zwischen
Kunde - der Verantwortliche - nachfolgend „Auftraggeber" oder Dienstabonnent genannt,
und
Transfon Ltd - der Auftragsverarbeiter - nachfolgend „Auftragnehmer" genannt.
Gegenstand und Dauer des Vertrags bestimmen sich ausschließlich nach den Angaben des jeweiligen Vertragsverhältnisses. Der Auftragnehmer verarbeitet personenbezogene Daten für den Auftraggeber gemäß Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage dieses Vertrags.
Der Gegenstand, die Art und der Zweck einer möglichen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, die Art der Daten und die betroffenen Personen sind dem Auftragnehmer vom Auftraggeber gemäß Anhang 1 dieses Dokuments mitzuteilen, soweit dies nicht durch die in Abschnitt 1 dieses Dokuments beschriebenen Vertragsverhältnisse geregelt ist.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Übermittlung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
(1) Vor Beginn der Datenverarbeitung hat der Auftragnehmer die Umsetzung der im Vorfeld der Auftragsvergabe festgelegten erforderlichen technischen und organisatorischen Maßnahmen zu dokumentieren, insbesondere im Hinblick auf die konkrete Durchführung des Vertrags, und diese dokumentierten Maßnahmen dem Auftraggeber zur Prüfung vorzulegen (siehe Anhang 2 dieses Dokuments). Mit Abnahme durch den Auftraggeber werden die dokumentierten Maßnahmen zur Vertragsgrundlage. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, sind solche Anpassungen einvernehmlich umzusetzen.
(2) Der Auftragnehmer hat die Sicherheit der Daten gemäß Art. 28 Abs. 3 S. 2 lit. c und Art. 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1 und Abs. 2 DSGVO herzustellen. Die zu treffenden Maßnahmen sind Maßnahmen der Datensicherheit und Maßnahmen, die ein dem Risiko angemessenes Schutzniveau in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme gewährleisten. Der Stand der Technik, die Implementierungskosten, die Art, der Umfang und die Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO sind zu berücksichtigen.
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Das Sicherheitsniveau der festgelegten Maßnahmen darf dabei nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
(1) Der Auftragnehmer ist nicht berechtigt, die im Auftrag verarbeiteten Daten eigenmächtig zu löschen oder deren Verarbeitung einzuschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird dieser das Anliegen unverzüglich an den Auftraggeber weiterleiten.
(2) Soweit es zum Leistungsumfang gehört, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenübertragbarkeit und Auskunftserteilung vom Auftragnehmer nach dokumentierter Weisung des Auftraggebers unverzüglich sicherzustellen.
Neben der Einhaltung der Regelungen dieses Vertrags hat der Auftragnehmer die gesetzlichen Pflichten gemäß Art. 28 bis 33 DSGVO zu erfüllen; insoweit gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
5.1 Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, Art. 29 und Art. 32 Abs. 4 DSGVO. Der Auftragnehmer betraut nur solche Mitarbeiter mit der in diesem Vertrag geregelten Datenverarbeitung, die zur Vertraulichkeit verpflichtet und zuvor mit den für ihre Arbeit relevanten Datenschutzbestimmungen vertraut gemacht wurden. Der Auftragnehmer und jede ihm unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten (einschließlich der in diesem Vertrag eingeräumten Befugnisse), es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet.
5.2 Die Umsetzung und Einhaltung aller für diesen Vertrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, Art. 32 DSGVO sind in Anhang 2 dieses Vertrags festgelegt.
5.3 Der Auftragnehmer und der Auftraggeber arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
5.4 Der Auftraggeber ist unverzüglich über Kontrollen und Maßnahmen der Aufsichtsbehörde zu informieren, soweit sie sich auf diesen Vertrag beziehen. Dies gilt auch, soweit der Auftragnehmer Gegenstand einer Untersuchung durch eine zuständige Behörde im Zusammenhang mit Verstößen gegen zivil- oder strafrechtliche Vorschriften, Verwaltungsvorschriften oder Regelungen bezüglich der Verarbeitung personenbezogener Daten im Zusammenhang mit der Verarbeitung dieses Vertrags ist.
