Vereinbarung über die Datenverarbeitung
Für die Zwecke von Art. 28 Abs. 3 der Verordnung 2016/679 (DSGVO)
Diese Datenverarbeitungsvereinbarung (DPA) stellt Gluu (der “Auftragsverarbeiter”) und den Kunden (der “Verantwortliche”) jeweils als “Partei” dar; zusammen “die Parteien”, Verpflichtungen in Bezug auf die Datenverarbeitung und ist Teil der Vereinbarung.
Kunde/Verantwortlicher, gemäß den Allgemeinen Geschäftsbedingungen sind Sie als Kontoinhaber, der die Dienste von Gluu nutzt.
die folgenden Vertragsklauseln (die Klauseln) vereinbart haben, um die Anforderungen der DSGVO zu erfüllen und den Schutz der Rechte der betroffenen Person zu gewährleisten.
1. Inhaltsverzeichnis
2. Präambel
3. Rechte und Pflichten des für die Verarbeitung Verantwortlichen
4. Der Datenverarbeiter handelt weisungsgebunden
5. Vertraulichkeit
6. Sicherheit der Verarbeitung
7. Einsatz von Unterauftragsverarbeitern
8. Übermittlung von Daten an Drittländer oder internationale Organisationen
9. Unterstützung des für die Datenverarbeitung Verantwortlichen
10. Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten
11. Löschung und Rückgabe von Daten
12. Audit und Inspektion
13. Vereinbarung der Parteien über andere Bedingungen
14. Beginn und Beendigung
Anhang A
Anhang B
Anhang C
2. Präambel
Diese Vertragsklauseln (die Klauseln) legen die Rechte und Pflichten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen fest.
Die Klauseln sollen sicherstellen, dass die Parteien Artikel 28 Absatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) einhalten.
Im Rahmen der Bereitstellung eines Online-Tools für das Geschäftsprozessmanagement verarbeitet der Datenverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen in Übereinstimmung mit den Klauseln.
Die Klauseln haben Vorrang vor ähnlichen Bestimmungen, die in anderen Vereinbarungen zwischen den Parteien enthalten sind.
Den Klauseln sind vier Anhänge beigefügt, die integraler Bestandteil der Klauseln sind.
Anhang A enthält Einzelheiten über die Verarbeitung personenbezogener Daten, einschließlich des Zwecks und der Art der Verarbeitung, der Art der personenbezogenen Daten, der Kategorien der betroffenen Personen und der Dauer der Verarbeitung.
Anhang B enthält die Bedingungen des für die Verarbeitung Verantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Datenverarbeiter und eine Liste der vom Datenverantwortlichen autorisierten Unterauftragsverarbeiter.
Anhang C enthält die Anweisungen des für die Verarbeitung Verantwortlichen in Bezug auf die Verarbeitung personenbezogener Daten, die vom Datenverarbeiter zu implementierenden Mindestsicherheitsmaßnahmen und die Art und Weise, wie Audits des Datenverarbeiters und etwaiger Unterauftragsverarbeiter durchzuführen sind.
Die Klauseln sowie die Anhänge sind von beiden Parteien schriftlich, auch elektronisch, aufzubewahren.
Die Klauseln befreien den Datenverarbeiter nicht von Verpflichtungen, denen der Datenverarbeiter gemäß der Datenschutz-Grundverordnung (DSGVO) oder anderen Rechtsvorschriften unterliegt.
3. Rechte und Pflichten des für die Verarbeitung Verantwortlichen
Der für die Verarbeitung Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der DSGVO (siehe Artikel 24 DSGVO), den geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten [1] und der Klauseln erfolgt.
Der für die Verarbeitung Verantwortliche hat das Recht und die Pflicht, Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen.
Der für die Datenverarbeitung Verantwortliche ist unter anderem dafür verantwortlich, dass die Verarbeitung personenbezogener Daten, mit der der Datenverarbeiter beauftragt ist, eine Rechtsgrundlage hat.
