Version 1.0 | DSD Europe B.V. | Mai 2018
- Der Reseller, der auf der Plattform von DSD Europe als Processing Officer registriert ist (nachfolgend: „Verantwortliche“.) :
und
- DSD Europe B.V. niedergelassen in [5246 AK] Rosmalen, Hintham 152A, gesetzlich vertreten von Lex Fabistas (nachstehend: „Verarbeiter“ genannt);
unter Berücksichtigung, dass:
- der Verantwortliche Zugriff auf personenbezogene Daten verschiedener Betroffener hat;
- der Verantwortliche vom Verarbeiter bestimmte Formen der Verarbeitung ausführen lassen möchten;
- Bezieht sich diese Vereinbarung auf personenbezogene Daten, so sind dies personenbezogene Daten im Sinne von Artikel 4 Absatz 1 der -Datenschutz-Grundverordnung (nachstehend: „DSGVO“);
- der Verantwortliche ordnet den Zweck und die Mittel für die Verarbeitung zu, für die die hier aufgeführten Bedingungen gelten;
- der Verarbeiter ist dazu bereit und auch bereit, Verpflichtungen in Bezug auf die Sicherheit und andere Aspekte der DSGVO zu erfüllen, soweit dies in seiner gesetzlichen Verantwortung liegt;
- der Verantwortliche kann als der für die Verarbeitung Verantwortlicher im Sinne von Artikel 4 Absatz 7 der DSGVO gelten, wird aber immer als „Verantwortlicher“ benannt;
- der Verarbeiter kann als Verarbeiter im Sinne von Artikel 4 Absatz 8 der DSGVO gelten;
- Im Hinblick auf die Anforderungen des Artikels 28 Absatz 3 der DSGVO möchten die Parteien ihre Rechte und Pflichten durch diesen Verarbeitervertrag (nachstehend: „Verarbeitervertrag“) festlegen.
haben wie folgt vereinbart:
ARTIKEL 1. ZWECK DER VERARBEITUNG
1.1. Unter den Bedingungen dieses Verarbeitervertrages verpflichtet sich der Verarbeiter, personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten. Die Verarbeitung erfolgt nur im Rahmen der Verarbeitung von Transaktionsdaten zum Zwecke der Auftragserteilung an den Verantwortlichen und an Kunden des Verantwortlichen, wie in den Allgemeinen Geschäftsbedingungen des Verarbeiters festgelegt.
1.2. Der Verarbeiter darf die personenbezogenen Daten zu keinem anderen als dem Verantwortlichen festgelegten Zweck verarbeiten, mit Ausnahme von statistischen und analytischen Zwecken zugunsten des Verarbeiters selbst.
1.3. Die folgenden Arten von personenbezogenen Daten werden während der Verarbeitung durch den Verarbeiter verarbeitet: Adressdaten, E-Mail-Adressen, Telefonnummern. Außerdem lassen sich folgende Personengruppen unterscheiden: Reseller-Kunden, die sich in Firmen- und Privatkunden unterteilen lassen.
1.4. Der Verarbeiter trifft keine eigenständigen Entscheidungen über die Verarbeitung personenbezogener Daten. Die Kontrolle über personenbezogene Daten, die dem Verarbeiter im Rahmen dieses Verarbeitungsvertrags oder anderer Vereinbarungen zwischen den Parteien zur Verfügung gestellt werden, sowie über Daten, die vom Verarbeiter in diesem Rahmen verarbeitet werden, obliegt dem Verantwortlichen.
1.5. Die im Auftrag des Verantwortlichen zu verarbeitenden personenbezogenen Daten bleiben Eigentum des Verantwortlichen und/oder der Beteiligten.
ARTIKEL 2. PFLICHTEN DES VERARBEITERS
2.1. Der Verarbeiter garantiert die Einhaltung der anwendbaren Gesetze, einschließlich der Gesetze zum Schutz personenbezogener Daten, wie z.B. der DSGVO, soweit diese Verpflichtungen in seine rechtliche Verantwortung fallen.
2.2. Der Verarbeiter unterrichtet die verantwortliche Partei nach ihrer ersten Anfrage über die Maßnahmen, die er in Bezug auf seine Verpflichtungen aus diesem Verarbeitervertrag und den einschlägigen Rechtsvorschriften getroffen hat.
2.3. Die Verpflichtungen des Verarbeiters aus diesem Verarbeitervertrag gelten auch für diejenigen, die personenbezogene Daten unter der Aufsicht des Verarbeiters verarbeiten, einschließlich, aber nicht beschränkt auf Mitarbeiterinnen und Mitarbeiter im weitesten Sinne des Wortes.
