Auftragsverarbeitungsvereinbarung zwischen myCraftnote Digital GmbH und seinen Kunden

Vertrag

zwischen

dem registrierenden Kunden von myCraftnote 

Firma:

Adresse:

Ansprechpartner:

(im Folgenden: „Auftraggeberin“) 

und 

myCraftnote Digital GmbH, Klaus-Fischer-Str. 1, 72178 Waldachtal vertreten durch den Geschäftsführer Gleb Christoffel

(im Folgenden: „Auftragsverarbeiter“) 

zur Verarbeitung personenbezogener Daten im Auftrag.

Präambel

Der Auftragsverarbeiter stellt der Auftraggeberin eine Smartphone-App und den Zugriff auf eine Website bereit, worüber diese verschiedene Daten erfassen und diese anschließend abrufen kann (im Folgenden „Hauptvertrag“). Da im Rahmen des Hauptvertrages durch den Auftragsverarbeiter im Auftrag der Auftraggeberin auch personenbezogene Daten verarbeitet werden, wird der gegenständliche Vertrag zur Auftragsverarbeitung geschlossen.

§ 1     Gegenstand, Dauer, Zweck und Art der Datenverarbeitung und Kategorien betroffener Personen

  1. Die Auftraggeberin verarbeitet zur Erfüllung der Verträge mit Ihren Kunden, zu denen überwiegend Handwerksunternehmen zählen, Daten, damit die Kunden der Auftraggeberin ihrerseits, ihre Vertragspflichten gegenüber ihren eigenen Kunden erfüllen können.

  1. Der Auftragsverarbeiter stellt der Auftraggeberin die Smartphone-Applikation myCraftnote zur Verfügung, über die die Auftraggeberin von ihr erhobene Daten strukturiert erfasst, verarbeitet und dokumentiert. Die Daten der Auftraggeberin werden im Rahmen der Nutzung von myCraftnote durch den Auftragsverarbeiter in einer Datenbank gehostet. Eine zielgerichtete Verarbeitung der von der Auftraggeberin eingestellten personenbezogenen Daten durch den Auftragsverarbeiter ist nicht vorgesehen. Dennoch kann nicht vollständig ausgeschlossen werden, dass der Auftragsverarbeiter im Rahmen von Wartungsarbeiten vereinzelt die Möglichkeit des Datenzugriffs hat und dadurch Kenntnis von personenbezogenen Daten bekommen kann.

  1. Der Auftrag umfasst im Einzelnen:

    1. Hosting von Dokumenten der Auftraggeberin, die personenbezogene Daten beinhalten können, beispielsweise Texte, Bilder oder Videos

    2. Bereithaltung einer Chatfunktion für die Auftraggeberin

    3. Wartungsarbeiten hinsichtlich der seitens des Auftragsverarbeiters zur Verfügung gestellten myCraftnote-App sowie bei Bedarf der beim Auftragsverarbeiter gehosteten Datenbanken, in denen der Auftraggeber von ihm erhobene personenbezogene Daten verarbeitet.

  1. Zum betroffenen Personenkreis der Verarbeitung im Auftrag für die Auftraggeberin gehören Kunden, Interessenten, Beschäftigte, Lieferanten, Handelsvertreter, Ansprechpartner und sonstige Beteiligten.

  1. Von den betroffenen Personen werden zur Aufgabenerfüllung folgende Arten personenbezogener Daten durch den Auftragsverarbeiter verarbeitet: 

    1. Personenstammdaten (Name, Position),

    2. Kommunikationsdaten (z.B. Telefon und E-Mail-Adressen),

    3. Vertragsstammdaten (Vertragsbeziehungen),

    4. Kundenhistorie

    5. Inhalte der Chat-Kommunikation

§ 2     Verantwortlichkeit

  1. Die Auftragsverarbeitung durch den Auftragnehmer richtet sich nach Art. 28 der Datenschutz-Grundverordnung VO (EU) 2016/679 (im Folgenden: „DSGVO“).

  1. Die Auftraggeberin ist als Verantwortliche für die Einhaltung der anzuwendenden Datenschutzvorschriften im Hinblick auf die Verarbeitung ihrer Daten verantwortlich. Sie hat insbesondere zu prüfen, ob die Datenverarbeitung zulässig ist.

