Auftragsverarbeitungsvertrag
gemäß Art. 28 Abs. 3 DSGVO
Präambel
Bei der Erbringung der Leistungen gemäß den Allgemeinen Geschäftsbedingungen des Clubway-Dienstleistungsvertrags und dem Auftragsformular vom (zusammen „Hauptvertrag“) ist es erforderlich, dass die Gesellschaft – nachfolgend „Auftragnehmer“ genannt) personenbezogene Daten verarbeitet, für die der im Auftragsformular genannten Auftraggeber („Auftraggeber“) als Verantwortlicher i. S. d. der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – „DSGVO“) fugiert („Auftraggeber-Daten“). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.
Umfang der Beauftragung / Weisungsbefugnisse des Auftraggebers
-
Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und gemäß diesem Vertrag und den sonstigen schriftlichen und dokumentierten Weisungen des Auftraggebers, sofern der Auftragnehmer nicht durch das Recht der Europäischen Union („EU“) oder der EU Mitgliedstaaten, dem der Auftragnehmer unterliegt gesetzlich zu einer anderweitigen Verarbeitung verpflichtet ist. In letzterem Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
-
Gegenstand, Art und Zweck der Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer ergeben sich aus dem Hauptvertrag. Die Verarbeitung betrifft ausschließlich die in [Appendix 1](/ auftragsverarbeitungsvertrag-appendix-1) bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen.
-
Der Auftragnehmer gewährleistet, dass er die Auftraggeber-Daten im Einklang mit den Weisungen des Auftraggebers verarbeitet. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, ist er nach einer entsprechenden schriftlichen Mitteilung an den Auftraggeber berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen.
-
Die Verarbeitung der Auftraggeber-Daten durch den Auftragnehmer findet grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („EWR“) statt. Es ist dem Auftragnehmer gleichwohl gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und die Voraussetzungen der Art. 44 - 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt. \
-
Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
-
Dem Auftragnehmer bleibt es vorbehalten, die Auftraggeber-Daten zu anonymisieren oder zu aggregieren, so dass eine Identifizierung einzelner betroffener Personen nicht mehr möglich ist, und in dieser Form zum Zweck der bedarfsgerechten Gestaltung, der Weiterentwicklung und der Optimierung sowie der Erbringung des nach Maßgabe des Hauptvertrags vereinbarten Dienstes zu verwenden. Die Parteien stimmen darin überein, dass anonymisierte bzw. nach obiger Maßgabe aggregierte Auftraggeber-Daten nicht mehr als Auftraggeber-Daten im Sinne dieses Vertrags gelten.
Insbesondere bleibt es dem Auftragnehmer auch vorbehalten Vermittlungsdaten (d.h. die Kennung des Auftraggebers, Kennung der Nachricht, Nachrichtentyp, Versandadresse, Kennung der Absender, Nachrichtenmenge, Versandzeit) im Zusammenhang mit den Kommunikationsleistungen gemäß Ziffer 1.1 des Hauptvertrages in derart anonymisierter und aggregierter Form für statistische Analyse zu verarbeiten. Aus der Analyse kann eine einzelne natürliche Person nicht identifiziert werden.
-
Der Auftragnehmer darf die Auftraggeber-Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke auf eigene Verantwortung verarbeiten und nutzen, wenn eine gesetzliche Erlaubnisvorschrift der DSGVO, des nationalen Recht der EU Mitgliedstaaten oder eine Einwilligung des Betroffenen das gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung.
Zu den Verarbeitungen, die der Auftragnehmer als Verantwortlicher durchführt zählen die folgenden Verarbeitungen im Zusammenhang mit den Kommunikationsleistungen gemäß Ziffer 1.1 des Hauptvertrages:
-
Verarbeitung für die Rechnungsstellung
Der Textnachrichtendienst ist eine kostenpflichtige zusätzliche Dienstleistung bei Clubway-Service. Wenn der Auftraggeber den Textnachrichtendienst benutzt, werden die Versandmengen der Nachrichten im System für die Rechnungsstellung gespeichert. Die Daten zum Rechnungszweck werden maximal einen Monat nach Beendigung der Kundenbeziehung des Auftraggebers gespeichert. Zu verarbeitende Vermittlungsdaten: die Kennung des Auftraggebers, Kennung der Nachricht, Nachrichtentyp, Versandadresse, Kennung der Absender, Nachrichtenmenge, Versandzeit.
-
Verarbeitung für technische Entwicklung
Der Dienstleistungsanbieter hat das Recht, die Eigenschaften, die Kapazität und die Nutzerfreundlichkeit der Dienstleistung zu entwickeln.
-
Verarbeitung für Vermarktung
Der Dienstleistungsanbieter kann die Vermittlungsdaten verarbeiten, um die eigenen Dienste zu vermarkten, jedoch so, dass ein Nutzer gesondert direkt über sein Clubway-Konto eine Einwilligung erteilen oder sie zurücknehmen kann.