4. Der Datenverarbeiter handelt weisungsgebunden
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Anweisung des für die Verarbeitung Verantwortlichen, es sei denn, dies ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, dazu verpflichtet. Diese Anweisungen sind in den Anhängen A und C anzugeben. Nachfolgende Anweisungen können auch vom für die Verarbeitung Verantwortlichen während der gesamten Dauer der Verarbeitung personenbezogener Daten erteilt werden, aber diese Anweisungen sind im Zusammenhang mit den Klauseln stets schriftlich zu dokumentieren und aufzubewahren, auch auf elektronischem Wege.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn die vom Verantwortlichen erteilten Weisungen nach Ansicht des Auftragsverarbeiters gegen die DSGVO oder die geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstoßen.
5. Vertraulichkeit
Der Datenverarbeiter gewährt nur Personen unter der Aufsicht des Datenverarbeiters, die sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen, und nur auf der Grundlage des Need-to-know-Prinzips Zugang zu den personenbezogenen Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden. Die Liste der Personen, denen Zugang gewährt wurde, wird regelmäßig überprüft. Auf der Grundlage dieser Überprüfung kann ein solcher Zugriff auf personenbezogene Daten widerrufen werden, wenn der Zugriff nicht mehr erforderlich ist, und personenbezogene Daten sind folglich für diese Personen nicht mehr zugänglich.
Der Auftragsverarbeiter weist auf Verlangen des für die Verarbeitung Verantwortlichen nach, dass die betroffenen Personen, die unter der Aufsicht des Auftragsverarbeiters stehen, der oben genannten Vertraulichkeit unterliegen.
6. Sicherheit der Verarbeitung
Artikel 32 DSGVO sieht vor, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des unterschiedlich wahrscheinlichen und schwerwiegenden Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Der für die Verarbeitung Verantwortliche bewertet die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen und ergreift Maßnahmen zur Minderung dieser Risiken. Je nach Relevanz können die Maßnahmen Folgendes umfassen:
(a) Pseudonymisierung und Verschlüsselung personenbezogener Daten;
(b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste dauerhaft zu gewährleisten;
(c) die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen;
(d) ein Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Gemäß Artikel 32 DSGVO bewertet der Auftragsverarbeiter – unabhängig vom Verantwortlichen – auch die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen und ergreift Maßnahmen zur Minderung dieser Risiken. Zu diesem Zweck stellt der für die Verarbeitung Verantwortliche dem Datenverarbeiter alle Informationen zur Verfügung, die zur Identifizierung und Bewertung solcher Risiken erforderlich sind.
Darüber hinaus unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Einhaltung der Verpflichtungen des Verantwortlichen gemäß Artikel 32 DSGVO, unter anderem durch Bereitstellung von Informationen an den für die Verarbeitung Verantwortlichen über die technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter gemäß Artikel 32 DSGVO bereits ergriffen hat, sowie alle anderen Informationen, die erforderlich sind, damit der für die Verarbeitung Verantwortliche die Verpflichtung des Verantwortlichen gemäß Artikel 32 DSGVO erfüllen kann. Wenn die Minderung der festgestellten Risiken anschließend – nach Einschätzung des für die Verarbeitung Verantwortlichen – weitere Maßnahmen erfordert, die vom Datenverarbeiter gemäß Artikel 32 DSGVO bereits ergriffen wurden, hat der für die Verarbeitung Verantwortliche diese zusätzlichen Maßnahmen in Anhang C anzugeben.
7. Einsatz von Unterauftragsverarbeitern
Der Auftragsverarbeiter muss die in Art. 28 Abs. 2 und 4 DSGVO genannten Voraussetzungen erfüllen, um einen anderen Auftragsverarbeiter (Unterauftragsverarbeiter) zu beauftragen.
Der Datenverarbeiter darf daher keinen anderen Auftragsverarbeiter (Unterauftragsverarbeiter) mit der Erfüllung der Klauseln ohne vorherige allgemeine schriftliche Genehmigung des für die Verarbeitung Verantwortlichen beauftragen.
