Verarbeitungsvertrag

Version AV2024-1.0

Parteien:
1. Jimani, im Folgenden „Verarbeiter“;
2. Auftraggeber, im Folgenden „Verantwortlicher“;

Verarbeiter und Verantwortlicher im Folgenden gemeinsam auch genannt: „Parteien“

In Anbetracht dessen, dass:

– Der Verantwortliche hat den Auftragsverarbeiter beauftragt, die personenbezogenen Daten seines Unternehmens im Rahmen des Hauptvertrags zu verarbeiten, der untrennbarer Bestandteil dieser Auftragsverarbeitungsvereinbarung ist; – Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung, auf die die hierin genannten Bedingungen Anwendung finden; – Der Auftragsverarbeiter ist bereit, die Verarbeitung durchzuführen, und verpflichtet sich zudem, die Sicherheitsanforderungen und sonstigen Pflichten der Datenschutz-Grundverordnung („DSGVO“) soweit in ihrem Machtbereich einzuhalten; – Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nicht zu eigenen Zwecken; – Der Verantwortliche kann im Sinne von Artikel 4 Absatz 7 DSGVO als Verantwortlicher angesehen werden; – Der Auftragsverarbeiter kann im Sinne von Artikel 4 Absatz 8 DSGVO als Auftragsverarbeiter angesehen werden; – Soweit in dieser Vereinbarung von personenbezogenen Daten die Rede ist, handelt es sich um personenbezogene Daten im Sinne von Artikel 4 Absatz 1 DSGVO; – Die Parteien möchten, unter Berücksichtigung der Anforderungen aus Artikel 28 Absatz 3 DSGVO, ihre Rechte und Pflichten schriftlich in dieser Auftragsverarbeitungsvereinbarung (im Folgenden „Auftragsverarbeitungsvereinbarung“) festlegen.

Die Parteien vereinbaren Folgendes:

Artikel 1 – Zweck der Verarbeitung

Der Auftragsverarbeiter verpflichtet sich, unter den Bedingungen dieser Auftragsverarbeitungsvereinbarung personenbezogene Daten im Auftrag des Verantwortlichen zu verarbeiten. Die Verarbeitung erfolgt ausschließlich im Rahmen der Ausführung des Auftragsvertrags und dieser Auftragsverarbeitungsvereinbarung im Sinne von Artikel 28 Absatz 3 DSGVO. 2. Es ist dem Auftragsverarbeiter untersagt, die personenbezogenen Daten zu einem anderen Zweck zu verarbeiten, als der vom Verantwortlichen festgelegte Zweck. Der Zweck der Verarbeitung ist die Erbringung der vom Verantwortlichen angeforderten Dienstleistungen, wie im Hauptvertrag beschrieben und festgelegt. Hierzu werden folgende Tätigkeiten durchgeführt: Bereitstellung einer Plattform für die Arbeiten des Kunden und andere damit zusammenhängende Tätigkeiten. 3. Die Kategorie der betroffenen Personen, deren personenbezogene Daten erhoben werden, umfasst Kundendaten, Anmeldedaten, Mitarbeiterdaten des Kunden und/oder andere Personen bzw. Beziehungen des Verantwortlichen, mit denen der Auftragsverarbeiter in Kontakt kommt, sofern er personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 4. Die Kategorie der verarbeiteten personenbezogenen Daten umfasst personenbezogene Daten, einschließlich Mitarbeiterdaten des Kunden. 5. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nicht zu einem anderen Zweck als dem, der vom Verantwortlichen festgelegt wurde. Der Verantwortliche wird den Auftragsverarbeiter über die Verarbeitungszwecke informieren, soweit diese nicht bereits in dieser Auftragsverarbeitungsvereinbarung genannt sind. 6. Der Auftragsverarbeiter hat die Kontrolle über die Mittel zur Verarbeitung und Speicherung der personenbezogenen Daten. Der Verantwortliche ist für die Festlegung des Verarbeitungszwecks verantwortlich und muss diesen klar dokumentieren. 7. Die Verarbeitung erfolgt sowohl manuell als auch (semi-)automatisch. 8. Die im Auftrag des Verantwortlichen zu verarbeitenden personenbezogenen Daten bleiben Eigentum des Verantwortlichen und/oder der jeweiligen betroffenen Personen.

