Vereinbarungen zur Auftragsdatenverarbeitung

Einführung

Diese Verarbeitungsvereinbarung ist Teil der Hauptvereinbarung zwischen Forceweb B.V. (nachfolgend: „TimeChimp“ oder „Auftragsverarbeiter“) und der natürlichen oder juristischen Person, mit der TimeChimp einen Vertrag über die Lieferung und Nutzung der TimeChimp-Software abschließt (nachfolgend: „Kunde“ oder „Verantwortlicher“). Zusammen werden der Verantwortliche und der Verarbeiter als die „Parteien“ bezeichnet.
Für die Nutzung der TimeChimp-Software haben die Parteien einen Vertrag geschlossen, für den auch die Allgemeinen Geschäftsbedingungen von TimeChimp gelten (gemeinsam: „Hauptvertrag“).
Für die Durchführung des Hauptvertrags werden personenbezogene Daten von TimeChimp im Auftrag des Verantwortlichen verarbeitet. In Übereinstimmung mit geltendem Recht schließen die Parteien diese Vereinbarung ab, die ihre jeweiligen Rechte und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten (die „Verarbeitervereinbarung“) festlegt. Der Hauptvertrag und der Verarbeitervereinbarung legen den gemeinsamen Gegenstand und die Dauer der Verarbeitung personenbezogener Daten fest.

1. Definitionen

Die folgenden Begriffe haben die unten angegebene Bedeutung:

  • Betroffener oder betroffene Person: die identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.
  • Datenschutzverletzung: eine Verletzung der Sicherheit personenbezogener Daten, die versehentlich oder rechtswidrig zur Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Offenlegung oder zum Zugriff auf übertragene, gespeicherte oder anderweitig verarbeitete Daten führt.
  • Personenbezogene Daten: alle Informationen über eine identifizierte oder identifizierbare natürliche Person, die TimeChimp im Rahmen des Hauptvertrags für den Verantwortlichen verarbeitet.
  • Mitarbeiter: die von den Parteien für die Ausführung dieser Verarbeitungsvereinbarung autorisierten Personen, die unter ihrer Verantwortung arbeiten.
  • Sub-Auftragsverarbeiter: jeder Dritte, der vom Auftragsverarbeiter beauftragt wird, personenbezogene Daten im Namen des Auftragsverarbeiters zu verarbeiten, ohne der direkten Autorität des Auftragsverarbeiters zu unterliegen.
  • Anwendbare Gesetzgebung: Gesetze oder andere (lokale) Vorschriften, Verordnungen, Richtlinien oder Leitlinien, Anweisungen oder Empfehlungen von Regierungsbehörden, die für die Verarbeitung der personenbezogenen Daten gelten, einschließlich aller Änderungen, Ersetzungen, Aktualisierungen oder anderer späterer Versionen davon;
  • Verarbeitung: jeder Vorgang oder jede Reihe von Vorgängen in Bezug auf personenbezogene Daten oder einen Satz personenbezogener Daten, unabhängig davon, ob sie durch automatisierte Prozesse durchgeführt werden, wie z. Bereitstellung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Abgleich oder Verknüpfung, Sperrung, Löschung oder Vernichtung von Daten.

2. Zulässige Verarbeitung

  • TimeChimp verpflichtet sich, personenbezogene Daten nur im Auftrag des Datenverantwortlichen im Rahmen der im Hauptvertrag beschriebenen Aktivitäten zu verarbeiten. Der Hauptvertrag und die Verarbeitungsvereinbarung legen gemeinsam den Gegenstand und die Dauer der Verarbeitung fest.
  • Für die Ausführung des Hauptvertrags, die kontinuierliche Weiterentwicklung der Anwendung und zur Unterstützung des Verantwortlichen kann TimeChimp die personenbezogenen Daten für die gesamte Dauer des Vertrags folgender Verarbeitung unterziehen:
  • Daten speichern, aktualisieren oder ändern, auswerten, verwenden, schützen, löschen oder vernichten.
  • TimeChimp verarbeitet die folgenden Arten von personenbezogenen Daten:
  • Namen, Adressen, Wohnorte, E-Mail, Telefonnummern, Bankverbindungen, IP-Adressen, Standortdaten, Gerätetypen.
  • Diese personenbezogenen Daten beziehen sich auf die folgenden Kategorien von betroffenen Personen:
  • Kundenbeziehungen des Verantwortlichen; aktuelle und ehemalige Mitarbeiter, die beim Verantwortlichen beschäftigt sind oder waren.

