Dieser Auftragsverarbeitungs-Vertrag ist integrierender Bestandteil und unterliegt den Bedingungen des Vertrags zwischen Vertical-Life (im Folgenden "Auftragnehmer" genannt) und dem Kunden (im Folgenden “Auftraggeber”; zusammen die “Parteien”).
Einleitung, Geltungsbereich, Definitionen
1.1 Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.
1.2 Dieser Vertrag fndet auf alle Tätgkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmer oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
1.3 In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen.
Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand: Der AUFTRAGNEHMER übernimmt folgende Verarbeitungen: Verarbeitung von Daten zur Ausführung des Dienstes „SCG“
Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Vertrag.
2.2 Dauer: Die Verarbeitung beginnt am Tag der Unterzeichnung des Vertrags und erfolgt auf unbestimmte Zeit bis zur Kündigung des Vertrags oder des vorliegenden Auftragsverarbeitungs-Vertrag durch eine Partei.
Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung
3.1 Art und Zweck der Verarbeitung
Die Verarbeitung ist folgender Art: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten
Die Verarbeitung dient folgendem Zweck: Ausführung des Dienstes „SCG“
3.2 Art der Daten
Es werden folgende Daten verarbeitet:
Mitarbeiterdaten des Auftraggebers:
Benutzeridentifikation
Vorname
Nachname
Adresse
Stadt
Postleitzahl
Telefon
Handy, Mobiltelefon
Gehalt
Nutzername
Passwort
letzte Anmeldung
Letzte Login IP
Benutzeranmeldeinformationen:
IP Adresse
Benutzeridentifikation
Zeit
Benutzeraktionsprotokoll:
Kunden ID
Benutzeridentifikation
Log_note
Logdaten
Firmendaten des Auftraggebers:
Kunden ID
Vorname
Nachname
Adresse
Stadt
Postleitzahl
Telefon
Unternehmen
Aktiv
Status
Bank Account Eigner
Bank Account ID
Bankleitzahl
Bank Name
Bank_IBAN
Bank Bic
Bank Swift
Letzte Rechnung Entscheidung
Monatliche Bezahlung
Einnahmen über POS System
Eintritte
Kundendaten des Auftraggebers:
Kontaktmail
Kontakt-Telefon
Anmerkungen
AGB ́s akzeptiert
Kontakt-ID
Kunden ID
Vorname
Nachname
Adresse
PLZ / Ort
Telefon
Unternehmen
Geburtsdatum
Bezahlverfahren
IBAN
BIC
Mitteilungen:
Von Nutzer ID
An Nutzer ID
Nachricht
Kategorien der betroffenen Personen die von der Verarbeitung betroffen sind:
- Mitarbeiter des Auftraggebers
- Firmendaten des Auftraggebers
- Kunden des Auftraggebers
3.3 Verbotene Daten: Der Auftraggber wird dem Auftragnehmer keine sensiblen Daten zur Verarbeitung im Rahmen des Vertrags zur Verfügung stellen (oder deren Bereitstellung veranlassen), und der Auftragnehmer übernimmt keinerlei Haftung für sensible Daten, weder im Zusammenhang mit einem Sicherheitsvorfall noch anderweitig. Der gegenständliche Auftragsverarbeitungs-Vertrag gilt nicht für sensible Daten.
3.4 Der Auftraggeber sichert zu und garantiert, dass er alle anwendbaren Gesetze, einschliesslich der Datenschutzgesetze, bezüglich der Verarbeitung von Daten und aller Verarbeitungsanweisungen, die er an den Auftragnehmer erteilt, eingehalten hat und weiterhin einhalten wird; und er alle Mitteilungen gemacht hat und weiterhin machen wird und alle Zustimmungen und Rechte, die gemäss den Datenschutzgesetzen für die Verarbeitung von personenbezogenen Daten durch den Auftragnehmer für die in der Vereinbarung beschriebenen Zwecke notwendig sind, erhalten hat und erhalten wird. Der Auftraggeber trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten und die Mittel, mit denen er die Kundendaten erworben hat. Unbeschadet der Allgemeingültigkeit des Vorstehenden erklärt sich der Auftraggeber damit einverstanden, dass er für die Einhaltung aller Gesetze (einschließlich der Datenschutzgesetze) verantwortlich ist.
3.5 Der Auftraggber versichert, dass die Verarbeitung der Daten durch den Auftragnehmer in Übereinstimmung mit den Anweisungen des Auftraggbers nicht dazu führt, dass der Auftragnehmer gegen geltende Gesetze, Vorschriften oder Regeln verstößt, einschließlich, aber nicht beschränkt auf Datenschutzgesetze.
Pflichten des Auftragnehmers
4.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
4.2 Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
4.3 Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
4.4 Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
4.5 Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
4.6 Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.
4.7 Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber umgehend zu informieren und im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
4.8 Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggber weiterleiten.