Artikel 2 – Dauer des Vertrags

Dieser Vertrag tritt nach Genehmigung in Kraft und wird für die Dauer des Hauptvertrags geschlossen. 2. Eine vorzeitige Kündigung dieses Vertrags ist nicht möglich. 3. Änderungen dieses Vertrags aufgrund von Anpassungen des gegebenenfalls bestehenden zugrunde liegenden Auftragsvertrags, gesetzlicher Vorschriften oder anderer relevanter Umstände sind nur rechtswirksam, wenn sie nach Rücksprache und mit ausdrücklicher Zustimmung der Parteien in die Auftragsverarbeitungsvereinbarung aufgenommen werden. 4. Dieser Vertrag endet automatisch, wenn der Hauptvertrag endet. 5. Sobald der Vertrag aus welchem Grund und auf welche Weise auch immer beendet wird, wird der Auftragsverarbeiter – nach Wahl des Verantwortlichen – alle bei ihm vorhandenen personenbezogenen Daten in Original- oder Kopieform an den Verantwortlichen zurückgeben und/oder diese Originaldaten sowie etwaige Kopien innerhalb von maximal 28 Tagen löschen und/oder vernichten. Etwaige Kosten hierfür trägt der Verantwortliche. 6. Die Bestimmungen zu Geheimhaltung, Haftung und Streitbeilegung bleiben nach Beendigung dieses Vertrags unvermindert in Kraft.

Artikel 3 – Verpflichtungen des Verarbeiters

Der Auftragsverarbeiter ist verpflichtet, die Bedingungen einzuhalten, die nach geltendem Recht, insbesondere der DSGVO und dem Durchführungsrecht der DSGVO, an die Verarbeitung personenbezogener Daten gestellt werden. 2. Es ist dem Auftragsverarbeiter untersagt, seine eigenen Datenbanken und/oder Dateien mit personenbezogenen Daten aus den Datenbanken des Verantwortlichen zu ergänzen, es sei denn, der Auftragsverarbeiter muss temporäre Datenbanken und/oder Dateien erstellen, um eine ordnungsgemäße Verarbeitung der personenbezogenen Daten zu gewährleisten. Die temporären Dateien werden sofort gelöscht, sobald sie für die Verarbeitung nicht mehr benötigt werden. 3. Der Auftragsverarbeiter wird den Verantwortlichen auf dessen erstes Verlangen über die von ihm ergriffenen Maßnahmen im Hinblick auf seine Verpflichtungen aus dieser Auftragsverarbeitungsvereinbarung informieren. 4. Gibt der Verantwortliche Anweisungen zur Verarbeitung personenbezogener Daten an den Auftragsverarbeiter, ist dieser verpflichtet, diese Anweisungen zu befolgen, sofern dies für eine ordnungsgemäße Verarbeitung erforderlich ist, es sei denn, die Anweisungen verstoßen gegen geltendes Recht oder berufs- und verhaltensrechtliche Vorschriften. Nur der Verantwortliche ist befugt, darüber das ausschließliche Urteil zu fällen. 5. Alle Pflichten des Auftragsverarbeiters gelten auch für Personen, die unter der Leitung des Auftragsverarbeiters (nach ausdrücklicher Zustimmung des Verantwortlichen) personenbezogene Daten verarbeiten, einschließlich Mitarbeiter und beauftragter Dritter. 6. Der Auftragsverarbeiter ist dafür verantwortlich, dass nur Mitarbeiter und/oder Dritte Zugang zu den personenbezogenen Daten haben, für die der Zugang zur Erfüllung des Vertrags erforderlich ist. Die Mitarbeiter und/oder Dritten arbeiten unter Verantwortung des Auftragsverarbeiters. 7. Der Verantwortliche hat keinen beschränkten Zugang zu den personenbezogenen Daten beim Auftragsverarbeiter. Der Auftragsverarbeiter ist verpflichtet, auf Verlangen des Verantwortlichen die Mitwirkung bei der Einsichtnahme zu leisten. 8. Dieser Vertrag ist nicht übertragbar, sofern nicht ausdrücklich anders vereinbart.

Artikel 4 – Übermittlung von personenbezogenen Daten

1. Ohne schriftliche Zustimmung des Verantwortlichen wird der Verarbeiter keine personenbezogenen Daten, die von oder im Namen des Verarbeiters oder eines von ihm eingeschalteten Subunternehmers verarbeitet werden, im Zusammenhang mit der Ausführung des Vertrags in Länder oder an internationale Organisationen übermitteln oder von dort aus zugänglich machen (lassen), von denen die Europäische Kommission noch nicht entschieden hat, dass diese ein angemessenes Schutzniveau im Einklang mit den geltenden Datenschutzbestimmungen gewährleisten. Artikel 44 bis einschließlich 50 der DSGVO werden jederzeit eingehalten. Der Verarbeiter gewährt auf erste Anfrage des Verantwortlichen Einblick in die Standorte, an denen die Verarbeitung stattfindet.2. Der Verarbeiter wird sorgfältig mit den personenbezogenen Daten des Verantwortlichen umgehen.

