Auftragsverarbeitungsvereinbarung (AVV)

Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

 

1. Gegenstand und Dauer der AVV

   1. Gegenstand
      
      Diese Auftragsverarbeitungsvereinbarung („AVV“) wird zwischen der Smoobu GmbH („Smoobu“, „Verarbeiter“, „Auftragnehmer“) und einem Unternehmen als Nutzer der Smoobu Plattform und deren Dienste („Nutzer“, „Auftraggeber“, „Verantwortlicher“) geschlossen, wobei die Details zu den Parteien sich aus dem Hauptvertrag sowie den jeweils geltenden AGB zum SaaS Plattformvertrag über die Erbringung digitaler Dienstleistungen („AGB“) durch Smoobu, ergeben. Dieser AVV ist eine Ergänzung zum Hauptvertrag, wie dieser durch den dort aufgeführten Verweis in diesen mit aufgenommen wird, definiert die Rechte und Pflichten des Auftraggebers sowie von Smoobu und gilt für alle im Hauptvertrag ausgeführten und beschriebenen und von Smoobu ggü. dem Auftraggeber erbrachten Dienstleistungen.
      
      Dieser AVV gilt, soweit der Auftraggeber digitale Dienstleistungen (einschließlich der Websites und mobilen Anwendungen) von Smoobu auf der Plattform verwenden oder Smoobu personenbezogene Daten gemäß den Anweisungen des Auftraggebers, einschließlich personenbezogener Daten, die der Auftragnehmer vom Auftraggeber oder im Namen des Auftraggebers zur Verfügung gestellt werden, zum Zwecke der Erbringung von Dienstleistungen im Rahmen des Hauptvertrags verarbeitet. Trifft keine der oben genannten Bedingungen zu, findet dieser AVV keine Anwendung.
      
      Für den Fall, dass andere lokale Gesetze, denen der Auftraggeber unterliegt, zusätzliche Vorkehrungen in Bezug auf datenschutzrelevante Angelegenheiten im Zusammenhang mit der Erfüllung des Hauptvertrags erfordern, die hier im AVV nicht Erwähnung finden oder ausreichend beschreiben, werden die Parteien solche Vorkehrungen treffen, sofern der Auftraggeber den Auftragnehmer darüber vorab ausreichend informiert und der Auftragnehmer wirtschaftlich und technisch diese nach Prüfung umsetzen kann.
      
      
   2. Dauer
      
      Die Dauer dieses AVV („Laufzeit“) entspricht der Laufzeit des Hauptvertrages. Der Auftragnehmer verarbeitet die personenbezogenen Daten des Kunden für den Zeitraum der Erbringung der Dienstleistungen und danach, bis die Daten gemäß einer entsprechenden Anweisung gelöscht oder zurückgegeben werden. Die Kündigung oder anderweitige Beendigung des Hauptvertragsverhältnisses beendet gleichzeitig diese AVV.
      
      Diese AVV gilt unbeschadet des vorstehenden Absatzes so lange, wie der Auftragnehmer personenbezogene Daten des Auftraggebers verarbeitet (einschließlich Backups, etc.). Als notwendige Maßnahme zur Sicherstellung der Datenintegrität und-verfügbarkeit kann der Auftragnehmer Sicherungskopien der personenbezogenen Daten des Auftraggebers auch nach dem Ende der Erbringung der Dienstleistungen aufbewahren. Der Auftragnehmer gewährleistet, dass solche personenbezogenen Daten nicht aktiv genutzt werden und der Zugang zu ihnen streng begrenzt ist.
      
      
   3. Kündigung
      
      Der Auftraggeber kann diesen AVV mit sofortiger Wirkung kündigen, wenn der Auftragnehmer oder einer seiner Unterauftragsverarbeiter gegen die Bestimmungen dieses AVV oder gegen einschlägige Datenschutzgesetze verstößt.
      
      Der Auftragnehmer kann diesen AVV kündigen, wenn der Auftraggeber Widerspruch an einem Unterauftragsverarbeiter legt, den der Auftragnehmer für die Erbringung der Dienstleistungen für erforderlich hält oder der Auftraggeber eine Anweisung heraus gibt deren Umsetzung der Auftragnehmer für nicht durchführbar hält. 
      