4.9 Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggber unverzüglich mit.
4.10 Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.
4.11 Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz- Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggber unverzüglich mitzuteilen.
Technische und organisatorische Maßnahmen
5.1 Die in Anhang 3 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
5.2 Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
5.3 Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggbers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggber unverzüglich.
5.4 Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
5.5 Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
5.6 Die Verarbeitung von Daten in Privatwohnungen ist gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmers sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird.
5.7 Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.
5.8 Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber auf Anforderung zu überlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.
Regelungen zur Berichtigung, Löschung und Sperrung von Daten
6.1 Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperre.
6.2 Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.
Unterauftragsverhältnisse
7.1 Die Beauftragung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind.
7.3 Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig voneinander abzugrenzen.
7.4 Eine weitere Subbeauftragung durch den Subunternehmer ist nicht zulässig.
7.5 Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.
7.6 Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat.
7.7 Die Beauftragung von Subunternehmern, welche die Verarbeitungen im Auftrag nicht ausschließlich auf dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Artikel 5 genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet.
7.8 Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.
7.9 Zurzeit sind die in Anlage 1 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt.
Rechte und Pflichten des Auftraggebers
8.1 Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
8.2 Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.
8.3 Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
8.4 Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme zu kontrollieren.
8.5 Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt.
Mitteilungspflichten
9.1 Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
9.2 Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
9.3 Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
9.4 Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.
Weisungen
10.1 Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.
10.2 Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen in Anlage 2.
10.3 Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.
10.4 Der Auftragnehmer wird den Auftraggeber darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
Beendigung des Auftrags
11.1 Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Aufrag verarbeiteten Daten nach Wahl des Auftraggeber entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.
11.2 Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.
11.3 Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.
Vergütung
12.1 Die Vergütung des Auftragnehmers ist abschließend im Vertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Auftragsverarbeitungsvertrag erfolgt nicht.
Sonstiges
13.1 Die Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
13.2 Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
13.3 Der vorliegende Vertrag unterliegt italienischem Recht und wird nach diesem Recht ausgelegt und jegliche Rechtsstreitigkeiten, die sich aus dem Vertrag ergeben, unterliegen ausschließlich der Gerichtsbarkeit der Gerichte in Bozen.
Anlage 1 – Zugelassene Subdienstleister
Hosting, Network und Data Services: Google Cloud (GDPR); Amazon Web Services (GDPR)
Web Application Firewall: Cloudflare (GDPR)
Performance Monitoring: App Signal (GDPR)
E-Mail Service: Mailgun (GDPR)
Business Administration: Reviso Cloud Accounting; Atlassian Jira;
Anlage 2 – Weisungsberechtigte Personen
Folgende Personen sind zur Erteilung und Entgegennahme von Weisungen befugt:
Matthias Polig
Iiro Virtanen
Anlage 3 - Technisch-organisatorische Maßnahmen
1 Vertraulichkeit
Zutrittskontrolle: Maßnahmen, die verhindern sollen, dass Unbefugte Zugang zu Datenträgern erhalten, die personenbezogene Daten verarbeiten oder verwenden: Schlüssel; einbruchsichere Fenster und Sicherheitstüren; Begleitung von Personen im Unternehmensgebäude;
Zugangskontrolle: Maßnahmen, die eine unbefugte Systembenutzung verhindern sollen: Passwörter;
Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems durch: Berechtigungsprofile, die eine differenzierte Steuerung des Datenzugriffs ermöglichen; Protokollierung von Zugriffen; sichere Aufbewahrung von Speichermedien; Clear-Desk/Clear-Screen Policy
2 Datenintegrität
Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elekornischer Übertragung oder Transport durch: Verschlüsselung von Dateien; sicher physische Speicherung von Daten durch Cloud Hosting
Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind durch: Protokollierung; Datenprotokolle, die auf verschiedenen Ebenen (z.B. Betriebssystem, Netzwerk, Firewall, Datenbank, Anwendung) erfolgen können; Dokumentenmanagement;
3 Verfügbar- und Belastbarkeit
Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch: Backup Strategy (online/offline; on-site/off-site); Virenschutz; Firewall;
Wiederherstellbarkeit: Daten werden täglich automatisch gesichert und können zu jedem Zeitpunkt wiederhergestellt werden.
4 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Datenschutzmanagement: Jährliche und regelmäßige Datenschutzbewertungen für alle unsere Dienstleistungen.
Incident-Response-Management: Unterstützung bei der Reaktion auf Sicherheitsverletzungen.
Datenschutzfreundliche Voreinstellungen: Privacy by design/privacy by default
Auftragskontrolle: Maßnahmen, die sicherstellen, dass personenbezogene Daten, die im Auftrag des Kunden verarbeitet werden, nur nach den Anweisungen des Kunden verarbeitet werden können. Alle unabhängigen Auftragnehmer und/oder Berater halten sich an die definierten Datenverarbeitungsrichtlinien.