Artikel 5 – Verantwortung des Verarbeiters

1. Der Verarbeiter wird für den Verantwortlichen im Rahmen dieses Vertrags die in Artikel 1.2 dieses Vertrags genannten Arbeiten sowie sonstige Arbeiten gemäß dem Hauptvertrag ausführen.2. Der Verarbeiter ist für die Verarbeitung der personenbezogenen Daten gemäß diesem Verarbeitungsvertrag gemäß den Anweisungen des Verantwortlichen verantwortlich. Für die übrigen Verarbeitungen von personenbezogenen Daten, einschließlich, aber nicht beschränkt auf die Erhebung der personenbezogenen Daten durch den Verantwortlichen, Verarbeitungen für Zwecke, die dem Verarbeiter nicht vom Verantwortlichen mitgeteilt wurden, Verarbeitungen durch Dritte und/oder für andere Zwecke, ist der Verarbeiter ebenfalls verantwortlich.

Artikel 6 – Dritte

Die Arbeiten des Verarbeiters dürfen nur nach ausdrücklicher vorheriger Zustimmung des Verantwortlichen an Dritte vergeben werden. Der Verarbeiter steht für diese/n Dritte/n ein und ist selbst verantwortlich und schadensersatzpflichtig für alle Schäden, die durch das Zutun Dritter beim Verantwortlichen entstanden sind. Alle Verpflichtungen aus diesem Vertrag gelten ebenfalls für diese/n Dritte/n, den (Subunternehmer).

Artikel 7 – Sicherheitsmaßnahmen Personenbezogene Daten

Der Auftragsverarbeiter bemüht sich, ausreichende und angemessene organisatorische und technische Maßnahmen gegen jede Form unrechtmäßiger Verarbeitung im Zusammenhang mit den von ihm durchzuführenden Verarbeitungen personenbezogener Daten zu ergreifen. 2. Das Sicherheitsniveau der Maßnahmen muss mindestens einem Niveau entsprechen, das im Verhältnis zu den damit verbundenen Kosten, der Sensibilität der betreffenden personenbezogenen Daten sowie dem Stand der Technik und den Risiken nicht unangemessen ist. Der Auftragsverarbeiter übernimmt keine Garantie dafür, dass die von ihm ergriffenen Sicherheitsmaßnahmen jederzeit und unter allen Umständen wirksam sind. In Abstimmung können die Parteien weitere ergänzende oder zusätzliche Sicherheitsmaßnahmen treffen. 3. Der Auftragsverarbeiter ist eigenverantwortlich dafür, sich selbst und/oder seine Mitarbeiter sowie beauftragte Dritte über alle Protokolle, die (Sicherheits-)Richtlinien und andere Anweisungen zu informieren, die eine sichere Verarbeitung ermöglichen und fördern. 4. Der Auftragsverarbeiter ist verantwortlich und haftbar für seinen Teil der Verarbeitung. 5. Im Falle einer Verletzung der Sicherheit personenbezogener Daten, die Schäden verursachen oder nachteilige Folgen für den Schutz der personenbezogenen Daten haben kann, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von 24 Stunden, nachdem er davon vernünftigerweise Kenntnis erlangen konnte, zu informieren. Der Verantwortliche wird anschließend die Datenschutzbehörde innerhalb von 48 Stunden und ggf. die betroffenen Personen so schnell wie möglich über die Verletzung informieren. 6. Im Rahmen der Meldepflicht des Auftragsverarbeiters muss die Meldung einer Verletzung mindestens folgende Komponenten enthalten: – Art der Verletzung im Zusammenhang mit personenbezogenen Daten, soweit möglich unter Angabe der Kategorien der betroffenen Personen und der betroffenen Daten sowie, ungefähr, der Anzahl der Betroffenen und der betroffenen Datenregister; – Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen Ansprechpartners, bei dem weitere Informationen eingeholt werden können; – die wahrscheinlichen Folgen der Verletzung im Zusammenhang mit personenbezogenen Daten; – die Maßnahmen, die der Auftragsverarbeiter vorgeschlagen oder ergriffen hat, um die Verletzung im Zusammenhang mit personenbezogenen Daten zu beheben, einschließlich gegebenenfalls Maßnahmen zur Begrenzung der möglichen nachteiligen Folgen. 7. Der Verantwortliche hat ein Verzeichnis aller Vorfälle gemäß Artikel 33 Absatz 5 DSGVO zu führen. 8. Hat eine Verletzung der Sicherheit personenbezogener Daten beim Auftragsverarbeiter stattgefunden, ist der Auftragsverarbeiter verpflichtet, auf eigene Kosten angemessene Maßnahmen zu ergreifen, um zukünftige Vorfälle und/oder Verstöße zu verhindern.

