Verarbeitungsvertrag
Dieser Verarbeitungsvertrag ist - ebenso wie die Allgemeinen Geschäftsbedingungen - Bestandteil eines jeden Dienstleistungsvertrages zwischen der MijnPartnerGroep mit Sitz in Vianen, eingetragen bei der Handelskammer unter der Nummer: 09188646 (im Folgenden: "MPG") und ihrer Gegenpartei.
Für die Zwecke dieses Verarbeitungsvertrages wird MPG als "Verarbeiter" und die andere Partei (Kunde) als "Verarbeiter" bezeichnet.
unter Berücksichtigung der Tatsache, dass
- Der Auftragsverarbeiter hat einen Vertrag mit seinen Kunden abgeschlossen und der Auftraggeber möchte den Auftragsverarbeiter mit der Ausführung dieses Vertrags beauftragen;
- Der Verantwortliche für die Verarbeitung und der Auftragsverarbeiter haben eine Vereinbarung für die Zwecke des Vorgenannten geschlossen;
- Bei der Durchführung des Vertrages kann der Verarbeiter in einigen Fällen als Auftragsverarbeiter im Sinne von Artikel 1(e) des Gesetzes zum Schutz personenbezogener Daten ("WBP") angesehen werden;
- Die verarbeitende Person gilt als Auftragsverarbeiter im Sinne von § 1(d) des Wbp;
- Soweit in dieser Verarbeitungsvereinbarung auf personenbezogene Daten Bezug genommen wird, handelt es sich um personenbezogene Daten im Sinne von Artikel 1 Buchstabe a) des Wbp;
- der Verarbeiter bereit ist, Verpflichtungen in Bezug auf Sicherheit und andere Aspekte des WBP zu erfüllen, soweit dies in seiner Macht steht;
- Das Wbp verpflichtet den Verantwortlichen, sich zu vergewissern, dass der Auftragsverarbeiter ausreichende Garantien in Bezug auf die technischen und organisatorischen Sicherheitsmaßnahmen im Zusammenhang mit der durchzuführenden Verarbeitung bietet;
- Das Wbp verpflichtet den Auftragsverarbeiter auch, die Einhaltung dieser Maßnahmen sicherzustellen;
- Unter anderem im Hinblick auf das Erfordernis des Artikels 14 Absatz 5 des WBP möchten die Parteien ihre Rechte und Pflichten durch diese Verarbeitungsvereinbarung (im Folgenden "Verarbeitungsvereinbarung") schriftlich festlegen.
- Soweit in dieser Verarbeitungsvereinbarung Begriffe des Wbp oder der Allgemeinen Datenschutzverordnung (AVG) genannt werden, sind dies die entsprechenden Begriffe des Wbp oder AVG;
- Wo in dieser Auftragsverarbeiter-Vereinbarung auf das Wbp Bezug genommen wird, bezieht sich dies ab dem 25. Mai 2018 auf (die entsprechenden Bestimmungen des) AVG.have agreed as follows
Artikel 1. Zwecke der Verarbeitung
- 1.1 - Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten auf Anweisung des Verantwortlichen für die Verarbeitung gemäß den Bedingungen dieses Verarbeitungsvertrags zu verarbeiten. Die Verarbeitung erfolgt nur im Zusammenhang mit dem Auftragsverarbeitungsvertrag - gemäß dem u.a. Daten des Auftragsverarbeiters gehostet und Dienstleistungen für den Auftragsverarbeiter erbracht werden - und jenen Zwecken, die vernünftigerweise damit zusammenhängen oder die im Vertrag mit weiterer Zustimmung festgelegt sind.
- 1.2 - Der Verarbeiter wird die personenbezogenen Daten nicht für andere Zwecke als die vom Verarbeiter festgelegten verarbeiten. Der Auftragsverarbeiter wird den Auftraggeber über die Verarbeitungszwecke informieren, sofern diese nicht bereits in diesem Verarbeitungsvertrag genannt sind.
