sessionly - AVV
sessionly Auftragsverarbeitungsvereinbarung
Vereinbarung über die Verarbeitung von Daten im Auftrag gemäß Artikel 28 DSGVO.
Dieser Auftragsverarbeitungsvertrag gilt zwischen Ihnen - "Auftraggeber"
und der
sessionly – Renata Bognar
Prenzlauer Allee 186
10405 Berlin, Deutschland
"Auftragsverarbeiter"
bezüglich folgender Verarbeitungstätigkeit (Gegenstand der Verarbeitung):
Versendung von Aufforderungen, den Shop zu bewerten/ Bewertungsbögen (nachfolgend „Verarbeitungstätigkeit“ genannt)
- Allgemeines
- Art und Zweck der Verarbeitung
- Dauer der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien der betroffenen Personen
- Weisung des Verantwortlichen
- Einhaltung der Sicherheit der Verarbeitung
- Weitere Auftragsverarbeiter
- Ort der Verarbeitungstätigkeit
- Unterstützung des Verantwortlichen bei Betroffenenrechten
- Unterstützung bei bei der Einhaltung der Pflichten
- Löschung oder Rückgabe der personenbezogenen Daten
- Information zum Nachweis der Einhaltung der Pflichten
- Haftung
- Datenschutzbeauftragter
- Schlussbestimmungen
Allgemeines
Dieser Vertrag zur Auftragsverarbeitung (Art. 28 DSGVO) regelt die Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter für den Verantwortlichen. Dies umfasst alle Tätigkeiten, die der Auftragsverarbeiter zur Erfüllung des Hauptvertrages über die vorstehende Verarbeitungstätigkeit erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern der Hauptvertrag nicht ausdrücklich auf diesen Vertrag zur Auftragsverarbeitung verweist.
Art und Zweck der Verarbeitung (Art. 28 III DSGVO)
Art und Zweck der Verarbeitung sind alle Arten von Verarbeitungen gemäß Art. 4 Nr. 2 DSGVO, die zur Erfüllung des Hauptvertrages erfolgen. Zweck der Verarbeitung sind alle zur Erfüllung der vorstehenden Verarbeitungstätigkeit erforderlichen Zwecke.
Dauer der Verarbeitung (Art. 28 III DSGVO)
Der Vertrag wird für die Dauer des Bestehens des Hauptvertrages über die vorstehende Verarbeitungstätigkeit geschlossen. Er gilt ab sofort und endet mit Beendigung des Hauptvertrages.
Art der personenbezogenen Daten (Art. 28 III DSGVO)
Die Art der personenbezogenen Daten bestimmt der Verantwortliche durch die Produktwahl, Nutzung der Dienste des Auftragsverarbeiters und Übermittlung von Daten.
Kategorien der betroffenen Personen (Art. 28 III DSGVO)
Die Kategorien der Betroffenen bestimmt der Verantwortliche durch die Produktwahl, Nutzung der Dienste und die Übermittlung von Daten.
Weisung des Verantwortlichen (Art. 28 III a DSGVO)
Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, darf diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass nach dem Unionsrecht oder dem Recht der Mitgliedstaaten die Verpflichtung zur Verarbeitung besteht (Art. 29 DSGVO). Die Weisungen sind im Hauptvertrag geregelt und können vom Verantwortlichen danach in Textform durch einzelne Weisungen geändert werden. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwend¬bare Gesetze verstößt. Der Auftragsverarbeiter darf die Umsetzung der Weisung solange aussetzen, bis sie vom Verantwortlichen bestätigt oder abgeändert wurde. Gewährleistung der Vertraulichkeit / Verschwiegenheitspflicht (Art. 28 III b DSGVO)
Der Auftragsverarbeiter gewährleistet, dass es den mit der Verarbeitung der Daten des Verantwortlichen befassten Mitarbeiter und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragsverarbeiter, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Diese Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Hauptvertrages soweit dieses Vertrags zur Auftragsverarbeitung fort.
Einhaltung der Sicherheit der Verarbeitung gemäß Art. 32 DSGVO durch den Auftragsverarbeiter (Art. 28 III c DSGVO)
Der Auftragsverarbeiter ergreift in seinem Verantwortungsbereich geeignete technische und organisatorische Maßnahmen, um sicher zu stellen, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Der Auftragsverarbeiter ergreift in seinem Verantwortungsbereich daher gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. Er betreibt ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung und passt die getroffenen Maßnahmen im Laufe der Zeit an die Entwicklungen beim Stand der Technik und die Risikolage an. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, sofern das vereinbarte Schutzniveau sowie das Schutzniveau nach Art 32 DSGVO nicht unterschritten wird.
Die aktuellen technischen und organisatorischen Maßnahmen sind:
Pseudonymisierung
Es sind auf Grund der Art der personenbezogenen Daten und des Zwecks der Verarbeitung keine Maßnahmen zur Pseudonymisierung erforderlich.
Verschlüsselung
Verschlüsselung von externen Festplatten oder USB-Sticks
Integrität und Vertraulichkeit
Schutz von Mobilgeräten sowie vor unberechtigtem physischem Zugang und Sicheres, rückstandsfreies Löschen von Daten bzw. Vernichten von Datenträgern
Verfügbarkeit und Belastbarkeit
Anfertigung von Datensicherungen auf Basis eines getesteten Konzepts und Schutz vor Schadsoftware und Sabotage.
