• Skalierbare & flexible Lösungen
  • Fordern Sie unverbindlich eine Demo an
  • Schnell starten, ganz ohne langfristige Bindung
+31 (0)546 24 12 29

Verarbeitervereinbarung

INNOVATIONSOFT B.V. UND INNOVATIONSOFT INTERNATIONAL B.V.

Verarbeitervereinbarung

Diese Auftragsverarbeiter-Vereinbarung gilt, wenn Innovationsoft als Auftragsverarbeiter im Sinne der Datenschutz-Grundverordnung (DSGVO) gilt. Innovationsoft wird im Folgenden auch als Auftragsverarbeiter und die andere Partei oder der Kunde als Verantwortlichen bezeichnet. Diese Auftragsverarbeiter-Vereinbarung (die Auftragsverarbeiter-Vereinbarung) ist integraler Bestandteil der Vereinbarungen zwischen den Parteien, wie sie in der Vereinbarung zwischen den beiden Parteien (die Vereinbarung) vereinbart wurden.

Diese Auftragsverarbeitervereinbarung gilt nur für personenbezogene Daten von Organisationen mit Sitz im EWR.

1. Zwecke der Verarbeitung

1.1. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen gemäß den Bedingungen dieser Vereinbarung zu verarbeiten. Die Verarbeitung erfolgt nur zu den im Vertrag zwischen dem Auftragsverarbeiter und dem Verantwortlichen vereinbarten Zwecken sowie zu den Zwecken, die vernünftigerweise damit zusammenhängen oder durch eine weitere Vereinbarung festgelegt sind.

1.2. Die vom Auftragsverarbeiter im Rahmen der im vorstehenden Absatz genannten Tätigkeiten verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen, von denen sie stammen, sind in Anhang I aufgeführt.

1.3. Der Auftragsverarbeiter darf die personenbezogenen Daten nur für die vom Verantwortlichen festgelegten Zwecke verarbeiten. Verantwortlichen teilt dem Verarbeiter die Verarbeitungszwecke mit, soweit sie nicht bereits in dieser Auftragsverarbeitungsvereinbarung genannt sind.

1.4. Die personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, bleiben Eigentum des Verantwortlichen und/oder der betroffenen Personen.

2. Pflichten des Verarbeiters

2.1. In Bezug auf die in Artikel 1 genannte Verarbeitung gewährleistet der Auftragsverarbeiter die Einhaltung der DSGVO.

2.2. Der Verarbeiter unterrichtet den Verantwortlichen auf dessen erste Aufforderung hin über die Maßnahmen, die er im Hinblick auf seine Verpflichtungen aus dieser Auftragsverarbeitervereinbarung getroffen hat.

2.3. Die Verpflichtungen des Auftragsverarbeiters, die sich aus dieser Vereinbarung ergeben, gelten auch für diejenigen, die personenbezogene Daten im Auftrag des Auftragsverarbeiters verarbeiten, einschließlich, aber nicht beschränkt auf die Mitarbeiter, im weitesten Sinne.

2.4. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich, wenn seiner Ansicht nach eine Anweisung des Verantwortlichen gegen die in Absatz 1 genannten Rechtsvorschriften verstößt.

2.5. Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen im Rahmen seiner Befugnisse in angemessener Weise der Durchführung von Datenschutz-Folgenabschätzungen (DPIAs) im Rahmen der Vereinbarung. Die dafür aufgewendete Zeit geht zu Lasten und auf Risiko des Verantwortlichen und wird dem Verantwortlichen vom Auftragsverarbeiter in Rechnung gestellt.

3. Übermittlung von personenbezogenen data

3.1. Der Auftragsverarbeiter kann personenbezogene Daten in Ländern innerhalb des EWR verarbeiten. Übermittlungen in Länder außerhalb des EWR sind vorbehaltlich der Zustimmung des Verantwortlichen nicht zulässig.

3.2. Der Verarbeiter teilt dem Verantwortlichen das betreffende Land oder die betreffenden Länder mit.

3.3. Dieser Artikel 3 gilt nicht für Organisationen mit Niederlassungen außerhalb des EWR.

4. Aufteilung der Verantwortung

4.1. Die genehmigten Verarbeitungen werden von Mitarbeitern des Auftragsverarbeiters in einer automatisierten Umgebung durchgeführt.