Der Datenverarbeiter verfügt über die allgemeine Genehmigung des Datenverantwortlichen für die Beauftragung von Unterauftragsverarbeitern. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen mindestens 20 Tage im Voraus schriftlich über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder Ersetzung von Unterauftragsverarbeitern und gibt dem für die Verarbeitung Verantwortlichen die Möglichkeit, diesen Änderungen vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter(s) zu widersprechen. Längere Fristen für die Vorankündigung bestimmter Unterauftragsverarbeitungsdienste können in Anhang B vorgesehen werden. Die Liste der Unterauftragsverarbeiter, die bereits vom für die Verarbeitung Verantwortlichen autorisiert wurden, finden Sie in Anhang B.
Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Auftrag des für die Verarbeitung Verantwortlichen, so werden diesem Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen auferlegt, die in den Klauseln durch einen Vertrag oder einen anderen Rechtsakt nach dem Recht der EU oder der Mitgliedstaaten festgelegt sind, wobei insbesondere ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen in einer Weise geboten werden, dass die Verarbeitung den Anforderungen der die Klauseln und die DSGVO. Der Auftragsverarbeiter ist daher dafür verantwortlich, dass der Unterauftragsverarbeiter zumindest die Verpflichtungen einhält, denen der Auftragsverarbeiter gemäß den Klauseln und der DSGVO unterliegt.
Eine Kopie einer solchen Unterauftragsverarbeitervereinbarung und späterer Änderungen wird – auf Verlangen des für die Verarbeitung Verantwortlichen – dem für die Verarbeitung Verantwortlichen vorgelegt, wodurch dem für die Verarbeitung Verantwortlichen die Möglichkeit gegeben wird, sicherzustellen, dass dem Unterauftragsverarbeiter dieselben Datenschutzverpflichtungen auferlegt werden, wie sie in den Klauseln festgelegt sind. Klauseln zu geschäftsbezogenen Fragen, die den rechtlichen Datenschutzgehalt des Unterauftragsverarbeitervertrags nicht berühren, bedürfen nicht der Vorlage an den für die Verarbeitung Verantwortlichen.
Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der für die Verarbeitung Verantwortliche im Falle eines Konkurses des Auftragsverarbeiters ein Drittbegünstigter des Unterauftragsverarbeitervertrags ist und das Recht hat, den Vertrag gegen den vom Auftragsverarbeiter beauftragten Unterauftragsverarbeiter durchzusetzen, z. B. um es dem für die Verarbeitung Verantwortlichen zu ermöglichen, den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
Wenn der Unterauftragsverarbeiter seinen datenschutzrechtlichen Verpflichtungen nicht nachkommt, bleibt der Auftragsverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang haftbar für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters. Die Rechte der betroffenen Personen nach der DSGVO – insbesondere die in den Artikeln 79 und 82 DSGVO vorgesehenen – gegenüber dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter, einschließlich des Unterauftragsverarbeiters, bleiben hiervon unberührt.
8. Übermittlung von Daten an Drittländer oder internationale Organisationen
Alle Daten des Datenverarbeiters werden ausschließlich innerhalb der EU (Nordeuropa, z. B. Dublin und Amsterdam) gespeichert. Backup, Storage und Redundanz werden alle lokal in den nordeuropäischen Rechenzentren von Microsoft abgewickelt.
Eine Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen durch den Datenverarbeiter erfolgt nur auf der Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen und erfolgt stets in Übereinstimmung mit Kapitel V DSGVO.
Für den Fall, dass Übermittlungen an Drittländer oder internationale Organisationen, zu deren Durchführung der Auftragsverarbeiter nicht vom Verantwortlichen beauftragt wurde, nach dem Recht der Union oder der Mitgliedstaaten, denen der Auftragsverarbeiter unterliegt, erforderlich sind, informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese gesetzliche Verpflichtung, es sei denn, dieses Recht verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.