Handeln nach einem Notfall
Erprobung von Wiederanlaufszenarien
Überprüfung
Regelmäßige Revision des Sicherheitskonzepts.
Weitere Auftragsverarbeiter (Art. 28 II, III d DSGVO)
Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DSGVO zur Vertragserfüllung einzusetzen.
Die aktuell eingesetzten weiteren Auftragsverarbeiter sind:
- Hetzner Online GmbH, Industriestr. 25, 91710, Gunzenhausen, Germany
- Mailjet SAS, 13-13 bis, rue de l’Aubrac, 75012 Paris, France
Der Verantwortliche erklärt sich mit deren Einsatz einverstanden. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn er eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Der Verantwortliche kann gegen derartige Änderungen aus wichtigem datenschutzrechtlichen Grund Einspruch erheben.
Erteilt der Auftragsverarbeiter Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragsverarbeiter, seine datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen. Als weitere Auftragsverarbeiter im Sinne dieser Regelung sind nur solche Drittunternehmen zu verstehen, die Dienstleistungen erbringen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit in Bezug auf die Daten des Verantwortlichen auch bei Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen, ohne dass die Drittanbieter von Nebenleistungen als weitere Auftragsverarbeiter im Sinne dieser Vorschrift gelten.
Ort der Verarbeitungstätigkeit
Die Verarbeitungstätigkeit findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt, soweit nicht etwas anderes (z.B. im Hauptvertrag) vereinbart wurde. Soweit die Registrierung von Domains bei Registrierungsstellen, die ihren Sitz in einem Drittland haben, vereinbart wurden, ist auch vereinbart, dass der Auftragsverarbeiter personenbezogene Daten – unter Beachtung der zwingend anwendbaren Vorschriften – an diese Registrierungsstellen übermittelt. Gleiches gilt auch für sonstige vereinbarte Dienste von Drittanbietern, die ihre Dienste ganz oder teilweise in einem Drittland erbringen.
Unterstützung des Verantwortlichen bei Betroffenenrechten
Der Auftragsverarbeiter unterstützt angesichts der Art der Verarbeitung den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen (Art. 28 III e DSGVO). Dies sind insbesondere die Ansprüche der Betroffenen auf Auskunft, Berichtigung, Löschung und Beschränkung. Der Auftragsverarbeiter ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Verantwortlichen zu verlangen.
Soweit darüber hinaus von Betroffenen gegenüber dem Verantwortlichen Schadenersatzansprüche geltend gemacht werden, unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten. Der Auftragsverarbeiter kann hierfür eine angemessene Vergütung verlangen.
Den Verantwortlichen bei der Einhaltung der in Art. 32 – 36 DSGVO genannten Pflichten unterstützen (Art. 28 III f DSGVO)
Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Der Auftragsverarbeiter ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Verantwortlichen zu verlangen.
Löschung oder Rückgabe der personenbezogenen Daten nach Wahl des Verantwortlichen (Art. 28 III g DSGVO)
Nach Abschluss der Verarbeitungstätigkeit löscht der Auftragsnehmer nach Wahl des Verantwortlichen entweder alle personenbezogenen Daten oder gibt sie dem Verantwortlichen zurück, sofern nicht nach dem Unionsrecht oder nach dem anwendbaren Recht eines Mitgliedstaates eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus jeweiligen vertraglichen Vereinbarungen etwas anderes ergibt. Macht der Verantwortliche von diesem Wahlrecht keinen Gebrauch, gilt die Löschung als vereinbart. Wählt der Verantwortliche die Rückgabe, kann der Auftragsverarbeiter eine angemessene Vergütung verlangen.
Information zum Nachweis der Einhaltung der Pflichten des Art. 28 DSGVO und Ermöglichung von Überprüfungen (Art. 28 III h DSGVO)
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Verantwortlichen bekannt werden. Der Auftragsverarbeiter trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für die betroffenen Personen.
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt dazu bei. Der Auftragsverarbeiter ist berechtigt, eine Verschwiegenheitserklärung vom Verantwortlichen und von dessen beauftragten Prüfer zu verlangen. Sofern der Verantwortliche der Ansicht ist, dass Vor-Ort-Kontrollen durchzuführen seien, sind diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchzuführen. Der Auftragsverarbeiter kann für Informationen und Unterstützungshandlungen eine angemessene Vergütung verlangen.
Haftung
Die zwischen dem Verantwortlichen und dem Auftragsverarbeiter im der Verarbeitungstätigkeit zugrundeliegenden Hauptvertrag vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung und im Innenverhältnis zwischen den Parteien für Ansprüche Dritter nach Art. 82 DSGVO, soweit nicht ausdrücklich etwas Abweichendes vereinbart wurde.
Datenschutzbeauftragter
Der Auftragsverarbeiter hat einen Datenschutzbeauftragten bestellt. Dessen Kontaktdaten sind:
Rechtsanwalt Cornelius Matutis
Berliner Straße 57
14467 Potsdam
E-Mail: datenschutz@matutis.de
Telefon +49 331 813284-70
Soweit sich Änderungen in der Person des Datenschutzbeauftragten ergeben, teilt der Auftragsverarbeiter dem Verantwortlichen dessen Kontaktdaten unverzüglich mit.
Schlussbestimmungen
Die Einrede des Zurückbehaltungsrechts wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