  1. Die Auftraggeberin ist ferner für die Erfüllung der Rechte der betroffenen Personen gemäß Art. 12 bis 23 DSGVO zuständig und verantwortlich. Der Auftragsverarbeiter unterstützt die Auftraggeberin bei der Erfüllung aller Betroffenenrechte. Der Auftragsverarbeiter trifft für diese Unterstützung technische und organisatorische Maßnahmen (vgl. hierzu § 7 dieses Vertrags). Welche Tätigkeiten der Auftragsverarbeiter im Rahmen der Unterstützung auszuführen hat, bestimmt sich im jeweiligen Einzelfall.

  1. Die Auftraggeberin ist als Verantwortliche für die Erfüllung der Pflichten aus Art. 32 bis 36 DSGVO zuständig und verantwortlich. Der Auftragsverarbeiter unterstützt sie bei der Erfüllung dieser Pflichten, und zwar auch gegenüber den Aufsichtsbehörden. Der Auftragsverarbeiter trifft auch für diese Unterstützung die erforderlichen technischen und organisatorischen Maßnahmen. Der Auftragsverarbeiter kann eine Entschädigung für solche Dienstleistungen verlangen, die nicht in der Leistungsbeschreibung enthalten sind und die nicht auf Störungen des Auftragsverarbeiters zurückzuführen sind.

  1. Datenverarbeitungen in Ländern, die weder Mitgliedstaat der Europäischen Union (EU) noch Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) sind (nachfolgend „Drittstaaten“ genannt) dürfen nur unter der weiteren Voraussetzung erfolgen, dass ein angemessenes Schutzniveau nach Art. 44 bis Art. 46 DSGVO garantiert werden kann (z. B. durch einen Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO bzw. EU-Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c) DSGVO).

§ 3     Weisungsbefugnis

  1. Der Auftragsverarbeiter darf die Daten nur im Rahmen dieses Auftrags und nach den dokumentierten Weisungen der Auftraggeberin verarbeiten, ausgenommen der jeweilige Beauftragte Verarbeiter ist nach dem auf ihn anwendbaren Recht zur Verarbeitung verpflichtet; in einem solchen Fall teilt der Auftragsverarbeiter diese rechtlichen Anforderungen vor der betroffenen Verarbeitung der personenbezogenen Daten mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Die Auftraggeberin entscheidet allein und ausschließlich über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten. Jede davon abweichende oder darüber hinausgehende Verarbeitung von Daten der Auftraggeberin ist dem Auftragsverarbeiter untersagt. Dies gilt insbesondere für eine Verarbeitung dieser Daten zu eigenen Zwecken oder für Dritte.

  1. Die verwendeten Daten der Auftraggeberin werden vom Auftragsverarbeiter von sonstigen bei ihm gespeicherten Datenbeständen getrennt.

  1. Weisungen der Auftraggeberin können von dieser generell oder im Einzelfall erteilt werden. Weisungen der Auftraggeberin erfolgen insbesondere auch durch die Steuerung mittels der Smartphone-App des Auftragsverarbeiters oder den Eingaben auf der Website des Auftragsverarbeiters.

  1. Empfangsberechtigt für Weisungen der Auftraggeberin ist auf Seiten des Auftragsverarbeiters:

myCrafnote Digital GmbH, Herr Gleb Christoffel,  info@mycraftnote.de

In dringenden Fällen darf die Auftraggeberin aber auch jedem anderen Beschäftigten des Auftragsverarbeiters entsprechende Weisungen erteilen, sofern weder der Empfangsberechtigte noch sein Stellvertreter für den Auftragsverarbeiter erreichbar waren.

