Vereinbarung zur Auftragsverarbeitung

Präambel Diese Vereinbarung regelt die Rechte und Pflichten der Parteien in Bezug auf die Verarbeitung personenbezogener Daten durch scribos im Auftrag des Kunden gemäß dem Auftrag des Kudnen sowie den dazugehörigen Allgemeinen Geschäftsbedingungen für tesa® 360 (zusammen „tesa 360 Vertrag“).



§ 1 Gegenstand, Art, Umfang und Zweck des Auftrages

1.1.        Gegenstand, Art, Umfang und Zweck der Datenverarbeitung sind im tesa 360 Vertrag festgelegt.

1.2.        Jede Übermittlung personenbezogener Daten im Rahmen des tesa 360 Vertrages an ein Drittland ist an die Einhaltung der besonderen Anforderungen der Artikel 44 bis 49 DSGVO gebunden. In jedem Fall, in dem die Parteien die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter mit Sitz in Drittländern gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates (ABl. L 39 vom 22.12.2010, S. 5 ff.) oder einer anderen Fassung, die diese Fassung ersetzt (nachfolgend: Standardvertragsklauseln), verwenden, gehen die Bestimmungen der Standardvertragsklauseln im Falle von Widersprüchen denjenigen dieser Vereinbarung über Auftragsverarbeitung vor.

Mehr lesen

§ 2 Laufzeit der Beauftragung

2.1.        Die Laufzeit der Beauftragung richtet sich nach der Laufzeit des tesa 360 Vertrages und endet mit der Löschung aller Daten.

2.2.        Der Kunde kann diese Vereinbarung über Auftragsverarbeitung jederzeit fristlos kündigen, wenn ein wichtiger Grund vorliegt, insbesondere wenn scribos gegen wesentliche Verpflichtungen aus dieser Vereinbarung über Auftragsverarbeitung verstößt oder wenn scribos einen schweren Verstoß gegen anwendbares Datenschutzrecht begeht. Der Kunde erkennt an, dass scribos möglicherweise nicht in der Lage ist, die Pflichten aus dem tesa 360 Vertrag zu erfüllen, wenn der Kunde den Verarbeitungsvertrag kündigt.

Mehr lesen

§ 3 Art der zu verarbeitenden Daten

3.1.        Die scribos zur Verfügung gestellten oder zugänglich gemachten Daten umfassen personenbezogene Daten im Sinne der DSGVO. Insbesondere werden die folgenden Datenkategorien verarbeitet:

  • IP-Adresse
  • Standort bei IP-Abfrage: Stadt, Provider, Längen- und Breitengrad
  • Login-Information inklusive der E-Mail-Adresse
  • Kontaktdaten aus dem Kundenfeedbackformular
  • Kontaktdaten der Lieferanten
  • von Mitarbeitern der Lieferanten angefertigte Fotografien (ggf.)

 

Mehr lesen

§ 4 Betroffene Personen

4.1.        Die von der Datenverarbeitung im Rahmen dieser Auftragsverarbeitung durch scribos betroffenen Personengruppen beinhalten:

  • Mitarbeiter
  • Kunden
  • Zulieferer (ggf.)
  • Lizenznehmer (ggf.)
Mehr lesen

§ 5 Pflichten von scribos

5.1.        scribos verpflichtet sich gegenüber dem Kunden, anwendbares Datenschutzrecht und die Bestimmungen dieser Vereinbarung über Auftragsverarbeitung mit größter Sorgfalt einzuhalten.

5.2.        scribos trifft geeignete technische und organisatorische Maßnahmen im Sinne von Artikel 24 DSGVO, um anwendbares Datenschutzrecht einzuhalten, insbesondere um die Sicherheit der Verarbeitung gemäß Artikel 32 DSGVO zu gewährleisten.

5.3.        scribos überwacht und dokumentiert die Erfüllung seiner Verpflichtungen aus den vertraglichen Bestimmungen und dem Datenschutzrecht und stellt dem Kunden auf Anfrage die erforderlichen Informationen und geeigneten Nachweise zur Verfügung. Dies beinhaltet auch die Überwachung der Durchführung der Datenverarbeitung im Rahmen des Auftrags und die getroffenen technischen und organisatorischen Maßnahmen.

5.4.        scribos stellt sicher, dass die Vertraulichkeit der Daten gewahrt bleibt. Zu diesem Zweck wird scribos alle seine Mitarbeiter, die im Rahmen der Auftragsverarbeitung Zugang zu personenbezogenen Daten des Kunden haben, mit anwendbarem Datenschutzrecht vertraut machen und sie schriftlich verpflichten, diese personenbezogenen Daten nicht unbefugt zu verarbeiten. Auf Verlangen des Kunden wird scribos dem Kunden diese Erklärungen vorlegen.