- 1.3 - Der Verarbeiter hat keine Kontrolle über den Zweck und die Mittel der Verarbeitung personenbezogener Daten. Der Auftragsverarbeiter trifft keine Entscheidungen über den Erhalt und die Verwendung der personenbezogenen Daten, die Weitergabe an Dritte und die Dauer der Speicherung von personenbezogenen Daten.
- 1.4 - Der Auftragsverarbeiter garantiert, dass er ab dem 25. Mai 2018, zum Zeitpunkt des Inkrafttretens des AVG, ein Verzeichnis der unter dieser Auftragsverarbeitervereinbarung geregelten Verarbeitungen führen wird. Der Verantwortliche für die Verarbeitung wird den Auftragsverarbeiter von allen Ansprüchen und Forderungen freistellen, die sich auf die nicht ordnungsgemäße Erfüllung dieser Registerpflicht beziehen.
Artikel 2 Pflichten des Verarbeiters
- 2.1 - In Bezug auf die in Artikel 1 genannte Verarbeitung stellt der Auftragsverarbeiter die Einhaltung der Bedingungen sicher, die für die Verarbeitung personenbezogener Daten gemäß dem Gesetz zum Schutz personenbezogener Daten (Wbp) gelten.
- 2.2 - Der Auftragsverarbeiter informiert die verarbeitende Partei auf deren Verlangen innerhalb einer angemessenen Frist über die Maßnahmen, die er bezüglich seiner Verpflichtungen aus diesem Verarbeitungsvertrag getroffen hat.
- 2.3 - Die sich aus dieser Verarbeitungsvereinbarung ergebenden Verpflichtungen des Verarbeiters gelten auch für diejenigen, die personenbezogene Daten im Auftrag des Verarbeiters verarbeiten.
- 2.4 - Der Auftragsverarbeiter wird den Auftraggeber benachrichtigen, wenn seiner Meinung nach eine Anweisung des Auftragsverarbeiters gegen die einschlägigen Datenschutzgesetze und -vorschriften verstößt.
- 2.5 - Ist im Rahmen der Verarbeitung eine Datenschutz-Folgenabschätzung oder eine vorherige Konsultation der Aufsichtsbehörde erforderlich, so leistet der Auftragsverarbeiter die erforderliche Mitwirkung.
Artikel 3 Übermittlung von personenbezogenen Daten
- 3.1 - Der Verarbeiter kann die personenbezogenen Daten in Ländern innerhalb der Europäischen Union verarbeiten. Darüber hinaus erteilt der Auftragsverarbeiter, falls zutreffend, die Erlaubnis, personenbezogene Daten in Ländern außerhalb der Europäischen Union zu verarbeiten, unter Einhaltung der entsprechenden Gesetze und Vorschriften.
- 3.2 - Der Auftragsverarbeiter informiert den Verantwortlichen auf dessen Anfrage hin, um welches Land oder welche Länder es sich handelt.
Artikel 4: Aufteilung der Verantwortung
- 4.1 - Die Parteien stellen die Einhaltung der geltenden Datenschutzgesetze und -vorschriften sicher.
- 4.2 - Die zulässigen Verarbeitungsvorgänge werden vom Verarbeiter in einer automatisierten Umgebung durchgeführt.
- 4.3 - Der Auftragsverarbeiter ist allein verantwortlich für die Verarbeitung der personenbezogenen Daten im Rahmen dieses Verarbeitungsvertrages, gemäß den Anweisungen der verarbeitenden Partei und unter der ausdrücklichen (endgültigen) Verantwortung der verarbeitenden Partei. Der Auftragsverarbeiter ist nicht verantwortlich für jede andere Verarbeitung personenbezogener Daten, einschließlich, aber nicht beschränkt auf die Sammlung der personenbezogenen Daten durch den Auftragsverarbeiter, die Verarbeitung für Zwecke, die dem Auftragsverarbeiter nicht mitgeteilt wurden, die Verarbeitung durch Dritte und/oder für andere Zwecke. Die Verantwortung für diese Prozesse liegt ausschließlich beim Verarbeiter.