  1. Folgende generelle Weisungen werden erteilt:

    1. der Auftraggeber weist den Auftragsverarbeiter an (und ermächtigt den Auftragsverarbeiter zur Anweisung aller Unterauftragnehmer und Drittlieferanten) personenbezogene Kundendaten und Kundendaten der Kunden zu verarbeiten soweit dies für die Erbringung der Dienstleistungen des Auftragsverarbeiters nach § 1 dieser Vereinbarung angemessen und erforderlich ist und im Einklang mit dem Hauptvertrag steht;

    1. der Auftragsverarbeiter gewährleistet, dass sich die bei ihm zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;

    1. der Auftragsverarbeiter unterstützt die Auftraggeberin (soweit möglich) bei der Erfüllung von Anfragen von Personen, die ihr Recht auf Zugang, Berichtigung, Löschung oder Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten ausüben;

    1. die Auftraggeberin ist unverzüglich über alle Inspektionen und Maßnahmen der Datenschutz- oder Aufsichtsbehörde zu unterrichten, soweit sie sich auf die Durchführung dieses Vertrags beziehen; 

    1. soweit die Auftraggeberin einer Überprüfung durch die Aufsichtsbehörde, einer Ordnungswidrigkeit oder einem Strafverfahren, einem Haftungsanspruch eines Betroffenen oder eines Dritten oder einem sonstigen Anspruch im Zusammenhang mit der vertraglichen Durchführung durch den Auftragsverarbeiter unterliegt, verpflichtet sich der Auftragsverarbeiter, die Auftraggeberin zu unterstützen. 

    1. Im Falle eines Unternehmensverkaufs als sog. Asset Deal erteilt der Auftraggeber der Auftragnehmerin die generelle Weisung, sämtliche gespeicherte Daten zur Aufrechterhaltung der Vertragsbeziehung an den Käufer zu übermitteln.

  1. Der Auftragsverarbeiter ist verpflichtet, die Weisungen der Auftraggeberin unverzüglich auszuführen. Der Auftragsverarbeiter hat die Auftraggeberin zu unterrichten, wenn eine Weisung nicht unverzüglich durchgeführt werden kann.

§ 4     Pflichten des Auftragsverarbeiters

  1. Wird festgestellt, dass Daten unrichtig sind, hat der Auftragsverarbeiter die Auftraggeberin hierüber zu informieren und nach deren Weisung unverzüglich zu berichtigen. Daten, für welche die Voraussetzungen des Art. 18 DSGVO vorliegen, dürfen nur entsprechend eingeschränkt verarbeitet werden. Für die Auftragsverarbeitung gemäß dem Hauptvertrag und dieser Vereinbarung nicht mehr benötigte Daten sind zu löschen.

  1. Der Auftragsverarbeiter leistet Unterstützung und Hilfe bei Datenschutzkontrollen durch die Aufsichtsbehörden, soweit es sich um die Datenverarbeitung beim Auftragsverarbeiter (oder Unterauftragsverarbeiter) handelt.

  1. Anfallendes Test- und Ausschussmaterial wird vom Auftragsverarbeiter unter Verschluss gehalten, bis es entweder vom Auftragsverarbeiter datenschutzgerecht vernichtet oder der Auftraggeberin übergeben wird. Nicht mehr benötigte Unterlagen mit personenbezogenen Daten dürfen erst nach Weisung durch die Auftraggeberin datenschutzgerecht vernichtet werden.

  1. Der Auftragsverarbeiter tritt nach außen nur im Namen der Auftraggeberin auf. Macht eine betroffene Person datenschutzrechtliche Ansprüche gemäß Art. 12 bis 23 DSGVO geltend, so unterstützt der Auftragsverarbeiter die Auftraggeberin, indem er nach Abstimmung mit der Auftraggeberin die Ansprüche erfüllt oder die Anfrage an diese weiterleitet.

§ 5     Vertraulichkeit

  1. Der Auftragsverarbeiter verpflichtet sich, die ihm von der Auftraggeberin zur Verfügung gestellten Unterlagen und Daten sowie die Arbeitsergebnisse vertraulich zu behandeln, insbesondere Unbefugten nicht zugänglich zu machen und der Auftraggeberin hierzu jederzeit Auskunft zu geben.