5.5.        scribos verwendet die ihm zur Verfügung gestellten Daten ausschließlich auf der Grundlage des tesa 360 Vertrages und gemäß dieser Vereinbarung über Auftragsverarbeitung. Jede darüberhinausgehende Verarbeitung oder Nutzung der Daten für einen anderen Zweck als jenen des tesa 360 Vertrages (z.B. für eigene Zwecke scribos oder für die Zwecke von Dritten) sowie die Übermittlung der Daten an Dritte ist, sofern nicht schriftlich etwas anderes vereinbart ist, ausdrücklich ausgeschlossen, es sei denn, die Daten wurden vor einer solchen Verarbeitung anonymisiert.

5.6.        Darüber hinaus darf scribos die ihm überlassenen Daten nicht auf Datenträger kopieren oder anderweitige Kopien anfertigen oder sie Dritten zugänglich machen, es sei denn, der Kunde hat ausdrücklich schriftlich zugestimmt, soweit dies nicht für Sicherungszwecke erforderlich ist.

5.7.        Fordern Aufsichtsbehörden Informationen vom Kunden oder ergreifen sie Maßnahmen ihm gegenüber, so wird scribos auf Verlangen des Kunden diesen unterstützen, soweit dies zur Beilegung der Angelegenheit erforderlich ist.

5.8.        Auch wird scribos den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Verpflichtungen in angemessener Weise unterstützen, soweit es sich bei der Datenverarbeitung nach dem tesa 360 Vertrag um Auftragsverarbeitung handelt und dem Kunden insbesondere alle erforderlichen Informationen zur Verfügung stellen.

Mehr lesen

§ 6 Sicherheit der Verarbeitung

6.1.        scribos schützt die zur Verfügung gestellten Daten durch geeignete technische und organisatorische Maßnahmen im Sinne des Artikels 32 DSGVO vor unbefugter Weitergabe und Manipulation. Daten und Systeme sind unter anderem vor unbefugter oder unbeabsichtigter Zerstörung, unbeabsichtigter Löschung, technischen Defekten, Verfälschung, Diebstahl, illegaler Nutzung, unbefugtem Zugriff sowie vor unbefugter Änderung und unbefugtem Kopieren, Löschen, Weiterleiten, Zugriff und jeder anderen Art von unbefugter Verarbeitung zu schützen. Außerdem muss scribos sicherstellen, dass geeignete Maßnahmen ergriffen werden, um die Verfügbarkeit personenbezogener Daten und den Zugang dazu im Falle technischer Störungen umgehend wiederherzustellen und muss eine Überprüfung der Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen ermöglichen.

6.2.        scribos stellt sicher, dass die zur Verarbeitung zur Verfügung gestellten Daten strikt von allen anderen Datensätzen getrennt werden. Datenträger, die der Kunde scribos zur Verfügung stellt, sind entsprechend zu kennzeichnen. Der Empfang sowie die Rückgabe solcher Datenträger sind zu dokumentieren.

6.3.        scribos erstellt ein Sicherheitskonzept mit den getroffenen Maßnahmen und übermittelt dies dem Kunden vor Beginn der Datenverarbeitung. Das Sicherheitskonzept mit den getroffenen Maßnahmen wird unter folgendem Link bereitgestellt: Sicherheitskonzept

6.4.        Die von scribos zu ergreifenden technischen und organisatorischen Maßnahmen unterliegen einer ständigen Aktualisierung und Anpassung an den technischen und organisatorischen Stand der Technik. Über wesentliche Änderungen der technischen und organisatorischen Maßnahmen ist der Kunde zu informieren.

Mehr lesen

§ 7 Anfragen von betroffenen Personen

7.1.        scribos kann Daten, die im Rahmen des Auftrags verarbeitet werden, nur auf Anweisung des Kunden berichtigen, löschen, sperren oder übermitteln.

7.2.        Wendet sich eine betroffene Person unmittelbar an scribos, um ihre Rechte, insbesondere die in den Artikeln 12 bis 23 DSGVO genannten, in Bezug auf die Auftragsverarbeitung geltend zu machen, wird scribos diese Anfragen unverzüglich an den Kunden weiterleiten. Scribos darf Informationen nur nach vorheriger schriftlicher Zustimmung des Kunden an Dritte oder die betroffenen Person weitergeben, es sei denn, scribos ist gesetzlich dazu verpflichtet.

7.3.        Wendet sich eine betroffene Person an den Kunden, so wird scribos den Kunden angemessen unterstützen, um die Anfrage der betroffenen Person zu beantworten. Zu diesem Zweck hat scribos geeignete technische und organisatorische Maßnahmen zu treffen.