3. Rechte und Pflichten des Verantwortlichen

  • Der Verantwortliche stellt TimeChimp die personenbezogenen Daten zur Verfügung. Der Verantwortliche bestimmt den Zweck und die Mittel der Verarbeitung. Der Verantwortliche garantiert, dass die Verarbeitung der personenbezogenen Daten, einschließlich der Erhebung, in Übereinstimmung mit den einschlägigen anwendbaren Rechtsvorschriften erfolgt.
  • Wenn die Mitarbeiter des Verantwortlichen selbst personenbezogene Daten verarbeiten, liegt die Verantwortung für die Einhaltung der anwendbaren Rechtsvorschriften in der Verantwortung des Verantwortlichen.

4. Datenverarbeitung

  • TimeChimp darf nur die personenbezogenen Daten verarbeiten, die für die Ausführung des Hauptvertrags unbedingt erforderlich sind. TimeChimp hat keine Kontrolle über den Zweck der Verarbeitung personenbezogener Daten.
  • TimeChimp wird die personenbezogenen Daten nur an Mitarbeiter und/oder Sub-Auftragsverarbeiter weitergeben, die (notwendigerweise) Zugang zu den personenbezogenen Daten für die Erfüllung der Verpflichtungen aus dem Hauptvertrag haben, sofern nicht anders durch geltendes Recht vorgeschrieben.
  • TimeChimp verarbeitet keine personenbezogenen Daten an einem Standort außerhalb des Europäischen Wirtschaftsraums.
  • Die personenbezogenen Daten auf Sicherungskopien genießen den gleichen Schutz wie die ursprünglichen personenbezogenen Daten.
  • Timechimp garantiert, dass seine Mitarbeiter nur Zugang zu den personenbezogenen Daten haben, soweit dies zur Erfüllung ihrer Aufgaben im Rahmen des Verarbeitungsauftrags erforderlich ist. TimeChimp wird seine Mitarbeiter über die Verpflichtungen dieser Verarbeitungsvereinbarung informieren.

5. Sub-Auftragsverarbeiter

  • TimeChimp ist berechtigt, Sub-Auftragsverarbeiter bei der Erbringung der Dienstleistung einzusetzen. Informationen über Sub-Auftragsverarbeiter können vom Verantwortlichen auf Anfrage angefordert werden. Der Verantwortliche kann dies nur aus wichtigen Gründen verweigern. TimeChimp bleibt jederzeit Ansprechpartner für den Verantwortlichen.
  • TimeChimp stellt sicher, dass eine Vereinbarung mit beauftragten Sub-Auftragsverarbeiter geschlossen wird, in der dieselben Datenschutzgarantien wie in dieser Vereinbarung festgelegt vereinbart werden. Der Sub-Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen für die Einhaltung seiner Verpflichtungen durch den Auftragsverarbeiter voll verantwortlich.
  • Darüber hinaus können personenbezogene Daten nach ausdrücklicher Genehmigung des Verantwortlichen an Sub-Auftragsverarbeiter weitergegeben werden, wenn zusätzliche Dienste genutzt werden.

Hier eine Übersicht zu allen Sub-Auftragsverarbeitern von TimeChimp.

6. Vertraulichkeit

  • TimeChimp ist hinsichtlich der personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet werden, an eine Vertraulichkeitsverpflichtung gebunden. Diese Vertraulichkeitsverpflichtung gilt in vollem Umfang für Mitarbeiter von TimeChimp und alle Auftragsdatenverarbeiter. Die Geheimhaltungsverpflichtung gilt auch nach Beendigung des Auftragsverarbeitungsvertrags fort.
  • Diese Vertraulichkeitsverpflichtung gilt nicht, wenn der Auftragsdatenverarbeiter durch die Aufsichtsbehörde, eine gesetzliche Bestimmung oder einen Gerichtsbeschluss verpflichtet ist, diese personenbezogenen Daten offenzulegen, wenn die Informationen öffentlich bekannt sind und wenn die Daten im Auftrag des Verantwortlichen bereitgestellt werden.

7. Sicherheitsvorkehrungen

  • TimeChimp ergreift die erforderlichen geeigneten technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, damit die Verarbeitung den geltenden Gesetzen entspricht und die Rechte der betroffenen Personen gewährleistet sind.
  • TimeChimp wendet ein angemessenes Schutzniveau an, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung. TimeChimp ist für die Anwendung und/oder Änderung des Schutzniveaus verantwortlich, wenn dies als notwendig erachtet wird oder gesetzlich vorgeschrieben ist.
  • TimeChimp ist für die Anwendung und/oder Änderung des Schutzniveaus verantwortlich, wenn dies nach geltendem Recht als notwendig erachtet wird oder vom Kunden verlangt wird. Allfällige Mehrkosten gehen zu Lasten des Auftraggebers, sofern nicht anders vereinbart