Ohne dokumentierte Anweisungen des für die Verarbeitung Verantwortlichen kann der Auftragsverarbeiter daher im Rahmen der Klauseln:(a) personenbezogene Daten an einen für die Verarbeitung Verantwortlichen oder einen Auftragsverarbeiter in einem Drittland oder in einer internationalen Organisation übermitteln(b) die Verarbeitung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland übermitteln(c)die personenbezogenen Daten durch den Auftragsverarbeiter in einem Drittland verarbeiten lassen
Die Anweisungen des für die Verarbeitung Verantwortlichen in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland, gegebenenfalls einschließlich des ihnen zugrunde liegenden Übermittlungstools gemäß Kapitel V DSGVO, sind in Anhang C.6 aufgeführt.
Die Klauseln dürfen nicht mit Standarddatenschutzklauseln im Sinne von Artikel 46 Absatz 2 Buchstaben c und d DSGVO verwechselt werden, und die Parteien können sich nicht auf die Klauseln als Übermittlungsinstrument gemäß Kapitel V DSGVO berufen.
9. Unterstützung des für die Datenverarbeitung Verantwortlichen
Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtungen des für die Verarbeitung Verantwortlichen zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Person gemäß Kapitel III DSGVO. Dies bedeutet, dass der Datenverarbeiter, soweit dies möglich ist, den für die Datenverarbeitung Verantwortlichen bei der Einhaltung der folgenden Bedingungen durch den Datenverantwortlichen unterstützt:
(a) das Recht auf Auskunft, wenn personenbezogene Daten von der betroffenen Person erhoben werden;
(b) das Recht auf Auskunft, wenn personenbezogene Daten nicht von der betroffenen Person erhalten wurden
(c) das Auskunftsrecht der betroffenen Person
(d) das Recht auf Berichtigung
e) das Recht auf Löschung (“Recht auf Vergessenwerden”)
(f) das Recht auf Einschränkung der Verarbeitung
(g) Mitteilungspflicht bei Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung
(h) das Recht auf Datenübertragbarkeit
(i) das Widerspruchsrecht
(j) das Recht, nicht einer Entscheidung unterworfen zu werden, die ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht
Zusätzlich zu der Verpflichtung des Datenverarbeiters, den für die Verarbeitung Verantwortlichen gemäß Ziffer 6.3. zu unterstützen, unterstützt der Datenverarbeiter den für die Verarbeitung Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Datenverarbeiter zur Verfügung stehenden Informationen bei der Sicherstellung der Einhaltung von:
die Verpflichtung des für die Datenverarbeitung Verantwortlichen, die Verletzung des Schutzes personenbezogener Daten unverzüglich, soweit möglich, spätestens 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde, der dänischen Datenschutzbehörde, zu melden, es sei denn, es ist unwahrscheinlich, dass die Verletzung des Schutzes personenbezogener Daten zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt;
die Verpflichtung des für die Verarbeitung Verantwortlichen, die betroffene Person unverzüglich über die Verletzung des Schutzes personenbezogener Daten zu informieren, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt;
die Verpflichtung des für die Verarbeitung Verantwortlichen, eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten durchzuführen (Datenschutz-Folgenabschätzung);
die Verpflichtung des für die Verarbeitung Verantwortlichen, vor der Verarbeitung die zuständige Aufsichtsbehörde, die dänische Datenschutzbehörde, zu konsultieren, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung ergreift.
Die Parteien legen in Anhang C die geeigneten technischen und organisatorischen Maßnahmen fest, durch die der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unterstützen muss, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung. Dies gilt für die in Ziffer 9.1 vorgesehenen Verpflichtungen. und 9.2.
10. Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Datenverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich nach Kenntniserlangung über die Verletzung des Schutzes personenbezogener Daten zu informieren.
Die Benachrichtigung des Datenverarbeiters an den für die Verarbeitung Verantwortlichen erfolgt, wenn möglich, innerhalb von 72 Stunden, nachdem der Datenverarbeiter von der Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, damit der für die Verarbeitung Verantwortliche der Verpflichtung des für die Verarbeitung Verantwortlichen nachkommen kann, die Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde zu melden, vgl. Artikel 33 DSGVO.