Mehr lesen

§ 8 Unterauftragsvergabe

8.1.        scribos ist berechtigt, Dritte mit der Verarbeitung personenbezogener Daten zu beauftragen. Derzeit setzt scribos die noris network AG, Thomas-Mann-Straße 16-20, 90471 Nürnberg, Deutschland und Amazon Web Services, Inc., 410 Terry Avenue North Seattle WA 98109, United States als Subunternehmen ein. scribos wird den Kunden über Änderungen an den Subunternehmern per E-Mail informieren.

8.2.        scribos wird den Kunden über jede Änderung im Zusammenhang mit der Aufnahme neuer oder der Ersetzung bestehender Subunternehmer informieren. Der Kunde hat das Recht, diesen Änderungen zu widersprechen. Ein Widerspruch kann vom Kunden nur aus wichtigen Gründen erhoben werden, die scribos gegenüber nachzuweisen sind. Widerspricht der Kunde, ist scribos berechtigt, den tesa 360 Vertrag und diese Vereinbarung über Auftragsverarbeitung mit einer Frist von einem Monat ab Zugang des Widerspruchs zu kündigen.

8.3.        Der Vertrag zwischen scribos und dem Subunternehmer muss letzterem im Wesentlichen dieselben Verpflichtungen auferlegen, die scribos im Rahmen dieser Vereinbarung über Auftragsverarbeitung obliegen. Die Parteien vereinbaren, dass diese Anforderung erfüllt ist, wenn der Vertrag ein dieser Vereinbarung über Auftragsverarbeitung entsprechendes Schutzniveau aufweist oder wenn der Subunternehmer die Anforderungen des Artikel 28 Absatz 3 DSGVO erfüllt.

8.4.        Dienstleistungen, die scribos von Dritten als Nebenleistung zur Unterstützung der Durchführung der Verarbeitung in Anspruch nimmt, sind keine Subunternehmerdienstleistungen im Sinne der vorstehenden Bestimmungen. Dazu gehören z.B. Telekommunikationsdienstleistungen, Reinigungsdienste, Prüfdienste oder unter gewissen Umständen auch Wartungsdienste. Um den Schutz und die Sicherheit der Daten des Kunden und auch die Vertraulichkeit zu gewährleisten, verpflichtet sich scribos, rechtmäßige und angemessene vertragliche Vereinbarungen mit extern beauftragten Nebendienstleistern zu treffen und Kontrollmaßnahmen zu ergreifen.

Mehr lesen

§ 9 Überprüfungsrechte des Kunden

9.1.        Der Kunde ist berechtigt, im erforderlichen Umfang zu überprüfen, ob die vertraglichen Bestimmungen sowie anwendbares Datenschutzrecht, insbesondere auch die von scribos gemäß dieser Vereinbarung über Auftragsverarbeitung getroffenen technischen und organisatorischen Maßnahmen eingehalten werden. Sollten die von scribos im Rahmen dieser Prüfung bereitgestellten Informationen Anlass zur Sorge geben, scribos käme einer wesentlichen vertraglichen oder datenschutzrechtlichen Verpflichtung nicht nach, umfassen die Überprüfungsrechte auch das Recht, sich durch Vorort-Überprüfungen jederzeit davon zu überzeugen, dass die Daten datenschutzrechtlich und vertraglich ordnungsgemäß verarbeitet werden und dass die technischen und organisatorischen Maßnahmen umgesetzt und eingehalten werden. Der Kunde ist berechtigt, diese Überprüfungen in Absprache mit scribos selbst durchzuführen oder im Einzelfall von Dritten durchführen zu lassen, die zur Vertraulichkeit verpflichtet sind.

9.2.        scribos wird den Kunden bei der Durchführung solcher Überprüfungen angemessen unterstützen, insbesondere durch die Gewährung von Zugang zu den Räumlichkeiten, in denen die entsprechende Auftragsverarbeitung stattfindet sowie zu den entsprechenden Systemen und Dokumenten. Der Kunde hat dafür mindestens zwei Wochen im Voraus eine schriftliche Anfrage zu stellen.

Mehr lesen

§ 10 Benachrichtigungen durch scribos

10.1.        scribos wird den Kunden unverzüglich über alle Anfragen der Aufsichtsbehörden, insbesondere über angekündigte Datenschutzkontrollen, informieren, wenn es sich um eine Datenverarbeitung im Rahmen dieser Vereinbarung über Auftragsverarbeitung handelt.

10.2.        scribos wird den Kunden unverzüglich informieren, wenn schwerwiegende Störungen der Verarbeitung aufgetreten sind, wenn der Verdacht von Datenschutzverstößen besteht, wenn gegen die Bestimmungen dieser Vereinbarung über Auftragsverarbeitung verstoßen wurde oder wenn sonstige Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten aufgetreten sind. Dies betrifft insbesondere den Verlust der von scribos verarbeiteten personenbezogenen Daten, den unbefugten oder unbeabsichtigten Zugriff Dritter und/oder die unbefugte Weitergabe personenbezogener Daten. Die Informationspflicht entsteht bereits dann, wenn die Befürchtung besteht, dass mit einer gewissen Wahrscheinlichkeit mögliche Störungen, Verstöße oder Unregelmäßigkeiten stattgefunden haben könnten.

