Auftragsdatenverarbeitung
Gemäß Artikel 28 der Datenschutz-Grundverordnung (DSGVO)
Du findest hier ein Muster unserer Auftragsdatenverarbeitung (AVV) für Kunden aus Deutschland. Unsere AVV bietet vertragliche Bestimmungen, die den Anforderungen der DSGVO entsprechen und unsere Verpflichtungen in Bezug auf Datenschutz und Datensicherheit gegenüber unseren Kunden widerspiegeln.
Um sicherzustellen, dass uns keine inkonsistenten oder zusätzlichen Bedingungen auferlegt werden, die über das in unserer Standard-AVV enthaltene hinausgehen, können wir nicht zustimmen, Kunden-AVV zu unterzeichnen. Als kleines Team können wir auch keine individuellen Änderungen an unserer AVV vornehmen, da wir kein eigenes juristisches Team haben. Änderungen an der Standard-AVV würden rechtliche Beratung und einen umfangreichen Austausch erfordern, der für unser Team kostenintensiv wäre.
Um Dir eine AVV zum Unterzeichnen zusenden zu können, sende uns bitte eine E-Mail an support@helpspace.com mit folgenden Informationen:
Name Deines Unternehmens
Vollständige Adresse Deines Unternehmens (Straße, Stadt, Postleitzahl, Land)
Deinen vollständigen Namen
Deine Rolle im Unternehmen
Bist Du berechtigt, im Namen dieses Unternehmens zu unterzeichnen? (Ja/Nein)
Name oder URL des HelpSpace-Workspace
Auftragsdatenverarbeitung M U S T E R
Vereinbarung
zwischen
Kunde
Straße
Postleitzahl, Stadt
Land
der Verantwortlicher
[ggf. autorisierter Vertreter gemäß Art. 27 DSGVO: ....................]
HelpSpace GmbH
Backsteinweg 3
61118 Bad Vilbel
Deutschland
der Auftragsverarbeiter
1. Gegenstand, Laufzeit, verarbeitete personenbezogene Daten und Kategorien betroffener Personen
(1) Gegenstand
Der Auftragsverarbeiter führt im Auftrag des Verantwortlichen folgende Verarbeitungstätigkeiten durch: Bereitstellung der Anwendung HelpSpace als Software as a Service (webbasierte Kundensupport-Software)
(2) Laufzeit
Die Laufzeit dieser AVV entspricht der Laufzeit der Bereitstellung der HelpSpace Anwendung.
(3) Kategorien personenbezogener Daten
Die verarbeiteten Kategorien personenbezogener Daten sind:
personenbezogene Informationen (z. B. Name, Nachname, E-Mail-Adresse)
Kundenhistorie
Supporthistorie
Abrechnungs-, Rechnungs- und Zahlungsdaten
Jegliche Art von Daten, die in eine Nachricht eingegeben werden können
(4) Kategorien betroffener Personen
Die gesammelten und verarbeiteten personenbezogenen Daten beziehen sich auf:
Kunden
Potenzielle Kunden
Internetnutzer
Mitarbeiter, Mitarbeiterinnen, Mitarbeiter*innen
Interne Berater
Autorisierte Vertreter
Jegliche Art von Daten, die in eine Nachricht eingegeben werden können
2. Datenübermittlung ins Ausland
(1) Der Auftragsverarbeiter verpflichtet sich, keine personenbezogenen Daten ins Ausland (d. h. außerhalb des EWR-Gebiets) zu übermitteln, ohne die vorherige schriftliche Genehmigung des Verantwortlichen. Jegliche Datenübermittlung ins Ausland und damit verbundene Verarbeitungstätigkeiten erfolgen in strikter Einhaltung der dokumentierten und spezifischen Anweisungen des Verantwortlichen.
(2) Zum Zeitpunkt der Unterzeichnung dieses Vertrags bestätigt der Verantwortliche, dass ihm bekannt ist, die vom Auftragsverarbeiter in seinem Auftrag durchgeführten Datenverarbeitungstätigkeiten nur innerhalb des EWR stattfinden werden.
3. Technische und organisatorische Maßnahmen
(1) Vor Abschluss dieser AVV verpflichtet sich der Auftragsverarbeiter, alle erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen und dem Verantwortlichen ein Dokument zur Verfügung zu stellen, in dem all diese Maßnahmen detailliert beschrieben werden, auch in spezifischem Bezug auf diesen Vertrag.
Diese Maßnahmen unterliegen der Überprüfung und Genehmigung durch den Verantwortlichen. Nach Genehmigung durch den Verantwortlichen werden diese Sicherheitsmaßnahmen, wie oben dokumentiert, ein Bestandteil dieses Vertrags. Soweit bei einem Audit durch den Verantwortlichen Änderungsbedarf festgestellt wird, sind solche Änderungen nach gegenseitiger Vereinbarung umzusetzen.
