Vereinbarung mit dem Verarbeiter
Parteien
Cadexpress B.V. mit Sitz in Europalaan 18, 5232 BC in ’s-Hertogenbosch, KvK-Nummer: 17141119, im Folgenden „Verarbeiter“ genannt;
und
Kunde, nachstehend „verantwortliche Partei“ genannt;
Überlegen Sie wie folgt
- die Parteien einen Vertrag geschlossen haben, auf dessen Grundlage der Auftragsverarbeiter (personenbezogene) Daten des für die Verarbeitung Verantwortlichen im Sinne von Artikel 4 Absätze 1 und 2 AVG verarbeitet, im Folgenden „Hauptvertrag“ genannt
- Auf der Grundlage von Artikel 28 Absatz 3 AVG sind die Parteien verpflichtet, Vorkehrungen zum Schutz der Privatsphäre personenbezogener Daten zu treffen und diese in einer Verarbeitungsvereinbarung (im Folgenden: „Vereinbarung“) festzulegen.
- Die Parteien stellen sich gegenseitig rechtzeitig alle erforderlichen Informationen zur Verfügung, um die ordnungsgemäße Einhaltung der geltenden Datenschutzgesetze und -vorschriften zu ermöglichen.
- die Bestimmungen dieses Abkommens haben Vorrang vor allen anderen zwischen den Parteien geltenden Vereinbarungen über die Verarbeitung personenbezogener Daten, wenn und soweit sie von den Bestimmungen dieses Abkommens abweichen
haben zugestimmt
Artikel 1 – Dauer des Abkommens
- Diese Vereinbarung tritt mit der Unterzeichnung durch die Parteien in Kraft und endet, nachdem der Auftragsverarbeiter alle personenbezogenen Daten, auf die sich diese Vereinbarung bezieht, gemäß den Bestimmungen von Artikel 13 gelöscht und/oder zurückgegeben hat.
- Diese Vereinbarung kann nicht vorzeitig gekündigt werden.
- Die in Artikel 4 beschriebenen Bestimmungen bleiben auch nach dem Auslaufen dieses Abkommens in Kraft.
Artikel 2 – Gegenstand des Abkommens
- Der für die Verarbeitung Verantwortliche hat dem Bearbeiter eine Erklärung überreicht:
- die Art und den Zweck der vereinbarten Verarbeitung
- die Kategorien der verarbeiteten personenbezogenen Daten
- die Kategorien der betroffenen Personen
- die Kategorien von Empfängern/Nutzern der personenbezogenen Daten
- Die Erklärung zu den in Absatz 1 genannten Daten ist dieser Vereinbarung als Anhang beigefügt.
Artikel 3 – Verarbeitung und Nutzung von personenbezogenen Daten
- Der für die Verarbeitung Verantwortliche legt den Zweck der Verarbeitung fest und bestimmt, welche personenbezogenen Daten zu diesem Zweck verarbeitet werden dürfen.
- Der für die Verarbeitung Verantwortliche erteilt dem Auftragsverarbeiter zu diesem Zweck schriftliche Anweisungen.
- Der Auftragsverarbeiter verwendet die erhaltenen personenbezogenen Daten nur für die Zwecke, für die sie zur Verfügung gestellt wurden, und nur gemäß den schriftlichen Anweisungen des für die Verarbeitung Verantwortlichen.
- Weist der für die Verarbeitung Verantwortliche den Auftragsverarbeiter an, die personenbezogenen Daten in einer Weise zu verarbeiten, die nach Ansicht des Auftragsverarbeiters gegen die rechtlichen Verpflichtungen verstößt, so teilt dieser dies dem für die Verarbeitung Verantwortlichen mit und berät sich mit dem Auftragsverarbeiter, um eine Lösung zu finden, die nicht gegen die rechtlichen Verpflichtungen verstößt.
- Der Verarbeiter ist selbst dafür verantwortlich, dass die Verarbeitung der Daten nicht gegen die geltenden Gesetze und Vorschriften verstößt.
