Auftragsdatenverarbeitungsvertrag
Auftragsdatenverarbeitungsvertrag Hooray B.V. herunterladen
Auftragsdatenverarbeitungsvertrag Hooray B.V.
Version: 1.5
Dieser Auftragsdatenverarbeitungsvertrag findet Anwendung auf alle Arten der Verarbeitung von personenbezogenen Daten durch die Hooray B.V., eingetragen beim Handelsregister der Kamer van Koophandel [niederländische Industrie- und Handelskammer] unter der Nummer 71997288 (im Folgenden: „die Auftragsverarbeiterin“) zugunsten der Vertragspartei, für die sie Dienstleistungen erbringt (im Folgenden: „die Verantwortliche“ aufgrund des zwischen den Parteien geschlossenen Vertrags (im Folgenden: „der zugrunde liegende Auftrag“.
1. Zwecke der Verarbeitung
- Die Auftragsverarbeiterin verpflichtet sich, unter den Bedingungen des vorliegenden Auftragsdatenverarbeitungsvertrags im Auftrag der Verantwortlichen personenbezogene Daten zu verarbeiten. Die Verarbeitung erfolgt ausschließlich im Rahmen der Buchführung und (finanziellen) Verwaltung der Verantwortlichen sowie zu den Zwecken, die vernünftigerweise damit zusammenhängen oder unter Einholung weiterer Zustimmung bestimmt werden.
- Die personenbezogenen Daten, die von der Auftragsverarbeiterin im Rahmen der im vorstehenden Absatz genannten Tätigkeiten verarbeiteten werden und die Kategorien der betroffenen Personen, von denen die Daten stammen, sind in Anhang 1 aufgeführt. Die Auftragsverarbeiterin wird die personenbezogenen Daten für keine anderen als die von der Verantwortlichen bestimmten Zwecke verarbeiten. Die Verantwortliche wird die Auftragsverarbeiterin über die Verarbeitungszwecke, sofern diese nicht in dem vorliegenden Auftragsdatenverarbeitungsvertrag genannt werden, informieren.
- Die im Auftrag der Verantwortlichen zu verarbeitenden personenbezogenen Daten bleiben Eigentum der Verantwortlichen und/oder der betroffenen Personen.
2. Verpflichtungen der Auftragsverarbeiterin
- In Bezug auf die in Artikel 1 genannte Verarbeitung wird die Auftragsverarbeiterin veranlassen, dass die geltenden Gesetze und Vorschriften, auf jeden Fall einschließlich der Gesetze und Vorschriften im Bereich des Schutzes personenbezogener Daten, wie der Datenschutz-Grundverordnung (DSGVO), eingehalten werden.
- Die Auftragsverarbeiterin wird die Verantwortliche auf erstes Verlangen über die von ihr getroffenen Maßnahmen in Bezug auf ihre Verpflichtungen aus diesem Auftragsdatenverarbeitungsvertrag informieren.
- Die Auftragsverarbeiterin wird dafür sorgen, dass ihre Mitarbeiter Zugang zu den personenbezogenen Daten haben. Die Auftragsverarbeiterin beschränkt den Zugang auf diejenigen Mitarbeiter, für die der Zugang für ihre Tätigkeiten notwendig ist, wobei der Zugang auf diejenigen personenbezogenen Daten beschränkt ist, die diese Mitarbeiter für ihre Tätigkeiten brauchen. Die Auftragsverarbeiterin gewährleistet außerdem, dass die Mitarbeiter, die Zugang zu den personenbezogenen Daten haben, eine richtige und vollständige Anweisung über den Umgang mit personenbezogenen Daten erhalten haben und dass ihnen die Verantwortlichkeiten und gesetzlichen Verpflichtungen bekannt sind.
- Die Auftragsverarbeiterin wird die Verantwortliche unverzüglich darüber informieren, wenn sie der Ansicht ist, dass eine Anweisung der Verantwortlichen gegen die in Absatz 1 genannten Rechtsvorschriften verstößt.
- Die Auftragsverarbeiterin wird, im Rahmen ihrer Möglichkeiten, der Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen ihre Mitwirkung leisten.
- Die Auftragsverarbeiterin wird gemäß Artikel 30 DSGVO ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten führen, die sie im Rahmen dieses Auftragsdatenverarbeitungsvertrags für die Verantwortliche vornimmt.