Gemäß Klausel 9 Absatz 2 Buchstabe a unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde, was bedeutet, dass der Auftragsverarbeiter verpflichtet ist, bei der Beschaffung der unten aufgeführten Informationen zu helfen, die gemäß Artikel 33 Absatz 3 DSGVO in der Mitteilung des Verantwortlichen an die zuständige Aufsichtsbehörde anzugeben sind:
Die Art der personenbezogenen Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;
die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
die Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen vorschlägt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, einschließlich gegebenenfalls Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.
Die Parteien legen in Anhang C alle Elemente fest, die der Datenverarbeiter bereitstellen muss, wenn er den für die Datenverarbeitung Verantwortlichen bei der Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde unterstützt.
11. Löschung und Rückgabe von Daten
Bei Beendigung der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten ist der Auftragsverarbeiter verpflichtet, alle personenbezogenen Daten, die im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, zu löschen und dem für die Verarbeitung Verantwortlichen zu bestätigen, dass er dies getan hat, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt die Speicherung der personenbezogenen Daten vor.
12. Audit und Inspektion
Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in Artikel 28 und den Klauseln festgelegten Verpflichtungen nachzuweisen, und ermöglicht und trägt zu Audits, einschließlich Inspektionen, bei, die vom für die Verarbeitung Verantwortlichen oder einem anderen vom für die Verarbeitung Verantwortlichen beauftragten Prüfer durchgeführt werden.
Die Verfahren, die für die Audits des für die Verarbeitung Verantwortlichen gelten, einschließlich der Inspektionen, des Datenverarbeiters und der Unterauftragsverarbeiter, sind in den Anhängen C.7 aufgeführt. und C.8.
Der Auftragsverarbeiter ist verpflichtet, den Aufsichtsbehörden, die gemäß den geltenden Rechtsvorschriften Zugang zu den Einrichtungen des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters haben, oder den Vertretern, die im Namen dieser Aufsichtsbehörden handeln, gegen Vorlage eines entsprechenden Ausweises Zugang zu den physischen Einrichtungen des Auftragsverarbeiters zu gewähren.
13. Vereinbarung der Parteien über andere Bedingungen
Die Parteien können andere Klauseln über die Erbringung der Dienstleistung der Verarbeitung personenbezogener Daten vereinbaren, die z. B. die Haftung festlegen, sofern sie nicht direkt oder indirekt den Klauseln widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Person und den durch die DSGVO gewährten Schutz beeinträchtigen.
14. Beginn und Beendigung
Die Klauseln treten am Tag der Erstellung des Kunden-/Controller-Kontos in Kraft.
Beide Parteien sind berechtigt, eine Neuverhandlung der Klauseln zu verlangen, wenn eine Änderung des Gesetzes oder eine Unzweckmäßigkeit der Klauseln zu einer solchen Neuverhandlung führen sollte.
Die Klauseln gelten für die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten. Für die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten können die Klauseln nicht gekündigt werden, es sei denn, die Parteien haben andere Klauseln vereinbart, die die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten regeln.
Wenn die Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten beendet wird und die personenbezogenen Daten gemäß Ziffer 11.1 gelöscht oder an den für die Verarbeitung Verantwortlichen zurückgegeben werden. und Anhang C.4. können die Klauseln durch schriftliche Mitteilung beider Parteien gekündigt werden.
Im Auftrag des Datenverarbeiters
| Name | Søren Pommer |
| Position | CEO |
| Mobil | +45 5049 8938 |
| spommer@gluu.biz |
15. Kontakte/Kontaktstellen für die Datenverarbeitung und den Datenverarbeiter
Die Parteien können sich gegenseitig über die folgenden Kontakte/Kontaktstellen kontaktieren, wie unter 13 beschrieben. Beginn und Beendigung
Die Parteien sind verpflichtet, sich gegenseitig fortlaufend über Änderungen der Kontakte/Kontaktstellen zu informieren.
