Zervant – Zusatz zur Datenverarbeitung (DPA)
Dieser Zusatz zur Datenverarbeitung (« DPA ») ist ein Anhang zum Servicevertrag zwischen Zervant und dem Kunden und unterliegt dessen Bedingungen, soweit hier nicht anders vereinbart. Er ist nur im Zusammenhang mit dem Servicevertrag zwischen Zervant und dem Kunden rechtskräftig. Der Servicevertrag mit all seinen Anhängen (einschließlich dieses DPA) wird gemeinsam als « Vertrag » bezeichnet.
1. Definitionen des DPA
Für diesen DPA gelten die Definitionen der Servicevereinbarung. Darüber hinaus gelten für die Zwecke dieses DPA die folgenden Definitionen:
Personenbezogene Daten sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person (die betroffene Person), unabhängig davon, ob eine solche Identifizierung direkt oder indirekt erfolgt oder erfolgen kann.
Personenbezogene Kundendaten sind die personenbezogenen Daten des Kunden oder Daten, die anderweitig im Zusammenhang mit dem Geschäft des Kunden stehen.
Verarbeitung bedeutet Vorgänge und Handlungen, die personenbezogene Daten betreffen oder einschließen, wie z.B. das Erheben, das Erfassen, die Organisation, die Speicherung, die Anpassung oder Veränderung, das Auslesen oder die Verwendung.
Datenverantwortlicher ist die Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.
Die betroffene Person ist die natürliche Person, deren personenbezogene Daten verarbeitet werden.
Datenverarbeiter ist die Stelle, die personenbezogene Daten im Auftrag und nach Anweisung des Verantwortlichen verarbeitet.
Datenschutzverletzung bedeutet eine Sicherheitsverletzung, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von, oder beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
Anwendbares Recht ist das Recht und die Praxis, die sich aus der Datenschutz-Grundverordnung, den nationalen Rechtsvorschriften zur Umsetzung oder Ergänzung der Datenschutz-Grundverordnung, den Verordnungen und Erklärungen der Aufsichtsbehörden, einschließlich des Europäischen Datenschutz-Ausschusses, und den Handlungen der Kommission ergeben.
Subunternehmer ist ein Unternehmen, das personenbezogene Daten nach den Anweisungen des Verarbeiters als Subverarbeiter des Verarbeiters verarbeitet.
2. Zweck
Zervant stellt dem Kunden die im Servicevertrag genannten Dienstleistungen zur Verfügung. Im Rahmen der Erbringung der Dienstleistungen für den Kunden gemäß dem Servicevertrag kann Zervant personenbezogene Daten im Auftrag des Kunden verarbeiten. Ziel dieses DPA ist es, die Bedingungen für die Verarbeitung personenbezogener Kundendaten im Zusammenhang mit den Diensten zu vereinbaren.
3. Verpflichtungen des Kunden
3.1 Datenverantwortlicher
Der Kunde ist der Datenverantwortliche in Bezug auf die im Rahmen dieses DPA und des Servicevertrags verarbeiteten personenbezogenen Kundendaten und er ist für die rechtmäßige Erhebung, Verarbeitung und Verwendung sowie für die Richtigkeit der personenbezogenen Kundendaten und die Erfüllung anderer gesetzlicher Verpflichtungen eines Datenverantwortlichen verantwortlich. Der Kunde ist dafür verantwortlich, die betroffenen Personen über die Offenlegung ihrer personenbezogenen Daten zu informieren und gegebenenfalls ihre Zustimmung für diese Offenlegung einzuholen.
Der Kunde erkennt an, dass der Auftragsverarbeiter die ihm zur Verarbeitung im Namen des Kunden offengelegten oder übermittelten personenbezogenen Kundendaten nicht kontrollieren kann und nicht verpflichtet ist, diese zu überprüfen, wenn der Kunde die Dienste nutzt. Der Kunde gewährleistet und haftet dafür, dass er über die entsprechende Rechtsgrundlage verfügt, um die personenbezogenen Kundendaten an den Auftragsverarbeiter zu übermitteln und offenzulegen, damit der Auftragsverarbeiter die personenbezogenen Kundendaten wie zwischen den Parteien vereinbart rechtmäßig verarbeiten kann.