3. Übermittlung personenbezogener Daten
- Die Auftragsverarbeiterin wird ohne schriftliche Anweisung der Verantwortlichen niemals personenbezogene Daten an Länder außerhalb der Europäischen Union oder an eine internationale Organisation übermitteln, es sei denn, das europäische oder niederländische Recht verpflichtet die Auftragsverarbeiterin dazu. In dem Fall wird die Auftragsverarbeiterin die Verantwortliche vor der Übermittlung darüber informieren, sofern die betreffenden Gesetze oder Vorschriften eine solche Mitteilung nicht verbieten.
4. Aufteilung der Verantwortlichkeit
- Die Auftragsverarbeiterin stellt für die Verarbeitung IKT-Mittel zur Verfügung, welche die Verantwortliche zu den oben genannten Zwecken zu benutzen hat. Die Auftragsverarbeiterin selbst führt nur auf der Grundlage gesonderter Vereinbarungen Verarbeitungen durch.
- Die Auftragsverarbeiterin ist nur im Rahmen dieses Auftragsdatenverarbeitungsvertrags für die Verarbeitung personenbezogener Daten gemäß den Anweisungen der Verantwortlichen und unter der ausdrücklichen (End-)Verantwortlichkeit der Verantwortlichen, verantwortlich. Für die sonstigen Verarbeitungen personenbezogener Daten, darunter in jedem Fall, aber nicht ausschließlich, die Erhebung personenbezogener Daten durch die Verantwortliche, die Verarbeitungen zu Zwecken, die die Verantwortliche der Auftragsverarbeiterin nicht mitgeteilt hat, die Verarbeitung durch Dritte und/oder zu anderen Zwecken, ist die Auftragsverarbeiterin ausdrücklich nicht verantwortlich.
- Die Verantwortliche garantiert, dass der Inhalt, die Verwendung und die Beauftragung zu den Verarbeitungen personenbezogener Daten im Sinne dieses
Auftragsdatenverarbeitungsvertrags nicht rechtswidrig sind und keine Rechte Dritter verletzen.
5. Beauftragung Dritter
- Die Auftragsverarbeiterin ist berechtigt, andere Auftragsverarbeiter (Unterauftragsverarbeiter) mit der Durchführung bestimmter Tätigkeiten zu beauftragen, die sich aus dem zugrunde liegenden Auftrag ergeben, z. B. wenn diese Unterauftragsverarbeiter über Fachkenntnisse oder Ressourcen verfügen, über die die Auftragsverarbeiterin nicht verfügt, oder die für die Durchführung des zugrunde liegenden Auftrags erforderlich sind. Hat die Einschaltung von Unterauftragsverarbeiter zur Folge, dass sie personenbezogene Daten verarbeiten werden, wird die Auftragsverarbeiterin diesen Unterauftragsverarbeitern (schriftlich) die Verpflichtungen aus dem vorliegenden Auftragsdatenverarbeitungsvertrag auferlegen. Auf erstes Anfordern der Verantwortlichen wird die Auftragsverarbeiterin die Verantwortliche über beabsichtigte Änderungen hinsichtlich der Hinzufügung oder des Wechsels von Unterauftragsverarbeitern informieren. Die Verantwortliche kann sich aus angemessenen Gründen gegen solche Änderungen beschweren. Dies könnte in einigen Fällen zur Folge haben, dass die Auftragsverarbeiterin den zugrunde liegenden Auftrag einstellen muss. Ob
ein Auftrag aus diesem Grund beendet werden muss, ist ausschließlich die Entscheidung der Auftragsverarbeiterin. - Die Auftragsverarbeiterin gewährleistet eine korrekte Einhaltung der Verpflichtungen aus diesem Auftragsdatenverarbeitungsvertrag durch diese Dritten und haftet im Falle von Fehlern dieser Dritten selbst für alle Schäden, als ob sie den/die Fehler selbst begangen hätte.
6. Sicherheit
- Die Auftragsverarbeiterin wird sich bemühen, in Bezug auf die durchzuführende Verarbeitung personenbezogener Daten ausreichende technische und organisatorische Maßnahmen gegen Verlust oder gegen jede Form der unrechtmäßigen Verarbeitung (z. B. unbefugten Zugriff, Beeinträchtigung, Änderung oder Weitergabe der personenbezogenen Daten) zu treffen.
- Die Auftragsverarbeiterin gewährleistet nicht, dass ihr Schutz unter allen Umständen wirksam ist. Wenn im vorliegenden Auftragsdatenverarbeitungsvertrag eine deutliche Beschreibung der Sicherheitsmaßnahmen fehlt, wird sich die Auftragsverarbeiterin bemühen, dass die Sicherheit einem Niveau entsprechen wird, das nach dem Stand der Technik, der Sensibilität der personenbezogenen Daten und den mit den Sicherheitsmaßnahmen verbundenen Kosten nicht unangemessen ist.
