Vereinbarung über die Auftragsdatenverarbeitung
Diese Vereinbarung wird geschlossen zwischen Synology Inc., einem taiwanesischen Unternehmen mit dem eingetragenen Firmensitz 9F, No. 1, Yuan Dong Rd., Banqiao, New Taipei 220632, Taiwan (der „Auftragsverarbeiter“) und Ihnen gemäß Definition in den Allgemeinen Geschäftsbedingungen der Synology C2-Dienste (der „Verantwortliche“).
Diese Vereinbarung wird hiermit in die Allgemeinen Geschäftsbedingungen der Synology C2-Dienste (nachfolgend als „Dienstleistungsvereinbarung“ bezeichnet) eingeschlossen und bildet einen Teil dieser.
I. Definitionen
Vereinbarung bezeichnet diese Vereinbarung über die Auftragsdatenverarbeitung.
Einwilligung der betroffenen Person bezeichnet jede freiwillig erfolgte, konkrete, informierte und unzweideutige Angabe der betroffenen Person, durch welche diese durch eine Aussage oder eine eindeutige bejahende Handlung ihre Zustimmung zur Verarbeitung ihrer personenbezogenen Daten ausdrückt.
Datenverantwortlicher bezeichnet die natürliche oder juristische Person, Behörde, Agentur oder sonstige Körperschaft, die allein oder gemeinsam mit anderen die Zwecke oder Mittel der Verarbeitung personenbezogener Daten bestimmt; wo die Zwecke und Mittel dieser Verarbeitung durch das Recht der Union oder ihrer Mitgliedstaaten bestimmt sind, kann dieses den Datenverantwortlichen oder die konkreten Kriterien für dessen Ernennung vorschreiben.
Grenzüberschreitende Verarbeitung bedeutet entweder:
- die Verarbeitung personenbezogener Daten im Rahmen der Aktivitäten von Niederlassungen eines Datenverantwortlichen oder Auftragsverarbeiters in mehr als einem Mitgliedstaat der Union, wobei der Verantwortliche oder Auftragsverarbeiter Niederlassungen in mehr als einem Mitgliedstaat hat; oder
- die Verarbeitung personenbezogener Daten im Rahmen der Aktivitäten einer einzelnen Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der Union, die jedoch betroffene Personen in mehr als einem Mitgliedstaat wesentlich berühren.
Datenschutzbeauftragter bezeichnet einen unabhängig arbeitenden Experten für Datenschutz, der sicherstellt, dass eine Rechtsperson die in der DSGVO festgelegten Richtlinien und Verfahren einhält.
Betroffene Person bezeichnet eine natürliche Person, deren personenbezogene Daten von einem Verantwortlichen oder Auftragsverarbeiter verarbeitet werden.
DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG.
Personenbezogene Daten bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifizierbar gilt eine natürliche Person, die direkt oder indirekt, insbesondere durch Zuordnung zu einem Erkennungsmerkmal wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder einem oder mehreren besonderen Merkmalen hinsichtlich der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person identifiziert werden kann.
Verletzung des Schutzes personenbezogener Daten bezeichnet eine Verletzung der Datensicherheit, die zu versehentlicher oder rechtswidriger Zerstörung, Verlust, Änderung, unbefugter Weitergabe von oder Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.
Verarbeitung bezeichnet sämtliche automatisierten oder anderweitigen Vorgänge oder Vorgangsreihen im Zusammenhang mit personenbezogenen Daten oder Sätzen von personenbezogenen Daten, wie Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abruf, Abfrage, Nutzung, Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, Angleichung oder Kombination, Sperre, Löschung oder Vernichtung von Daten.
Auftragsverarbeiter bezeichnet eine natürliche oder juristische Person, Behörde, Agentur oder sonstige Organisation, die personenbezogene Daten im Namen des Verantwortlichen verarbeitet.
Pseudonymisierung bezeichnet die Verarbeitung personenbezogener Daten auf eine Weise, durch die diese ohne zusätzliche Informationen nicht mehr einer bestimmten betroffenen Personen zugeordnet werden können, vorausgesetzt, dass diese zusätzlichen Informationen getrennt aufbewahrt werden und durch technische und organisatorische Maßnahmen sichergestellt wird, dass personenbezogene Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden.