-
Verarbeitungsrecht bei Missbrauch
Der Dienstleistungsanbieter hat das Recht, Vermittlungsdaten für die Feststellung, die Verhinderung und die Klärung von Missbrauch zu verarbeiten.
Darüber qualifiziert der Auftragnehmer als Verantwortlicher bezüglich seines eigenen Kundenregisters, das die personenbezogenen Daten der leitenden und Kontaktpersonen des Auftraggebers (z. B. Name, Kontaktdaten) sowie die die Registrierung betreffenden personenbezogenen Daten der als Nutzer der Dienstleistung registrierten Personen (z. B. myClub-ID, Name, E-Mail) enthält.
-
-
Zu den Verarbeitungen, die der Auftragnehmer als Auftragsverarbeiter durchführt gehören im insbesondere auch die folgenden Verarbeitungen im Zusammenhang mit den Kommunikationsleistungen gemäß Ziffer 1.1 des Hauptvertrages:
-
Verarbeitungen, um die Nachricht zu vermitteln, die Dienstleistung durchzuführen und die Datensicherung zu gewährleisten
Die Mitarbeiter des Auftraggebers können Informationen per E-Mail oder als Textnachricht an die Nutzer des Auftraggebers senden. Folgende Vermittlungsdaten werden im System gespeichert: Versandart, Versandadresse, Betreff, Inhalt und die Empfänger der Nachricht. Nur der sendende Mitarbeiter des Auftraggebers kann die Nachricht oder den Nachrichtenentwurf nachträglich einsehen und zum Beispiel die Nachricht als Vorlage für eine neue Nachricht kopieren. Die Vermittlungsdaten werden maximal sechs Monate nach Beendigung der Kundenbeziehung des Auftraggebers gespeichert.
-
Verarbeitungen um technischen Mängel oder Fehler festzustellen
Der Dienstleistungsanbieter klärt Vermittlungsprobleme bei Nachrichten, wenn ein Auftraggeber oder Nutzer von Problemen berichtet. Der Auftraggeber entfernt automatisch die Versandadressen, die der E-Mail-Provider als fehlerhaft berichtet.
-
Verantwortlichkeit des Auftraggebers
- Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen im Verhältnis der Parteien zueinander, sowie für die weiteren ihm als Verantwortlicher obliegenden Pflichten allein verantwortlich.
- Dem Auftraggeber obliegt es, dem Auftragnehmer die Auftraggeber-Daten rechtzeitig zur Leistungserbringung nach dem Hauptvertrag zur Verfügung zu stellen und er ist verantwortlich für die Qualität der Auftraggeber-Daten. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.
Anforderungen an Personal
Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten oder zu gewährleisten, dass diese Personen einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Inanspruchnahme weiterer Auftragsverarbeiter
-
Der Auftraggeber erteilt dem Auftragnehmer hiermit die allgemeine Genehmigung, weitere Auftragsverarbeiter hinsichtlich der Verarbeitung von Auftraggeber-Daten hinzuzuziehen. Die zum Zeitpunkt des Vertragsschlusses hinzugezogenen weiteren Auftragsverarbeiter ergeben sich aus Appendix 1.
-
Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diesen Vertrag mit einer Frist von 30 Tagen in dem Umfang zu kündigen, in dem der abgelehnte Auftragsverarbeiter für die Verarbeitung eingesetzt werden soll.
-
Der Vertrag zwischen dem Auftragnehmer und dem weiteren Auftragsverarbeiter muss letzterem dieselben Pflichten auferlegen, wie sie dem Auftragnehmer kraft dieses Vertrages obliegen.
-
Kommt der Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Auftragnehmers.
-
Unter Einhaltung der Anforderungen der Ziffer 1.4 dieses Vertrags gelten die Regelungen in dieser Ziffer 4.5 auch, wenn ein weiterer Auftragsverarbeiter in einem Drittstaat eingeschaltet wird.
Sicherheit der Verarbeitung
-
Der Auftragnehmer wird gemäß Art. 32 DSGVO erforderliche, geeignete technische und organisatorische Maßnahmen ergreifen, die unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten. Eine Beschreibung der zum Zeitpunkt des Vertragsschlusses implementierten technischen und organisatorischen Maßnahmen ist in Appendix 2 enthalten.
-
Der Auftraggeber wird den Auftragnehmer jederzeit über alle solche mit den vom Auftraggeber übertragenen personenbezogenen Daten zusammenhängenden Sachverhalte informieren, wie Risikoeinschätzungen und die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO, die Einfluss auf die unter diesen Vertrag fallenden technischen und organisatorischen Maßnahmen haben.
-
Dem Auftragnehmer ist es gestattet, technische und organisatorische Maßnahmen während der Laufzeit des Vertrages zu ändern oder anzupassen, solange sie weiterhin den gesetzlichen Anforderungen genügen.
Unterstützungspflichten des Auftragnehmers
-
Soweit eine betroffene Person einen Antrag auf Wahrnehmung der ihr zustehenden Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit und im Rahmen des Zumutbaren mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen.