Anhang A: Informationen über die Verarbeitung
A.1. Der Zweck der Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen ist:
- Berichterstattung über die Mitarbeiter der Datenverantwortlichen und die Nutzung des Gluu-Systems,
- Erfassung und Speicherung personenbezogener Daten im Zusammenhang mit dem Hosting.
A.2. Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen bezieht sich hauptsächlich auf (die Art der Verarbeitung):
- Auflisten von Mustern bei der Verwendung mit benannten Benutzern.
A.3. Die Verarbeitung umfasst die folgenden Arten von personenbezogenen Daten über betroffene Personen:
- Name
- E-Mail-Adresse
- Telefonnummer
- Adresse
- Zahlungsdaten (Karte)
A.4. Die Verarbeitung umfasst die folgenden Kategorien betroffener Personen:
- Die Mitarbeiter der Datenverantwortlichen.
- Externe Berater, die für den für die Datenverarbeitung Verantwortlichen tätig sind.
A.5. Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen kann zu Beginn der Klauseln erfolgen. Die Verarbeitung hat folgende Dauer:
Die Dauer der Verarbeitung ist so lange, wie der für die Datenverarbeitung Verantwortliche ein Konto im Online-System von Gluu hat.
Anhang B: Autorisierte Unterauftragsverarbeiter
B.1. Zugelassene Unterauftragsverarbeiter
Mit Inkrafttreten der Klauseln genehmigt der für die Datenverarbeitung Verantwortliche die Beauftragung der folgenden Unterauftragsverarbeiter:
| Name | Anschrift | Beschreibung der Verarbeitung |
| Microsoft Data Center-South County Business Park | One Microsoft Place, Carmanhall und Leopardstown, Dublin, D18 P521, Irland | Hosting Eigene Daten der für die Datenverarbeitung Verantwortlichen Datenverarbeiter interne Daten |
| Gegensprechanlage | 3. Stock, Stephens Ct. 18-21 St. Stephen’s Green, Dublin 2, Irland | Online-Unterstützung Datenverarbeiter interne Daten |
| Stripe inc | 185 Berry Street, Suite 550, San Francisco, CA 94107, USA | Fakturierungssystem Datenverarbeiter interne Daten |
| MailChimp / Mandrill | 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA | E-Mail-Marketing Datenverarbeiter interne Daten |
| Pipedrive OÜ | Paldiski mnt 80, Tallinn 10617, Estland | CRM-System Datenverarbeiter interne Daten |
Alle Unterauftragsverarbeiter werden für die interne Datenverarbeitung des Auftragsverarbeiters verwendet. Der für die Datenverarbeitung Verantwortliche genehmigt zu Beginn der Klauseln den Einsatz der oben genannten Unterauftragsverarbeiter für die für diese Partei beschriebene Verarbeitung. Der Auftragsverarbeiter ist – ohne ausdrückliche schriftliche Genehmigung des Verantwortlichen – nicht berechtigt, einen Unterauftragsverarbeiter mit einer “anderen” als der vereinbarten Verarbeitung zu beauftragen oder einen anderen Unterauftragsverarbeiter mit der beschriebenen Verarbeitung beauftragen zu lassen.
B.2. Vorankündigung für die Befugnis von Unterauftragsverarbeitern
Der für die Datenverarbeitung Verantwortliche kann neue Unterauftragsverarbeiter innerhalb von 7 Kalendertagen nach Eingang des Antrags annehmen oder ablehnen. Die Antwort muss eine gültige geschäftliche Ursache enthalten.
Anhang C: Belehrung zur Verwendung personenbezogener Daten
C.1. Gegenstand/Anweisung für die Verarbeitung
Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen erfolgt durch den Datenverarbeiter, der Folgendes ausführt:
- Meldung der Mitarbeiter der Datenverantwortlichen und Nutzung des Gluu-Systems
- Erfassung und Speicherung personenbezogener Daten im Zusammenhang mit dem Hosting
C.2. Sicherheit der Verarbeitung
Das Sicherheitsniveau muss Folgendes berücksichtigen:
- Die einfache Verarbeitung von Daten, die der Datenverarbeiter bei der Zustellung von Berichten und der Erbringung der Dienstleistungen durchführt, ist Teil eines normalen Betriebs.