(2) Der Auftragsverarbeiter stellt sicher, dass er gemäß Artikel 28 Absatz 3 lit. c und Artikel 32 DSGVO, insbesondere in Verbindung mit Artikel 5 Absatz 1 und Absatz 2 DSGVO, alle Sicherheitsmaßnahmen ergriffen hat. Diese Maßnahmen gewährleisten die Datensicherheit und ein Schutzniveau, das dem Risiko in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme angemessen ist. Gemäß Artikel 32 Absatz 1 DSGVO sind bei der Bewertung der Angemessenheit der ergriffenen Sicherheitsmaßnahmen folgende Kriterien zu berücksichtigen: ob die Maßnahmen als aktueller Stand der Technik angesehen werden können, die Umsetzungskosten, Art, Umfang und Zweck der Verarbeitung sowie die Wahrscheinlichkeit von Verletzungen des Schutzes personenbezogener Daten und das Ausmaß der damit verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen technischem und technologischem Fortschritt und Entwicklung. Der Auftragsverarbeiter kann daher alternative angemessene Maßnahmen einführen, die dem veränderten technologischen Umfeld entsprechen. Bei der Umsetzung darf das Sicherheitsniveau der Verarbeitung nicht verringert werden. Wesentliche Änderungen müssen dokumentiert werden.
4. Rechte der betroffenen Personen
(1) Der Auftragsverarbeiter verpflichtet sich, in vollem Umfang und so weit wie möglich zur Unterstützung des Verantwortlichen bei der Beantwortung von Anfragen der betroffenen Personen zur Ausübung ihrer Rechte beizutragen.
(2) Insbesondere verpflichtet sich der Auftragsverarbeiter dazu: (i) den Verantwortlichen unverzüglich über jede Anfrage zu informieren, die von betroffenen Personen in Bezug auf die Ausübung ihrer Rechte gestellt wird, und, sofern möglich und angemessen, (ii) dem Verantwortlichen zu ermöglichen, alle technischen und organisatorischen Maßnahmen zu entwerfen und umzusetzen, die erforderlich sind, um den Anfragen der betroffenen Personen gerecht zu werden.
(3) Ungeachtet der Tatsache, dass der Verantwortliche für die Beantwortung von Anfragen der betroffenen Personen verantwortlich ist, kann der Auftragsverarbeiter damit beauftragt werden, bestimmte spezifische Anfragen zu erfüllen, sofern diese nicht unverhältnismäßigen Aufwand seitens des Auftragsverarbeiters erfordern und der Verantwortliche detaillierte schriftliche Anweisungen gibt.
5. Weitere Pflichten des Auftragsverarbeiters
Zusätzlich zur Einhaltung der Bestimmungen dieser AVV verpflichtet sich der Auftragsverarbeiter zur Erfüllung aller anwendbaren gesetzlichen Anforderungen gemäß den Artikeln 28 bis 33 der DSGVO. Zu diesem Zweck garantiert der Auftragsverarbeiter die Einhaltung der folgenden Punkte:
Bestellung eines Datenschutzbeauftragten (DSB)
Der Auftragsverarbeiter ist nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen.
Herr Stefan Dreßler
Geschäftsführer
support@helpspace.com
wird als Kontaktperson im Namen des Auftragsverarbeiters benannt.
Vertraulichkeit
Verarbeitungstätigkeiten im Rahmen dieser AVV dürfen nur von Personen (wie Mitarbeiter:innen), durchgeführt werden, die vom Auftragsverarbeiter über den ordnungsgemäßen Umgang mit Daten instruiert wurden und vertraglich zur Vertraulichkeit gemäß Art. 28 Abs. 3 lit. b und Art. 32 DSGVO verpflichtet sind. Der Auftragsverarbeiter und jede Person, die im Auftrag des Auftragsverarbeiters Zugang zu den personenbezogenen Daten hat, dürfen diese Daten nicht verarbeiten, es sei denn, dies geschieht aufgrund von Anweisungen des Verantwortlichen - einschließlich der in dieser AVV erteilten Befugnisse - es sei denn, dies ist gesetzlich vorgeschrieben.