- 4.4 - Der Verantwortliche für die Verarbeitung garantiert, dass der Inhalt, die Verwendung und die Anweisung der Verarbeitung von personenbezogenen Daten, wie sie in diesem Verarbeitungsvertrag genannt werden, nicht rechtswidrig sind und keine Rechte Dritter verletzen und stellt den Verarbeiter von allen diesbezüglichen Ansprüchen und Forderungen frei.
Artikel 5 Beauftragung von Dritten oder Unterauftragnehmern
- 5.1 - Der Verarbeiter erteilt dem Verarbeiter die Erlaubnis, Dritte (Unterverarbeiter) mit der Verarbeitung zu beauftragen.
- 5.2 - Auf Anfrage des Verantwortlichen für die Verarbeitung informiert der Auftragsverarbeiter den Verantwortlichen für die Verarbeitung so schnell wie möglich über die von ihm beauftragten Unterverarbeiter. Der Auftragsverarbeiter hat das Recht, der Beauftragung eines Unterauftragsverarbeiters zu widersprechen. Dieser Widerspruch muss schriftlich, innerhalb von zwei Wochen erfolgen und mit Argumenten belegt werden.
- 5.3 - Der Auftragsverarbeiter stellt bedingungslos sicher, dass diese Dritten die gleichen Pflichten übernehmen, wie sie zwischen dem Verantwortlichen für die Verarbeitung und dem Auftragsverarbeiter schriftlich vereinbart wurden. Der Auftragsverarbeiter garantiert, dass diese Dritten diese Verpflichtungen korrekt einhalten, und wenn diesen Dritten Fehler unterlaufen, haftet der Auftragsverarbeiter selbst gegenüber dem Verantwortlichen für alle Schäden, als ob er den/die Fehler selbst gemacht hätte.
Artikel 6: Sicherheit
- 6.1 - Der Auftragsverarbeiter wird sich bemühen, angemessene technische und organisatorische Maßnahmen bezüglich der Verarbeitung personenbezogener Daten gegen Verlust oder jede Form der unrechtmäßigen Verarbeitung (wie z.B. unbefugter Zugriff, Beeinträchtigung, Änderung oder Offenlegung der personenbezogenen Daten) zu treffen. Auf Anfrage des für die Verarbeitung Verantwortlichen wird der Auftragsverarbeiter Informationen über die getroffenen Sicherheitsmaßnahmen zur Verfügung stellen.
- 6.2 - Der Verarbeiter garantiert nicht, dass die Sicherheit unter allen Umständen wirksam ist. Der Auftragsverarbeiter wird alle Anstrengungen unternehmen, um sicherzustellen, dass die Sicherheit ein Niveau erreicht, das unter Berücksichtigung des Stands der Technik, der Sensibilität der personenbezogenen Daten und der mit der Umsetzung der Sicherheit verbundenen Kosten nicht unangemessen ist.
- 6.3 - Die verarbeitende Stelle wird dem Auftragsverarbeiter personenbezogene Daten nur dann zur Verarbeitung zur Verfügung stellen, wenn die verarbeitende Stelle sichergestellt hat, dass die erforderlichen Sicherheitsmaßnahmen getroffen wurden. Die verarbeitende verantwortliche Partei ist für die Einhaltung der von den Parteien vereinbarten Maßnahmen verantwortlich.
