Data Processing Agreement
Entsprechend den Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (im Folgenden: „DSGVO“), schließen der Anbieter (nachfolgend „Auftragsverarbeiter“ genannt) und Sie (im Folgenden: „Datenverantwortlicher“) ein Auftragsverarbeitungsvertrag zur Festlegung der Bedingungen für die Verarbeitung personenbezogener Daten, der Methoden zum Schutz dieser Daten sowie zur Festlegung anderer Rechte und Pflichten der beiden Parteien bei der Verarbeitung personenbezogener Daten von betroffenen Personen durch den Datenverantwortlichen, die während der Ausführung des Gegenstands dieser Bedingungen als Hauptvertrag entstehen.
1. Verarbeitung personenbezogener Daten. Die nach diesen Bedingungen erbrachten Dienste umfassen die Verarbeitung personenbezogener Daten einer identifizierten oder identifizierbaren natürlichen Person gemäß der Datenschutzerklärung (im Folgenden: „personenbezogene Daten“).
2. Autorisierung. Der Datenverantwortliche autorisiert den Auftragsverarbeiter, personenbezogene Daten zu verarbeiten, einschließlich der folgenden Anweisungen:
(i) der „Verarbeitungszweck“ bezeichnet die Erbringung von Diensten in Übereinstimmung mit diesen Bedingungen. Der Auftragsverarbeiter darf die personenbezogenen Daten im Namen des Datenverantwortlichen nur für die Erbringung der vom Datenverantwortlichen angeforderten Dienste verarbeiten. Alle zu anderen Zwecken erfassten Daten werden nicht im Rahmen der vertraglichen Beziehung zwischen Datenverantwortlichem und Auftragsverarbeiter verarbeitet.
(ii) die Verarbeitungszeit bezeichnet den Zeitraum vom Beginn der Zusammenarbeit unter diesen Bedingungen bis zur Beendigung der Dienste,
(iii) Umfang und Kategorien der personenbezogenen Daten beinhalten die allgemeinen personenbezogenen Daten und schließen alle besonderen Kategorien von personenbezogenen Daten aus,
(iv) „betroffene Person“ bezeichnet eine natürliche Person, die auf die Geräte des Datenverantwortlichen als autorisierter Benutzer zugreift,
(v) als Verarbeitungsvorgänge werden alle für die Verarbeitung erforderlichen Vorgänge bezeichnet,
(vi) „dokumentierte Anweisungen“ bezeichnet Anweisungen, die in diesen Bedingungen, deren Anhängen, der Datenschutzerklärung und der Servicedokumentation aufgeführt sind. Der Datenverantwortliche ist für die gesetzliche Zulässigkeit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Hinblick auf geltende Datenschutzgesetze verantwortlich.
3. Pflichten des Auftragsverarbeiters. Der Auftragsverarbeiter ist verpflichtet:
(i) personenbezogene Daten ausschließlich im Rahmen der dokumentierten Anweisungen und zu den in den Bedingungen, deren Anhängen, der Datenschutzerklärung und der Servicedokumentation zu verarbeiten,
(ii) dafür zu sorgen, dass die zur Verarbeitung von personenbezogenen Daten autorisierten Personen zur Vertraulichkeit verpflichtet sind,
(iii) die in den Bedingungen, deren Anhängen, der Datenschutzerklärung und der Servicedokumentation beschriebenen Maßnahmen zu implementieren und zu befolgen,
(iv) den Datenverantwortlichen zu unterstützen, indem Anfragen von betroffenen Personen im Hinblick auf deren Rechte beantwortet werden. Der Datenverantwortliche wird ohne ausdrückliche Anweisung vom Auftragsverarbeiter keine personenbezogenen Daten korrigieren, löschen oder deren Verarbeitung einschränken. Alle Anfragen von betroffenen Personen im Hinblick auf personenbezogene Daten, die im Namen des Datenverantwortlichen verarbeitet werden, müssen unverzüglich weitergeleitet werden.
(v) den Datenverantwortlichen zu unterstützen, indem Verletzungen des Schutzes personenbezogener Daten an zuständige Behörden und die betroffenen Personen gemeldet werden,
(vi) alle personenbezogenen Daten nach Ablauf des Verarbeitungszeitraums zu löschen oder an den Datenverantwortlichen zurückzugeben,
(vii) Ein aktuelles Verzeichnis über alle Kategorien von Verarbeitungstätigkeiten zu führen, die der Auftragsverarbeiter im Auftrag des Datenverantwortlichen durchgeführt hat.
(vii) dem Datenverantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung gemäß diesen Bedingungen, ihren Anhängen, der Datenschutzerklärung und der Servicedokumentation nachweisen zu können.
4. Beauftragung eines anderen Auftragsverarbeiters. Der Auftragsverarbeiter ist berechtigt, in Übereinstimmung mit den Bedingungen, ihren Anhängen, der Datenschutzerklärung und der Servicedokumentation einen weiteren Auftragsverarbeiter mit der Durchführung spezifischer Verarbeitungstätigkeiten wie der Bereitstellung von Cloud-Speichern und Infrastruktur für den Service zu beauftragen. Microsoft bietet momentan Cloud-Speicher und Infrastruktur im Rahmen des Azure-Cloud-Diensts an. Auch in diesem Fall bleibt der Auftragsverarbeiter der alleinige Ansprechpartner und die für die Einhaltung verantwortliche Partei.
5. Verarbeitungsgebiet. Der Auftragsverarbeiter bemüht sich nach besten Kräften sicherzustellen, dass die Verarbeitung im Europäischen Wirtschaftsraum oder in einem Land stattfindet, das durch eine Entscheidung der Europäischen Kommission und auf Beschluss des Verantwortlichen als sicher eingestuft wurde. Bei Übertragungen und Verarbeitungen außerhalb des Europäischen Wirtschaftsraums oder eines Landes, das durch Entscheidung der Europäischen Kommission als sicher eingestuft wurde, auf Anfrage des Datenverantwortlichen, gelten die Standardvertragsklauseln.
6. Sicherheit. Der Auftragsverarbeiter ist nach ISO 27001:2013 zertifiziert und verwendet das ISO 27001-Rahmenwerk zur Umsetzung einer mehrstufigen Sicherheitsstrategie bei der Durchführung von Sicherheitskontrollen in den Bereichen Netzwerk, Betriebssysteme, Datenbanken, Anwendungen, Personal- und Betriebsprozesse. Die Einhaltung der regulatorischen und vertraglichen Anforderungen wird, ebenso wie andere Infrastrukturen und Vorgänge des Auftragsverarbeiters, regelmäßig bewertet und überprüft, und es werden die notwendigen Schritte eingeleitet, um die Einhaltung der Vorschriften kontinuierlich sicherzustellen. Der Auftragsverarbeiter hat den Schutz der Daten mit ISMS auf Basis von ISO 27001 gewährleistet. Die Sicherheitsdokumentation enthält im Wesentlichen Dokumente zur Informationssicherheit, physischen Sicherheit und Gerätesicherheit, zum Störfallmanagement, zur Handhabung bei Datendiebstahl und zu Sicherheitsvorfällen etc.
7. Kontaktdaten des Auftragsverarbeiters. Alle Benachrichtigungen, Anfragen, Aufforderungen und sonstigen Mitteilungen zum Schutz personenbezogener Daten richten Sie bitte an ESET, spol. s.r.o., zu Händen von: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.