      
   4. Definitionen
      
      Für die Zwecke dieser AVV haben die Begriffe „geeignete technische und organisatorische Maßnahmen„, „für die Verarbeitung Verantwortlicher„, „personenbezogene Daten„, „Verletzung des Schutzes personenbezogener Daten„, „Verarbeitung„, „Auftragsverarbeiter“ und „Aufsichtsbehörde“ (oder in angemessener Weise gleichwertige Begriffe) jeweils die Bedeutung, die ihnen im geltenden Datenschutzrecht zukommt.
      
      Einschlägige Datenschutzgesetze sind (i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („DS-GVO“); (ii) die Verordnung (EU) 2016/679 des Vereinigten Königreichs („DS-GVO UK“), wobei Verweise auf die DS-GVO als Verweise auf die entsprechenden Bestimmungen der DS-GVO UK zu verstehen sind; (iii) nationale Rechtsvorschriften, die die DS-GVO ergänzen und die Verarbeitung personenbezogener Daten regeln.
      
      Zu Personenbezogenen Daten des Auftraggebers zählen alle personenbezogenen Daten, einschließlich der Daten des Auftraggebers selbst und seiner Kunden, die die Dienste des Auftraggebers nutzen („Kunde“), die der Auftragnehmer gemäß den Anweisungen zum Zwecke der Erbringung von Dienstleistungen verarbeitet, einschließlich personenbezogener Daten, die der Auftragnehmer vom Auftraggeber oder im Namen des Auftraggebers zur Verfügung gestellt werden. Um Zweifel auszuschließen, umfassen die personenbezogenen Daten des Auftraggebers nicht (i) die personenbezogenen Daten, über die der Auftragnehmer unabhängig von der Nutzung der Dienstleistungen durch den Auftraggeber verfügen würde, insbesondere Verkehrsdaten von Dritten, wie verknüpfte technische Informationen zu genutzten Geräten (IP-Adresse, Cookie IDs, andere Metadaten) (sofern einschlägig) und (ii) aggregierte statistische Informationen, die keine personenbezogenen Daten darstellen..
      
      Anweisung / Weisung bezeichnet eine Instruktion bezüglich des Umfangs und der Art und Weise der Verarbeitung personenbezogener Daten des Auftraggebers, die der Auftraggeber dem Auftragnehmer in beliebiger Form erteilt, wie unter anderem ausgewählte Bestimmungen des Hauptvertrags und diesen AVV, schriftliche Aufträge des Auftraggebers, E-Mails oder Einstellungen auf der Plattform, die dem Auftraggeber vom Auftragnehmer zur Verfügung gestellt werden.
      
      Unterauftragsverarbeiter ist ein vom Auftragnehmer beauftragter Drittdatenverarbeiter, der als Auftragsverarbeiter Zugang zu den Daten des Auftraggebers hat oder diese gemäß erteilter Weisung verarbeiten wird.
      
      Standardvertragsklauseln/ SCC sind die von der Europäischen Kommission genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten aus der Europäischen Union in Drittländer in der Fassung vom 4. Juni 2021, die von Zeit zu Zeit geändert, ersetzt, ergänzt oder ersetzt werden, und deren vollständige aktuelle Fassung unter folgendem Link abgerufen werden kann: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
      
      DPF bezeichnet das EU-U.S. Data Privacy Framework und/oder das Swiss-U.S. Data Privacy Framework oder jedes Nachfolgeprogramm zur Selbstzertifizierung, das vom US-Handelsministerium betrieben und von der Europäischen Kommission von Zeit zu Zeit genehmigt wird und nicht für ungültig erklärt wurde (und schließt in jedem Fall die britische Erweiterung des EU-U.S. Data Privacy Framework und jede andere Ländererweiterung dieses Rahmens ein, die die Anwendung des EU-U.S. Data Privacy Framework auf das jeweilige Land ausdehnt)
      
      
      

2. Konkretisierung des Inhalts der AVV
   
   

   1. Der Nutzer als Auftraggeber und Verantwortlicher beauftragt Smoobu als Auftragnehmer mit der Verarbeitung der personenbezogenen Daten des Auftraggebers als Auftragsverarbeiter gemäß den dokumentierten Anweisungen.
      
