Datenverarbeitungsvereinbarung
Diese Vereinbarung zur Datenverarbeitung ("Vereinbarung") wird zwischen [Datenschutz-Verantwortlicher], mit Sitz in [Adresse] ("Verantwortlicher") und KoBra Dataworks GmbH (in Gründung), mit Sitz in Am Bugapark 60, 45899 Gelsenkirchen, ("Verarbeiter"), ab dem Datum der letzten Unterzeichnung nachstehend, abgeschlossen.
ES WIRD FOLGENDES VEREINBART:
In diesem Vertrag gelten folgende Definitionen, sofern der Kontext nichts anderes erfordert:
1.1. "Datenschutzgesetze" bezeichnet die anwendbaren Datenschutz- und Datenschutzgesetze und -vorschriften, einschließlich, aber nicht beschränkt auf die Datenschutz-Grundverordnung (DSGVO), das Datenschutzgesetz 2018 (DSG 2018) und alle anderen anwendbaren Gesetze in Bezug auf die Verarbeitung, den Schutz und die Sicherheit personenbezogener Daten.
1.2. "Personenbezogene Daten" bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person im Sinne der Datenschutzgesetze beziehen.
1.3. "Verarbeitung" bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten durchgeführt werden, ob automatisiert oder nicht, wie z.B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abfrage, Nutzung, Offenlegung durch Übertragung, Verbreitung oder anderweitige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Vernichtung.
1.4. "Dienstleistungen" bezeichnet die Dienstleistungen, die vom Datenverarbeiter für den Kunden erbracht werden, wie im Dienstleistungsvertrag oder Arbeitsauftrag beschrieben.
2.1. Dieses Abkommen regelt die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Kunden.
2.2. Die Parteien stimmen überein, dass der Kunde der Datenverantwortliche und der Datenverarbeiter der Datenverarbeiter in Bezug auf personenbezogene Daten ist, die im Rahmen dieses Abkommens verarbeitet werden.
3.1 Der Verarbeiter verarbeitet personenbezogene Daten nur in dem Umfang, der zur Durchführung der im entsprechenden Vertrag zwischen den Parteien festgelegten Dienstleistungen und gemäß den Anweisungen des Verantwortlichen erforderlich ist.
3.2 Der Verarbeiter informiert den Verantwortlichen umgehend, wenn er der Ansicht ist, dass eine Anweisung, die er vom Verantwortlichen erhalten hat, gegen Datenschutzgesetze verstoßen würde.
3.3 Der Verarbeiter unterstützt den Verantwortlichen bei der Gewährleistung der Einhaltung seiner Verpflichtungen nach Datenschutzgesetzen, einschließlich Datenschutz-Folgenabschätzungen und vorheriger Konsultation mit Aufsichtsbehörden.
4.1. Der Datenverarbeiter stellt sicher, dass er die personenbezogenen Daten nur gemäß den schriftlichen Anweisungen des Kunden und nur in dem Umfang verarbeitet, der für die Erbringung der Dienstleistungen gemäß dem Vertrag erforderlich ist.
4.2. Der Datenverarbeiter stellt sicher, dass angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten vor unbeabsichtigter oder unrechtmäßiger Zerstörung oder unbeabsichtigtem Verlust, Änderung, unbefugter Offenlegung oder Zugriff und allen anderen unrechtmäßigen Formen der Verarbeitung vorhanden sind.
4.3. Der Datenverarbeiter darf keine Subunternehmer ohne vorherige schriftliche Zustimmung des Kunden beauftragen und stellt sicher, dass alle vom Datenverarbeiter beauftragten Subunternehmer schriftlich verpflichtet sind, den gleichen Schutz für die personenbezogenen Daten zu gewährleisten wie in diesem Abkommen vorgesehen.
Zusatz zu 4.3 – Einsatz von Subunternehmern außerhalb der EU:
Der Datenverarbeiter ist berechtigt, Subunternehmer außerhalb der Europäischen Union (EU) einzusetzen, vorausgesetzt, dass diese Subunternehmer die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) einhalten und einen gleichwertigen Schutz personenbezogener Daten gewährleisten.
Vor dem Einsatz solcher Subunternehmer verpflichtet sich der Datenverarbeiter sicherzustellen, dass:
4.4. Der Datenverarbeiter leistet dem Kunden angemessene Unterstützung bei der Erfüllung der Verpflichtungen des Kunden nach den Datenschutzgesetzen, einschließlich, aber nicht beschränkt auf Unterstützung bei Anfragen von betroffenen Personen, Sicherheit und Benachrichtigung im Falle eines Verstoßes sowie Durchführung von Datenschutz-Folgenabschätzungen.
4.5. Der Datenverarbeiter benachrichtigt den Kunden unverzüglich, wenn er eine Anfrage von einer betroffenen Person erhält, ihre Rechte gemäß den Datenschutzgesetzen auszuüben, und reagiert nicht auf eine solche Anfrage, es sei denn, er erhält dokumentierte Anweisungen des Kunden.
5.1. Der Kunde gibt dem Datenverarbeiter Anweisungen zur Verarbeitung der personenbezogenen Daten.
5.2. Der Kunde stellt sicher, dass er alle notwendigen Einwilligungen, Genehmigungen und Autorisierungen von den betroffenen Personen für die Verarbeitung ihrer personenbezogenen Daten eingeholt hat.
5.3. Der Kunde stellt den Datenverarbeiter von jeglichen Ansprüchen, Maßnahmen, Verfahren, Verlusten, Schäden, Ausgaben und Haftungen frei, die aus einem Verstoß des Kunden gegen seine Verpflichtungen aus diesem Vertrag resultieren, einschließlich, aber nicht beschränkt auf Verstöße gegen Datenschutzgesetze.