Empfänger bezeichnet eine natürliche oder juristische Person, Behörde, Agentur oder sonstige Organisation, an welche die personenbezogenen Daten weitergegeben werden, egal ob es sich dabei um Dritte handelt oder nicht. Behörden, welche personenbezogene Daten im Rahmen einer speziellen Untersuchung gemäß dem Recht der Union oder eines Mitgliedstaates erhalten, gelten jedoch nicht als Empfänger in diesem Sinne; die Verarbeitung dieser Daten durch besagte Behörden hat im Einklang mit den für die Zwecke der Verarbeitung geltenden Datenschutzbestimmungen zu erfolgen.
Vertreter bezeichnet eine in der Union niedergelassene natürliche oder juristische Person, welche vom Verantwortlichen oder Auftragsverarbeiter gemäß Artikel 27 schriftlich ernannt wurde und diesen hinsichtlich seiner jeweiligen Verpflichtungen gemäß der DSGVO vertritt.
Wiederverkäufer bezeichnet einen Drittanbieter, welcher den Synology C2-Dienst abonniert und das Entgelt für diesen Dienst im Namen des Verantwortlichen direkt an den Auftragsverarbeiter entrichtet.
Bestimmungen bezeichnet die DSGVO und weitere allgemeinen rechtlich verbindlichen Bestimmungen zum Schutz personenbezogener Daten.
Dritter bezeichnet eine natürliche oder juristische Person, Behörde, Agentur oder sonstige Rechtsperson ausgenommen die betroffene Person, der Verantwortliche, der Auftragsverarbeiter und Personen, die unter direkter Aufsicht durch den Verantwortlichen oder Auftragsverarbeiter zur Verarbeitung personenbezogener Daten berechtigt sind.
Standardvertragsklauseln bezeichnet die in Anlage 1 dargelegten Standardvertragsklauseln für die Übermittlung personenbezogener Daten von einem Datenverantwortlichen im Europäischen Wirtschaftsraum zu in Drittländern ansässigen Auftragsverarbeitern in der im Anhang des Durchführungsbeschlusses (EU) 2021/914 vom 4. Juni 2021 in der geltenden Fassung dargelegten Form durch Einbeziehung der Beschreibung der zu übermittelnden personenbezogenen Daten und der zu implementierenden technischen und organisatorischen Maßnahmen wie im Anhang dargelegt.
Aufsichtsbehörde bezeichnet die für die relevanten Gegenstände dieser Vereinbarung zuständige Regierungsbehörde.
II. Dauer der Vereinbarung
Die Dauer dieser Vereinbarung entspricht der Dauer der Dienstleistungsvereinbarung.
III. Art und Zweck der Vereinbarung
- Art und Zweck der beabsichtigten Datenverarbeitung
Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen sind in der Dienstleistungsvereinbarung präzise definiert. - Art der Daten
Der Gegenstand der Verarbeitung personenbezogener Daten umfasst die folgenden Arten/Kategorien von Daten:- Grundlegende personenbezogene Daten: Der Verantwortliche kann im eigenen Ermessen Daten jeder Art auf dem gemieteten Server speichern. Synology hat darauf keinen Einfluss und keinen Zugriff auf diese Daten.
- Vertrags-, Rechnungs- und Zahlungsdaten: Im Rahmen der Durchführung der Synology C2-Dienstleistungsvereinbarung sammelt Synology personenbezogene Vertragsdaten, darunter Kontaktadresse, Informationen zur Zahlungsmethode und Kontaktperson der relevanten Dienstleistungsvereinbarung.
- Kategorien von betroffenen Personen
Die Kategorien der betroffenen Personen umfassen Kunden und Kontaktpersonen der Wiederverkäufer.
IV. Pflichten des Auftragsverarbeiters
- Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich und im vollen Einklang mit den Bestimmungen und Anweisungen des Verantwortlichen oder wie anderweitig in dieser Vereinbarung verlangt. Diese Verpflichtung betrifft auch die Übertragung personenbezogener Daten durch den Auftragsverarbeiter in ein Drittland oder an eine internationale Organisation, ausgenommen der Auftragsverarbeiter ist durch die für ihn geltenden Bestimmungen oder Gesetze dazu verpflichtet. In diesem Fall hat der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtlichen Anforderungen zu informieren, außer wenn dies aus wichtigen Gründen im öffentlichen Interesse untersagt ist.