      
   2. Im Rahmen der allgemeinen Pflichten wird der Auftraggeber sicherstellen und dokumentieren, dass der Auftragnehmer zum Zwecke der Erbringung der Dienstleistungen die vom Auftraggeber zur Verfügung gestellten personenbezogenen Daten, einschließlich seiner Auftraggeberseitig verwendeten Kundendaten gemäß den Anweisungen des Auftraggebers in Übereinstimmung mit den für eine solche Verarbeitung geltenden Gesetzen verarbeiten darf. Der Auftraggeber sorgt für eine angemessene Rechtsgrundlage für die Verarbeitung personenbezogener Kundendaten und stellt den betroffenen Personen genaue und umfassende Informationen über die Verarbeitung personenbezogener Kundendaten zur Verfügung, wie dies in den Datenschutzgesetzen vorgeschrieben ist. Der Auftraggeber hat seine Kunden dementsprechend transparent gemäß den jeweils gesetzlichen Vorgaben darüber zu informieren.
      
      Darüber hinaus ergeben sich die weiteren Details aus dem Hauptvertrag und der Anlage 1.
      
      
      

3. Technisch-organisatorische Maßnahmen
   
   

   1. Der Auftragnehmer ergreift in seinem Verantwortungsbereich alle erforderlichen technisch-organisatorische Maßnahmen gem. Art. 32 DS-GVO zum Schutz der personenbezogenen Daten und übergibt dem Auftraggeber die Dokumentation zur Prüfung, beigefügt als Anlage 2. Der Auftraggeber kann von Zeit zu Zeit zusätzliche Informationen, über die vom Auftragnehmer durchgeführten technischen und organisatorischen Maßnahmen, anfordern.
      
      Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage der AVV. Der Auftragnehmer wird die Maßnahmen umsetzen und aufrechterhalten, einschließlich angemessener Sicherheitsmaßnahmen, die erforderlich sind, um die personenbezogenen Daten des Auftraggebers vor unbefugtem oder versehentlichem Zugriff, Verlust, Änderung, Offenlegung oder Zerstörung zu schützen, sowie den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen dabei unterstützen, die Einhaltung der diesbezüglichen Verpflichtungen des Auftraggebers sicherzustellen. Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.
      
      
   2. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
      
      
   3. Die vereinbarten technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer zukünftig gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Über wesentliche Änderungen, die durch den Auftragnehmer zu dokumentieren sind, ist der Auftraggeber unverzüglich in Kenntnis zu setzten.
      
      
      

4. Rechte von betroffenen Personen
   
   

   1. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technisch-organisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte. Er darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Der Auftraggeber erhält Unterstützung vom Auftragnehmer bei der Beantwortung von Anfragen Betroffener und hat dann die hierdurch entstehenden Kosten des Auftragnehmers zu erstatten.
      
      
   2. Soweit vom Leistungsumfang umfasst, sind die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Datenportabilität nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
      
      
      

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
   
   

   1. Der Auftragnehmer hat, zusätzlich zu der Einhaltung der Regelungen dieser AVV, eigene gesetzliche Pflichten gemäß der DS-GVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
      
      
      1. Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte, Mitarbeiter, Vertreter, Dienstleister und Unterauftragnehmer ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die berechtigterweise Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten, einschließlich der in dieser AVV eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
         
         
      2. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
         
         
      3. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diese AVV beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
         
         
      4. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten, einem anderen Anspruch oder einem Informationsersuchen im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
         
         
      5. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
         
         
      6. Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 8 dieser AVV.
         
         
      7. Der Auftragnehmer meldet dem Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber in der Weise, dass der Auftraggeber seinen gesetzlichen Pflichten, insbesondere nach Artt. 33, 34 DS-GVO nachkommen kann. Er fertigt über den gesamten Vorgang eine Dokumentation an, die er dem Auftraggeber für weitere Maßnahmen zur Verfügung stellt.
         
         
      8. Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich im Rahmen bestehender Informationspflichten gegenüber Aufsichtsbehörden und Betroffenen und stellt ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung.
         
         
      9. Der Auftragnehmer kommuniziert nicht mit Aufsichtsbehörden, betroffenen Personen oder Medien über Datenschutzverletzungen, Beantwortung von Anfragen zur Ausübung der Datenschutzrechte oder sonstige Vorkommnisse in Bezug auf personenbezogene Daten des Auftraggebers ohne dessen Anweisung, es sei denn, dies ist durch Datenschutzgesetze vorgeschrieben.
         