- Der Auftragsverarbeiter wird personenbezogene Daten nicht an Dritte weitergeben, es sei denn, dies geschieht im Auftrag des für die Verarbeitung Verantwortlichen oder ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
- Der Auftragsverarbeiter stellt sicher, dass personenbezogene Daten nicht außerhalb des Europäischen Wirtschaftsraums verarbeitet werden, es sei denn, der für die Verarbeitung Verantwortliche hat zuvor schriftlich seine Zustimmung erteilt.
Artikel 4 – Vertraulichkeit
- Der Auftragsverarbeiter trifft alle erforderlichen Maßnahmen, um die Vertraulichkeit der personenbezogenen Daten des für die Verarbeitung Verantwortlichen zu gewährleisten.
- (2) Die Verpflichtung nach Absatz 1 gilt nicht, wenn der für die Verarbeitung Verantwortliche zuvor schriftlich seine Einwilligung zur Weitergabe der personenbezogenen Daten an einen Dritten erteilt hat oder wenn der Auftragsverarbeiter gesetzlich dazu verpflichtet ist.
- Der Auftragsverarbeiter unterwirft sein Personal und/oder die zu diesem Zweck eingestellten Personen oder Unterauftragsverarbeiter der gleichen Geheimhaltungspflicht.
- Bei Zuwiderhandlung gegen diesen Artikel verwirkt der Verarbeiter eine sofort fällige Geldstrafe in Höhe von 5.000 € pro Zuwiderhandlung an die verantwortliche Partei, unbeschadet des Rechts der verantwortlichen Partei, vollen Schadenersatz zu fordern.
Artikel 5 – Sicherheit
- Sowohl der für die Verarbeitung Verantwortliche als auch der Auftragsverarbeiter treffen geeignete technische und organisatorische Maßnahmen im Sinne von Artikel 32 AVG, um ein risikoangemessenes Sicherheitsniveau zu gewährleisten.
- Der für die Verarbeitung Verantwortliche unterrichtet den Auftragsverarbeiter über die für die Verarbeitung geltenden Anforderungen an die rechtliche Zuverlässigkeit und die möglichen Folgen für die betroffenen Personen, z. B. im Fall von Verlust, Beschädigung oder unrechtmäßiger Verarbeitung, und stellt ihm alle zu diesem Zweck erforderlichen Informationen zur Verfügung, damit der Auftragsverarbeiter sie einhalten kann.
- Verlangt der für die Verarbeitung Verantwortliche ein höheres Sicherheitsniveau als gesetzlich vorgeschrieben, so kann der Auftragsverarbeiter die angemessenen Kosten hierfür dem für die Verarbeitung Verantwortlichen gesondert in Rechnung stellen.
- Bei der Durchführung von Sicherheitsmaßnahmen hat der Auftragsverarbeiter den Stand der Technik, die Implementierungskosten sowie die Art, den Umfang, den Kontext, die Verarbeitungszwecke, die Wahrscheinlichkeit und die Schwere der verschiedenen Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen, und zwar in Übereinstimmung mit den Bestimmungen von Artikel 28 Absatz 3 Buchstabe f) AVG.
- Wünscht der für die Verarbeitung Verantwortliche eine Bewertung einer vorgeschlagenen Verarbeitungstätigkeit, so leistet der Auftragsverarbeiter jede zumutbare Unterstützung bei der Durchführung dieser Bewertung im Einklang mit den geltenden Gesetzen und Vorschriften.
- Der Auftragsverarbeiter leistet auch bei einer vorherigen Konsultation der Behörde für personenbezogene Daten jede angemessene Unterstützung.
- Die Parteien haben konkrete Vereinbarungen über die für die Durchführung dieser Vereinbarung erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen getroffen, die die zuständige Partei derzeit für angemessen hält.