- Auftragsverarbeiter und Verantwortlicher vereinbaren, dass diese Vereinbarung und die Dienstleistungsvereinbarung die vollständigen und endgültigen Anweisungen an den Auftragsverarbeiter darstellen. Eine etwaige Verarbeitung außerhalb des Rahmens dieser Vereinbarung erfordert die vorherige schriftliche Zustimmung beider Parteien zu den zusätzlichen Anweisungen für die Verarbeitung. Der Verantwortliche kann diese Vereinbarung aufkündigen, wenn der Auftragsverarbeiter sich weigert, Anweisungen des Verantwortlichen außerhalb des Rahmens dieser Vereinbarung zu befolgen.
- Bei der Durchführung dieser Vereinbarung hat der Verantwortliche jede mündliche Anweisung unverzüglich in schriftlicher Form zu bestätigen.
- Es dürfen niemals ohne Wissen des Verantwortlichen Kopien oder Duplikate der in seinem Namen verarbeiteten Daten erstellt werden, ausgenommen Sicherheitskopien, soweit diese notwendig sind, um die ordnungsgemäße Datenverarbeitung sicherzustellen, sowie Daten, die erforderlich sind, um die aufsichtsrechtlichen Anforderungen hinsichtlich der Aufbewahrung von Daten gemäß den Bestimmungen zu erfüllen.
- Der Auftragsverarbeiter darf die im Namen des Verantwortlichen verarbeiteten Daten nicht eigenverantwortlich korrigieren, löschen, deren Verarbeitung einschränken oder diese Daten zu Dritten übertragen, ausgenommen auf dokumentierte Anweisung des Verantwortlichen. Sollte eine betroffene Person sich bezüglich einer Korrektur, Löschung oder Einschränkung der Verarbeitung von Daten oder um das Recht auf Datenübertragbarkeit auszuüben direkt an den Auftragsverarbeiter wenden, wird dieser die Anfrage der betroffenen Person unverzüglich an den Verantwortlichen weiterleiten. Soweit es im Rahmen der Dienstleistungen enthalten ist, sind Löschung, das „Recht auf Vergessenwerden“, Korrektur, Datenübertragbarkeit und Zugang zu Daten vom Auftragsverarbeiter gemäß den dokumentierten Anweisungen des Verantwortlichen ohne ungebührliche Verzögerung sicherzustellen.
- Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, dass eine Anweisung des Verantwortlichen gegen die Bestimmungen verstößt. Der Auftragsverarbeiter ist dann berechtigt, mit der Ausführung der entsprechenden Anweisungen zu warten, bis der Verantwortliche diese entweder bestätigt oder ändert.
- Zusätzlich zu den in dieser Vereinbarung festgelegten Regeln hat der Auftragsverarbeiter auch die gesetzlichen Anforderungen der Bestimmungen zu erfüllen. Dementsprechend versichert der Auftragsverarbeiter insbesondere die Einhaltung der folgenden Anforderungen:
- Der Auftragsverarbeiter vertraut die in dieser Vereinbarung beschriebene Verarbeitung von Daten nur Mitarbeitern an, die der Vertraulichkeit verpflichtet und bereits mit den für ihre Arbeit relevanten Datenschutzvorschriften vertraut gemacht wurden. Der Auftragsverarbeiter und alle unter seiner Aufsicht handelnden Personen, die Zugriff auf personenbezogene Daten haben, dürfen diese nur auf Anweisung des Verantwortlichen, was die in dieser Vereinbarung gewährten Befugnisse einschließt, verarbeiten, ausgenommen sie sind gemäß den Bestimmungen dazu verpflichtet.
- Der Auftragsverarbeiter muss den Verantwortlichen dabei unterstützen, den Anfragen von Personen, die ihr Recht auf Zugang zu ihren personenbezogenen Daten bzw. deren Berichtigung, Übertragbarkeit, Löschung oder den Einspruch gegen deren Verarbeitung in Anspruch nehmen, nachzukommen.