5.5 Soweit der Auftraggeber einer Prüfung durch die Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, einem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem sonstigen Anspruch im Zusammenhang mit der Auftragsverarbeitung durch den Auftragnehmer ausgesetzt ist, hat der Auftragnehmer den Auftraggeber nach besten Kräften zu unterstützen.
5.6 Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und die Rechte der betroffenen Personen geschützt werden.
5.7 Der Auftraggeber kann eine Dokumentation zum Nachweis der vom Auftragnehmer gemäß Abschnitt 3 dieses Vertrags getroffenen technischen und organisatorischen Maßnahmen anfordern.
Im Sinne dieses Vertrags sind unter Unterauftragsverhältnissen solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z. B. Telekommunikationsdienstleistungen; Post-/Transportdienstleistungen; Wartungs- und Benutzerunterstützungsdienste sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungssystemen. Der Auftragnehmer ist jedoch verpflichtet, auch bei ausgelagerten Nebenleistungen angemessene und rechtsverbindliche vertragliche Vereinbarungen zu treffen und geeignete Kontrollmaßnahmen zu ergreifen, um den Datenschutz und die Datensicherheit der Daten des Auftraggebers zu gewährleisten.
(1) Der Auftraggeber hat das Recht, in Abstimmung mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall benannte Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzukündigen sind, von der Einhaltung dieses Vertrags durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
(2) Der Auftragnehmer stellt sicher, dass der Auftraggeber die Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überprüfen kann. Der Auftragnehmer ist verpflichtet, dem Auftraggeber auf Anfrage die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
(3) Der Nachweis solcher Maßnahmen, die nicht nur diesen konkreten Vertrag betreffen, kann erbracht werden durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO; eine Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO; aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Stellen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditor, Qualitätsauditor) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzauditoren.
(4) Der Auftragnehmer kann für die Ermöglichung der Überprüfungen durch den Auftraggeber eine Vergütung beanspruchen.
(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der Pflichten bezüglich der Sicherheit personenbezogener Daten, der Meldepflichten bei Datenschutzverletzungen, der Datenschutz-Folgenabschätzungen und der vorherigen Konsultationen gemäß Art. 32 bis 36 DSGVO. Dazu gehören:
8.1.1. Die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Datenverarbeitung, die prognostizierte Wahrscheinlichkeit und Schwere möglicher Rechtsverletzungen durch Sicherheitslücken berücksichtigen, sowie Maßnahmen, die eine unverzügliche Erkennung relevanter Rechtsverletzungen ermöglichen.
8.1.2. Die Pflicht zur unverzüglichen Meldung von Verletzungen des Schutzes personenbezogener Daten an den Auftraggeber.
8.1.3. Die Pflicht, den Auftraggeber hinsichtlich seiner eigenen Informationspflicht gegenüber den betroffenen Personen zu unterstützen und ihn in diesem Zusammenhang unverzüglich über seine eigenen Pflichten zu informieren.
8.1.4. Die Unterstützung des Auftraggebers bei seiner Datenschutz-Folgenabschätzung.
8.1.5. Die Unterstützung des Auftraggebers bei der vorherigen Konsultation mit der Aufsichtsbehörde.
(2) Der Auftragnehmer kann eine Vergütung für Unterstützungsleistungen beanspruchen, die nicht in der Leistungsbeschreibung enthalten sind und nicht auf ein Versäumnis des Auftragnehmers zurückzuführen sind.
(1) Der Auftraggeber hat mündliche Weisungen unverzüglich (mindestens in Textform) zu bestätigen.
(2) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Ansicht ist, dass eine Weisung gegen Datenschutzvorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung auszusetzen, bis der Auftraggeber sie bestätigt oder abändert.