  1. Diese Verpflichtungen zur Wahrung der Vertraulichkeit bestehen auch nach Beendigung dieses Vertrags fort.

  1. Der Auftragsverarbeiter verpflichtet alle für ihn im Rahmen der Ausführung dieses Auftrags tätigen Personen auf die Vertraulichkeit. Soweit Personen einer gesetzlichen Verschwiegenheitspflicht in Bezug auf diese Tätigkeit unterliegen und deshalb eine Verpflichtung auf die Vertraulichkeit nicht erfolgen soll, ist der Verzicht auf die Vereinbarung auf die Vertraulichkeit nur zulässig, wenn diese gesetzliche Verschwiegenheitspflicht einen angemessenen Schutz bietet. Der Auftragsverarbeiter gewährleistet die Einhaltung dieser Vertraulichkeit.

§ 6     Organisationspflichten des Auftragsverarbeiters

  1. Der Auftragsverarbeiter versichert, dass er seine gemäß Art. 28 DSGVO und anderen aus der DSGVO und dem BDSG sowie aus weiteren Datenschutzbestimmungen resultierenden Pflichten erfüllt und durch regelmäßige interne Kontrollen überprüft. Die Dokumentation hierüber ist der Auftraggeberin ebenso zur Verfügung zu stellen wie eine Liste der zugriffsberechtigten Personen.

  1. Die Mitarbeiter des Auftragsverarbeiters sind mit den Datenschutzvorschriften, insbesondere Art. 28 Abs. 3 S. 1 lit. a) und 29 DSGVO (Weisungsgebundenheit), vertraut gemacht worden.

  1. Der Auftragsverarbeiter sichert zu, dass er gemäß Art. 37 bis 39 DSGVO einen fachkundigen und zuverlässigen Datenschutzbeauftragten benannt hat und ihm die erforderliche Zeit zur Verfügung stellt, sofern der Auftragsverarbeiter nach der DSGVO oder nationalem Recht einer Benennungspflicht unterliegt.

§ 7     Technische und organisatorische Maßnahmen zur Datensicherheit

  1. Der Auftragsverarbeiter ist verpflichtet, die Grundsätze ordnungsgemäßer Datenverarbeitung zu beachten und ihre Einhaltung zu überwachen. Er versichert, dass er die Regelungen der Art. 25 und Art. 32 DSGVO einhält und beachtet.

  1. Hierzu wird der Auftragsverarbeiter insbesondere

    1. die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung dauerhaft sicherstellen,

    2. die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu Ihnen bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen. 

  1. Zur Gewährleistung des Datenschutzes setzt der Auftragsverarbeiter die folgenden technischen und organisatorischen Maßnahmen um:

  1. Zutrittskontrolle: Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren:

  1. Zugangskontrolle:

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

  1. Zugriffskontrolle:

Zur Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben.

  1. Weitergabekontrolle und Pseudonymisierung:

Maßnahmen zur Gewährleistung, dass personenbezogene Daten bei der elektronischen Übermittlung oder ihrer Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

  1. Eingabekontrolle:

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob, zu welcher Zeit und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  1. Auftragskontrolle:

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden.

  1. Verfügbarkeitskontrolle und Wiederherstellbarkeit:

Maßnahmen, die dazu geeignet sind, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  1. Trennungsgebot:

Maßnahmen, die dazu geeignet sind, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  1. Datenträgerkontrolle:

Maßnahmen zur Verhinderung des unbefugten Lesens, Kopierens und Veränderns von Datenträgern.

  1. Speicherkontrolle:

Maßnahmen zur Verhinderung unbefugter Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.

  1. Zuverlässigkeit:

Maßnahmen zur Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.

  1. Datenintegrität:

Maßnahmen zur Gewährleistung, dass gespeicherte personenbezogenen Daten nicht durch Fehlfunktionen des Systems beschädigt werden.

  1. Der Auftraggeber kann Maßnahmen zur Qualitätssicherung oder Missbrauchserkennung durchführen und dabei auch Einsichtnahme in damit verbundene Daten der zugreifenden Mitarbeiter des Auftragsverarbeiters (z.B. individuelle Kennungen, Namen) erhalten. Der Auftragsverarbeiter stellt dies durch interne Maßnahmen, zu denen auch die Beteiligung der Mitarbeitervertretung gehören kann, sicher.