- Der Auftragsverarbeiter muss den Verantwortlichen dabei unterstützen sein, Anfragen der Aufsichtsbehörde nachzukommen. Der Verantwortliche und der Auftragsverarbeiter haben auf Aufforderung mit der Aufsichtsbehörde in der Erfüllung deren Aufgaben zu kooperieren.
- Benennung von Datenschutzbeauftragtem / Kontaktperson / Vertreter
Das Datenschutzteam von Synology ist erreichbar unter https://www.synology.com/form/privacy_issue. Eine Änderung des Datenschutzbeauftragten wird dem Verantwortlichen unverzüglich bekannt gegeben. - Der Verantwortliche ist unverzüglich über jede Überprüfung und Maßnahme durch eine maßgebliche Aufsichtsbehörde wie in Punkt IX dieser Vereinbarung beschrieben zu informieren, sofern diese im Zusammenhang mit der Durchführung dieser Vereinbarung steht.
- Sofern der Verantwortliche Gegenstand einer Überprüfung durch eine Aufsichtsbehörde, einer Ordnungswidrigkeit oder eines Strafverfahrens, eines Haftungsanspruchs einer betroffenen Person oder eines Dritten oder einer sonstigen Forderung im Zusammenhang mit der vereinbarten Datenverarbeitung durch den Auftragsverarbeiter ist, hat der Auftragsverarbeiter jede Anstrengung zu unternehmen, den Verantwortlichen zu unterstützen. Weitere Unterstützungspflichten werden in Punkt X dieser Vereinbarung beschrieben.
- Der Auftragsverarbeiter hat den Verantwortlichen dabei zu unterstützen, die Einhaltung der Verpflichtungen wie in Punkt IX dieser Vereinbarung beschrieben zu gewährleisten.
- Die Implementierung und Einhaltung aller für diese Vereinbarung erforderlichen technischen und organisatorischen Maßnahmen wie im Anhang beschrieben.
V. Mitteilungspflichten
- Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten zu informieren. Auch jeder begründete Verdachtsfall ist zu melden. Jede Meldung muss mindestens die in den Bestimmungen genannten Informationen enthalten.
- Der Verantwortliche muss außerdem auch unverzüglich von jeder wesentlichen Unterbrechung bei der Ausführung der Aufgabe sowie bei Verletzungen der gesetzlichen Datenschutzvorschriften oder der Bestimmungen dieser Vereinbarung durch den Auftragsverarbeiter oder von ihm/ihr beschäftigte Personen informiert werden.
- Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich über jede von einer Aufsichtsbehörde oder Dritten durchgeführte Untersuchungen oder Maßnahmen, die sich auf die beauftragte Datenverarbeitung beziehen, zu informieren.
- Der Auftragsverarbeiter hat sicherzustellen, dass der Verantwortliche im erforderlichen Ausmaß gemäß den Bestimmungen bei der Erfüllung dieser Verpflichtungen unterstützt wird.
VI. Internationale Übermittlung von Daten
- Daten, die Synology im Namen des Kunden als Auftragsverarbeiter verarbeitet, können je nach vom Kunden gewählten Rechenzentrum entweder in der Europäischen Union (EU) oder außerhalb davon gespeichert werden.
- Wenn personenbezogene Daten an Auftragsverarbeiter in Ländern ohne angemessenen Datenschutz übermittelt werden, gilt Folgendes:
- Die Parteien vereinbaren die Standardvertragsklauseln (Anlage 1), um die Übermittlung personenbezogener Daten in Länder, die keinen angemessenen Datenschutz bieten, zu ermöglichen. Diese Klauseln werden vereinbart, um angemessene Maßnahmen zum Datenschutz sowie die Grundrechte und Grundfreiheiten natürlicher Personen zu gewährleisten. Im Rahmen dieser Klauseln agiert der „Verantwortliche“ als der „Datenexporteur“ und der „Auftragsverarbeiter“ als der „Datenimporteur“. Bei Konflikten zwischen den Standardvertragsklauseln und dieser Vereinbarung über die Auftragsdatenverarbeitung haben die Standardvertragsklauseln Vorrang.
- Auf Verlangen des Verantwortlichen werden die Parteien die Standardvertragsklauseln ersetzen und neue Klauseln für die Übermittlung zu Auftragsverarbeitern in Drittländern vereinbaren, wie in DSGVO Art. 46 (2) (c) oder (d) vorgesehen.