         
      10. Soweit der Auftraggeber zur Durchführung einer Datenschutz-Folgenabschätzung nach Art 35 DS-GVO verpflichtet ist, unterstützt ihn der Auftragnehmer unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen. Gleiches gilt für eine etwaig bestehende Pflicht zur Konsultation der zuständigen Datenschutz-Aufsichtsbehörde.
          
          
   2. Diese AVV entbindet den Auftragnehmer nicht von der Einhaltung anderer Vorgaben der DS-GVO.
      
      
      

6. Unterauftragsverhältnisse
   
   

   1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer in Anspruch nimmt, z.B. Telekommunikationsleistungen, Post-/Transportdienstleistungen, Reinigungsleistungen oder Bewachungsdienstleistungen. Wartungs- und Prüfleistungen stellen dann ein Unterauftragsverhältnis dar, wenn sie für IT-Systeme erbracht werden, die im Zusammenhang mit einer Leistung des Auftragnehmers nach dieser AVV erbracht werden. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
      
      Der Auftraggeber ermächtigt den Auftragnehmer, im Rahmen des in diesem AVV angegebenen Umfang der Datenverarbeitung Unterauftragsverarbeiter zu ernennen und stimmt zu, dass diese Unterauftragsverarbeiter weitere Auftragsverarbeiter mit der Verarbeitung der personenbezogenen Daten des Auftraggebers beauftragen können. Der Auftraggeber stimmt der Beauftragung der in Anlage 3 bezeichneten Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO mit den Unterauftragnehmern zu.
      
      Die vertragliche Vereinbarung wird dem Auftraggeber auf dessen Verlangen vorgelegt, wobei geschäftliche Klauseln ohne datenschutzrechtlichen Bezug hiervon ausgenommen sind.
      
      
   2. Die Auslagerung auf Unterauftragnehmer oder der Wechsel der gemäß Anlage 3 bestehenden Unterauftragnehmers sind zulässig, soweit:
      
      
      • der Auftragnehmer eine solche Auslagerung auf oder Wechsel von Unterauftragnehmer dem Auftraggeber in einer angemessenen Zeit, die 14 Tage nicht unterschreiten darf, vorab in geeigneter Weise in digitaler oder sonstiger Form gemäß Anlage 3 benachrichtigt und
      • der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
      • eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.
      • Hierfür wird der Auftraggeber sich in unregelmäßigen Abständen über Änderungen auf der Website erkundigen, auf der der Auftragnehmer ordnungsgemäß über die Identität und Auftragsumfang informiert.
        
        
   3. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Die Einhaltung und Umsetzung der technisch-organisatorischen Maßnahmen beim Unterauftragnehmer wird unter Berücksichtigung des Risikos beim Unterauftragnehmer vorab der Verarbeitung personenbezogener Daten und sodann regelmäßig durch den Auftragnehmer kontrolliert
      
      
   4. Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.
      
      
      

7. Internationale Datentransfers
   
   

   1. Jede Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation bedarf einer dokumentierten Weisung des Auftraggebers und bedarf der Einhaltung der Vorgaben zur Übermittlung personenbezogener Daten in Drittländer nach Kapitel V der DS-GVO.  Der Auftraggeber gestattet eine Datenübermittlung in ein Drittland an die in Anlage 3 genannten Empfänger. In der Anlage werden die vom Auftraggeber genehmigten Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus aus Art. 44 ff. DS-GVO im Rahmen der Unterbeauftragung spezifiziert. Zu diesen Maßnahmen können insbesondere die Ausführung der in Art. 46 Absatz 2 Buchstabe c) der DS-GVO genannten Standarddatenschutzklauseln (SCC) gehören oder wie etwa im Fall des Transfers zu einem Anbieter in den USA nach den Regeln des DPF. 
      
      
   2. Soweit der Auftraggeber eine Datenübermittlung an Dritte in ein Drittland anweist, ist er für die Einhaltung von Kapitel V der DS-GVO verantwortlich.
      