2.4. Der Verarbeiter gibt dem Verantwortlichen die Möglichkeit, mindestens einmal jährlich eine Prüfung der Einhaltung des Schutzes personenbezogener Daten durchzuführen oder durchführen zu lassen. Der Verantwortliche kann einen entsprechenden Antrag an den Verarbeiter richten. Der Verarbeiter trifft diesbezüglich gemeinsame Vereinbarungen mit dem Verantwortlichen. Die Kosten eines Audits gehen zu Lasten des Verantwortlichen. Der Verantwortliche übergibt dem Verarbeiter eine Kopie der Audit-Ergebnisse.
ARTIKEL 3. WEITERGABE VON PERSONENBEZOGENEN DATEN
3.1. Der Verarbeiter darf die personenbezogenen Daten in Ländern der Europäischen Union verarbeiten. Die Weitergabe in Länder außerhalb der Europäischen Union ist nur nach Zustimmung des Verantwortlichen und in Übereinstimmung mit den geltenden Gesetzen zulässig.
ARTIKEL 4. VERANTWORTUNG UND HAFTUNG
4.1. Die zulässigen Verarbeitungsvorgänge werden in einer automatisierten Umgebung unter Aufsicht des Verarbeiters durchgeführt.
4.2. Der Verarbeiter ist für die Verarbeitung der personenbezogenen Daten im Rahmen dieses Verarbeitervertrages gemäß den schriftlichen Anweisungen des Verantwortlichen und ausschließlich im Rahmen seiner gesetzlichen Verantwortung verantwortlich.
4.3. Der Verantwortliche ist für die eigene Verarbeitung personenbezogener Daten verantwortlich, wobei der Verarbeiter nicht beteiligt ist.
4.4. Der Verarbeiter haftet gegenüber dem Verantwortlichen, wenn der Verarbeiter seinen Verpflichtungen aus diesem Vertrag oder dem Gesetz aufgrund von Umständen, die er zu vertreten hat, nicht nachkommt. Die Haftung des Verarbeiters gegenüber dem Verantwortlichen ist in der in den Allgemeinen Geschäftsbedingungen des Verarbeiters vorgesehenen Weise beschränkt.
ARTIKEL 5. HINZUZIEHEN VON DRITTEN<
5.1. Im Rahmen dieses Verarbeitervertrages kann der Verarbeiter eine dritte Partei hinzuziehen und wird den Verantwortlichen unverzüglich darüber informieren.
5.2. In jedem Fall hat der Verarbeiter sicherzustellen, dass diese dritte Partei die gleichen Verpflichtungen, die zwischen dem Verarbeiter und dem Verantwortlichen vereinbart wurden, schriftlich übernimmt. Der Verarbeiter ist für die ordnungsgemäße Erfüllung dieser Verpflichtungen durch diese dritten Parteien verantwortlich und haftet im Falle von Fehlern dieser dritten Partei für Schäden, als ob er den Fehler selbst begangen hätte, es sei denn, es liegt Vorsatz oder grobe Fahrlässigkeit der dritten Partei vor.
ARTIKEL 6. MELDEPFLICHT UND DATENLECKS
6.1. Im Falle eines Datenlecks (d.h. einer Verletzung der personenbezogenen Daten) in Bezug auf die personenbezogenen Daten der verantwortlichen Stelle informiert der Verarbeiter die verantwortliche Stelle innerhalb von 24 Stunden nach ihrer Entdeckung, auf deren Grundlage die verantwortliche Stelle zu beurteilen hat, ob sie die betroffene(n) Person(en) und/oder die zuständige(n) Aufsichtsbehörde(n) informiert oder dies unterlässt. Der Verarbeiter garantiert, dass die bereitgestellten Informationen vollständig, richtig und genau sind. Die Meldepflicht des Verarbeiters gegenüber dem Verantwortlichen gilt unabhängig von den Auswirkungen des Lecks.
6.2. Der Verantwortliche ist jederzeit für die Entscheidung für eine Meldung verantwortlich und führt die Meldung auch selbst durch. Nur wenn dies gesetzlich vorgeschrieben ist, arbeitet der Verarbeiter bei der Meldung an die zuständigen Behörden und/oder betroffenen Parteien sowie bei anderen Verpflichtungen, die sich aus der DSGVO ergeben, zusammen.
6.3. Die Meldepflicht gegenüber dem Verantwortlichen umfasst in jedem Fall auch die Meldung eines Lecks, sowie:
- • was die (vermutete) Ursache des Lecks ist
- • was die (bisher bekannte und/oder erwartete) Konsequenz ist;
- • was die (vorgeschlagene) Lösung ist;
- • welche Rechte der Betroffene hat;
- • Kontaktdaten für die Weiterverfolgung der Meldung;
- • welche Maßnahmen bereits ergriffen wurden.