- Wenn und solange personenbezogene Daten an ein Land mit einem Angemessenheitsbeschluss gemäß Artikel 45(3) DSGVO übermittelt werden, sind keine Standardvertragsklauseln nötig. Sollte dieser Angemessenheitsbeschluss aufgehoben oder ausgesetzt werden, kommen automatisch die Klauseln (a) und (b) zur Anwendung.
VII. Technische und organisatorische Maßnahmen und Datensicherheit
Die technischen und organisatorischen Maßnahmen werden im Anhang ─ Anhang II erläutert.
VIII. Untervergabe
- Untervergabe im Sinne dieser Vereinbarung sind Dienstleistungen, die sich direkt auf die Erbringung der wesentlichen Leistung beziehen. Dies beinhaltet nicht Hilfsleistungen wie Telekommunikationsdienste, Post-/Transportdienste, Wartung und Benutzersupport oder die Entsorgung von Datenträgern sowie andere Maßnahmen, um die Vertraulichkeit, Verfügbarkeit, Integrität und Resilienz der Hardware und Software der Datenverarbeitungsanlagen sicherzustellen. Der Auftragsverarbeiter ist jedoch verpflichtet, angemessene und rechtlich bindende Verträge abzuschließen und angemessene Kontrollmaßnahmen zu ergreifen, um Schutz und Sicherheit der Daten des Verantwortlichen auch im Falle ausgelagerter Hilfsdienste sicherzustellen.
- Der Auftragsverarbeiter darf Subunternehmen nur nach ausdrücklicher schriftlicher oder dokumentierter Zustimmung des Verantwortlichen beauftragen. Ungeachtet des Vorstehenden hat der Verantwortliche seine Zustimmung nicht ohne sachlich gerechtfertigten Grund zu verweigern. Sollte der Verantwortliche der Bestellung oder dem Austausch eines Subunternehmens widersprechen, wird der Auftragsverarbeiter das Subunternehmen entweder nicht bestellen oder ersetzen oder, falls dies nicht möglich ist, kann der Verantwortliche die Dienste aussetzen oder kündigen, unbeschadet jeglicher vor einer solchen Aussetzung oder Kündigung für den Verantwortlichen angefallenen Gebühren.
- Die Beauftragung von Subunternehmen oder ein Wechsel bestehender Subunternehmen sind zulässig, wenn:
- der Auftragsverarbeiter ein solches Outsourcing an ein Subunternehmen dem Verantwortlichen unter Einhaltung einer angemessenen Frist schriftlich oder in Textform vorschlägt; und
- der Verantwortliche bis zum Datum der Übergabe der Daten an den Auftragsverarbeiter dem geplanten Outsourcing nicht schriftlich oder in Textform widersprochen hat; und
- der andere Auftragsverarbeiter (das Subunternehmen) vertraglich zur Einhaltung der in dieser Vereinbarung festgehaltenen Datenschutzpflichten verpflichtet wurde oder die Untervergabe auf einer vertraglichen Vereinbarung gemäß den Bestimmungen basiert.
- Der Auftragsverarbeiter hat dem Subunternehmen schriftlich angemessene vertragliche Verpflichtungen aufzuerlegen, die mindestens dem Maß an Schutz in dieser Vereinbarung oder in den gesetzlichen Anforderungen der Bestimmungen entsprechen, einschließlich relevanter vertraglicher Verpflichtungen hinsichtlich Vertraulichkeit, Datenschutz, Datensicherheit und Prüfungsrechte.
- Die Übertragung personenbezogener Daten vom Verantwortlichen an das Subunternehmen und der Beginn der Datenverarbeitung durch das Subunternehmen erfolgen erst, wenn alle Compliance-Anforderungen erfüllt wurden.
- Der Auftragsverarbeiter gewährt dem Subunternehmen ausschließlich in dem Maße Zugang zu den Daten, wie es zur Erbringung von dessen Dienstleistung erforderlich ist, und untersagt dem Subunternehmen den Zugang zu den Daten für irgendeinen anderen Zweck.