§ 8     Informationspflichten des Auftragsverarbeiters

  1. Ist der Auftragsverarbeiter der begründeten Ansicht, dass eine Weisung der Auftraggeberin gegen diesen Vertrag oder das geltende Datenschutzrecht verstößt, hat er die Auftraggeberin unverzüglich darauf hinzuweisen. Der Auftragsverarbeiter ist nach rechtzeitiger vorheriger Ankündigung gegenüber der Auftraggeberin mit mindestens 7-tägiger Frist berechtigt, die Ausführung der Weisung bis zu einer Bestätigung oder Änderung der Weisung durch die Auftraggeberin auszusetzen. Bestätigt die Auftraggeberin die Weisung, ist der Auftragsverarbeiter verpflichtet, sie zu befolgen.

  1. Im Fall einer gesetzlichen Ausnahme von der Weisungsgebundenheit des Auftragsverarbeiters gemäß Art. 28 Abs. 3 Satz 2 lit. a) DSGVO informiert der Auftragsverarbeiter die Auftragnehmerin über die auf der Grundlage von Rechtsvorschriften erfolgten oder unterlassenen Verarbeitungen, es sei denn die Rechtsvorschrift verbietet ihm wegen eines wichtigen öffentlichen Interesses eine Mitteilung.

  1. Bei schwerwiegenden Störungen des Betriebsablaufs oder bei Verdacht auf Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) oder wesentlichen Unregelmäßigkeiten bei der Datenverarbeitung unterrichtet der Auftragsverarbeiter die Auftraggeberin unverzüglich. Dasselbe gilt, wenn sich eine Aufsichtsbehörde oder Strafverfolgungsorgane bei dem Auftragsverarbeiter melden.

  1. Sollten die Daten der Auftraggeberin beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, oder droht eine wesentliche Änderung der Eigentumsverhältnisse beim Auftragsverarbeiter, so hat der Auftragsverarbeiter die Auftragsgeberin unverzüglich darüber zu informieren. Der Auftragsverarbeiter wird alle in diesem Zusammenhang involvierten Personen unverzüglich darüber informieren, dass die Hoheit an den Daten bei der Auftraggeberin liegt.

  1. Der Auftragsverarbeiter stellt der Auftraggeberin alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen -, die von der Auftraggeberin oder einem anderen beauftragten Prüfer durchgeführt werden, und trägt hierzu bei.

  1. Soweit der Auftragsverarbeiter der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere Datenschutzbestimmungen der Union oder der Mitgliedsstaaten verstößt, informiert er unverzüglich die Auftraggeberin.

§ 9     Kontrollrechte der Auftraggeberin

  1. Die Auftraggeberin kann nach vorheriger rechtzeitiger Anmeldung zu Prüfzwecken in den Betriebsstätten des Auftragsverarbeiters zu den üblichen Geschäftszeiten mit absoluter Diskretion und ohne Störung des Betriebsablaufs von der Einhaltung der Vorgaben dieses Vertrags, den Vorgaben der DSGVO, des BDSG und weiterer einschlägiger Datenschutzgesetze sowie der technischen und organisatorischen Maßnahmen zur Gewährleistung dieser Vorgaben überzeugen. Unabhängig davon werden regelmäßige Kontrollen mit einem Rhythmus von 2 Jahren vereinbart, wobei der Auftragsverarbeiter auch durch Vorlage von Zertifikaten oder genehmigten Verhaltensregeln die Ordnungsmäßigkeit der Datenverarbeitung darlegen kann. Das Recht der Auftraggeberin, sich im Rahmen von Begehungen persönlich von der Ordnungsmäßigkeit zu überzeugen, bleibt hiervon unberührt.

  1. Der Auftragsverarbeiter kann nach Maßgabe des Art. 28 Abs. 5 DSGVO die Einhaltung der Vorgaben des Art. 28 DSGVO nachweisen.

  1. Unabhängig und unbeschadet des Rechts nach dem vorstehenden Absatz 1 wird der Auftragsverarbeiter der Auftraggeberin auf Anforderung unverzüglich alle Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO enthaltenen Pflichten zur Verfügung stellen. 