10.3.        scribos wird in Absprache mit dem Kunden unverzüglich geeignete Maßnahmen ergreifen, um die Daten zu schützen und mögliche negative Folgen für die betroffenen Personen zu reduzieren. Wenn der Kunde Verpflichtungen nach Artikel 33 und/oder Artikel 34 DSGVO unterliegt, so muss scribos ihn entsprechend unterstützen.

Mehr lesen

§ 11 Weisungsbefugnis

11.1.        Die Verarbeitung personenbezogener Daten durch scribos, scribos Mitarbeiter und die beauftragten Subunternehmer, die Zugang zu den Daten haben, erfolgt ausschließlich im Rahmen des tesa 360 Vertrages und auf der Grundlage der dokumentierten Weisung des Kunden (vgl. Artikel 29 DSGVO). Der Kunde hat ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Methode der Datenverarbeitung, was in Einzelweisungen spezifiziert werden kann. Soweit scribos einer gesetzlichen Verpflichtung unterliegt, die auch eine andere Verarbeitung zulässt, wird scribos den Kunden über die jeweiligen gesetzlichen Anforderungen informieren, es sei denn, eine solche Mitteilung ist gesetzlich verboten.

11.2.        scribos dokumentiert die vom Kunden erteilten Weisungen in geeigneter Weise. Mündlich erteilte Weisungen sind vom Kunden unverzüglich schriftlich zu bestätigen.

11.3.        scribos wird den Kunden unverzüglich informieren, wenn scribos der Ansicht ist, dass eine Weisung gegen vertragliche Bestimmungen oder gesetzliche Datenschutzregelungen verstößt. scribos kann die Durchführung der Weisung verweigern bis der Kunde nach scribos angemessener Einschätzung hinreichend nachweist, dass sie rechtmäßig ist.

Mehr lesen

§ 12 Löschung oder Rückgabe von Daten

12.1.        Nach Beendigung der Laufzeit, auf Anforderung des Kunden auch früher, spätestens jedoch zum Zeitpunkt der Auftragsbeendigung, hat scribos nach Wahl des Kunden entweder alle in seinem Besitz befindlichen und mit dem Auftrag verbundenen personenbezogenen Daten – ob in Dokumenten, in generierten Verarbeitungs- oder Nutzungsergebnissen oder in Datensäten – in allgemein lesbarer Form zurückzugeben oder nach vorheriger Zustimmung im Einklang mit den datenschutzrechtlichen Bestimmungen zu vernichten oder zu löschen, es sei denn, es besteht eine gesetzliche Verpflichtung zur Speicherung dieser personenbezogenen Daten. Die Vernichtung bzw. Löschung ist gegenüber dem Kunden schriftlich zu bestätigen. Bei elektronischen Daten werden die Verarbeitungs- und Nutzungsergebnisse oder Datensätze in einem von den Parteien zu vereinbarenden Format oder – wenn keine Vereinbarung getroffen wurde – auf handelsüblichen Datenträgern in einem marktüblichen Format, das ein strukturiertes Auslesen ermöglicht, übergeben.

12.2.        Es besteht kein Recht auf Aufbewahrung personenbezogener Daten, die von scribos im Rahmen dieses Vertragsverhältnisses zur Verfügung gestellt, erhoben oder verarbeitet wurden. Dasselbe gilt für entsprechende Datenträger.

Mehr lesen

§ 13 Sonstiges

13.1.        Unterlagen, die eine auftragsgemäße und regelgerechte Datenverarbeitung belegen, sind von scribos auch nach Beendigung des tesa 360 Vertrages für die jeweilige Aufbewahrungsfrist zu speichern.

13.2.        Sind die Daten des Kunden bei scribos durch Maßnahmen Dritter gefährdet, etwa wegen einer Pfändung, durch ein Insolvenz- oder Vergleichsverfahren oder ein ähnliches Ereignis, so hat scribos den Kunden unverzüglich zu informieren.

13.3.        Im Falle von Widersprüchen zwischen dem tesa 360 Vertrag und dieser Vereinbarung über Auftragsverarbeitung gilt die Vereinbarung über Auftragsvereinbarung in Fragen des Datenschutzes vorrangig.

13.4.        Im Zweifelsfall ist der deutsche Wortlaut dieser Vereinbarung über Auftragsverarbeitung maßgebend.

13.5.        Diese Vereinbarung über Auftragsverarbeitung unterliegt dem deutschen Recht. Der Gerichtsstand richtet sich nach dem tesa 360 Vertrag.

Mehr lesen