- Der Auftragsverarbeiter bleibt verantwortlich für die Erfüllung der in dieser Vereinbarung festgelegten Verpflichtungen und für sämtliche Handlungen oder Unterlassungen des Subunternehmens, welche dazu führen, dass der Auftragsverarbeiter seine in dieser Vereinbarung festgelegten Verpflichtungen verletzt.
- Sollte das Subunternehmen die vereinbarte Dienstleistung außerhalb der EU bzw. des EWR erbringen, muss der Auftragsverarbeiter die Einhaltung der Bestimmungen durch angemessene Maßnahmen sicherstellen.
- Ein weiteres Outsourcing durch das Subunternehmen bedarf der ausdrücklichen Zustimmung des Auftragsverarbeiters (mindestens in Textform); sämtliche Bestimmungen dieser Vereinbarung sind jedem weiteren Subunternehmen zu kommunizieren und von diesem zu akzeptieren.
IX. Pflichten, Rechte und Aufsicht des Verantwortlichen
- Der Verantwortliche ist allein verantwortlich für die Bewertung der Zulässigkeit der angeforderten Verarbeitung und die Rechte der betroffenen Parteien.
- Der Verantwortliche hat das Recht, den Auftragsverarbeiter zu kontrollieren oder auf seine Kosten eine Überprüfung durch einen von Fall zu Fall im gegenseitigen Einvernehmen bestimmten Prüfer durchführen zu lassen. Der Verantwortliche hat das Recht, die Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter durch stichprobenartige Kontrollen in seinen Geschäftszeiten zu überprüfen. Diese Kontrollen werden in der Regel mit einer angemessenen Frist angekündigt.
- Überprüfungen vor Ort beim Auftragsverarbeiter müssen durchgeführt werden, ohne vermeidbare Störungen in dessen Geschäftsbetrieb zu verursachen. Sofern aufgrund dringlicher Gründe, welche vom Verantwortlichen zu dokumentieren sind, nicht anders erforderlich, sind Überprüfungen mit angemessener Vorankündigung und innerhalb der Geschäftszeiten des Auftragsverarbeiters und maximal alle 12 Monate durchzuführen. Sollte der Auftragsverarbeiter den Nachweis vorlegen, dass die vereinbarten Datenschutzverpflichtungen korrekt implementiert wurden, wie in Abschnitt IX.-5 dieser Vereinbarung vereinbart, sind Kontrollen auf Stichproben zu beschränken.
- Der Auftragsverarbeiter hat sicherzustellen, dass der Verantwortliche die Einhaltung der Pflichten des Auftragsverarbeiters gemäß den Bestimmungen überprüfen kann. Der Auftragsverarbeiter verpflichtet sich dazu, dem Verantwortlichen auf Anfrage die erforderlichen Informationen zu übermitteln, um die Umsetzung der technischen und organisatorischen Maßnahmen zu demonstrieren.
- Der Nachweis solcher Maßnahmen, die nicht nur diese Vereinbarung betreffen, kann durch aktuelle Prüfbescheinigungen, Berichte oder Ausschnitte von Berichten unabhängiger Stellen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzprüfer, Qualitätsprüfer) erbracht werden.
- Der Auftragsverarbeiter kann für die Ermöglichung der Überprüfungen durch den Verantwortlichen eine Vergütung fordern.
X. Unterstützungs- und Informationspflichten des Auftragsverarbeiters
- Der Auftragsverarbeiter hat den Verantwortlichen bei der Erfüllung der Verpflichtungen hinsichtlich der Sicherheit personenbezogener Daten, der Meldepflicht von Datenschutzverletzungen, der Datenschutzfolgenabschätzung und der vorherigen Konsultation zu unterstützen. Dies beinhaltet:
- Ein ausreichendes Maß an Schutz sicherstellen durch technische und organisatorische Maßnahmen, bei denen die Umstände und Zwecke der Verarbeitung ebenso in Betracht gezogen werden wie die voraussichtliche Wahrscheinlichkeit und Schwere eines möglichen Gesetzesverstoßes aufgrund von Sicherheitslücken, und die die unverzügliche Erkennung relevanter Verstöße ermöglichen.
- Die Pflicht, eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.
- Die Pflicht, den Verantwortlichen hinsichtlich der Erfüllung seiner Auskunftspflicht gegenüber betroffenen Personen zu unterstützen und dem Verantwortlichen unverzüglich sämtliche diesbezüglich relevanten Informationen bereitzustellen.