- Diese Vereinbarungen umfassen mindestens die folgenden Themen:
- die Anforderungen an die Zuverlässigkeit
- die vereinbarte Sicherheitsstufe (falls zutreffend)
- die vom Verarbeiter getroffenen Maßnahmen, damit nur befugtes Personal Zugang zu den personenbezogenen Daten hat
- Maßnahmen zum Schutz vor Verlust, Veränderung, unbefugter oder unrechtmäßiger Verarbeitung, Zugang oder Weitergabe
- Maßnahmen zur Aufdeckung von Schwachstellen und zum Management von Zwischenfällen
- Die Parteien werden die in den Absätzen 7 und 8 genannten Vereinbarungen in regelmäßigen Abständen überprüfen und erforderlichenfalls anpassen.
- Diese Vereinbarungen sind diesem Abkommen als Anhang beigefügt.
Artikel 6 – Prüfung
- Die verantwortliche Partei hat das Recht, auf eigene Kosten ein jährliches Audit durchführen zu lassen, um die Einhaltung dieser Vereinbarung zu überprüfen.
- (2) Der Auftragsverarbeiter arbeitet bei der in Absatz 1 genannten Prüfung in angemessener Weise mit, indem er beispielsweise Zugang zu den Datenbanken gewährt und alle relevanten Informationen zur Verfügung stellt.
- Der Auftragsverarbeiter setzt die Empfehlungen, die sich aus dem Audit ergeben, in Absprache mit dem für die Verarbeitung Verantwortlichen so schnell wie möglich um.
- Ergeben sich die Anpassungen nach Absatz 3 aus geänderten Erkenntnissen oder Rechtsvorschriften, so sind die angemessenen Kosten dieser Anpassungen von der verantwortlichen Partei zu tragen.
- Sind die sich aus Absatz 3 ergebenden Anpassungen auf die Nichteinhaltung der vereinbarten Sicherheitsanforderungen zurückzuführen, so gehen diese Kosten zu Lasten des Auftragsverarbeiters.
- Möchte die Behörde für personenbezogene Daten oder eine andere zuständige Behörde eine Untersuchung durchführen, so leistet der Auftragsverarbeiter zu diesem Zweck jede zumutbare Unterstützung und unterrichtet den für die Verarbeitung Verantwortlichen so schnell wie möglich darüber.
Artikel 7 – Datenschutzverletzung
- Im Falle einer Verletzung des Datenschutzes gemäß Art. 4 Abs. 12 AVG informiert der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen auf die in Art. 8 näher beschriebene Weise darüber.
- Im Falle einer Datenschutzverletzung ergreift der Auftragsverarbeiter alle angemessenen erforderlichen Maßnahmen, um die Folgen abzumildern und ein weiteres Austreten von Daten zu verhindern.
- Der Auftragsverarbeiter gewährt dem für die Verarbeitung Verantwortlichen die erforderliche Zusammenarbeit, um das Ausmaß und die Folgen der Datenschutzverletzung zu bewerten und der Meldepflicht für Datenschutzverletzungen gegenüber der Behörde für personenbezogene Daten sowie der Informationspflicht gegenüber den betroffenen Personen nachzukommen.
- Die Parteien haben ihre Vereinbarungen über das im Falle einer Datenschutzverletzung zu befolgende Verfahren in einem Verfahren zur obligatorischen Benachrichtigung bei Datenschutzverletzungen festgehalten, wie in Artikel 8 beschrieben. Dieses Verfahren kann angepasst werden, wenn der Stand der Technik dies erfordert oder sich die Vorschriften über die Meldepflicht für Datenschutzverletzungen ändern.
- Meldet der Auftragsverarbeiter die Datenschutzverletzung nicht rechtzeitig gemäß dem Verfahren für die Meldung von Datenschutzverletzungen nach Artikel 8, schuldet er dem für die Verarbeitung Verantwortlichen eine sofort fällige Geldbuße in Höhe von 2 500 EUR zuzüglich 2 % dieses Betrags für jede Stunde, in der die Meldung verspätet erfolgt.