4.2. Der Auftragsverarbeiter ist allein verantwortlich für die Verarbeitung der personenbezogenen Daten im Rahmen dieser Auftragsverarbeitungsvereinbarung, gemäß den Anweisungen des Verantwortlichen und unter der ausdrücklichen (letztendlichen) Verantwortung des Verantwortlichen. Für andere Verarbeitungen personenbezogener Daten, einschließlich, aber nicht beschränkt auf die Erhebung der personenbezogenen Daten durch den für die Verarbeitung Verantwortlichen, die Verarbeitung zu Zwecken, die dem Auftragsverarbeiter vom für die Verarbeitung Verantwortlichen nicht mitgeteilt wurden, die Verarbeitung durch Dritte und/oder zu anderen Zwecken, ist der Auftragsverarbeiter ausdrücklich nicht verantwortlich.

4.3. Der Verantwortliche gewährleistet, dass der Inhalt, die Verwendung und die Beauftragung der in diesem Auftragsverarbeitungsvertrag genannten Verarbeitungen personenbezogener Daten (einschließlich, aber nicht beschränkt auf die personenbezogenen Daten selbst) nicht rechtswidrig sind und keine Rechte Dritter verletzen.

5. Beauftragung von Dritten oder Unterauftragnehmern

5.1. Der Auftragsverarbeiter ist berechtigt, im Rahmen und zur Durchführung dieses Auftragsverarbeitungsvertrags Dritte zu beauftragen und wird dem Verantwortlichen auf Anfrage eine Liste der Dritten (Unterauftragsverarbeiter vorlegen.

5.2. Der Auftragsverarbeiter stellt in jedem Fall sicher, dass diese Dritten schriftlich mindestens die gleichen Pflichten übernehmen, wie sie zwischen ihm und dem Verantwortlichen vereinbart wurden.

5.3. Der Auftragsverarbeiter garantiert die korrekte Einhaltung der Verpflichtungen aus dieser Auftragsverarbeitungsvereinbarung durch diese Dritten und haftet im Falle von Fehlern dieser Dritten selbst für alle Schäden, als ob er den/die Fehler selbst begangen hätte.

5.4. Im Falle eines Wechsels des Unterauftragsverarbeiters bietet der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen die Möglichkeit zum Widerspruch. Stimmt der Verantwortliche dem Wechsel letztlich nicht zu, hat er das Recht, den Vertrag mit sofortiger Wirkung und ohne Zahlung einer (Entschädigung) zu kündigen.

6. Sicherheit

6.1. Der Auftragsverarbeiter ist bestrebt, geeignete technische und organisatorische Maßnahmen in Bezug auf die durchzuführende Verarbeitung personenbezogener Daten zu ergreifen, um sich gegen Verlust oder jede Form der unrechtmäßigen Verarbeitung (z. B. unbefugter Zugriff, Beeinträchtigung, Änderung oder Weitergabe der personenbezogenen Daten) zu schützen.

6.2. In jedem Fall hat der Auftragsverarbeiter die Maßnahmen ergriffen, die im Sicherheitsprotokoll in Anhang II dieser Auftragsverarbeitervereinbarung (das Sicherheitsprotokoll) aufgeführt sind. Der Auftragsverarbeiter kann das Sicherheitsprotokoll jederzeit einseitig ändern. Er unterrichtet den Verantwortlichen über jede Änderung.

6.3. Der Auftragsverarbeiter garantiert nicht, dass die Sicherheit unter allen Umständen wirksam ist. In Ermangelung einer ausdrücklich festgelegten Sicherheit in der Auftragsverarbeitervereinbarung unternimmt der Auftragsverarbeiter alle Anstrengungen, um sicherzustellen, dass die Sicherheit ein Niveau erreicht, das angesichts des Stands der Technik, der Sensibilität der personenbezogenen Daten und der mit der Umsetzung der Sicherheit verbundenen Kosten nicht unangemessen ist.