- Die Pflicht, den Verantwortlichen hinsichtlich dessen Auskunftspflicht gegenüber der Aufsichtsbehörde zu unterstützen. Der Verantwortliche hat auf Aufforderung mit der Aufsichtsbehörde bei der Ausführung deren Aufgaben zu kooperieren.
- Den Verantwortlichen bei seiner Datenschutzfolgenabschätzung zu unterstützen.
- Den Verantwortlichen hinsichtlich der vorherigen Konsultation mit der Aufsichtsbehörde zu unterstützen.
- Der Verantwortliche ist unverzüglich über jede Überprüfung und Maßnahme durch eine Aufsichtsbehörde zu informieren, sofern diese im Zusammenhang mit der Datenverarbeitung gemäß dieser Vereinbarung stehen. Dies gilt auch, wenn der Auftragsverarbeiter Gegenstand oder Partei bei einer Überprüfung durch eine zuständige Behörde im Zusammenhang mit Verstößen gegen Gesetze oder Verwaltungsvorschriften oder die Bestimmungen hinsichtlich der Datenverarbeitung im Zusammenhang mit der Erfüllung dieser Vereinbarung ist. Sofern der Verantwortliche Gegenstand einer Überprüfung durch die Aufsichtsbehörde, einer Ordnungswidrigkeit oder eines Strafverfahrens, eines Haftungsanspruchs einer betroffenen Person oder eines Dritten oder einer sonstigen Forderung im Zusammenhang mit der Datenverarbeitung durch den Auftragsverarbeiter gemäß diese Vereinbarung ist, hat der Auftragsverarbeiter jede Anstrengung zu unternehmen, um den Verantwortlichen zu unterstützen und ihm sämtliche Dokumente, Ressourcen und Unterstützung zukommen zu lassen, die der Verantwortliche etwaig benötigt. Wo diese Vereinbarung betreffende Daten Gegenstand einer Konfiszierung im Rahmen eines Konkurs- oder Insolvenzverfahrens oder vergleichbarer Maßnahmen durch Dritte werden, während sie durch den Auftragsverarbeiter verarbeitet werden, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich über alle Entwicklungen und Neuigkeiten in solchen Angelegenheiten informieren und auf dem Laufenden halten und hat sämtliche vom Verantwortlichen verlangte Maßnahmen als Reaktion auf diese Vorgänge zu ergreifen.
- Der Auftragsverarbeiter kann für in der Beschreibung der Dienstleistungen hier nicht enthaltene Unterstützungsleistungen, die nicht auf Versagen des Auftragsverarbeiters zurückzuführen sind, eine Vergütung verlangen, vorausgesetzt der Verantwortliche stimmt einer solchen im Voraus schriftlich zu.
XI. Vergütung
Die Vergütung des Auftragsverarbeiters für die gemäß dieser Vereinbarung erbrachten Dienstleistungen wird abschließend in der Dienstleistungsvereinbarung geregelt. In dieser Vereinbarung ist keine gesonderte Vergütung vorgesehen.
XII. Haftung und Schadenersatz
- Der Verantwortliche und der Auftragsverarbeiter haften gemäß dem geltenden Gesetz jeweils für durch eine unbefugte Partei verursachte Schäden oder für die fehlerhafte Datenverarbeitung im Rahmen dieser Vereinbarung.
- In keinem Fall haftet eine der Parteien der anderen gegenüber für indirekte Schäden, Bußzahlungen, besondere Schäden, Nebenschäden oder Folgeschäden im Zusammenhang mit dieser Vereinbarung (einschließlich Verlust von Gewinn, Gebrauch, Daten oder sonstigen wirtschaftlichen Vorteilen), egal wie diese entstanden sind, ob durch Verletzung dieser Vereinbarung, einschließlich der Verletzung abgegebener Garantien, oder durch unerlaubte Handlung, selbst wenn die Partei vorab über die Möglichkeit solcher Schäden informiert wurde.