      

8. Kontrollrechte des Auftraggebers
   
   

   1. Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende unabhängige Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser AVV durch den Auftragnehmer in dessen Geschäftsbetrieb während der üblichen Geschäftszeiten zu überzeugen. Der Auftraggeber wird den Auftragnehmer in angemessener Weise über jede gemäß diesem Abschnitt durchzuführende Prüfung unter Angabe des Umfangs, der Form und des gewünschten Beitrags der Kooperation vom Auftragnehmer vorab schriftlich (E-Mail ausreichend) unterrichten. Je nach Aufwand, anfallenden Kosten und Grad der Beeinträchtigung der laufenden Geschäftsabläufe wird der Auftragnehmer eine geeignete Vergütungsregelung dem Auftraggeber vorab zustellen und später in Rechnung stellen
      
      
   2. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
      
      
   3. Der Nachweis der technisch-organisatorischen Maßnahmen zur Einhaltung der besonderen Anforderungen des Datenschutzes allgemein sowie solche, die den Auftrag betreffen, kann auf ausdrückliche schriftliche Anfrage des Auftraggebers erfolgen durch Zusendung entsprechender Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) anhand der aktuell anerkannten IT und Datenschutzstandards und wirtschaftlich verhältnismäßigen Maßnahmen.
      
      
      

9. Weisungsbefugnis des Auftraggebers
   
   

   1. Der Auftraggeber kann während der Laufzeit dieses AVV an Smoobu als Auftragnehmer Anweisungen erteilen. Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Basis dokumentierter Weisungen des Auftraggebers, es sei denn, er ist nach dem Recht des Mitgliedstaats oder nach Unionsrecht zu einer Verarbeitung verpflichtet. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform). Die anfänglichen Weisungen des Auftraggebers werden durch diese AVV festgelegt. Erteilt der Auftraggeber dem Auftragnehmer zusätzliche Weisungen, so hat der Auftraggeber durch diese Weisung entstehende Kosten des Auftragnehmers zu erstatten.
      
      
   2. Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften oder der Ansicht ist, eine bestimmte Anweisung führe zu einem Verstoß. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
      
      
   3. Nach Beendigung der Laufzeit und Erbringung von Dienstleistungen nach dem Hauptvertrag und unbeschadet von den geltenden gesetzlichen Aufbewahrungs- und Löschfristen für Daten des Auftraggebers beauftragt der Auftraggeber hiermit den Auftragnehmer innerhalb von 120 Tagen nach Beendigung die personenbezogenen Daten der Kunden des Auftraggebers, die sich in seinem Besitz befinden, zu löschen oder zu anonymisieren, es sei denn, eine Anweisung oder Datenschutzgesetze verlangen etwas anderes.
      
      
      

10. Löschung und Rückgabe von personenbezogenen Daten
    
    

    1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
       
       
    2. Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens aber mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
       
       
       

11. Haftung
    
    

    Der Auftragnehmer entschädigt den Auftraggeber für unmittelbare Schäden, die dem Auftraggeber infolge eines Verstoßes gegen diesen AVV entstehen, einschließlich des versehentlichen Verlustes, der Offenlegung, der Zerstörung oder der Beschädigung personenbezogener Daten des Auftraggebers durch den Auftragnehmer oder einen seiner Unterauftragsverarbeiter, es sei denn, einer der oben genannten Fälle ist auf die Befolgung der Anweisungen des Auftraggebers zurückzuführen. Um Zweifel auszuschließen, gelten die im Hauptvertrag festgelegten Haftungsbeschränkungen für den Auftragnehmer nicht für diesen Abschnitt.
    
    
    

12. Schlussbestimmungen
    
    

    1. Soweit sich aus anderen Vereinbarungen zwischen dem Auftraggeber und dem Auftragnehmer anderweitige Abreden zum Schutz personenbezogener Daten ergeben, soll diese AVV zur Auftragsverarbeitung vorrangig gelten, es sei denn, die Parteien vereinbaren ausdrücklich etwas anderes.
       
       
    2. Sollte ein Teil dieses AVV als ungültig oder nicht durchsetzbar erachtet werden, wird der Rest dieses AVV so ausgelegt, dass die Absichten der Parteien soweit wie möglich erhalten bleiben.
       
       
    3. Jede Partei kann Änderungen an diesem AVV vorschlagen, die sie aufgrund von Datenschutzgesetzen oder anderen Vorschriften, Auslegungen, Entscheidungen oder Richtlinien für erforderlich hält. In solchen Fällen werden die Parteien zusammenarbeiten, um diesen AVV entsprechend zu ändern.
       