8. Meldung einer Datenschutzverletzung

  • Wenn TimeChimp eine Datenschutzverletzung feststellt, wird sie dies dem Verantwortlichen unverzüglich und spätestens innerhalb von 48 Stunden nach der Entdeckung melden. Diese Benachrichtigung beschreibt oder kommuniziert mindestens Folgendes:
  • Die Art der Verletzung des Schutzes personenbezogener Daten, nach Möglichkeit mit Angabe der Kategorien betroffener Personen und der betroffenen personenbezogenen Daten;
  • Die wahrscheinlichen Folgen der Datenschutzverletzung in Verbindung mit personenbezogenen Daten. Die Maßnahmen, die TimeChimp ergreift, um die Datenschutzverletzung anzugehen, einschließlich, sofern angemessen, der Maßnahmen zur Begrenzung etwaiger nachteiliger Folgen davon.
  • TimeChimp informiert den Verantwortlichen auch nach einem Bericht auf der Grundlage des vorherigen Artikels über die Entwicklungen in Bezug auf die festgestellte Datenschutzverletzung.
  • Der Verantwortliche muss prüfen, ob er die Aufsichtsbehörde und/oder die betroffenen Personen darüber informiert.
  • Die Parteien tragen beide die Kosten, die ihnen im Zusammenhang mit einer Meldung an die Aufsichtsbehörde und/oder die betroffene Person entstehen.

9. Anfragen von betroffenen Personen oder Regierungsbehörden

  • TimeChimp unterstützt den Verantwortlichen im Rahmen ihrer Möglichkeiten bei Anfragen der betroffenen Person. Für den Fall, dass eine betroffene Person eine solche Anfrage an TimeChimp sendet, leitet TimeChimp die Anfrage an den Verantwortlichen weiter und der Verantwortliche bearbeitet die Anfrage weiter, sofern nicht ausdrücklich etwas anderes vereinbart wurde.
  • TimeChimp unterstützt den Datenverantwortlichen so weit wie möglich bei der Beantwortung von Anfragen von Regierungsbehörden.
  • Für die Umsetzung der Artikel 9.1 und 9.2 werden die TimeChimp entstandenen Kosten vom Verantwortlichen erstattet, sofern nichts anderes vereinbart wurde.

10. Informationspflicht und Prüfung

  • TimeChimp stellt alle Informationen zur Verfügung, die erforderlich sind, um nachzuweisen, dass die Verpflichtungen aus dieser Verarbeitungsvereinbarung erfüllt wurden und erfüllt werden.
  • Der Verantwortliche hat die Möglichkeit, höchstens einmal jährlich, auf eigene Kosten, eine Prüfung oder Datenschutz-Folgenabschätzung durchzuführen (oder durchführen zu lassen). TimeChimp bietet alle notwendige Zusammenarbeit für Audits des Verantwortlichen.

11. Rechte an geistigem Eigentum

  • Alle geistigen Eigentumsrechte an den personenbezogenen Daten und an den Datenbanken mit diesen personenbezogenen Daten gehören dem Verantwortlichen. Diese geistigen Eigentumsrechte umfassen das Urheberrecht und der sui generis. TimeChimp erhält nur ein eingeschränktes Nutzungsrecht in dem Umfang, der zur Durchführung der vereinbarten Verarbeitung erforderlich ist.

12. Dauer und Ende des Vertrages

  • Die Verarbeitungsvereinbarung tritt in Kraft, sobald die Parteien den Hauptvertrag abschließen und wird für die Dauer des Hauptvertrags geschlossen.
  • Die Parteien können die Verarbeitungsvereinbarung nicht vorzeitig kündigen.
  • Die Verarbeitungsvereinbarung endet, nachdem und soweit TimeChimp alle personenbezogenen Daten gemäß Artikel 12.4 gelöscht hat. TimeChimp entfernt Backups und Kopien, vorbehaltlich abweichender gesetzlicher Regelungen.
  • Nach Beendigung des Hauptvertrags bleiben alle verarbeiteten personenbezogenen Daten für drei (3) Monate verfügbar. Der Verantwortliche ist für den rechtzeitigen Export personenbezogener Daten verantwortlich.

13. Allgemeine Bestimmungen

  • Diese Verarbeitungsvereinbarung ist Teil der Hauptvereinbarung. Die Rechte und Pflichten aus dem Hauptvertrag und den Allgemeinen Geschäftsbedingungen von TimeChimp gelten daher auch für die Verarbeitungsvereinbarung.
  • Im Falle von Widersprüchen zwischen den Bestimmungen in der Verarbeitungsvereinbarung und der Hauptvereinbarung gelten die Bestimmungen dieser Verarbeitungsvereinbarung, soweit sich die Bestimmungen speziell auf die Verarbeitung personenbezogener Daten beziehen.
  • Gemäß den Allgemeinen Geschäftsbedingungen von TimeChimp unterliegt die Verarbeitungsvereinbarung auch niederländischem Recht und Streitigkeiten werden vor das zuständige Gericht in Amsterdam gebracht; oder nach Ermessen von TimeChimp beim zuständigen Gericht am Sitz des Verantwortlichen.