XIII. Kündigung, Rückgabe und Löschung der Daten
- Nach der Kündigung dieser Vereinbarung oder der ihr zugrundeliegenden Dienstleistungsvereinbarung oder auf Aufforderung des Verantwortlichen hat der Auftragsverarbeiter alle in seinen Besitz gelangten Daten, Ergebnisse der Verarbeitung und Nutzung und Datensätze im Zusammenhang mit dieser Vereinbarung oder der Dienstleistungsvereinbarung auf datenschutzkonforme Weise gemäß den Bestimmungen an den Verantwortlichen zu übergeben oder – dessen vorherige Zustimmung vorausgesetzt – zu zerstören. Dasselbe gilt für alle damit zusammenhängenden Testmaterialien, Abfälle, redundanten und nicht mehr verwendeten Materialien. Das Protokoll über die Zerstörung oder Löschung ist nach deren Abschluss oder zu einem beliebigen vom Verantwortlichen bestimmten Zeitpunkt an den Verantwortlichen zu übergeben.
- Die Dokumentation zum Nachweis der ordnungsgemäßen Datenverarbeitung gemäß dieser Vereinbarung ist vom Auftragsverarbeiter über die Dauer dieser Vereinbarung hinaus gemäß den laut Bestimmungen geltenden Aufbewahrungsfristen aufzubewahren. Der Auftragsverarbeiter kann diese Dokumentation zum Ende der Dauer dieser Vereinbarung oder zu einem beliebigen vom Verantwortlichen bestimmten Zeitpunkt an den Verantwortlichen übergeben.
- Der Auftragsverarbeiter ist dazu verpflichtet, die Rückgabe oder Löschung von Daten durch Subunternehmen unverzüglich sicherzustellen.
- Der Auftragsverarbeiter muss einen Nachweis über die ordnungsgemäße Zerstörung der Daten durch den Auftragsverarbeiter oder Subunternehmen erbringen und unverzüglich an den Verantwortlichen übermitteln.
XIV. Sonstiges
- Beide Parteien sind verpflichtet, sämtliches im Zuge der Vertragsbeziehung erlangtes Wissen über Geschäftsgeheimnisse und Datensicherheitsmaßnahmen der anderen Partei vertraulich zu behandeln. Dies gilt auch nach Ablauf dieser Vereinbarung. Bei Zweifeln darüber, ob eine Information als vertraulich anzusehen ist, ist sie als vertraulich zu behandeln, bis die schriftliche Zustimmung der anderen Partei erhalten wurde. Im Rahmen dieser Vereinbarung geht kein Anteil an geistigen Eigentumsrechten vom Verantwortlichen an den Auftragsverarbeiter über.
- Änderungen oder Ergänzungen dieser Vereinbarung bedürfen der Schriftform und der Zustimmung beider Parteien.
- Jede Ausnahme vom Zurückbehaltungsrecht gemäß dem geltenden Gesetz wird im Hinblick auf die verarbeiteten Daten und die entsprechenden Datenträger hiermit ausgeschlossen.
- Sollte ein Teil dieser Vereinbarung ungültig sein, hat dies keine Auswirkung auf die Gültigkeit der restlichen Vereinbarung.
- Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland und ist entsprechend auszulegen, ohne dass die Prinzipien des Kollisionsrechts zum Tragen kommen.
- Sämtliche aus oder im Zusammenhang mit dieser Vereinbarung entstehenden Streitfälle unterliegen der Gerichtsbarkeit des zuständigen Gerichts in Düsseldorf, Nordrhein-Westfalen, Deutschland. Das UN-Kaufrecht wird ausgeschlossen. Wenn es sich beim Kunden um einen Kaufmann nach § 1 Absatz 1 des deutschen Handelsgesetzbuches (HGB), eine juristische Person des öffentlichen Rechts oder ein öffentlich-rechtliches Sondervermögen handelt, ist für sämtliche Streitfälle, die sich aus oder im Zusammenhang mit dieser Vertragsbeziehung ergeben, der Gerichtsstand Düsseldorf.
Herunterladen
Jetzt für den C2 Newsletter anmelden
Registrieren Sie sich jetzt kostenlos und erhalten Sie aktuelle Informationen zu den neuesten Updates, Events, anderen Aktivitäten sowie technische Einblicke über die C2-Services.
Durch Ihre Newsletter-Anmeldung wird ein kostenloses Synology Konto mit der angegebenen E-Mail-Adresse erstellt.