       
    4. Sofern Streitigkeiten zwischen den Parteien nicht gütlich beigelegt werden, wird dieser AVV in Übereinstimmung mit dem Gesetz und von den Gerichten des Landes der Bundesrepublik Deutschland, wie im Hauptvertrag geregelt, ausgelegt, interpretiert und durchgesetzt.
       
       
    5. Für alle Anfragen bezüglich der Verarbeitung der personenbezogenen Daten des Auftraggebers wendet sich dieser an den Auftragnehmer unter [email protected].

 

Stand: Juni 2024

 

 

Anlage 1 – Umfang der Verarbeitung

 

 

Verantwortlicher	Auftraggeber
Verarbeiter	Auftragnehmer – Smoobu

 

Beschreibung der Verarbeitung:

1. Art und Zweck der vorgesehenen Verarbeitung von Daten
   
   Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber sind in der Leistungsvereinbarung (Hauptvertrag) konkret beschrieben. Der Auftragnehmer verarbeitet die personenbezogenen Daten des Auftraggebers fortlaufend in elektronischer Form und kann auf Anweisung die folgenden Vorgänge daran vornehmen: Sammlung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Verwendung, Offenlegung und Löschung.
   
   
2. Art der Daten
   
   Gegenstand der Verarbeitung personenbezogener Daten gemäß des Hauptvertrages sind folgende Datenarten und betreffen gleichermaßen den Auftraggeber und die Kunden des Auftraggebers, mit denen der Auftraggeber in rechtlicher Verbindung steht:
   • Personenstammdaten
   • Kommunikationsdaten (z.B. Telefon, E-Mail)
   • Aktivitäten der betroffenen Personen auf den von dem Auftraggeber angegebenen Diensten
   • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
   • Kundenhistorie
   • Vertragsabrechnungsdaten
     
     Es werden keine besonderen Kategorien personenbezogener Daten verarbeitet.
     
     
3. Kategorien betroffener Personen
   
   Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen gemäß dem Hauptvertrag:
   
   • Auftraggeber
   • Gäste der Auftraggeber
   • Beschäftigte der Auftraggeber
   • Anbieter von Integrationen-Dienstleistungen und deren Ansprechpartner

 

 

Anlage 2 – Technisch-organisatorische Maßnahmen

 

Beschreibung der technisch-organisatorischen Maßnahmen des Auftragnehmers unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten betroffener Personen.

Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten:

Je nach Art der zu verarbeitenden Daten gelten für jede Kategorie unterschiedliche Sicherheitsanforderungen.

Persönliche Daten des Kunden (und seiner Mitarbeiter) werden vom Auftragnehmer pseudonymisiert (und ggf. anonymisiert), wenn möglich und nach Bedarf gemäß dem vom Auftragnehmer definierten Standard.

Der Auftragnehmer nutzt verschlüsselte Verbindungen über VPN bei Remote-Zugriffen, SSL usw. und verwendet, wenn möglich Mechanismen zur mehrstufigen Authentifizierung. Zudem sichert er ab, dass es zu keiner unbefugten Systembenutzung kommt, in dem er die Verwendung von sicheren Kennwörtern, automatische Sperrmechanismen nach Zeitablauf, Verschlüsselung von Datenträgern, Einsatz einer Firewall, Verschlüsselung von Notebooks, Verwalten von Benutzerberechtigungen, Erstellung von Benutzerprofilen sowie allgemeine Richtlinien zum Thema Datenschutz und Passwortvergabe einrichtet.

Beschreibung von Maßnahmen zur Gewährleistung einer kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung

Der Auftragnehmer unterhält Zuständigkeiten und Verfahren für die Verwaltung und den Betrieb aller Informationsverarbeitungseinrichtungen, um eine vollständige, gültige und korrekte Verarbeitung von Daten zu gewährleisten.

Der Auftragnehmer gewährleistet, dass es keinen unbefugten Zutritt zu Datenverarbeitungsanlagen gibt, durch Sicherung der Anlage durch Alarmanlage mit Transpondersystem bzw. Codesperre, Sicherheitsschlösser, Schlüsselvergaberegelung und einer Regelung für Besucher nur in Begleitung durch Mitarbeiter.