Artikel 7: Meldepflicht
- 7.1 - Im Falle einer Sicherheitsverletzung und/oder eines Datenlecks (darunter ist zu verstehen: eine Verletzung der Sicherheit personenbezogener Daten, die zu einem erheblichen Risiko nachteiliger Auswirkungen führt oder nachteilige Auswirkungen auf den Schutz personenbezogener Daten hat, im Sinne von Artikel 34a des Gesetzes zum Schutz personenbezogener Daten) wird sich der Auftragsverarbeiter nach Kräften bemühen, den für die Verarbeitung Verantwortlichen so schnell wie möglich zu informieren, woraufhin der für die Verarbeitung Verantwortliche entscheidet, ob er die Aufsichtsbehörden und/oder die Betroffenen informiert oder nicht. Der Verarbeiter wird sich bemühen, dass die bereitgestellten Informationen vollständig, richtig und genau sind. Die Meldepflicht gilt nur, wenn das Leck tatsächlich aufgetreten ist.
- 7.2 - Falls gesetzlich und/oder regulatorisch erforderlich, wird der Auftragsverarbeiter bei der Information der zuständigen Behörden und aller betroffenen Parteien kooperieren. Der Controller ist für die Benachrichtigung der zuständigen Behörden verantwortlich.
- 7.3 - Die Meldepflicht umfasst in jedem Fall die Meldung der Tatsache, dass ein Leck aufgetreten ist, sowie:
- Was die (angebliche) Ursache des Lecks ist;
- Was ist die (derzeit bekannte und/oder erwartete) Folge;
- Was ist die (vorgeschlagene) Lösung;
- Welche Maßnahmen bereits ergriffen wurden;
- Kontaktdetails für die Weiterverfolgung des Berichts;
- Wer informiert wurde (z. B. die betroffene Person, der Verantwortliche für die Verarbeitung oder die Aufsichtsbehörde).
Artikel 8: Bearbeitung von Anfragen der betroffenen Personen
- 8.1 - Wenn eine betroffene Person eine Anfrage bezüglich ihrer personenbezogenen Daten an den Auftragsverarbeiter stellt, wird der Auftragsverarbeiter die Anfrage an den für die Verarbeitung Verantwortlichen weiterleiten und die betroffene Person entsprechend informieren. Der Prozessor bearbeitet die Anfrage dann selbstständig weiter. Stellt sich heraus, dass der Auftragsverarbeiter zur Erfüllung einer Anfrage einer betroffenen Person Unterstützung benötigt, wird der Auftragsverarbeiter kooperieren und kann dies dem Auftraggeber in Rechnung stellen.
Artikel 9. Geheimhaltung und Vertraulichkeit
- 9.1 - Alle personenbezogenen Daten, die der Auftragsverarbeiter von der für die Verarbeitung verantwortlichen Partei erhält und/oder selbst im Rahmen dieses Verarbeitungsvertrages erhebt, unterliegen einer Geheimhaltungspflicht gegenüber Dritten. Der Auftragsverarbeiter wird diese Informationen nicht für andere Zwecke als die, für die sie erhalten wurden, verwenden, es sei denn, sie liegen in einer solchen Form vor, dass sie nicht zu den Beteiligten zurückverfolgt werden können.
- 9.2 - Diese Vertraulichkeitspflicht gilt nicht:
- -insofern der Verarbeiter die ausdrückliche Erlaubnis erteilt hat, die Informationen an Dritte weiterzugeben; oder
- -wenn die Weitergabe der Informationen an Dritte für die Erfüllung des Rahmenvertrags oder dieses Verarbeitungsvertrags logisch notwendig ist; und
- -wenn eine gesetzliche Verpflichtung besteht, die Informationen an einen Dritten weiterzugeben.
Artikel 10. Prüfung
- 10.1 - Der für die Verarbeitung Verantwortliche ist berechtigt, Audits durch einen unabhängigen, zur Verschwiegenheit verpflichteten IKT-Experten durchführen zu lassen, um die Einhaltung aller Punkte dieser Verarbeitungsvereinbarung zu überprüfen.