ARTIKEL 7. SICHERHEITSMAẞNAHMEN
7.1. Der Verarbeiter gewährleistet, dass seine eigene Sicherheit unter vorhersehbaren Umständen und unter Berücksichtigung der Art der Daten und des damit verbundenen Risikos angemessen ist. Der Verarbeiter garantiert, dass er innerhalb seiner eigenen Organisation ausreichende technische und organisatorische Maßnahmen im Hinblick auf die durchzuführende Verarbeitung personenbezogener Daten, gegen Verlust oder gegen jede Form der rechtswidrigen Verarbeitung (z.B. unberechtigter Zugriff, Änderung oder Weitergabe personenbezogener Daten) ergreift.
7.2. Der Verarbeiter hat zumindest folgende Maßnahmen ergriffen:
- Logische Zugriffskontrolle mit Hilfe von Passwörtern;
- Physische Maßnahmen zur Zugangssicherheit;
- Verschlüsselung von digitalen Dateien mit persönlichen Daten in Backups und an Arbeitsplätzen;
- Organisatorische Maßnahmen zur Zugangssicherung;
- Zielgerichtete Zugangssicherungen;
- Kontrolle der gewährten Befugnisse;
- Controle op toegekende bevoegdheden;
- Patch-Management;
- Mehrschichtiger Antivirenschutz;
- Firewall der nächsten Generation, in der ein umfassender Schutz aktiviert werden kann (bsp. SSL-Prüfung).
ARTIKEL 8. ANTRÄGE VON BETROFFENEN
8.1. Falls eine betroffene Person einen Antrag auf Einsichtnahme, Berichtigung, Ergänzung, Änderung oder Sperrung an den Verarbeiter stellt, leitet der Verarbeiter diesen Antrag unverzüglich an den Verantwortlichen weiter, ohne den Antrag selbst zu bearbeiten oder Kontakt mit der betroffenen Person aufzunehmen.
8.2. Wenn eine betroffene Person einen Antrag gemäß Absatz 1 an den Verantwortlichen richtet, so hat der Verarbeiter, wenn der der Verantwortliche dies wünscht, im erforderlichen und angemessenen Umfang mitzuwirken.
ARTIKEL 9. GEHEIMHALTUNG UND VERTRAULICHKEIT
9.1. Alle personenbezogenen Daten, die der Bearbeiter von der verantwortlichen Stelle erhält und umgekehrt und/oder im Rahmen dieses Verarbeitungsvertrages selbst erhebt, unterliegen der Geheimhaltungspflicht gegenüber Dritten.
9.2. Diese Geheimhaltungspflicht gilt nicht, soweit der Verantwortliche der Weitergabe der Informationen an Dritte ausdrücklich zugestimmt hat, wenn die Weitergabe der Informationen an Dritte im Hinblick auf die Art des erteilten Auftrags und die Durchführung dieses Verarbeitungsvertrages logischerweise erforderlich ist oder wenn eine gesetzliche Verpflichtung zur Weitergabe der Informationen an Dritte besteht.
ARTIKEL 10. DAUER UND BEENDIGUNG
10.1. Dieser Verarbeitervertrag wird für die in der separaten Vereinbarung zwischen den Parteien festgelegte Dauer und in Ermangelung einer solchen für die Dauer der Zusammenarbeit geschlossen.
10.2. Der Verarbeitervertrag kann vorzeitig gekündigt werden, nachdem die Parteien ihre beiderseitige schriftliche Zustimmung gegeben haben.
10.3. Bei Beendigung der Zusammenarbeit hat die verantwortliche Partei die Möglichkeit, alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten vom Verarbeiter vernichten zu lassen oder an die verantwortliche Partei zurückgeben zu lassen. In beiden Fällen hat der Verarbeiter so bald wie möglich keine personenbezogenen Daten des Verantwortlichen mehr in seinem Besitz, es sei denn, dies ist gesetzlich vorgeschrieben.
10.4. Die Parteien können diesen Verarbeitungsvertrag nur im gegenseitigen Einvernehmen ändern.
10.5. Die Parteien arbeiten uneingeschränkt an der Änderung und Anpassung dieses Verarbeitervertrags mit, um ihn an mögliche neue Datenschutzgesetze oder Änderungen der bestehenden Datenschutzgesetze anzupassen.
ARTIKEL 11. ANWENDBARES RECHT UND SCHLICHTUNG
11.1. Der Verarbeitungsvertrag und seine Durchführung unterliegen dem niederländischen Recht.
11.2. Alle Streitigkeiten, die zwischen den Parteien im Zusammenhang mit dem Verarbeitungsvertrag entstehen können, werden dem zuständigen Gericht in dem Bezirk vorgelegt, in dem der Verantwortliche seinen Sitz hat.