3.2 Anweisungen
Der Kunde bestätigt, dass die Anweisungen des Kunden zur Verarbeitung der personenbezogenen Kundendaten (« Anweisungen ») im Vertrag vollständig enthalten sind. Für den Fall, dass der Kunde seine Anweisungen nachträglich ändern möchte, nutzt er in erster Linie die von den Diensten angebotenen Funktionen. Sollten diese Funktionen jedoch nicht ausreichen, um diese neuen Anweisungen umzusetzen, so hat sich der Kunde schriftlich mit dem Verarbeiter in Verbindung zu setzen. Wenn der Umfang dieser neuen Anweisungen über die Dienstleistungen hinausgeht, ist der Verarbeiter berechtigt, dem Kunden alle zusätzlichen Kosten in Rechnung zu stellen, die im Zusammenhang mit der Ausführung dieser neuen Anweisungen durch den Verarbeiter entstehen. Die Anweisungen müssen wirtschaftlich sinnvoll sein, den geltenden Gesetzen entsprechen und mit dem Vertrag übereinstimmen.
4. Verpflichtungen von Zervant
4.1 Datenverarbeiter
Zervant ist der Verarbeiter der im Rahmen des Vertrags verarbeiteten personenbezogenen Kundendaten. Zervant verpflichtet sich, die anwendbaren Gesetze und Anweisungen des Kunden für die gesamte Verarbeitung der personenbezogenen Kundendaten einzuhalten. Der Verarbeiter darf die personenbezogenen Kundendaten nicht kopieren oder reproduzieren oder diese auf sonstige Weise für andere Zwecke als die im Vertrag vereinbarten verarbeiten.
Der Verarbeiter benachrichtigt den Kunden, wenn er nach allgemeinem Ermessen davon ausgeht, dass neue Anweisungen des Kunden gegen die geltenden Gesetze verstoßen. Der Verarbeiter kann die Umsetzung dieser neuen Anweisung aussetzen, bis sie vom Kunden geändert oder bestätigt wird. Der Kunde ist stets für alle seine Anweisungen, die den geltenden Gesetzen entsprechen, verantwortlich. Der Verarbeiter ist nur dann verpflichtet, den Kunden zu benachrichtigen, wenn er drohende Verstöße gegen die geltenden Gesetze in den Anweisungen feststellt, ist aber ansonsten nicht verpflichtet, die Übereinstimmung der Anweisungen mit den geltenden Gesetzen zu kontrollieren oder zu überprüfen.
4.2 Unterstützung
Zervant verpflichtet sich, den Kunden bei der Erfüllung seiner Pflichten als Datenverarbeiter der von Zervant verarbeiteten personenbezogenen Kundendaten angemessen zu unterstützen. Diese Verpflichtungen können die Unterstützung des Kunden bei der Beantwortung von Anträgen oder Anfragen der zuständigen Aufsichtsbehörden, die Durchführung von Datenschutz-Folgenabschätzungen und das Ersuchen von vorheriger Konsultation bei den Aufsichtsbehörden sowie die Unterstützung des Kunden bei der Umsetzung von Anfragen von betroffenen Personen zu ihren Rechten nach den anwendbaren Gesetzen umfassen.
Was die Unterstützung bei der Beantwortung von Anfragen einer betroffenen Person anbelangt, die ihre Rechte gemäß den anwendbaren Gesetzen ausübt (wie das Auskunftsrecht und das Recht auf Berichtigung oder Löschung), muss der Kunde zunächst die entsprechenden Funktionen der Dienste nutzen. Wenn und soweit der Kunde auf eine solche Anfrage nicht mit Hilfe der Funktionen der Dienste reagieren kann, leistet Zervant dem Kunden anderweitig wirtschaftlich sinnvolle Unterstützung. Zervant ist berechtigt, die durch diese Unterstützung entstehenden angemessenen Mehrkosten in Rechnung zu stellen, und der Kunde ist verpflichtet, die von Zervant in Rechnung gestellten Mehrkosten zu bezahlen.