- 10.2 - Ein solches Audit findet erst statt, nachdem der Verantwortliche für die Verarbeitung mit dem Auftragsverarbeiter abgeklärt hat, ob ähnliche Auditberichte vorliegen und, falls ja, die vorliegenden Auditberichte angefordert, bewertet und angemessene Argumente vorgebracht hat, die ein vom Verantwortlichen für die Verarbeitung initiiertes Audit rechtfertigen. Ein solches Audit ist gerechtfertigt, wenn die beim Auftragsverarbeiter vorliegenden vergleichbaren Auditberichte keinen oder keinen ausreichenden Nachweis für die Einhaltung dieser Auftragsverarbeitervereinbarung durch den Auftragsverarbeiter erbringen. Das vom Verarbeiter veranlasste Audit findet einmal im Jahr, zwei Wochen nach vorheriger Ankündigung durch den Verarbeiter, statt.
- 10.3 - Der Auftragsverarbeiter wird bei der Prüfung kooperieren und alle für die Prüfung angemessenen Informationen, einschließlich unterstützender Daten wie Systemprotokolle, und Mitarbeiter so schnell wie möglich und innerhalb einer angemessenen Frist zur Verfügung stellen, wobei eine Frist von bis zu zwei Wochen angemessen ist, sofern nicht ein dringendes Interesse etwas anderes gebietet.
- 10.4 - Die Feststellungen als Ergebnis des Audits werden von den Parteien in gegenseitiger Abstimmung bewertet und als Ergebnis von einer der Parteien oder gemeinsam von beiden Parteien umgesetzt oder nicht.
- 10.5 - Die angemessenen Kosten des Audits trägt der für die Verarbeitung Verantwortliche, mit der Maßgabe, dass die Kosten für den zu beauftragenden IKT-Experten stets vom für die Verarbeitung Verantwortlichen getragen werden.
Artikel 11. Dauer und Beendigung
- 11.1 - Der Verarbeitungsvertrag wird für die im Vertrag zwischen den Parteien festgelegte Laufzeit abgeschlossen, in Ermangelung einer solchen in jedem Fall für die Dauer der Zusammenarbeit.
- 11.2 - Der Verarbeitungsvertrag kann nicht vorzeitig gekündigt werden.
- 11.3 - Die Parteien können diesen Verarbeitungsvertrag nur im gegenseitigen Einvernehmen ändern.
- 11.4 - Nach Beendigung des Verarbeitungsvertrages wird der Verarbeiter die von ihm erhaltenen personenbezogenen Daten nach einem (1) Kalendermonat vernichten, sofern die Parteien nichts anderes vereinbaren.
Artikel 12. Sonstige Bestimmungen
- 12.1 - Der Auftragsverarbeitervertrag und seine Durchführung unterliegen dem niederländischen Recht.
- 12.2 - Alle Streitigkeiten, die sich zwischen den Parteien im Zusammenhang mit dem Verarbeitungsvertrag ergeben können, werden dem zuständigen Gericht in dem Bezirk vorgelegt, in dem der Verarbeiter seinen Sitz hat.
- 12.3 - Wenn sich die Datenschutzgesetzgebung ändert, werden die Parteien bei der Änderung dieser Auftragsverarbeitervereinbarung zusammenarbeiten, um dieser Gesetzgebung zu entsprechen oder sie weiterhin zu erfüllen.
- 12.4 - Vom Verarbeiter erstellte Protokolle und Messungen sind vorbehaltlich des Gegenbeweises durch den Verarbeitungsverantwortlichen ein verbindlicher Nachweis.
- 12.5 - Im Falle eines Konflikts zwischen verschiedenen Dokumenten oder deren Anhängen gilt die folgende Rangfolge:
- 1. die Vereinbarung
- 2. diese Verarbeiter-Vereinbarung
- 3. das Service Level Agreement und alle Anhänge
- 4. die Allgemeinen Geschäftsbedingungen (AGB)
- 5. eventuelle zusätzliche Bedingungen.