Beschreibung von Maßnahmen zur Gewährleistung der Verfügbarkeit personenbezogener Daten und des raschen Zugangs zu Daten im Falle eines physischen oder technischen Zwischenfalls

Die Systeme des Auftragnehmers sind so konzipiert, dass sie gängige Angriffe abwehren oder verhindern und die Verfügbarkeit für Betrieb, Überwachung und Wartung gewährleisten. Zu diesem Zweck führt der Auftragnehmer regelmäßig simulierte Tests und Audits durch, um zu bestätigen, dass ihre Systeme verfügbar bleiben.

Die Verfügbarkeit und Zuverlässigkeit wird überwacht, um sicherzustellen, dass die Plattform des Auftragnehmers mit minimalen Serviceunterbrechungen online bleiben.

Beschreibung von Maßnahmen zur Gewährleistung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Die technischen und organisatorischen Maßnahmen, anwendbare Handlungsanleitungen und einschlägige Richtlinien werden regelmäßig von externen Dienstleistern sowie durch interne Tests überprüft.

Der Auftragnehmer führt regelmäßige Risikobewertungen durch, dies beinhaltet Schwachstellentests, interne und externe Penetrationstests, Netzwerk-, System- und Firewall-Scans und -Überprüfungen.

Beschreibung von Maßnahmen zur Identifizierung und Authentifizierung von Nutzern

Die Systeme des Auftragnehmers sind an den anerkannten Branchenstandards und Praktiken ausgerichtet und verfügen über Kommunikationsverfahren zur Identifizierung der Benutzer sowie über solide Passwort- und Authentifizierungskontrollen. Zugriffe auf das System werden protokolliert, Administratoren können die Benutzerrechte verwalten.

Beschreibung von Maßnahmen zum Schutz personenbezogener Daten bei der Übertragung, sowie bei ihrer Speicherung

Der Auftragnehmer unterhält Verfahren, um unbefugten Zugriff oder Missbrauch von Informationen zu verhindern, und verwendet bei Bedarf die besten Praktiken der Branche, wie eindeutige IDs zur Authentifizierung und zum Zweck sicheren Zuordnung beim Transfer und Ablage in Produktivsystemen.

Beschreibung von Maßnahmen zur Gewährleistung einer physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

Betriebsstätten des Auftragnehmers werden vor Ort per Videoüberwachung der Eingangsbereiche und personifiziertem Zugangssystem gegen das Betreten von Dritten geschützt.  

Eingesetzte Rechenzentren setzten strikte Administrationsrechten ein und weise klare Datenbankstrukturen auf, somit kann jeder Kunde nur auf Datensätze zugreifen, die dieser Benutzerkennung zugeordnet sind.

Nur Personen, die ausdrücklich autorisiert sind und Informationen für ihre Tätigkeit benötigen, haben Zugang zu personenbezogenen Daten.

Beschreibung von Anforderungen an die Ereignisprotokollierung (z.B. bei der Authentifizierung des Auftraggebers oder der Dateneingabe, -veränderung oder -löschung

Die Datenaufbewahrungspolitik des Auftragnehmers sieht je nach Datenkategorie unterschiedliche Aufbewahrungsfristen und Sicherungskopien vor, einschließlich rechtlicher Verpflichtungen oder anderer Ausnahmen, die eine Aufbewahrung dieser Daten bis zum Erlöschen bestimmter rechtlicher Verpflichtungen, z. B. für Steuer- und Buchhaltungszwecke, erfordern. Sollte eine Vernichtung der personenbezogenen Daten nicht möglich sein, werden die einschlägigen Schutzbestimmungen, die diese personenbezogenen Daten regeln, weiterhin anwenden und jede weitere Verarbeitung einstellen.

Anlage 3 – Genehmigte Unterauftragsverhältnisse

 

Eine Liste von Unterauftragnehmern, die personenbezogene Daten verarbeiten, ist auf folgender Website für Unterauftragsverarbeiter aufgeführt (und wird von Zeit zu Zeit aktualisiert), und der Auftraggeber bestätigt hiermit die Zustimmung zu den mit Vertragsschluss bestehenden Unterauftragsverarbeitern. Die Website der Unterauftragsverarbeiter enthält ein Verfahren, mit dem sich Auftraggeber für Benachrichtigungen über neue Unterauftragsverarbeiter oder Änderungen an der Liste der Unterauftragsverarbeiter anmelden können. Um Aktualisierungen oder Änderungen an dieser Liste zu erhalten, müssen Sie sich über den vorgesehenen Mechanismus anmelden.