Auftragsverarbeitungs-Vertrag nach DSGVO

Anlage zum Trusted Shops Mitgliedschaftsvertrag
Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag

zwischen dem im Mitgliedschaftsvertrag bezeichneten Mitglied (Verantwortlicher)

- nachstehend Auftraggeber genannt -

und der Trusted Shops GmbH, Subbelrather Str. 15C, 50823 Köln (Auftragsverarbeiter)

- nachstehend Auftragnehmer genannt -

- gemeinsam nachstehend die Parteien genannt -

Die Parteien haben einen Vertrag über die Trusted Shops Mitgliedschaft des Händlers (nachstehend Hauptvertrag genannt) geschlossen, in dessen Rahmen personenbezogene Daten durch den Auftragnehmer im Auftrag des Auftraggebers verarbeitet werden können (Auftragsverarbeitung). Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben. Sie findet Anwendung die im Folgenden abschließend genannten Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte perso­nenbezogene Daten (nachstehend Daten genannt) des Auftraggebers verarbeiten:

  • Grafische Darstellung des Trustbadge als Drittinhalt im Rahmen des vertragsgegenständlichen Onlineauftritts des Mitglieds (Logfiles);
  • Erhebung von E-Mail-Adressen und Versand von Bewertungserinnerungen per E-Mail, soweit diese nicht durch gesonderte vertragliche Vereinbarung zwischen Trusted Shops und dem Betroffenen (insbesondere Trusted Shops Mitgliedschaft für Käufer) begründet sind; dies betrifft insbesondere den Einsatz der optionalen Funktionen „Review Collector“ und „AutoCollection“ und API.
  • Erhebung von Kontaktdaten (ggf. Name, E-Mail-Adresse, Anschrift und Telefonnummer) bei Nutzung des Trusted Shops Rechtstexters und des Trusted Shops DSGVO-Managers

Die Appendizes zu dieser Anlage sind unter http://support.trustedshops.com/lp/de/legal_auftragsverarbeitung_anlagen/ abrufbar. Das Mitglied wird entsprechend der im Hauptvertrag in Abschnitt A8 beschriebenen Art und Weise über Änderungen der Appendizes -  einschließlich Änderungen hinsichtlich eingesetzter  Unterauftragnehmern  - und dieser Anlage informiert.

Definitionen
Für alle in dieser Vereinbarung genannten Begriffe, für die Art. 4 Datenschutz-Grundverordnung (nachstehend DSGVO) eine Begriffsbestimmung vorsieht, gilt diese gesetzliche Definition auch für diesen Vertrag.

A Gegenstand und Dauer des Auftrags

A1 Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag inklusive aller Anlagen und Ergänzungen.

A2 Die Daten, die Bestandteil der Datenverarbeitung sind sowie die Kategorien betroffener Personen werden in Appendix 1 zu dieser Vereinbarung festgelegt.

A3 Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den Bestimmungen dieser Anlage nicht darüber hinausgehende Verpflichtungen ergeben.

B Pflichten des Auftragnehmers

B1 Der Auftragnehmer und jede ihm unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen Daten von betroffenen Personen ausschließlich im Rahmen des Auftrages und der dokumentierten Weisungen des Auftraggebers verarbeiten, es sei denn es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor.

B1.1 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung in diesem Fall solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

B1.2 Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle übermittelt werden. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

B1.3 Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt. Die dadurch begründeten Kosten sind vom Auftraggeber zu tragen.

B2 Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.

B2.1 Der Auftragnehmer hat die Umsetzung seiner technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben.

B2.2 Die dokumentierten vereinbarten technischen und organisatorischen Maßnahmen sind als Appendix 2 beigefügt und Teil dieses Vertrags. Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

B2.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

B3 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.

B3.1 Ausgenommen hiervon ist der Fall, dass eine betroffene Person sich bezüglich ihrer Rechte unmittelbar an den Auftragnehmer wendet. In diesem Fall wird sich der Auftragnehmer an den Auftraggeber wenden, um zu klären, ob die Bedienungen der Betroffenenansprüche durch ihn oder den Auftraggeber selbst erfolgt. Nach Freigabe durch den Auftraggeber ist der Auftragnehmer berechtigt, alle zur Wahrung der Betroffenenrechte notwendigen Maßnahmen im Rahmen seiner Möglichkeiten zu ergreifen.

B3.2 Der Auftragnehmer wird den Auftraggeber bei Bearbeitung und Beantwortung von Ersuchen betroffener Personen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen unterstützen. Die hierdurch begründeten Kosten sind vom Auftraggeber zu tragen.

B3.3 Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

B4 Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis Art. 33 DSGVO. Er gewährleistet in diesem Zusammenhang insbesondere die Einhaltung folgender Vorgaben:

B4.1 Der Auftragnehmer teilt der Auftraggeberin die Kontaktdaten des betrieblichen Datenschutzbeauftragten mit, sofern ein solcher gemäß Art. 37 DSGVO zu bestellen ist. Der betriebliche Datenschutzbeauftragte übt seine Tätigkeit gemäß Art. 38 f. DSGVO aus. Ist der Auftragnehmer zur Bestellung eines Datenschutzbeauftragten nicht verpflichtet, nennt er dem Auftraggeber einen Ansprechpartner für Angelegenheiten im Zusammenhang mit der Verarbeitung personenbezogener Daten.

