Auftragsverarbeitungsvertrag
Gültig ab 29. September 2023 | Vorherige Version des Auftragsverarbeitungsvertrags anzeigen | Änderungen vergleichen
Entsprechend den Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (im Folgenden: „DSGVO“), schließen der Anbieter (nachfolgend „Auftragsverarbeiter“ genannt) und Sie (im Folgenden: „Datenverantwortlicher“) ein Auftragsverarbeitungsvertrag zur Festlegung der Bedingungen für die Verarbeitung personenbezogener Daten, der Methoden zum Schutz dieser Daten sowie zur Festlegung anderer Rechte und Pflichten der beiden Parteien bei der Verarbeitung personenbezogener Daten von betroffenen Personen durch den Datenverantwortlichen, die während der Ausführung des Gegenstands dieser Bedingungen als Hauptvertrag entstehen.
1. Verarbeitung personenbezogener Daten. Die nach diesen Bedingungen erbrachten Dienste umfassen die Verarbeitung personenbezogener Daten einer identifizierten oder identifizierbaren natürlichen Person gemäß der Datenschutzerklärung (im Folgenden: „personenbezogene Daten“).
2. Autorisierung. Der Datenverantwortliche autorisiert den Auftragsverarbeiter, personenbezogene Daten zu verarbeiten, einschließlich der folgenden Anweisungen:
(i) der „Verarbeitungszweck“ bezeichnet die Erbringung von Diensten in Übereinstimmung mit diesen Bedingungen. Der Auftragsverarbeiter darf die personenbezogenen Daten im Namen des Datenverantwortlichen nur für die Erbringung der vom Datenverantwortlichen angeforderten Dienste verarbeiten. Alle zu anderen Zwecken erfassten Daten werden nicht im Rahmen der vertraglichen Beziehung zwischen Datenverantwortlichem und Auftragsverarbeiter verarbeitet.
(ii) die Verarbeitungszeit bezeichnet den Zeitraum vom Beginn der Zusammenarbeit unter diesen Bedingungen bis zur Beendigung der Dienste,
(iii) Umfang und Kategorien personenbezogener Daten. Die Dienste dienen ausschließlich zur Verarbeitung allgemeiner personenbezogener Daten. Die verantwortliche Person ist jedoch allein dafür zuständig, den Umfang der personenbezogenen Daten festzulegen.
(iv) „betroffene Person“ bezeichnet eine natürliche Person, die auf die Geräte des Datenverantwortlichen als autorisierter Benutzer zugreift,
(v) „Verarbeitungstätigkeiten“ umfasst alle für die Verarbeitung erforderlichen Vorgänge,
(vi) „dokumentierte Anweisungen“ bezeichnet Anweisungen, die in diesen Bedingungen, deren Anhängen, der Datenschutzerklärung und der Servicedokumentation aufgeführt sind. Der Datenverantwortliche ist für die gesetzliche Zulässigkeit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Hinblick auf geltende Datenschutzgesetze verantwortlich.
3. Pflichten des Auftragsverarbeiters. Der Auftragsverarbeiter ist verpflichtet:
(i) personenbezogene Daten ausschließlich im Rahmen der dokumentierten Anweisungen und zu den in den Bedingungen, deren Anhängen, der Datenschutzerklärung und der Servicedokumentation zu verarbeiten,
Aufklärung der zur Verarbeitung der personenbezogenen Daten befugten Personen (im Folgenden als „autorisierte Personen“ bezeichnet) über ihre Rechte und Pflichten gemäß der DSGVO, über ihre Haftung im Falle der Verletzung der Pflichten und Sicherstellung, dass die zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben und die dokumentierten Anweisungen befolgen.
(iii) die in den Bedingungen, deren Anhängen, der Datenschutzerklärung und der Servicedokumentation beschriebenen Maßnahmen zu implementieren und zu befolgen,
(iv) den Datenverantwortlichen zu unterstützen, indem Anfragen von betroffenen Personen im Hinblick auf deren Rechte beantwortet werden. Der Datenverantwortliche wird ohne ausdrückliche Anweisung vom Auftragsverarbeiter keine personenbezogenen Daten korrigieren, löschen oder deren Verarbeitung einschränken. Alle Anfragen von betroffenen Personen im Hinblick auf personenbezogene Daten, die im Namen des Datenverantwortlichen verarbeitet werden, müssen unverzüglich weitergeleitet werden.
(v) den Datenverantwortlichen zu unterstützen, indem Verletzungen des Schutzes personenbezogener Daten an zuständige Behörden und die betroffenen Personen gemeldet werden, Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich nach der Entdeckung über jede Verletzung bei der Verarbeitung oder der Sicherheit personenbezogener Daten. Der Auftragsverarbeiter kooperiert in angemessenem Umfang bei der Untersuchung und Behebung solcher Verletzungen und ergreift angemessene Maßnahmen, um weitere negative Auswirkungen zu begrenzen.