Dies gilt als sehr niedriges Sicherheitsniveau.
Der für die Datenverarbeitung Verantwortliche hat keine Anforderungen an Verschlüsselung oder Pseudoanonymität, da der Datenverarbeiter nur sehr begrenzten Zugriff auf sensible personenbezogene Daten hat.
C.3. Unterstützung des für die Datenverarbeitung Verantwortlichen
Der Auftragsverarbeiter wird, soweit dies möglich ist – im Rahmen und Umfang der nachfolgend genannten Unterstützung – den Verantwortlichen gemäß Ziffer 9.1 unterstützen. und 9.2.
C.4. Dauer der Speicherung/Löschverfahren
Personenbezogene Daten werden für die gesamte Dauer des Unternehmensvertrags und weitere 3 Jahre gespeichert, danach werden die personenbezogenen Daten vom Datenverarbeiter automatisch gelöscht.
Nach Beendigung der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten löscht der Datenverarbeiter die personenbezogenen Daten gemäß Ziffer 11.1. entweder oder gibt sie zurück, es sei denn, der für die Verarbeitung Verantwortliche hat – nach Vertragsunterzeichnung – die ursprüngliche Wahl des für die Verarbeitung Verantwortlichen geändert. Eine solche Änderung ist in Verbindung mit den Klauseln schriftlich zu dokumentieren und aufzubewahren, auch elektronisch.
C.5. Ort der Verarbeitung
Die Verarbeitung der personenbezogenen Daten gemäß den Klauseln darf ohne vorherige schriftliche Genehmigung des für die Verarbeitung Verantwortlichen nicht an anderen Orten als den folgenden erfolgen: Europa.
C.6. Belehrung über die Übermittlung personenbezogener Daten in Drittländer
Der Auftragsverarbeiter darf personenbezogene Daten nur mit vorheriger schriftlicher Zustimmung des Verantwortlichen (z.B. Kunde) in Drittländer übermitteln.
Wenn der für die Verarbeitung Verantwortliche in den Klauseln keine dokumentierten Anweisungen in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland erteilt oder nachträglich erteilt, ist der Datenverarbeiter im Rahmen der Klauseln nicht berechtigt, eine solche Übermittlung durchzuführen.
C.7. Verfahren für die Prüfungen des für die Verarbeitung Verantwortlichen, einschließlich Inspektionen, der Verarbeitung personenbezogener Daten durch den Datenverarbeiter
Der für die Verarbeitung Verantwortliche oder sein Vertreter führt eine physische Inspektion der Orte durch, an denen die Verarbeitung personenbezogener Daten durch den Datenverarbeiter durchgeführt wird, einschließlich der physischen Einrichtungen sowie der Systeme, die für die Verarbeitung verwendet werden und damit zusammenhängen, um die Einhaltung der DSGVO, der geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten und der Klauseln durch den Datenverarbeiter sicherzustellen.
Zusätzlich zu der geplanten Inspektion kann der für die Verarbeitung Verantwortliche eine Inspektion des Datenverarbeiters durchführen, wenn der für die Verarbeitung Verantwortliche dies für erforderlich hält.
Die Kosten des für die Verarbeitung Verantwortlichen im Zusammenhang mit der physischen Inspektion werden gegebenenfalls vom für die Verarbeitung Verantwortlichen getragen. Der Datenverarbeiter ist jedoch verpflichtet, die Ressourcen (hauptsächlich Zeit) bereitzustellen, die erforderlich sind, damit der für die Verarbeitung Verantwortliche die Kontrolle durchführen kann.
[1] Verweise auf “Mitgliedstaaten” in den Klauseln sind als Verweise auf “EWR-Mitgliedstaaten” zu verstehen.