6.4. Der Verantwortliche stellt dem Auftragsverarbeiter personenbezogene Daten nur dann zur Verarbeitung zur Verfügung, wenn er sich vergewissert hat, dass die erforderlichen Sicherheitsmaßnahmen getroffen wurden.

7. Berichtspflicht

7.1. Der Verantwortliche ist jederzeit dafür verantwortlich, dem Datenschutzbeauftragten und/oder den betroffenen Personen eine Sicherheitsverletzung und/oder ein Datenleck zu melden (darunter ist zu verstehen: eine Verletzung der Sicherheit personenbezogener Daten, die das Risiko nachteiliger Folgen nach sich zieht oder nachteilige Folgen für den Schutz personenbezogener Daten im Sinne der Allgemeinen Datenschutzverordnung (DSGVO) hat). Damit der Verantwortliche dieser gesetzlichen Pflicht nachkommen kann, informiert der Auftragsverarbeiter den Verantwortlichen innerhalb von 48 Stunden nach Bekanntwerden der Sicherheitsverletzung.

7.2. Die Verpflichtung des Auftragsverarbeiters, den für die Verarbeitung Verantwortlichen zu benachrichtigen, schließt in jedem Fall die Benachrichtigung über die Tatsache ein, dass eine Datenschutzverletzung stattgefunden hat. Darüber hinaus muss die Benachrichtigung Folgendes enthalten:

  1. die Art der Verletzung des Schutzes personenbezogener Daten, wobei nach Möglichkeit die Kategorien der betroffenen Personen und der betroffenen Datensätze sowie die ungefähre Anzahl der betroffenen Personen und der betroffenen Datensätze anzugeben sind;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können;
  3. die voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  4. die vom Auftragsverarbeiter vorgeschlagenen oder ergriffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, gegebenenfalls einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen.

8. Bearbeitung von Anfragen der betroffenen Personen

Stellt eine betroffene Person einen Antrag auf Ausübung ihrer gesetzlichen Rechte an den Auftragsverarbeiter, so leitet dieser den Antrag an den Verantwortlichen weiter, und der Verantwortliche wird den Antrag weiter bearbeiten wird. Der Auftragsverarbeiter kann die betroffene Person entsprechend benachrichtigen. Der Auftragsverarbeiter leistet dem Verantwortlichen im Zusammenhang mit dem Antrag angemessene Unterstützung.

9. Verschwiegenheit und Vertraulichkeit

9.1. Der Auftragsverarbeiter hat alle personenbezogenen Daten, die er im Rahmen dieser Auftragsverarbeitervereinbarung verarbeitet, vertraulich zu behandeln. Der Auftragsverarbeiter darf diese Daten nur für den Zweck verwenden, für den er sie erhalten hat, und sie nicht an Dritte weitergeben.

9.2. Diese Geheimhaltungspflicht gilt nicht, soweit der Verantwortliche seine Zustimmung zur Weitergabe der Informationen an Dritte erteilt hat, wenn die Weitergabe der Informationen an Dritte angesichts der Art des erteilten Auftrags und der Durchführung dieser Auftragsverarbeitungsvereinbarung logisch notwendig ist oder wenn eine gesetzliche Verpflichtung zur Weitergabe der Informationen an Dritte besteht.

9.3. Die Personen, die Zugang zu den personenbezogenen Daten haben, haben sich zur Vertraulichkeit verpflichtet oder sind durch eine entsprechende gesetzliche Verpflichtung zur Vertraulichkeit verpflichtet.

10. Prüfung

10.1. Der Verarbeiter räumt dem Verantwortlichen hiermit das Recht ein, ein Audit durch einen unabhängigen, zur Vertraulichkeit verpflichteten Dritten durchführen zu lassen, um die Einhaltung der Bestimmungen dieser Verarbeitungsvereinbarung zu überprüfen, oder der Verarbeiter stellt dem für die Verantwortlichen eine Mitteilung eines Dritten an den Verarbeiter zur Verfügung, anhand derer davon ausgegangen werden kann, dass der Verarbeiter im Einklang mit den Bestimmungen dieser Auftragsverarbeitervereinbarung handelt.