B4.2 Zur Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO setzt der Auftragnehmer bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten.

B4.3 Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen von Aufsichtsbehörden oder der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DSGVO, Art. 82 DSGVO sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten. Die dadurch begründeten Kosten sind vom Auftraggeber zu tragen, es sei denn der Auftragnehmer hat die Geltendmachung von Ansprüchen, Anfragen und das Entstehen von Meldepflichten zu vertreten. Die Kostentragungspflicht gilt zudem nicht für die Zurverfügungstellung von Informationen zur Erfüllung der Transparenzpflichten.

B4.4 Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich bei schwerwiegenden Störungen des Betriebsablaufes oder bei schwerwiegenden Verstößen des Auftragnehmers oder der bei ihm im Rahmen des Auftrags beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten des Auftraggebers oder die in diesem Vertrag getroffenen Festlegungen oder bei anderen Unregelmäßigkeiten in Bezug auf die Verarbeitung der Daten des Auftraggebers. Er trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen.

B4.5 Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

B4.6 Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen. Die hierdurch begründeten Kosten sind vom Auftraggeber zu tragen.

B4.7 Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

C Pflichten des Auftraggebers

C1 Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Recht-mäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO). Insbesondere ist der Auftraggeber für die wirksame Einholung aller erforderlichen Einwilligungen der Betroffenen im Rahmen der Durchführung des Auftrags verantwortlich.

C2 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

C3 Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

D Unterauftragnehmer

D1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, bei der der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt.

D1.1 Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt, es sei denn der Unterauftragnehmer kann hierbei Zugriff auf personenbezogene Daten erlangen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen, bei denen kein Zugriff auf personenbezogene Daten besteht, angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

D2 Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.

D2.1 Der Auftraggeber stimmt der Beauftragung der in Appendix 3 genannten Unterauftragnehmer unter der Bedingung, dass zwischen Auftragnehmer und Unterauftragnehmer eine vertragliche Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag getroffen wurde, welche diesem weiteren Auftragsverarbeiter im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art.28 Absatz 3 DSGVO festgelegt sind, zu.

D2.2 Die Auslagerung auf weitere oder ein Wechsel der bestehenden Unterauftragnehmer sind zulässig, soweit

  • der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber 30 Tage vorab schriftlich oder in Textform anzeigt,
  • der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
  • eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird. Abs. D2.1 gilt entsprechend.

D2.3 Erfolgt kein Einspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Sofern ein Einspruch erfolgt und eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird den Parteien bis zum Zeitpunkt der Übergabe der Daten an den Unterauftragnehmer ein Sonderkündigungsrecht hinsichtlich des gesamten Hauptvertrags eingeräumt.

D2.4 Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

D3 Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der Europäischen Union/ des Europäischen Wirtschaftsraumes, gelten zusätzlich die Anforderungen des Abschnitt E. Gleiches gilt, wenn Dienstleister im Sinne von Abs. D1.1 Satz 2 eingesetzt werden sollen.

E Ort der Verarbeitung

E1 Eine Datenerhebung, -verarbeitung oder –nutzung durch den Auftragnehmer findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

E2 In Einzelfällen kann der Auftragnehmer hiervon abweichen, wenn und soweit der Auftragnehmer hierzu die datenschutzrechtliche Zulässigkeit der Übermittlung an Drittländer durch entsprechende Maßnahmen nach Art. 44 ff. DSGVO sichergestellt hat. Abs. D2.1 und D2.2 gelten entsprechend.

F Kontrollrechte des Auftraggebers

F1 Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.

F2 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann nach Wahl des Auftragnehmers erfolgen durch

F2.1 Durchführung eines Selbstaudits;

F2.2 unternehmensinterne Verhaltensregeln einschließlich eines externen Nachweises über deren Einhaltung

F2.3 die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;

F2.4 die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;

F2.5 aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Revision, Datenschutzauditoren, Qualitätsauditoren);

F2.6 eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

F3 Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, weil die in Abs. F1 und F2 genannten Nachweise nicht ausreichend sind, werden Inspektionen zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.

G Löschung und Rückgabe personenbezogener Daten

G1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

G2 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder datenschutzgerecht zu vernichten, sofern nicht nach dem Unionsrecht oder dem anwendbaren Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

G3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

G4 Entstehen durch abweichende Vorgaben des Auftraggebers bei der Herausgabe oder Löschung der Daten Zusatzkosten, so sind diese durch den Auftraggeber zu tragen.

H Haftung und Schadensersatz

H1 Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen – auch, soweit dies eine Abweichung von im Hauptvertrag vereinbarten Haftungsregelungen darstellt - entsprechend der in Art. 82 DSGVO getroffenen Regelung.

I Informationspflichten, Schriftform und Rechtswahl

I1 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung liegen.

I2 Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

I3 Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Hauptvertrages vor.

***********************************************************************************************************

Zum Auftragsverarbeitungsvertrag gehören auch einige Anlagen, welche die einzelnen Kategorien verarbeiteter personenbezogener Daten, unsere TOM-s sowie unsere Subunternehmer genauer erläutern. Diese können hier gefunden werden. 

 


War der Artikel hilfreich?

0 von 0 fanden dies hilfreich