Artikel 8 – Verfahren zur Meldung von Datenschutzverletzungen
Im Falle einer Datenschutzverletzung gilt das folgende Verfahren:
- der Auftragsverarbeiter alle Sicherheitsvorfälle in einer für den für die Verarbeitung Verantwortlichen nachvollziehbaren Weise aufzeichnet
- Diese Aufzeichnung muss mindestens folgende Daten enthalten: eine Beschreibung des Vorfalls; die (ungefähre) Anzahl der von dem Vorfall betroffenen Personen; die von dem Vorfall betroffene(n) Personengruppe(n); das Datum und die Uhrzeit des Vorfalls; die Art der Verletzung; die Art der betroffenen Daten; die möglichen Folgen für die betroffenen Personen; die technischen und organisatorischen Maßnahmen, die als Reaktion auf den Vorfall ergriffen wurden; die Art und Weise, wie die durchgesickerten Daten gesichert wurden; ob die Daten gehasht wurden, unzugänglich gemacht wurden oder aus der Ferne gelöscht werden können c.q. gelöscht worden sind; und ob und wenn ja, welche Daten von Personen in anderen EU-Ländern von der Datenschutzverletzung betroffen waren
- der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen innerhalb von 8 Stunden, nachdem er von dem Vorfall Kenntnis erlangt hat, gleichzeitig mit der Übergabe der Aufzeichnungen darüber, wie oben beschrieben, informiert
- der Auftragsverarbeiter hält sich in den ersten 24 Stunden, nachdem er den für die Verarbeitung Verantwortlichen über die Verletzung des Schutzes personenbezogener Daten informiert hat, für Konsultationen mit dem Auftragsverarbeiter oder den von ihm benannten Sachverständigen bereit
- der für die Verarbeitung Verantwortliche berät sich mit dem Auftragsverarbeiter, um zu beurteilen, ob der Vorfall der Behörde für personenbezogene Daten gemeldet werden sollte
- der für die Verarbeitung Verantwortliche informiert den Auftragsverarbeiter im Voraus, wenn er beschließt, das Leck bei der Behörde für personenbezogene Daten zu melden
- der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen die erforderliche Zusammenarbeit gewährt, damit dieser der Behörde für personenbezogene Daten eine Meldung über eine Datenschutzverletzung gemäß den gesetzlichen Bestimmungen machen kann
- der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen jede Mitwirkung gewährt, um die betroffenen Personen gemäß § 34 AVG über die Datenverletzung zu informieren
Artikel 9 – Ersuchen der betroffenen Personen
- Anträge auf Einsichtnahme, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch nach den Artikeln 15 bis 21 AVG, die beim Auftragsverarbeiter eingehen, sind unverzüglich an den Verantwortlichen weiterzuleiten.
- Der Auftragsverarbeiter leistet dem für die Verarbeitung Verantwortlichen jede zumutbare Unterstützung, damit dieser einem Antrag nach Absatz 1 innerhalb der gesetzlichen Fristen nachkommen kann.
- Der für die Verarbeitung Verantwortliche erstattet dem Auftragsverarbeiter die angemessenen Kosten, die durch diese Zusammenarbeit entstehen.
Artikel 10 – Unterauftragsverarbeiter
- Der Auftragsverarbeiter ist nicht berechtigt, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung zu beauftragen, es sei denn, er hat zuvor eine schriftliche Zustimmung eingeholt.
- Der Auftragsverarbeiter ist verantwortlich und haftbar für die Handlungen der von ihm beauftragten Unterauftragsverarbeiter.
- Beauftragt ein Auftragsverarbeiter einen Unterauftragsverarbeiter, so ist er verpflichtet, dafür zu sorgen, dass dieser Unterauftragsverarbeiter alle dem Auftragsverarbeiter durch diese Vereinbarung auferlegten Pflichten erfüllt, und zu diesem Zweck mit den betreffenden Unterauftragsverarbeitern eine Vereinbarung zu schließen, die mit dieser Vereinbarung im Einklang steht.