5.4. Der Kunde stellt sicher, dass die ihm vom Datenverarbeiter übergebenen personenbezogenen Daten genau und aktuell sind, und informiert den Datenverarbeiter über Änderungen der personenbezogenen Daten.
6.1. Der Datenverarbeiter unterstützt den Kunden nach Möglichkeit bei der Erfüllung der Pflichten des Kunden zur Beantwortung von Anfragen von betroffenen Personen, die ihre Rechte gemäß den Datenschutzgesetzen ausüben.
6.2. Der Datenverarbeiter informiert den Kunden umgehend, wenn er eine Anfrage von einer betroffenen Person zur Einsicht, Berichtigung oder Löschung ihrer personenbezogenen Daten erhält.
6.3. Der Datenverarbeiter antwortet auf eine solche Anfrage nicht ohne vorherige schriftliche Zustimmung des Kunden, es sei denn, dies ist gemäß den Datenschutzgesetzen erforderlich.
7.1. Der Datenverarbeiter implementiert geeignete technische und organisatorische Maßnahmen, um ein Sicherheitsniveau zu gewährleisten, das den Risiken angemessen ist, die sich aus der Verarbeitung personenbezogener Daten ergeben.
7.2. Der Datenverarbeiter stellt sicher, dass keine natürliche Person, die in seinem Auftrag handelt und Zugriff auf personenbezogene Daten hat, solche Daten verarbeitet, außer auf Anweisung des Kunden.
7.3. Der Datenverarbeiter führt angemessene Aufzeichnungen seiner Verarbeitungstätigkeiten, wie von den Datenschutzgesetzen vorgeschrieben.
8.1. Der Datenverarbeiter benachrichtigt das Unternehmen unverzüglich, sobald ihm eine Datenpanne bekannt wird, die sich auf personenbezogene Daten des Unternehmens auswirkt, und stellt dem Unternehmen ausreichende Informationen zur Verfügung, um dem Unternehmen die Erfüllung etwaiger Verpflichtungen zur Meldung oder Information von betroffenen Personen über die Datenpanne gemäß den Datenschutzgesetzen zu ermöglichen.
8.2. Der Datenverarbeiter arbeitet mit dem Unternehmen zusammen und ergreift angemessene kommerzielle Maßnahmen, die vom Unternehmen angeordnet werden, um bei der Untersuchung, Eindämmung und Behebung jeder solchen Datenpanne zu helfen.
9.1. Diese Vereinbarung tritt mit dem Datum in Kraft, an dem der Kunde die Vereinbarung akzeptiert, und bleibt bis zur Kündigung durch eine der Parteien gemäß dieser Vereinbarung in Kraft.
9.2. Jede Partei kann diese Vereinbarung durch schriftliche Mitteilung an die andere Partei kündigen, wenn die andere Partei gegen eine ihrer Verpflichtungen aus dieser Vereinbarung verstößt und diesen Verstoß nicht innerhalb von 30 Tagen nach Erhalt einer schriftlichen Mitteilung über den Verstoß behebt.
9.3. Bei Beendigung dieser Vereinbarung wird der Datenverarbeiter alle unter dieser Vereinbarung verarbeiteten personenbezogenen Daten unverzüglich zurückgeben oder sicher entsorgen, es sei denn, er ist gesetzlich zur Aufbewahrung solcher Daten verpflichtet.
10.1 Diese Vereinbarung unterliegt den Gesetzen vom Gerichtsstand des Datenverarbeiters in Deutschland.
10.2 Jeder Streit, der im Zusammenhang mit dieser Vereinbarung entsteht und den die Parteien nicht gütlich lösen können, wird den ausschließlichen Gerichtsbarkeiten vom Datenverarbeiter unterworfen, vorbehaltlich möglicher Berufungen vor deutschen Gerichten.
11.1. Diese Vereinbarung stellt die gesamte Vereinbarung zwischen den Parteien in Bezug auf den Gegenstand dieser Vereinbarung dar und ersetzt alle früheren oder gleichzeitigen Mitteilungen und Vorschläge, ob mündlich oder schriftlich, zwischen den Parteien.
11.2. Diese Vereinbarung kann nur schriftlich und von beiden Parteien unterzeichnet, geändert oder ergänzt werden.
12.1. Jede Mitteilung oder Kommunikation im Rahmen dieser Vereinbarung muss schriftlich erfolgen und gilt als ordnungsgemäß erfolgt, wenn sie persönlich übergeben, per Einschreiben oder durch E-Mail an die von den Parteien angegebenen Adressen versendet wurde.
13.1. Der Datenverarbeiter darf seine Rechte oder Pflichten aus diesem Vertrag ohne vorherige schriftliche Zustimmung des Kunden nicht abtreten oder übertragen.
13.2. Der Datenverarbeiter kann die Erfüllung seiner Verpflichtungen aus diesem Vertrag an einen Dritten delegieren, sofern er für die Erfüllung dieser Verpflichtungen gegenüber dem Kunden haftet.
14.1. Sollte eine Bestimmung dieses Vertrags für ungültig oder nicht durchsetzbar erklärt werden, so wird diese Bestimmung gestrichen und die übrigen Bestimmungen bleiben in voller Kraft und Wirkung.
15.1. Das Versäumnis einer Partei, eine Bestimmung dieses Vertrags durchzusetzen, darf nicht als Verzicht oder Einschränkung des Rechts dieser Partei ausgelegt werden, in der Folgezeit eine strikte Einhaltung jeder Bestimmung dieses Vertrags durchzusetzen und zu verlangen.