Technische und organisatorische Maßnahmen
Umsetzung und Einhaltung der geeigneten technischen und organisatorischen Maßnahmen im Rahmen dieser AVV, insbesondere gemäß Art. 32 DSGVO. Der Auftragsverarbeiter überwacht regelmäßig die internen Abläufe und die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitungstätigkeiten in Übereinstimmung mit den Anforderungen des geltenden Datenschutzrechts und dem Schutz der Rechte der betroffenen Personen durchgeführt werden. Der Auftragsverarbeiter gewährt dem Verantwortlichen im Rahmen der Überwachungsbefugnisse des Verantwortlichen gemäß §7 dieses Vertrags Nachweisbarkeit der technischen und organisatorischen Maßnahmen.
Zusammenarbeit mit Aufsichtsbehörden
Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anforderung mit der Aufsichtsbehörde zusammen. Der Verantwortliche wird unverzüglich über Inspektionen und Maßnahmen informiert, die von der Aufsichtsbehörde im Zusammenhang mit den Tätigkeiten dieser AVV durchgeführt werden. Dies gilt auch dann, wenn der Auftragsverarbeiter einer Untersuchung unterliegt oder Gegenstand einer Untersuchung durch eine zuständige Behörde im Zusammenhang mit Verstößen gegen Bestimmungen zur Verarbeitung personenbezogener Daten im Zusammenhang mit dieser AVV ist. Soweit der Verantwortliche einer Inspektion durch die Aufsichtsbehörde, einer Geldbuße, einer einstweiligen Verfügung oder einem Strafverfahren, einem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem sonstigen Anspruch durch die Verarbeitung von Daten durch den Auftragsverarbeiter im Rahmen dieser AVV unterliegt, wird sich der Auftragsverarbeiter nach Kräften bemühen, den Verantwortlichen zu unterstützen.
6. Unterauftragsverarbeiter
(1) Der Verantwortliche ermächtigt den Auftragsverarbeiter, einen Teil der Verarbeitungstätigkeiten gemäß dieser AVV an Unterauftragsverarbeiter auszulagern. Die Unterauftragsverarbeiter unterliegen, wie gesetzlich vorgeschrieben, den gleichen vertraglichen Verpflichtungen aus diesem Vertrag gemäß Art. 28 Abs. 4 DSGVO.
(2) Zum Zeitpunkt der Unterzeichnung dieses Vertrags bestätigen die Parteien gegenseitig, dass der Auftragsverarbeiter derzeit die folgenden Unterauftragsverarbeiter unter der Voraussetzung einer vertraglichen Vereinbarung gemäß Artikel 28 Absatz 4 DSGVO beauftragt:
Unterauftragsverarbeiter | Adresse | Ausgelagerte Verarbeitungstätigkeit |
---|---|---|
Amazon Web Services EMEA SARL | 38 Avenue John F. Kennedy 1855 Luxembourg Luxembourg | Cloud Infrastructure Hosting Email Services |
Facade BV | Kruikstraat 22/12 2018 Antwerp Belgium | Application Monitoring |
(3) Es ist zwischen den Parteien vereinbart, dass die Weitergabe personenbezogener Daten an Unterauftragsverarbeiter erst nach Erfüllung aller in Absatz (1) genannten Bedingungen für die Bestellung von Unterauftragsverarbeitern erfolgen darf.
(4) Der Auftragsverarbeiter muss eine Liste der Unterauftragsverarbeiter führen und aktualisieren. Der Verantwortliche wird über jede Änderung dieser Liste ohne unangemessene Verzögerung informiert und hat die Möglichkeit, Widerspruch einzulegen. Im Falle eines Widerspruchs behält sich der Auftragsverarbeiter das Recht vor, den Vertrag mit dem Verantwortlichen fristlos zu kündigen.
(5) Der Auftragsverarbeiter trägt die volle Verantwortung und Haftung für die Tätigkeiten seiner Unterauftragsverarbeiter gegenüber dem Verantwortlichen.
(6) Sollte ein Unterauftragsverarbeiter seine Dienste außerhalb der EU/EWR erbringen, stellt der Auftragsverarbeiter die Einhaltung der Regeln für die Datenübermittlung ins Ausland gemäß Punkt 2 dieser AVV sicher.
7. Audits
(1) Der Verantwortliche hat das Recht, Audits durchzuführen oder durchführen zu lassen, die durch einen Fallprüfer durchgeführt werden, der fallweise bestellt wird. Der Prüfer prüft die Einhaltung dieser AVV durch den Auftragsverarbeiter in seinen Geschäftstätigkeiten anhand von Stichproben, über die der Auftragsverarbeiter im Voraus informiert wird.