- (2) Beauftragt der Auftragsverarbeiter Unterauftragsverarbeiter ohne die in Absatz 1 genannte Zustimmung, so ist er unbeschadet des Rechts des für die Verarbeitung Verantwortlichen auf vollständigen Schadensersatz mit einer Geldbuße in Höhe von 500 € zu belegen.
Artikel 11 – Zugang zu personenbezogenen Daten
Der Auftragsverarbeiter stellt sicher, dass der für die Verarbeitung Verantwortliche jederzeit Zugang zu den betreffenden personenbezogenen Daten hat, auch im Falle seines Konkurses oder der Einstellung der Zahlungen.
Artikel 12 – Haftung und Entschädigung
- Der Auftragsverarbeiter haftet nicht für Schäden, die sich aus der Verletzung von Gesetzen oder Vorschriften durch den für die Verarbeitung Verantwortlichen ergeben.
- Der für die Verarbeitung Verantwortliche stellt den Auftragsverarbeiter von Ansprüchen Dritter und von Kosten frei, die dem Auftragsverarbeiter infolge eines Verstoßes gemäß Absatz 1 entstehen.
- Der für die Verarbeitung Verantwortliche haftet nicht für Schäden, die sich aus Verstößen des Auftragsverarbeiters gegen Gesetze oder Vorschriften ergeben.
- Der Auftragsverarbeiter stellt den für die Verarbeitung Verantwortlichen von Ansprüchen Dritter und von Kosten frei, die dem für die Verarbeitung Verantwortlichen aufgrund eines Verstoßes gemäß Absatz 3 entstehen.
- Die andere Partei ist in einem in Absatz 1 oder 3 genannten Fall berechtigt, den Hauptvertrag mit sofortiger Wirkung zu kündigen.
Artikel 13 – Beendigung und Folgen der Beendigung
- Diese Vereinbarung endet erst, wenn der zugrundeliegende Auftrag beendet ist und der Auftragsverarbeiter alle ihm zur Verfügung gestellten personenbezogenen Daten an den für die Verarbeitung Verantwortlichen oder an einen vom für die Verarbeitung Verantwortlichen vorab schriftlich benannten Dritten übermittelt hat sowie alle beim Auftragsverarbeiter und etwaigen Unterauftragsverarbeitern verbliebenen Daten vernichtet wurden.
- Auf Antrag des für die Verarbeitung Verantwortlichen stellt der Auftragsverarbeiter die ihm zur Verfügung gestellten personenbezogenen Daten in einem anderen Format als dem, in dem sie ihm zur Verfügung gestellt wurden, gegen Erstattung der angemessenen Kosten zur Verfügung.
- Anstatt die Daten zu übermitteln, kann der für die Verarbeitung Verantwortliche auch den Auftragsverarbeiter auffordern, die Daten zu vernichten.
- Die Vernichtung der in Absatz 3 genannten Daten kann nur nach vorheriger schriftlicher Zustimmung der verantwortlichen Stelle erfolgen.
- Die Bestimmungen von Artikel 4 bleiben jedoch in vollem Umfang in Kraft und wirksam.
Artikel 14 – Folgen der Nichtigkeit oder Anfechtbarkeit
Sollte ein Teil des Vertrages nichtig oder anfechtbar sein, so bleiben die übrigen Bestimmungen des Vertrages davon unberührt. Eine nichtige oder anfechtbare Bestimmung wird in diesem Fall durch eine Bestimmung ersetzt, die dem am nächsten kommt, was die Parteien bei Abschluss des Vertrages in diesem Punkt beabsichtigt haben.
Artikel 15 – Anwendbares Recht und zuständiges Gericht
- Diese Vereinbarung unterliegt dem niederländischen Recht.
- Alle eventuellen Streitigkeiten, die sich aus dieser Vereinbarung ergeben und nicht gütlich beigelegt werden können, werden dem zuständigen Gericht im Bezirk des Sitzes des Verarbeiters vorgelegt.