Artikel 8 – Geheimhaltung

Der Verarbeiter und seine Mitarbeiter sowie die vom Verarbeiter eingeschalteten Dritte sind zur Geheimhaltung aller durch diesen Vertrag erlangten personenbezogenen Daten, sensiblen Informationen und/oder Betriebsdaten verpflichtet. Die Geheimhaltungspflicht gilt nicht, wenn der Verantwortliche dem Verarbeiter die ausdrückliche und schriftliche Zustimmung erteilt hat, diese Daten und Informationen mit Dritten zu teilen, oder eine gesetzliche Verpflichtung besteht, die Daten und Informationen an einen Dritten weiterzugeben. Nach Ablauf dieses Vertrags bleiben die Parteien verpflichtet, diese Geheimhaltungspflicht einzuhalten.

Artikel 9 – Rechte der betroffenen Person

1. Wenn der Verarbeiter eine Anfrage auf Einsicht von einer betroffenen Person oder einer dazu befugten Stelle erhält, wird der Verarbeiter diese Anfrage so schnell wie möglich, jedoch spätestens innerhalb von 5 Werktagen bearbeiten. Wenn es nicht möglich ist, die Anfrage selbst zu bearbeiten, wird die Anfrage innerhalb von 5 Werktagen an den Verantwortlichen weitergeleitet. Der Verarbeiter muss, falls dazu aufgefordert, bei der Ausführung der Anfrage mitwirken. Die Kosten, die dem Verarbeiter für die Mitwirkung entstehen, gehen zu Lasten des Verantwortlichen.2. Das in Artikel 9.1 Bestimmte gilt entsprechend, wenn eine betroffene Person andere Rechte geltend machen möchte, wie z. B. ihr Recht auf Berichtigung, Datenlöschung, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Widerspruchsrecht und Rechte im Falle automatisierter Einzelentscheidungen, wie in den Abschnitten 3 und 4 der Datenschutz-Grundverordnung festgelegt.

Artikel 10 – Haftung

1. Der Verarbeiter ist für die Verarbeitung der personenbezogenen Daten verantwortlich und garantiert, dass die Verarbeitung rechtmäßig ist und keine Rechte der betroffenen Personen verletzt. Der Verarbeiter haftet nur für Schäden, die durch das Handeln und/oder Unterlassen oder die Nichteinhaltung von Gesetzen und Vorschriften durch den Verarbeiter entstehen.2. Der Verarbeiter haftet nur bis maximal zum einmaligen Wert des Auftrags. Alle Folgeschäden sind ausdrücklich von der Haftung des Verarbeiters ausgeschlossen.3. Unbeschadet des in diesem Artikel Bestimmten haftet der Verarbeiter für den Schaden, der durch die Verarbeitung verursacht wurde, wenn bei dieser Verarbeitung spezifisch an den Verarbeiter gerichtete Verpflichtungen der DSGVO nicht erfüllt wurden oder wenn entgegen den rechtmäßigen Anweisungen des Verantwortlichen gehandelt wurde.4. Der Verarbeiter haftet nicht für den Schaden, wenn er nachweisen kann, dass er in keiner Weise für das schadensverursachende Ereignis verantwortlich ist.

Artikel 11 – Freistellung

1. Der Verantwortliche stellt den Verarbeiter von Ansprüchen, Bußgeldern und/oder Zwangsgeldern der oder im Namen der Datenschutzbehörde und/oder anderer Behörden frei, bei denen festgestellt wurde, dass die Verstöße in die Verantwortung des Verantwortlichen fallen.2. Der Verarbeiter kann die verhängten Bußgelder und/oder Zwangsgelder auf den Verantwortlichen abwälzen, wenn und soweit der Verarbeiter für die Verstöße des Verantwortlichen verantwortlich gemacht werden kann.

Artikel 12 – Streitbeilegung

1. Auf diesen Vertrag findet niederländisches Recht Anwendung.2. Alle Streitigkeiten, die zwischen den Parteien entstehen und die sich aus oder im Zusammenhang mit diesem Verarbeitungsvertrag ergeben oder darauf Bezug nehmen, werden vom zuständigen Gericht des Sitzes des Verarbeiters entschieden.