließlich aller Einzelheiten und Kopien der Beschwerde, Mitteilung oder Anfrage und aller personenbezogenen Daten, die er in Bezug auf die betreffende(n) betroffene(n) Person(en) besitzt; und
14.2.2. gegebenenfalls die vom Kunden in angemessener Weise angeforderte Unterstützung, um den Kunden in die Lage zu versetzen, der entsprechenden Anfrage innerhalb der gesetzlich vorgeschriebenen Fristen für den Datenschutz nachzukommen.
14.3. Jede Benachrichtigung im Rahmen dieser Datenverarbeitungsvereinbarung, einschließlich einer Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten, wird einer oder mehreren Kontaktpersonen des Kunden per E-Mail zugestellt, möglicherweise ergänzt durch andere Mittel, die der Lieferant auswählt. Auf Anfrage des Kunden stellt der Anbieter dem Kunden eine Übersicht über die Kontaktdaten der registrierten Ansprechpartner des Kunden zur Verfügung. Es liegt in der alleinigen Verantwortung des Kunden, Änderungen der Kontaktdaten rechtzeitig mitzuteilen und sicherzustellen, dass die Kontaktpersonen des Kunden korrekte Kontaktdaten haben.
ARTIKEL 15 LAUFZEIT UND BEENDIGUNG
Diese Datenverarbeitungsvereinbarung tritt am Tag ihrer Unterzeichnung durch alle Parteien in Kraft und bleibt in Kraft, bis die Verarbeitung personenbezogener Daten durch den Lieferanten im Rahmen oder gemäß der Vereinbarung nicht mehr erforderlich ist.
ANHANG 1 – EINZELHEITEN ZUR VERARBEITUNG PERSONENBEZOGENER DATEN;
ANHANG 2 – LISTE DER AKTUELLEN UNTERVERARBEITER; und
ANHANG 3 – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN.
ANHANG 1 – EINZELHEITEN ZUR VERARBEITUNG PERSONENBEZOGENER DATEN
1. Daten Subjekte
Angestellte, Auftragnehmer, Vertreter, Händler, Lieferanten und andere Mitarbeiter des Kunden sowie andere Leser der Inhalte des Kunden.
2. Kategorien von persönlichen Daten
Der Lieferant kann (eine Teilmenge) der folgenden Kategorien von personenbezogenen Daten verarbeiten:
– E-Mail Adresse
Optional (also vom Anbieter nicht verlangt und nur anwendbar, wenn der Kunde oder eine natürliche Person sich dafür entscheidet, diese auszufüllen):
– Vorname
– Nachname
– Geburtstag
– Zweiter Vorname
– Stadt + Postleitzahl
– Land
– Straße + Hausnummer
– Berufsbezeichnung
– Abteilung
– Telefonnummer
– Sprachpräferenzen
3. Zwecke der Verarbeitung von personenbezogenen Daten
Personenbezogene Daten werden zum Zweck der Erbringung der Dienstleistungen im Rahmen der Vereinbarung verarbeitet, einschließlich der folgenden Zwecke:
– Bereitstellung und Sicherung des Zugangs zur Plattform
– Bereitstellung von statistischen Analysen der Nutzung der Plattform
ANHANG 2 – LISTE DER AKTUELLEN UNTERVERARBEITER
| Sub-Prozessor | Entitätstyp |
| Analytik – Antrieb | |
| Microsoft Azure | Anbieter von Cloud-Diensten |
| Bitbucket | Hosting-Dienst für Quellcode-Repositorys |
| BrowserStack | Browser-Testprogramm |
| Gegensprechanlage | Support-Chat in der App |
| Hubspot | Werkzeug zur Verwaltung von Kundenbeziehungen |
ANHANG 3 – TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
Zugangskontrollen
Alle Daten auf der Plattform sind durch Zugriffskontrollen geschützt, die nach dem Prinzip der geringsten Privilegien funktionieren und den besten Praktiken der Branche entsprechen. Die Daten der Kunden sind nur für Personen sichtbar, denen ausdrücklich Zugang gewährt wurde. Dieser Zugriff kann jederzeit widerrufen werden.
– Alle Benutzer sind individuell identifizierbar.
– Passwortverfahren zur Durchsetzung von Passwortrichtlinien.
– Firewall-Schutz.
– Überprüfung der Benutzeraktivitäten auf der Plattform.
– Alle Server werden in sicheren Rechenzentren gehostet, die regelmäßig auf ihre Sicherheit geprüft werden(https://azure.microsoft.com/en-us/overview/trusted-cloud/compliance/).
– Alle Server sind vom Internet abgeschirmt und erlauben nur den Zugriff auf bestimmte Ports von einem einzigen Zugangspunkt aus.
Verschlüsselung
Alle Daten auf der Plattform sind verschlüsselt, sowohl während des Flugs als auch im Ruhezustand. Alle Daten während des Fluges werden mit TLS verschlüsselt. Die verwendeten Cipher Suites entsprechen den besten Praktiken der Branche.
Daten im Ruhezustand werden mit Azure Storage Service Encryption(https://docs.microsoft.com/en-us/azure/storage/common/storage-service-encryption) verschlüsselt.
Backup-Richtlinie
Datenschutz ist eines unserer wichtigsten Anliegen. Wir schützen die Daten unserer Kunden, indem wir in unserem gesamten Stack (Infrastruktur-Datenbank-Objektspeicher) die besten Praktiken der Branche anwenden.
Kontrolle der Verarbeitung
Die Daten des Kunden werden mindestens mit der gleichen Sorgfalt behandelt wie die eigenen „vertraulichen“ Daten des Auftragsverarbeiters;
Kontrolle der Vertragsausführung (einschließlich der Kontrolle von Teilprozessen des Prozessors).
Richtlinien und Verfahrensweisen
Wir haben klare Datenschutzgrundsätze, -verfahren und -richtlinien festgelegt, um den ordnungsgemäßen Umgang mit personenbezogenen Daten sicherzustellen. Regelmäßige Schulungen halten unsere Mitarbeiter auf dem Laufenden und fördern eine datenschutzbewusste Kultur.
Mitarbeiterschulung
Regelmäßige Schulungsprogramme sensibilisieren die Mitarbeiter für die Grundsätze der DSGVO, die Reaktion auf Datenschutzverletzungen und den richtigen Umgang mit Daten und verringern so das Risiko von Datenschutzverletzungen.
Datenschutzbeauftragter (DSB)
Ein designierter DSB überwacht die Einhaltung der Vorschriften und fungiert als Ansprechpartner für Datenschutzfragen
Management von Zwischenfällen
Ein Plan sorgt für eine schnelle Reaktion auf Datensicherheitsvorfälle und eine ordnungsgemäße Berichterstattung an die Behörden und die betroffenen Personen.
Vertragsmanagement
Verträge mit Drittanbietern schreiben die Einhaltung der DSGVO vor und schützen die Rechte der betroffenen Personen während der gesamten Datenverarbeitung.