  1. Die Maßnahmen, insbesondere die Kontrollen, können auch durch den Datenschutzbeauftragten oder sonstigen Vertreter der Auftraggeberin durchgeführt werden.

§ 10     Unterauftragsverhältnisse

  1. Unterauftragsverhältnisse dürfen mit Ausnahme zu den in Abs. 2 genannten Fällen nur nach vorheriger Anzeige des Auftragsverarbeiters bei der Auftraggeberin abgeschlossen werden. Die Auftraggeberin kann gegen die Beauftragung eines Unterauftragsverarbeiters innerhalb einer Frist von einer Woche nach Zugang der Anzeige schriftlich oder elektronisch Einspruch erheben. Sollte die Auftraggeberin Einspruch erheben, benennt der Auftragsverarbeiter den vorgeschlagenen Unterauftragnehmer nicht ohne zuvor angemessene Maßnahmen zur Behebung der Einwände des Kunden zu ergreifen und dem Kunden diese Maßnahmen hinreichend zu erläutern.

  1. Die Auftraggeberin stimmt der Beauftragung der nachfolgenden Unterauftragnehmer unter der Bedingung einer vertraglichen Vereinbarung mit Unterauftragnehmern zu, die die Bedingungen des Art. 28 Abs. 2 bis 4 DSGVO erfüllen.

    

Unterauftragnehmer

Anschrift/Land

Leistung

Google Ireland Limited

Gordon House, Barrow Street

Dublin 4

Irland

Speicherstandort:

Deutschland

Hosting der Daten und Betrieb Apps



Haufe Lexware GmbH & Co. KG

Munzinger Straße 9, 79111 Freiburg

Erstellung von Rechnungen

Leanplum Inc


TOO Herengracht 280, 1016 BX Amsterdam, Niederlande


Kundenansprache über verschiedene Kanäle

Sendinblue SAS


155 Rue d’Amsterdam, 75008 Paris

Frankreich


Versand von E-Mails

Zendesk, Inc., U.S. corporation formed under the laws of the State of Delaware

1019 Market St
San Francisco, CA 94103
USA


Betrieb einer Wissensdatenbank sowie Support-Systems

Stripe Payments Europe, Ltd.

C/O A&L Goodbody,

Ifsc,

North Wall Quay,

Dublin 1


Abwicklung von Zahlungen

Sofern personenbezogene Daten an Unterauftragsverarbeiter in Drittländer außerhalb der EU/EWR übermittelt werden, stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Über diese Maßnahmen hat der Auftragsverarbeiter die Auftraggeberin auf Anfrage zu informieren. 

  1. Eine weitere Auslagerung durch den Unterauftragsverarbeiter (Unter-Unterauftragsverarbeiter) bedarf der vorherigen Anzeige beim Auftragsverarbeiter. Der Auftragsverarbeiter ist verpflichtet, sämtliche vertraglichen Regelungen in der Vertragskette auch dem Unter-Unterauftragsverarbeiter aufzuerlegen, insbesondere eine Verpflichtung zur Mitwirkung in Bezug auf die Ausübung etwaiger Betroffenenrechte sicherzustellen. Der Auftragsverarbeiter ist auf Anfrage der Auftraggeberin verpflichtet, der Auftraggeberin eine Liste der Unter-Unterauftragsverarbeiter zuzusenden.

  1. Der Auftragsverarbeiter hat der Auftraggeberin den Entwurf des Unterauftragsverarbeitungsvertrags zur Verfügung zu stellen. 

  1. Das Unterauftragsverhältnis ist nach Maßgabe des Art. 28 DSGVO schriftlich oder elektronisch zu beauftragen. Die Beauftragung des Unterauftragsverarbeiters hat dergestalt zu erfolgen, dass der Auftragsverarbeiter dem Unterauftragsverarbeiter dieselben Regelungen wie in diesem Vertrag zwischen der Auftraggeberin und dem Auftragsverarbeiter vereinbart.

  1. Der Auftragsverarbeiter wird auf Verlangen der Auftraggeberin dieser eine Kopie des Vertrags über die Unterauftragsverarbeitung zur Verfügung stellen und alle erforderlichen Auskünfte erteilen.