-
Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen wird der Auftragnehmer den Auftraggeber bei der Einhaltung der in den Art. 32, 35 und 36 genannten Pflichten unterstützen.
-
Der Auftragnehmer leitet sämtlich Anfragen der Datenschutzaufsichtsbehörden direkt an den Auftraggeber weiter. Der Auftragnehmer hat keine Vollmachten den Auftraggeber zu vertreten oder im Namen des Auftraggebers gegenüber den Datenschutzaufsichtsbehörden tätig zu werden.
-
Soweit die Parteien nicht anderweitige Regelungen getroffen haben, trägt der Auftraggeber die Kosten für die Leistungen des Auftragnehmers unter dieser Ziffer 6. Die zu erstattenden Kosten bestimmen sich nach der jeweils gültigen Preisliste des Auftragnehmers.
Informationspflichten bei Verletzungen der Sicherheit personenbezogener Daten
-
Der Auftragnehmer muss dem Auftraggeber unverzüglich sämtliche Verletzungen der Sicherheit personenbezogener Daten mitteilen, wenn er von einer solchen Verletzung Kenntnis erhalten hat.
Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen wird der Auftragnehmer dem Auftraggeber unverzüglich die folgenden Informationen bereitstellen:
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
- eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
-
Der Auftragnehmer unterstützt den Auftraggeber erforderlichenfalls bei der Erfüllung der Pflichten des Auftraggebers nach Art. 33 und 34 DSGVO in angemessener Weise. Der Auftraggeber ist für die erforderlichen Mitteilungen an die Datenschutzaufsichtsbehörden gemäß Art. 33 Abs. 1 DSGVO und die Benachrichtigung der Betroffenen gemäß Art. 34 DSGVO zuständig.
Nachweis und Überprüfungen
-
Der Auftragnehmer wird dem Auftraggeber auf dessen Anforderung alle erforderlichen und beim Auftragnehmer vorhandenen Informationen zum Nachweis der Einhaltung seiner Pflichten nach diesem Vertrag zur Verfügung stellen.
-
Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Regelungen dieses Vertrages, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen, zu überprüfen; einschließlich durch Inspektionen.
-
Zur Durchführung von Inspektionen nach Ziffer 6.2 ist der Auftraggeber berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 10 bis 18 Uhr) nach rechtzeitiger Vorankündigung gemäß Ziffer 6.5 auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers zu betreten, in denen Auftraggeber-Daten verarbeitet werden.
-
Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Überprüfungszwecke sind, zu erhalten.
-
Der Auftraggeber hat den Auftragnehmer rechtzeitig, jedoch mindestens 14 Werktage vor der geplanten Inspektion über alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren. Der Auftraggeber vergütet dem Auftragnehmer den Aufwand, der dem Auftragnehmer im Rahmen der Kontrolle entsteht.
-
Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Überprüfung, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 8 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragnehmers mit der Kontrolle beauftragen.
Löschung / Rückgabe der Daten
Der Auftragnehmer wird die Auftraggeber-Daten nach Beendigung dieses Vertrages nach Wahl des Auftraggebers löschen oder zurückgeben und etwaige Kopien der Auftraggeber-Daten löschen, sofern nicht nach dem EU Recht oder dem Recht der EU Mitgliedstaaten gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht. Soweit der Auftraggeber die Rückgabe der Auftraggeber-Daten verlangt, hat trägt der Auftraggeber die dabei entstehenden Kosten entsprechend der jeweils gültigen Preisliste des Auftragnehmers.
Haftung
-
Es gelten die gesetzlichen Haftungsregelungen der DSGVO.
-
Auftragnehmer und Auftraggeber sind verpflichtet die jeweils andere Partei von gerichtlich festgestellten Schadenersatzforderungen in dem Umfang auf erstes Anfordern freizustellen, in dem die eigene Verantwortung für den der Schadensersatzforderung zugrundeliegenden Verstoß gerichtlich festgestellt wurde.
-
Der Auftragnehmer ist verpflichtet den Auftraggeber von Geldbußen in dem Umfang auf erstes Anfordern freizustellen, in dem der Auftragnehmer gemäß dem rechtskräftigen Bußgeldbescheid der Datenschutzaufsichtsbehörde Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß hat. Entsprechend ist auch der Auftraggeber zur Freistellung des Auftragnehmers auf erstes Anfordern verpflichtet.
Schlussbestimmungen
-
Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.
-
Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform.
-
Die Verpflichtungen, die ihrem Charakter nach ungeachtet der Gültigkeitsdauer dieses Vertrags sachgemäß in Kraft bleiben, behalten ihre Gültigkeit nach der Beendigung des Vertrags.
-
Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und dabei den Anforderungen des Art. 28 DSGVO genügt.
Anhänge
- Appendix 1 Beschreibung der Verarbeitungstätigkeiten
- Appendix 2 Technische und organisatorische Schutzmaßnahmen