- Die Verantwortliche stellt der Auftragsverarbeiterin personenbezogene Daten nur dann zur Verarbeitung zur Verfügung, wenn sie sich davon überzeugt hat, dass die erforderlichen Sicherheitsmaßnahmen getroffen wurden. Die Auftragsverarbeiterin ist für die Einhaltung der von den Vertragsparteien vereinbarten Maßnahmen verantwortlich.
7. Informationspflicht
- Im Falle eines Datenlecks (d.h. eine Schutzverletzung, die versehentlich oder unrechtmäßig zur Zerstörung, zum Verlust, zur Veränderung oder zur unbefugten Weitergabe von bzw. zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt – oder bei der nach vernünftigem Ermessen nicht ausgeschlossen werden kann, dass sie dazu führen könnte), wird die Auftragsverarbeiterin die Verantwortliche darüber informieren.
- Die Auftragsverarbeiterin benachrichtigt die Verantwortliche wie oben beschrieben spätestens innerhalb von 48 Stunden, nachdem die Auftragsverarbeiterin dieses Datenleck entdeckt hat oder nachdem sie von den Unterauftragsverarbeitern darüber informiert wurde. Die Auftragsverarbeiterin erteilt der Verantwortlichen dabei die Informationen, die Sie vernünftigerweise braucht, um – falls notwendig – eine richtige und vollständige Meldung bei der Autoriteit Persoonsgegevens und gegebenenfalls bei der (den) betroffenen Person(en) im Rahmen der Meldungspflicht von Datenlecks zu machen. Die Verantwortliche wird auch stets über die Maßnahmen informiert, welche die Auftragsverarbeiterin bzw. der Unterauftragsverarbeiter anlässlich des Datenlecks ergriffen hat.
- Die Meldung von Datenlecks an die Autoriteit Persoonsgegevens und (eventuell) an die betroffene(n) Person(en) liegt immer in der Verantwortung der Verantwortlichen, ebenso wie das Führen eines Registers über Datenlecks.
8. Geheimhaltungspflicht
- Die Auftragsverarbeiterin wird in Bezug auf die erteilten personenbezogenen Daten Geheimhaltung wahren, sofern dies aufgrund gesetzlicher Verpflichtungen möglich ist oder sofern die Verantwortliche ihre ausdrückliche Zustimmung erteilt hat, die Daten an Dritte weiterzugeben, oder wenn die Erteilung der Daten an Dritte im Hinblick auf die Art des erteilten Auftrags und die Durchführung dieses Auftragsdatenverarbeitungsvertrags logischerweise erforderlich ist.
- Ist die Auftragsverarbeiterin aufgrund einer gesetzlichen Verpflichtung zur Weitergabe personenbezogener Daten verpflichtet, wird sie die Grundlage des Ersuchens und die Identität des Anfragenden überprüfen und wird sie die Verantwortliche sofort vor der Weitergabe darüber informieren. Sofern dies nicht gegen gesetzliche Bestimmungen verstößt.
- Die Auftragsverarbeiterin gewährleistet, dass auch ihre Mitarbeiter und Unterauftragsverarbeiter diese Geheimhaltungspflicht wahren, indem sie eine Geheimhaltungspflicht in die (Arbeits-)Verträge aufnimmt.
- Diese Bestimmung gilt auch dann noch, wenn dieser Auftragsdatenverarbeitungsvertrag, aus welchem Grund auch immer, bereits beendet ist.
9. Behandlung von Ersuchen der betroffenen Personen
- Wenn eine betroffene Person an die Auftragsverarbeiterin ein Ersuchen richtet, um ihre gesetzlichen Rechte ausüben zu dürfen (Artikel 15 – 22 DSGVO), leitet die Auftragsverarbeiterin das Ersuchen an die Verantwortliche weiter, die das Ersuchen weiter bearbeitet. Die Auftragsverarbeiterin darf die betroffene Person darüber informieren.
10. Audit
- Die Verantwortliche ist berechtigt, einmal im Jahr durch einen unabhängigen und zur Geheimhaltung verpflichteten Dritten ein Audit durchführen zu lassen, um die Einhaltung aller Punkte des Auftragsdatenverarbeitungsvertrags und alles, was damit in direktem Zusammenhang steht, zu überprüfen.