Falls eine betroffene Person, eine andere Person oder Aufsichtsbehörde Zervant direkt um Unterstützung bei den personenbezogenen Kundendaten ersucht (z.B. Antrag auf Auskunft, Berichtigung oder Löschung, Bereitstellung von Informationen oder Durchführung anderer Maßnahmen), informiert Zervant den Kunden so schnell wie möglich und im Rahmen des geltenden Rechts darüber.
4.3 Weitergabe personenbezogener Daten
Zervant verarbeitet hauptsächlich personenbezogene Kundendaten innerhalb des Europäischen Wirtschaftsraums (« EWR »). Um die Dienstleistungen erbringen zu können, muss Zervant jedoch von Zeit zu Zeit die personenbezogenen Kundendaten auch außerhalb des EWR offenlegen oder übermitteln. Diese Situationen können Fälle umfassen, in denen sich die Subunternehmer von Zervant oder deren Systeme außerhalb des EWR befinden. In solchen Fällen trifft Zervant stets die notwendigen rechtlichen Vorkehrungen, um die Sicherheit und Vertraulichkeit der personenbezogenen Kundendaten in Übereinstimmung mit den geltenden Gesetzen zu gewährleisten. Der Kunde anerkennt und akzeptiert diese Offenlegungen und Übermittlungen im Zusammenhang mit den Diensten. Auf Verlangen des Kunden stellt Zervant dem Kunden weitere Informationen über solche Übermittlungen und die getroffenen rechtlichen Vorkehrungen zur Verfügung.
Das Recht von Zervant, Subunternehmer einzusetzen, ist weiter unten in Abschnitt 6 beschrieben.
4.4 Datenschutzbeauftragter
Zervant hat einen Datenschutz- und Informationsbeauftragten ernannt, der sich um den Datenschutz kümmert. Falls nach geltendem Recht erforderlich, ernennt Zervant einen Datenschutzbeauftragten und teilt dem Kunden auf Anfrage die entsprechenden Kontaktdaten mit.
4.5 Mitarbeiter
Zervant macht seine Mitarbeiter, die an der Verarbeitung personenbezogener Daten (einschließlich personenbezogener Kundendaten) beteiligt sind, mit den Datenschutzbestimmungen der geltenden Gesetze vertraut, erteilt ihnen Anweisungen, schult sie und gewährleistet, dass diese Mitarbeiter sich zur angemessenen Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Hat der Kunde spezifische Anweisungen zur Verarbeitung der personenbezogenen Kundendaten erteilt, unterrichtet Zervant auch seine an der Verarbeitung der personenbezogenen Kundendaten beteiligten Mitarbeiter über den Inhalt dieser Anweisungen.
4.6 Sicherheit
Zervant setzt angemessene technische und organisatorische Sicherheitsmaßnahmen ein und erhält diese aufrecht, um alle von ihr verarbeiteten personenbezogenen Daten (einschließlich der personenbezogenen Kundendaten) zu schützen. Zervant wählt solche Sicherheitsmaßnahmen nach eigenem Ermessen, z.B. auf der Grundlage von Industriestandards, Marktpraktiken und den spezifischen Anforderungen der anwendbaren Gesetze. Zervant kann seine Sicherheitsmaßnahmen von Zeit zu Zeit ändern, wird aber das allgemeine Sicherheitsniveau während der Laufzeit des DPA nicht verringern.
Zervant gewährleistet jederzeit die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, die sie für die Verarbeitung personenbezogener Daten verwendet. Zervant prüft, untersucht und bewertet regelmäßig die Wirksamkeit der von Zervant durchgeführten technischen und organisatorischen Sicherheitsmaßnahmen. Zervant verpflichtet sich, Regelungsentscheidungen über geeignete Sicherheitsmaßnahmen für die Verarbeitung personenbezogener Daten einzuhalten.