  1. Bei der Vernichtung muss eine rückinformationssichere Vernichtung DSGVO-konform gewährleistet sein, der Transport in verschlossenen Behältern erfolgen und eine protokollierte physische Vernichtung ohne Einschaltung weiterer Subunternehmer erfolgen.

  1. Die Regelung in § 2 Abs. 5 dieses Vertrags gilt für die Verarbeitung durch Unterauftragsverarbeiter entsprechend.

§ 11     Dauer des Vertrags

  1. Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Die Regelungen zur ordentlichen Kündigung des Hauptvertrags gelten entsprechend.

  1. Die Auftraggeberin ist zu einer jederzeitigen außerordentlichen Kündigung dieses Vertrags sowie des Hauptvertrags aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt für die Auftraggeberin insbesondere vor, wenn

    1. der Auftragsverarbeiter gegen eine wesentliche Pflicht aus diesem Vertrag verstößt, insbesondere bei Verstoß gegen datenschutzrechtliche Vorschriften;

    1. der Auftragnehmer die Daten der Auftraggeberin für andere als nach diesem Vertrag zugelassene Zwecke verwendet;

    1. eine Weisung der Auftraggeberin nach diesem Vertrags nicht oder nur teilweise ausführt;

    1. der Auftragsverarbeiter die Ausübung der Kontrollrechte der Auftraggeberin nach diesem Vertrags verweigert oder nicht nur unerheblich behindert oder

    1. der Auftragsverarbeiter Unterauftragsverarbeiter entgegen § 10 dieses Vertrages einschaltet.

§ 12     Zurückbehaltungsrecht

Die Einrede des Zurückbehaltungsrechts an Daten oder Unterlagen ist während der Vertragsdauer und danach (gleichgültig, aus welchem Grund das Auftragsverhältnis endet) ausgeschlossen.

§ 13     Pflichten bei Auftragsbeendigung

  1. Der Auftragsverarbeiter hat sämtliche Daten der Auftraggeberin nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des Hauptvertrags) zu löschen und von der Auftraggeberin erhaltene Datenträger, die zu diesem Zeitpunkt noch Daten der Auftraggeberin enthalten, an diese zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

  1. Über eine Löschung bzw. Vernichtung von Daten der Auftraggeberin hat der Auftragsverarbeiter ein Protokoll zu erstellen, das der Auftraggeberin auf Anforderung vorzulegen ist.

  1. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

§ 14     Haftung

  1. Der Auftragsverarbeiter haftet für die ordnungsgemäße Ausführung des Auftrags nach den gesetzlichen Bestimmungen. Werden Ansprüche von Betroffenen, deren Daten verarbeitet werden, gegenüber der Auftraggeberin wegen unzulässiger oder unrichtiger Datenverarbeitung geltend gemacht, so hat der Auftragsverarbeiter die Auftraggeberin zu unterstützen und zu beweisen, dass die fehlerhafte Datenverarbeitung nicht in seinem Verantwortungsbereich liegt.

  1. Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.

  1. Der Auftragsverarbeiter haftet für Verschulden seiner weiteren Auftragsverarbeiter oder Subunternehmer wie für eigenes Verschulden.

§ 15     Sonstiges

  1. Änderungen und Ergänzungen dieses Vertrags und aller seiner Bestandteile – einschließlich etwaiger Zusicherungen des Auftragsverarbeiters – bedürfen der schriftlichen oder elektronischen Anzeige und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieses Vertrags handelt. Dies gilt auch für den Verzicht auf das Formerfordernis. Sofern die andere Vertragspartei nicht innerhalb von 14 Tagen nach Zugang der Anzeige schriftlich oder elektronisch widerspricht, wird diese Änderung bzw. Ergänzung wirksam.

  1. Die Unwirksamkeit einer Bestimmung dieses Vertrages berührt nicht die Gültigkeit der übrigen Bestimmungen. Die Parteien werden unwirksame Bestimmungen durch wirtschaftlich ihnen nahe kommende neue Bestimmungen ersetzen.

  1. Es gilt deutsches Recht.

Version 2.0

Datum: 01.03.2020