(vi) alle personenbezogenen Daten nach Ablauf des Verarbeitungszeitraums zu löschen oder an die verantwortliche Person zurückzugeben. Der Verantwortliche verpflichtet sich, den Auftragsverarbeiter innerhalb von zehn (10) Tagen nach Ablauf des Verarbeitungszeitraums über seine Entscheidung zu informieren. Das Recht des Auftragsverarbeiters, die personenbezogenen Daten im erforderlichen Umfang zu Archivierungszwecken im öffentlichen Interesse, zu Forschungszwecken, zu statistischen Zwecken oder zur Ausübung oder Verteidigung von Rechtansprüchen aufzubewahren, ist von dieser Bestimmung nicht betroffen.
(vii) Ein aktuelles Verzeichnis über alle Kategorien von Verarbeitungstätigkeiten zu führen, die der Auftragsverarbeiter im Auftrag des Datenverantwortlichen durchgeführt hat.
(vii) dem Datenverantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung gemäß diesen Bedingungen, ihren Anhängen, der Datenschutzerklärung und der Servicedokumentation nachweisen zu können. Im Falle der Prüfung oder Kontrolle der Verarbeitung personenbezogener Daten seitens des Verantwortlichen ist der Verantwortliche verpflichtet, den Auftragsverarbeiter mindestens zehn (30) Tage vor der geplanten Prüfung oder Kontrolle schriftlich zu informieren.
4. Beauftragung eines anderen Auftragsverarbeiters. Der Auftragsverarbeiter ist berechtigt, in Übereinstimmung mit den Bedingungen, ihren Anhängen, der Datenschutzerklärung und der Servicedokumentation einen weiteren Auftragsverarbeiter mit der Durchführung spezifischer Verarbeitungstätigkeiten wie der Bereitstellung von Cloud-Speichern und Infrastruktur für den Service zu beauftragen. Microsoft bietet momentan Cloud-Speicher und Infrastruktur im Rahmen des Azure-Cloud-Diensts an. Auch in diesem Fall bleibt der Auftragsverarbeiter der alleinige Ansprechpartner und die für die Einhaltung verantwortliche Partei. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen über jede Hinzufügung oder Ersetzung weiterer Auftragsverarbeiter zu informieren, um ihm die Möglichkeit zu bieten, dieser Änderung zu widersprechen.
5. Verarbeitungsgebiet. Der Auftragsverarbeiter bemüht sich nach besten Kräften sicherzustellen, dass die Verarbeitung im Europäischen Wirtschaftsraum oder in einem Land stattfindet, das durch eine Entscheidung der Europäischen Kommission und auf Beschluss des Verantwortlichen als sicher eingestuft wurde. Bei Übertragungen und Verarbeitungen außerhalb des Europäischen Wirtschaftsraums oder eines Landes, das durch Entscheidung der Europäischen Kommission als sicher eingestuft wurde, auf Anfrage des Datenverantwortlichen, gelten die Standardvertragsklauseln.
6. Sicherheit. Der Auftragsverarbeiter ist nach ISO 27001:2013 zertifiziert und verwendet das ISO 27001-Rahmenwerk zur Umsetzung einer mehrstufigen Sicherheitsstrategie bei der Durchführung von Sicherheitskontrollen in den Bereichen Netzwerk, Betriebssysteme, Datenbanken, Anwendungen, Personal- und Betriebsprozesse. Die Einhaltung der regulatorischen und vertraglichen Anforderungen wird, ebenso wie andere Infrastrukturen und Vorgänge des Auftragsverarbeiters, regelmäßig bewertet und überprüft, und es werden die notwendigen Schritte eingeleitet, um die Einhaltung der Vorschriften kontinuierlich sicherzustellen. Der Auftragsverarbeiter hat den Schutz der Daten mit ISMS auf Basis von ISO 27001 gewährleistet. Die Sicherheitsdokumentation enthält im Wesentlichen Dokumente zur Informationssicherheit, physischen Sicherheit und Gerätesicherheit, zum Störfallmanagement, zur Handhabung bei Datendiebstahl und zu Sicherheitsvorfällen etc.
7. Technische und organisatorische Maßnahmen Der Auftragsverarbeiter schützt die personenbezogenen Daten vor versehentlicher und unrechtmäßiger Beschädigung und Zerstörung, versehentlichem Verlust, Veränderung, unbefugtem Zugriff und Offenlegung. Zu diesem Zweck ergreift der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen für die Art der Verarbeitung und das Risiko, das durch die Verarbeitung für die Rechte der betroffenen Personen gemäß den Anforderungen der DSGVO entsteht. Eine detaillierte Beschreibung der technischen und organisatorischen Maßnahmen finden Sie in der Sicherheitsrichtlinie.
8. Kontaktdaten des Auftragsverarbeiters. Alle Benachrichtigungen, Anfragen, Aufforderungen und sonstigen Mitteilungen zum Schutz personenbezogener Daten richten Sie bitte an ESET, spol. s.r.o., zu Händen von: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.