10.2. Ein Antrag auf ein Audit muss schriftlich gestellt werden und eine Begründung enthalten, was untersucht werden soll.

10.3. Diese Prüfung kann einmal im Jahr sowie bei einem konkreten Verdacht auf Missbrauch personenbezogener Daten erfolgen.

10.4. Der Verarbeiter arbeitet bei der Prüfung mit und stellt alle für die Prüfung angemessenen Informationen, einschließlich Belegdaten wie Systemprotokolle, und Mitarbeiter so rechtzeitig wie möglich zur Verfügung.

10.5. Die sich aus der Prüfung ergebenden Feststellungen werden vom Auftragsverarbeiter überprüft und können nach seinem Ermessen und in der von ihm festgelegten Art und Weise vom Auftragsverarbeiter umgesetzt werden.

10.6. Die Kosten des Audits werden vom Controller getragen.

11. Haftung

11.1. Die Haftungsbestimmungen des Auftragsverarbeiters aus der Vereinbarung gelten auch für die Auftragsverarbeitervereinbarung.

11.2. Jeder Schadensersatzanspruch des Verantwortlichen gegen den Auftragsverarbeiter, der nicht spezifiziert und ausdrücklich geltend gemacht wurde, erlischt zwölf (12) Monate nach Entstehung des Anspruchs.

12. Dauer und Beendigung

12.1. Diese Auftragsverarbeitervereinbarung gilt bis zu dem Zeitpunkt, an dem der Auftragsverarbeiter die Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen einstellt.

12.2. Nach Beendigung dieser Vereinbarung – gleich aus welchem Grund und in welcher Form – hat der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche in seinem Besitz befindlichen personenbezogenen Daten im Original oder in Kopie an den Verantwortlichen zurückzugeben und/oder diese personenbezogenen Daten sowie etwaige Kopien davon zu löschen und/oder zu vernichten. Dies gilt nicht für personenbezogene Daten, die der Auftragsverarbeiter aufgrund gesetzlicher (Aufbewahrungs-)Pflichten aufbewahren muss.

12.3. Der Auftragsverarbeiter ist berechtigt, diese Auftragsverarbeitervereinbarung von Zeit zu Zeit zu ändern. Die Änderungen werden dem Verantwortlichen mit einer Frist von mindestens drei Monaten angekündigt. Der Auftragsverarbeiter kann bis zum Ablauf dieser drei Monate kündigen, wenn er den Änderungen nicht zustimmen kann. Andernfalls gelten die Änderungen als von der Verantwortlichen genehmigt.

13. Anwendbares Recht und Streitbeilegung

13.1. Der Auftragsverarbeitervertrag, einschließlich, aber nicht beschränkt auf die Wahl des Gerichtsstandes in Artikel 13.2, unterliegt dem niederländischen Recht. In diesen Bedingungen und/oder anderen Verträgen enthaltene Begriffe beziehen sich auf niederländische Rechtsbegriffe; in diesem Fall richtet sich die Erläuterung und Auslegung dieser Begriffe nach diesen niederländischen Rechtsbegriffen.

13.2. Alle Streitigkeiten, die sich zwischen den Parteien im Zusammenhang mit dem Auftragsverarbeitervertrag ergeben können, werden dem zuständigen Gericht des Bezirks vorgelegt, in dem der Auftragsverarbeiter seinen Sitz hat.

Annex 1 - Personenbezogene Daten

1. Spezifikation der personenbezogenen Daten und der betroffenen Personen

1.1. Der Auftragsverarbeiter kann je nach den vom Verantwortlichen gespeicherten Informationen die folgenden personenbezogenen Daten verarbeiten: Name, Anschrift, E-Mail-Adresse, Geschlecht, Sprache, Geburtsdatum, Geburtsort, Geburtsland, Telefon, Mobilnummer, Konfektionsgrößen, Ehepartner von („E.V.“), Abteilung, Standort, Beschäftigungsverhältnis, Personalnummer. Der Verantwortliche wird dem Auftragsverarbeiter keine anderen personenbezogenen Daten übermitteln.