Im Falle eines Sicherheitsvorfalls, der zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den von Zervant verarbeiteten personenbezogenen Kundendaten führt (« Sicherheitsvorfall »), informiert Zervant den Kunden unverzüglich über diesen Sicherheitsvorfall.
Eine solche Benachrichtigung über einen Sicherheitsvorfall muss mindestens die nach den anwendbaren Gesetzen erforderlichen Angaben enthalten:
- a) eine Beschreibung der Art und des Umfangs des Sicherheitsvorfalls, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der von dem Sicherheitsvorfall betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der von dem Sicherheitsvorfall betroffenen personenbezogenen Kundendaten;
- b) Name und Kontaktdaten des Datenschutzbeauftragten von Zervant (falls ernannt) oder anderer Kontaktstellen, bei denen weitere Informationen erhältlich sind;
- c) eine Beschreibung der geschätzten Folgen des Sicherheitsvorfalls und
- d) eine Beschreibung der Maßnahmen, die Zervant ergriffen hat oder zu ergreifen gedenkt, um den Sicherheitsvorfall zu beheben und zu berichtigen, einschließlich Maßnahmen zur Abschwächung seiner möglichen negativen Auswirkungen.
Die oben genannten Informationen über den Sicherheitsvorfall können auch in Phasen bereitgestellt werden, wenn Zervant sie nicht alle gleichzeitig zur Verfügung stellen kann, wenn der Kunde über den Sicherheitsvorfall informiert wird. Zervant dokumentiert alle vorgefallenen Sicherheitsvorfälle in Übereinstimmung mit den geltenden Gesetzen.
5. Prüfung
Zervant führt angemessene Aufzeichnungen über die Verarbeitung personenbezogener Kundendaten, oder dokumentiert diese anderweitig, sofern und soweit dies nach geltendem Recht erforderlich ist. Auf Verlangen legt Zervant dem Kunden eine Kopie des entsprechenden Teils dieser Unterlagen oder Aufzeichnungen über die Verarbeitung personenbezogener Kundendaten durch Zervant vor.
Der Kunde oder ein vom Kunden beauftragter externer Prüfer kann die Einhaltung dieser DPA und der anwendbaren Gesetze über die Verarbeitung personenbezogener Kundendaten durch Zervant gemäß den Bestimmungen dieses DPA überprüfen. Der Kunde muss Zervant über jede beabsichtigte Prüfung in den Räumlichkeiten von Zervant schriftlich und immer mindestens einundzwanzig (21) Tage im Voraus informieren. Zervant richtet eine Testplattform ein, auf der der Kunde die Prüfung der Dienste von Zervant durchführen kann. Solche Prüfungen müssen in erster Linie von einem unabhängigen Dritten und immer während der normalen Geschäftszeiten von Zervant durchgeführt werden, ohne den Geschäftsbetrieb von Zervant erheblich zu stören.
Zervant stellt eine Kopie seiner Aufzeichnungen über die Verarbeitung personenbezogener Kundendaten und alle anderen für die Prüfung relevanten Unterlagen zur Verfügung und verpflichtet sich auf Anfrage des Kunden, den Kunden bei den Prüfungen angemessen zu unterstützen. Für jede weitere vom Kunden gewünschte Dokumentation, Unterstützung oder Dienstleistung behält sich Zervant das Recht vor, den Aufwand und die entstehenden angemessenen Kosten dem Kunden in Rechnung zu stellen. Dazu gehört auch eine angemessene Vergütung für die Arbeitszeit der Mitarbeiter von Zervant, die den Kunden bei seiner Prüfung unterstützen. Der Kunde ist für seine eigenen Kosten (einschließlich der Kosten eines eventuell eingesetzten externen Prüfers) im Zusammenhang mit solchen Prüfungen verantwortlich.