(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt, mit Ausnahme von Sicherungskopien, soweit diese zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie von Daten, die zur Einhaltung gesetzlicher Aufbewahrungspflichten benötigt werden.
(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher auf Verlangen des Auftraggebers, spätestens mit Beendigung des Dienstleistungsvertrags, hat der Auftragnehmer sämtliche in seinen Besitz gelangten Dokumente, Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Vertrag stehen, dem Auftraggeber auszuhändigen oder – mit vorheriger Zustimmung – datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Der Auftragnehmer erteilt auf Verlangen dem Auftraggeber Auskunft über Art und Zeitpunkt der Datenlöschung.
(3) Der Auftragnehmer hat Dokumentationen, die den Nachweis der ordnungsgemäßen und vertragsgemäßen Datenverarbeitung dienen, über die jeweilige Vertragslaufzeit hinaus entsprechend den jeweiligen Aufbewahrungsfristen aufzubewahren. Alternativ kann er diese Pflicht durch Übergabe der Dokumentation an den Auftraggeber bei Vertragsende erfüllen.
(1) UniConsent gibt personenbezogene Daten nur an Unterauftragsverarbeiter weiter, und zwar ausschließlich zum Zweck der Erbringung des Dienstes. UniConsent verkauft oder offenbart personenbezogene Daten nicht an Dritte zu kommerziellen Zwecken.
(2) UniConsent führt eine Liste der Unterauftragsverarbeiter unter https://www.uniconsent.com/dpa-subprocessors und fügt die Namen neuer und ersetzender Unterauftragsverarbeiter mindestens dreißig (30) Tage vor dem Datum, an dem diese Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beginnen, der Liste hinzu. Wenn der Auftraggeber aus berechtigten datenschutzbezogenen Gründen Einwände gegen einen neuen oder ersetzenden Unterauftragsverarbeiter erhebt, hat er UniConsent innerhalb von zehn (10) Tagen nach Benachrichtigung schriftlich über diese Einwände zu informieren, und die Parteien werden sich bemühen, die Angelegenheit einvernehmlich zu lösen.
(3) UniConsent stellt sicher, dass jeder Unterauftragsverarbeiter, den es mit einem Aspekt des Dienstes in Verbindung mit diesem Auftragsverarbeitungsvertrag beauftragt, dies nur auf Grundlage eines schriftlichen Vertrags tut, der diesem Unterauftragsverarbeiter Verpflichtungen auferlegt (d. h. Datenschutzpflichten), die nicht weniger streng sind als die UniConsent in diesem Auftragsverarbeitungsvertrag auferlegten.
Für diesen Vertrag fällt keine Gebühr an.
Wenn der Auftraggeber Unterstützung bei der Beantwortung von Anfragen betroffener Personen gemäß Abschnitt 4 dieses Vertrags benötigt, hat er dem Auftragnehmer diese Unterstützung zu erstatten.
Wenn der Auftraggeber Kontrollrechte gemäß Abschnitt 7 dieses Vertrags ausübt, richtet sich die zu vereinbarende Vergütung nach dem festen Stundensatz des Mitarbeiters des Auftragnehmers, der mit der Beaufsichtigung des Prüfers beauftragt ist.
Wenn der Auftraggeber dem Auftragnehmer Weisungen gemäß Abschnitt 9 dieses Vertrags erteilt, hat er die daraus entstehenden Kosten zu tragen.
Dieser Vertrag ist abhängig vom Bestehen eines Hauptvertragsverhältnisses gemäß Abschnitt 1 dieses Dokuments. Die Kündigung oder sonstige Beendigung des Hauptvertragsverhältnisses gemäß Abschnitt 1 führt gleichzeitig zur Unwirksamkeit dieses Vertrags.
Das Recht zur gesonderten außerordentlichen Kündigung bleibt ebenso unberührt wie gesetzliche Rücktrittsrechte.
Beginnen Sie damit, Ihre Website und Anwendung gemäß EU-DSGVO, US-CPRA, CA-PIPEDA usw. konform zu machen
Registrieren