1.2. Der Verantwortliche ist selbst dafür verantwortlich, welche personenbezogenen Daten in seinem Namen vom Auftragsverarbeiter verarbeitet werden.

1.3. Der Auftragsverarbeiter prüft nicht, welche (personenbezogenen) Daten in der jeweiligen Kundenumgebung verarbeitet werden. Daher geht der Auftragsverarbeiter standardmäßig davon aus, dass er ausschließlich Datenkategorien gemäß Artikel 1.1 verarbeitet und hat entsprechende Kontrollmaßnahmen getroffen.

1.4. Der Verantwortliche gewährleistet, dass nur personenbezogene Daten verarbeitet werden, die der Verantwortliche rechtmäßig erhalten hat und deren Weitergabe an den Auftragsverarbeiter zulässig ist. Für alle Verarbeitungen, für die dies erforderlich ist, hat der Verantwortliche eine Datenschutz-Folgenabschätzung durchgeführt.

1.5. Lässt der für die Verarbeitung Verantwortliche die Verarbeitung von Bürgerservicenummern oder besonderen personenbezogenen Daten (wie z. B. Ethnie/ethische Herkunft, Gesundheitsdaten, Religion/Weltanschauung, „abweichende“ Orientierung, politische Zugehörigkeit/Meinung, sexuelle Orientierung/Verhalten, Gewerkschaftszugehörigkeit, juristische Daten, genetische/biometrische Daten) durch den Auftragsverarbeiter zu und erlegt er dem Auftragsverarbeiter spezifische Kontrollmaßnahmen auf, so muss er dies dem Auftragsverarbeiter ausdrücklich schriftlich mitteilen. Dabei hat der Verantwortliche auch die Rechtsgrundlage, auf der die personenbezogenen Daten verarbeitet werden, sowie eine Begründung für diese Grundlage vorzulegen.

1.6. Der Verantwortliche muss besondere personenbezogene Daten (besondere personenbezogene Daten) unter Angabe der von ihm gewünschten spezifischen Kontrollmaßnahmen des Auftragsverarbeiters in einem „Register personenbezogener Daten“ angeben, das den Anforderungen der DSGVO entspricht.

1.7. Der für die Verarbeitung Verantwortliche ist auch dafür zuständig, das bereitgestellte „Register personenbezogener Daten“ auf dem neuesten Stand zu halten.

1.8. Erhält der Auftragsverarbeiter von dem für die Verarbeitung Verantwortlichen kein „Verzeichnis personenbezogener Daten“ mit zusätzlichen Kontrollmaßnahmen (falls vorhanden), kann davon ausgegangen werden, dass keine oder nur Standard-Personendaten verarbeitet werden und die Standard-Kontrollmaßnahmen für den Zweck des Abkommens angemessen sind.

1.9. Der Verantwortliche gewährleistet, dass die in diesem Anhang 1 beschriebenen Kategorien betroffener Personen vollständig und richtig sind, und stellt den Auftragsverarbeiter von allen Mängeln und Ansprüchen frei, die sich aus einer unrichtigen Darstellung des Verantwortliche ergeben.

Allgemeine Geschäftsbedingungen
Sicherheitsprotokoll

Kundenservice

Elmar

Unser Kundenservice steht Ihnen jederzeit mit schneller und persönlicher Unterstützung zur Verfügung. Ob per Telefon, E-Mail oder im persönlichen Gespräch – wir sorgen dafür, dass Sie stets weiterkommen.

Arrow Demo anfordern
Arrow Direkter Kontakt

Immer auf dem Laufenden bleiben

Bleiben Sie stets über die neuesten Entwicklungen, hilfreiche Tipps und interessante Neuigkeiten informiert. Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig wertvolle Informationen direkt in Ihren Posteingang.

Please wait…

Danke für deine Anmeldung!

Kontakt

Innovationsoft
Nijverheidsstraat 8E
7641 AB Wierden Niederlande

+31 (0)546 - 24 12 29

info@innovationsoft.com

Lösungen

Über uns

© 2024 Innovationsoft | Sitemap