- Nur wenn ein konkreter Verdacht auf Missbrauch besteht, ist die Verantwortliche berechtigt, ein Audit öfter als einmal im Jahr durchführen zu lassen.
- Die Auftragsverarbeiterin wird am Audit mitwirken und alle für das Audit vernünftigerweise relevanten Daten, einschließlich zugrundeliegender Daten wie Systemprotokolle, und Mitarbeiter möglichst rechtzeitig zur Verfügung stellen.
- Die Ergebnisse des durchgeführten Audits werden von den Parteien einvernehmlich beurteilt und demzufolge von einer oder beiden Parteien gemeinsam umgesetzt.
- Die Kosten des Audits gehen zu Lasten der Verantwortlichen.
11. Haftung
- Die Parteien vereinbaren ausdrücklich, dass in Bezug auf die Haftung die Bestimmungen des zugrundeliegenden Auftrags mit den dazugehörigen Allgemeinen Geschäftsbedingungen der Hooray B.V. gelten.
12. Dauer und Beendigung
- Dieser Auftragsdatenverarbeitungsvertrag kommt mit der Annahme durch die Verantwortliche mittels einer gesonderten, ausdrücklichen Einverständniserklärung bei
Abschluss des zugrunde liegenden Auftrags zustande. Dieser Auftragsdatenverarbeitungsvertrag tritt am selben Tag in Kraft wie der zugrunde liegende Auftrag. Die Auftragsbearbeiterin stellt der Verantwortlichen eine Abschrift des vereinbarten Auftragsdatenverarbeitungsvertrags elektronisch zur Verfügung. - Dieser Auftragsdatenverarbeitungsvertrag wird für die in dem zugrunde liegenden Auftrag zwischen den Parteien festgelegte Dauer geschlossen und, in Ermangelung dessen, in jedem Fall für die Dauer der Zusammenarbeit.
- Nach Beendigung oder Ablauf dieses Auftragsdatenverarbeitungsvertrags wird die Auftragsverarbeiterin alle personenbezogenen Daten innerhalb einer Frist von 90 Tagen löschen, es sei denn, die Parteien haben vor Ablauf dieses Auftragsdatenverarbeitungsvertrags eine entgeltliche Einsichtslizenz für die Dauer der gesetzlich geltenden Aufbewahrungsfristen vereinbart, nach denen die Auftragsverarbeiterin die personenbezogenen Daten dennoch löschen wird. Im Falle einer befristeten
Einsichtslizenz gilt dieser Auftragsdatenverarbeitungsvertrag für die Dauer der Einsichtslizenz weiter. - Die Verantwortliche bleibt jederzeit – sowohl während der Laufzeit dieses Auftragsdatenverarbeitungsvertrags als auch während einer anschließenden Einsichtslizenz im
Sinne des vorstehenden Absatzes – für die Überwachung der gesetzlichen Aufbewahrungsfristen sowie für die Überwachung der Löschung der betreffenden personenbezogenen Daten verantwortlich. Die Verantwortliche stellt die Auftragsverarbeiterin gegen alle Kosten und Schäden im Zusammenhang mit Nichterfüllung
gemäß diesem Artikel 12.4 frei. - Die Kosten für das Erheben und Übertragen von personenbezogenen Daten bei Beendigung des zugrunde liegenden Auftrags gehen zu Lasten der Verantwortlichen. Das Gleiche gilt für die Kosten für das Vernichten der personenbezogenen Daten. Auf Verlangen der Verantwortlichen wird die Auftragsverarbeiterin hierfür vorab einen Kostenvoranschlag erstellen.
- Die Auftragsverarbeiterin ist berechtigt, diesen Auftragsdatenverarbeitungsvertrag von Zeit zu Zeit zu ändern. Sie wird der Verantwortlichen diese Änderungen mindestens drei Monate im Voraus ankündigen. Die Verantwortliche kann zum Ablauf dieser drei Monate kündigen, wenn sie mit den Änderungen nicht einverstanden ist.
13. Datenübertragbarkeit
- Es ist den Parteien nicht erlaubt, diesen Auftragsdatenverarbeitungsvertrag und die Rechte und Pflichten im Zusammenhang mit diesem Vertrag an einen anderen zu übertragen, sofern dies nicht schriftlich vereinbart wurde.
14. Ergänzungen und Änderungen
- Ergänzungen und Änderungen dieses Auftragsdatenverarbeitungsvertrags bedürfen der Schriftform. Unter „Schriftform“ wird auch verstanden Änderungen, die per E-Mail kommuniziert werden, gefolgt von einer Zustimmung der anderen Partei per E-Mail.