Zervant stimmt ebenso zu, von den zuständigen Aufsichtsbehörden initiierte und durchgeführte Prüfungen der Verarbeitung personenbezogener Kundendaten durch Zervant zuzulassen, und verpflichtet sich, diesen zuständigen Aufsichtsbehörden die erforderlichen Informationen über seine Verarbeitungstätigkeiten zur Verfügung zu stellen. Erhält Zervant eine Mitteilung von einer zuständigen Aufsichtsbehörde über eine beabsichtigte Prüfung der Verarbeitung personenbezogener Kundendaten, informiert Zervant den Kunden unverzüglich über die beabsichtigte Prüfung durch die Aufsichtsbehörde.
6. Subunternehmer
Zervant setzt im Zusammenhang mit seinen Dienstleistungen Subunternehmer ein, von denen einige auch an der Verarbeitung personenbezogener Kundendaten beteiligt sind. Der Kunde erteilt seine allgemeine Genehmigung und Zustimmung, dass Zervant die mit ihr verbundenen Unternehmen und andere Subunternehmer zur Verarbeitung personenbezogener Kundendaten im Zusammenhang mit der Erbringung der Dienstleistungen beteiligen und nutzen darf, sofern eine solche Ernennung nicht zur Nichteinhaltung der anwendbaren Gesetze oder der Verpflichtungen von Zervant im Rahmen dieses DPA führt.
Zervant gewährleistet, dass die beteiligten Subunternehmer ordnungsgemäß qualifiziert sind, einen Datenverarbeitungsvertrag mit Zervant abschließen und die Datenverarbeitungs- und Vertraulichkeitsverpflichtungen mindestens ebenso umfassend wie die in diesem DPA vereinbarten einhalten. Zervant überwacht regelmäßig die Leistung seiner Subunternehmer und haftet für deren Arbeit gegenüber dem Kunden wie für sich selbst. Zervant verpflichtet sich, dem Kunden auf seinen Wunsch eine Liste ihrer im Zusammenhang mit den Dienstleistungen eingesetzten Subunternehmer zur Verfügung zu stellen.
Zervant kann seine Subunternehmer in Übereinstimmung mit den Bestimmungen dieses DPA und den anwendbaren Gesetzen frei wählen und wechseln. Dennoch informiert Zervant den Kunden über alle wesentlichen Änderungen bei seinen Subunternehmern. Wenn der Kunde zu Recht der Ansicht ist, dass eine solche Änderung bei den Subunternehmern von Zervant ein Risiko für die personenbezogenen Kundendaten darstellen würde, hat der Kunde das Recht, gegen eine solche Änderung bei den Subunternehmern von Zervant Einspruch zu erheben.
7. Haftung
Bei der Verarbeitung personenbezogener Kundendaten im Zusammenhang mit dem Vertrag haften beide Parteien einander gegenüber für unmittelbare Einbußen und Schäden, die durch ihre Verletzungen dieses DPA oder der anwendbaren Gesetze gegenüber der nicht verletzenden Partei verursacht werden (einschließlich, aber nicht beschränkt auf administrative Sanktionen, die von den zuständigen Aufsichtsbehörden verhängt werden). Keine der Parteien haftet für mittelbare Schäden, Folgeschäden oder Einbußen, einschließlich, aber nicht beschränkt auf Gewinnverlust, Ertragseinbußen, Rufschädigung oder Verlust des Firmenwerts (Goodwill).
Die Haftung der Parteien richtet sich nach der im Vertrag vereinbarten Haftungsobergrenze.
8. Gültigkeit
Dieser DPA tritt am selben Tag in Kraft wie die Datenschutz-Grundverordnung und bleibt bis zur Beendigung des Vertrages gültig.
Während des Zeitraums von dreißig (30) Tagen nach Beendigung des Vertrages stellt Zervant dem Kunden auf seinen Wunsch die Kundendaten unverzüglich zur Verfügung. Nach Beendigung des Vertrages gibt Zervant alle personenbezogenen Kundendaten (sowie alle Kopien davon) unverzüglich an den Kunden zurück oder vernichtet diese, es sei denn, Zervant ist verpflichtet, die personenbezogenen Kundendaten aufgrund der Anforderungen der für Zervant geltenden Gesetze aufzubewahren.