(2) Der Auftragsverarbeiter gestattet dem Verantwortlichen, die Einhaltung seiner Verpflichtungen gemäß Artikel 28 DSGVO zu überprüfen. Der Auftragsverarbeiter verpflichtet sich, auf Anfrage die erforderlichen Informationen bereitzustellen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(3) Nachweise über die Umsetzung solcher Maßnahmen, die nicht nur die Aktivitäten im Rahmen dieser AVV betreffen, können auch erbracht werden durch:
Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO;
Zertifizierung gemäß einem genehmigten Zertifizierungsverfahren gemäß Artikel 42 DSGVO;
aktuelle Prüfzeugnisse, Berichte oder Auszüge aus Berichten, die von unabhängigen Stellen (z. B. Prüfer, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditor) bereitgestellt werden;
eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits.
(4) Der Auftragsverarbeiter kann dem Verantwortlichen eine angemessene Gebühr für Audits in Rechnung stellen.
8. Unterstützung des Verantwortlichen
(1) Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung der Verpflichtungen in Bezug auf die Sicherheit personenbezogener Daten, die Meldung von Datenpannen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen gemäß den Artikeln 32 bis 36 der DSGVO, einschließlich:
Sicherstellung angemessener Schutzstandards durch technische und organisatorische Maßnahmen unter Berücksichtigung der Art, Umstände und Zwecke der Verarbeitung, der Wahrscheinlichkeit von Datenpannen und der Schwere des Risikos für natürliche Personen;
Sicherstellung der sofortigen Erkennung von Verstößen;
Meldung von Datenpannen ohne unangemessene Verzögerung an den Verantwortlichen;
Unterstützung des Verantwortlichen bei der Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte.
(2) Der Auftragsverarbeiter kann dem Verantwortlichen für Supportleistungen, die nicht in der Beschreibung der Dienstleistungen enthalten sind und die nicht auf das Verschulden, die Fehler oder Verstöße des Auftragsverarbeiters zurückzuführen sind, eine angemessene Gebühr in Rechnung stellen.
9. Weisungsbefugnisse des Verantwortlichen
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten gemäß dieser AVV nur gemäß den dokumentierten Anweisungen des Verantwortlichen, es sei denn, dies ist gesetzlich durch unionsrechtliche oder mitgliedstaatliche Vorschriften vorgeschrieben.
(2) Falls der Verantwortliche Änderungen in der Verarbeitung personenbezogener Daten gemäß den dokumentierten Anweisungen gemäß Abschnitt 2 verlangt, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass solche Änderungen voraussichtlich zu Verstößen gegen Datenschutzbestimmungen führen werden. Der Auftragsverarbeiter kann auf die Durchführung von Aktivitäten verzichten, die zu einem solchen Verstoß führen könnten.
10. Haftung
(1) Jede Partei dieser AVV verpflichtet sich, die andere Partei für Schäden oder Kosten, die sich aus ihrer eigenen schuldhaften Verletzung dieser AVV ergeben, einschließlich einer schuldhaften Verletzung durch ihre gesetzlichen Vertreter, Unterauftragnehmer, Mitarbeiter oder sonstige Beauftragte, zu entschädigen. Darüber hinaus verpflichtet sich jede Partei, die andere Partei gegen Ansprüche Dritter zu schützen, die auf einer schuldhaften Verletzung durch die jeweils andere Partei beruhen oder im Zusammenhang damit stehen.
(2) Art. 82 DSGVO bleibt unberührt.
11. Löschung und Rückgabe personenbezogener Daten
(1) Der Auftragsverarbeiter darf ohne Kenntnis und Zustimmung des Verantwortlichen keine Kopien oder Duplikate der Daten erstellen, außer zu Sicherungszwecken, sofern dies zur Gewährleistung einer korrekten Verarbeitung erforderlich ist und die Aufbewahrung solcher Daten gesetzlich vorgeschrieben ist.
(2) Nach Abschluss der Erbringung der Dienstleistungen löscht der Auftragsverarbeiter die im Rahmen dieser AVV erhobenen und verarbeiteten personenbezogenen Daten datenschutzkonform oder gibt sie dem Verantwortlichen zurück, es sei denn, es besteht eine gesetzliche Verpflichtung zur weiteren Speicherung der personenbezogenen Daten.
(3) Der Auftragsverarbeiter kann in jedem Fall alle Informationen, die zur Überprüfung der Einhaltung der durchgeführten Verarbeitungstätigkeiten erforderlich sind, über den Vertragsabschluss hinaus aufbewahren.
(4) Die unter Punkt (3) genannten Unterlagen sind vom Auftragsverarbeiter gemäß den geltenden Aufbewahrungsfristen, gesetzlichen oder anderweitig festgelegt, aufzubewahren. Der Auftragsverarbeiter kann dem Verantwortlichen die Unterlagen bei Vertragsbeendigung aushändigen. In diesem Fall ist der Auftragsverarbeiter von jeder Verpflichtung zur Aufbewahrung solcher Unterlagen befreit.