- Eine Änderung der verarbeiteten personenbezogenen Daten oder der Zuverlässigkeitsanforderungen, der Datenschutzbestimmungen oder der Anforderungen der
Verantwortlichen kann Anlass für eine Ergänzung oder Änderung dieses Auftragsdatenverarbeitungsvertrags sein. Führt dies zu wesentlichen Änderungen des zugrunde liegenden Auftrags oder kann die Auftragsverarbeiterin kein angemessenes Schutzniveau gewährleisten, kann dies ein Grund für die Auftragsverarbeiterin sein, den
zugrunde liegenden Auftrag zu beenden. - Die Verantwortliche wird in vollem Umfang daran mitzuwirken, diesen Auftragsdatenverarbeitungsvertrag anzupassen und ihn für neue Datenschutzvorschriften, wie z. B. das Datenschutzausführungsgesetz, geeignet zu machen.
15. Schlussbestimmungen
- Auf diesen Auftragsdatenverarbeitungsvertrag findet niederländisches Recht Anwendung; das niederländische Gericht ist zuständig, über alle Streitigkeiten, die sich aus diesem Auftragsdatenverarbeitungsvertrag ergeben oder damit zusammenhängen, zu entscheiden.
Anlage A. Übersicht über die Verarbeitungen
In diesem Anhang werden die Verarbeitungen, die die Auftragsverarbeiterin im Auftrag der Verantwortlichen durchführt, näher beschrieben.
Die Auftragsverarbeiterin verarbeitet für die Verantwortliche Daten von Mitarbeitern der Verantwortlichen, zu dem Zweck, die Personalverwaltung der Verantwortlichen verwalten und automatisieren zu können. Die Auftragsverarbeiterin bietet der Verantwortlichen die Möglichkeit, Daten im Zusammenhang mit der Personalverwaltung zu speichern, zu verwalten, herunterzuladen und Berichte einzusehen. Dabei handelt es sich um die folgenden Daten der betroffenen Person:
- Adressdaten
- Telefonnummer
- E-Mail-Adresse
- BSN [kombinierte Sozialversicherungs- und Steuernummer in den Niederlanden]
- Funktion
- Geburtsdaten
- Geschlecht
- Nationalität
- Familienstand
- Finanzielle Daten
- IP-Adressen
Von den Kategorien betroffener Personen:
- Mitarbeiter
- Ansprechpartner für Notfälle
Die Verantwortliche gewährleistet, dass die in diesem Anhang 1 beschriebenen personenbezogenen Daten und Kategorien betroffener Personen vollständig und richtig sind, und stellt die Auftragsverarbeiterin von allen Mängeln und Ansprüchen frei, die sich aus einer falschen Darstellung durch die Verantwortliche ergeben.
Anlage B. Übersicht über die Unterauftragsverarbeiter und Kategorien von Unterauftragsverarbeitern
Nicht alle Unterauftragsverarbeiter kommen mit derselben Menge und den gleichen personenbezogenen Daten in Kontakt. Je nach Umgebung wird die Datenminimierung möglichst weit durchgeführt.
Eingesetzte Unterauftragsverarbeiter:
- Pipedrive – CRM (www.pipedrive.com)
- MoneyBird – Buchhaltung (www.moneybird.nl)
- Stripe – payment service provider (www.stripe.com)
- GitLab – Entwicklungsumgebung (www.gitlab.com)
- Intercom – Support (www.intercom.com)
- Zapier – Schnittstelle zwischen den beschriebenen Tools (zapier.com)
- Calendly – Planningstool (www.calendly.com)
- Slack – interne Kommunikation (www.slack.com)
- Google – Google Calender, Google Drive, Google Mail, Google Analytics (www.google. com)
- Werben auf Facebook (www.facebook.com), LinkedIn (www.linkedin.com), Bing/ Microsoft
(www.bing.com), Google Adwords (www.google.com) - Oxillion – Hosting (www.oxillion.nl)
- Rootnet – Hosting (www.rootnet.nl)
- Amazon AWS (aws.amazon.com)
- ChartMogul (www.chartmogul.com)
- Sign von CM.com – digitale Unterzeichnung (www.cm.com/sign/)
- Airfocus – Produktmanagement (www.airfocus.com)
- Navattic – Tool für interaktive Demos (www.navattic.com)
Kategorien von Unterauftragsverarbeitern, die Hooray B.V. in Zukunft gemäß Artikel 5 einsetzen kann:
Hosting Providers & Cloud Platforms