Datenverarbeitungsvertrag

Anlage I
Datenverarbeitungsvertrag

Bestimmungen zu Datenschutz und Datensicherheit bei der Auftragsverarbeitung von Daten

zwischen

Hotel

– Verantwortlicher –
(im Folgenden „der Verantwortliche“)

und

Base7Germany GmbH
c/o trivago N.V.
Kesselstrasse 5-7
40221 Düsseldorf
Deutschland

– Auftragsverarbeiter –
(im Folgenden „der Auftragsverarbeiter“)

(Beide gemeinsam werden als die „Parteien“ bezeichnet.)

Präambel

 Um die aus der vertraglichen Beziehung zum Zwecke der Datenverarbeitung gemäß Art. 28 der DSGVO entstehenden Rechte und Pflichten zu regeln, schließen die Vertragsparteien den folgenden Vertrag.

1. Gegenstand, Art und Zweck der Verarbeitung

  • Der Gegenstand der Verarbeitung ergibt sich aus den Allgemeinen Geschäftsbedingungen (AGB) (im Folgenden der „Hauptvertrag), auf die dieser Text Bezug nimmt. Eine darüber hinausgehende Verarbeitung von personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter ist nicht beabsichtigt.
  • Die Verarbeitung von personenbezogenen Daten findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, eines Mitgliedsstaats der Europäischen Union, der Schweiz oder eines anderen Vertragsstaats des Abkommens über den Europäischen Wirtschaftsraum statt. Jegliche Übertragung in ein Drittland erfordert eine vorherige dokumentierte Weisung des Verantwortlichen (Art. 28 Abs. 3 Punkt a DSGVO) und darf nur erfolgen, wenn die besonderen Anforderungen aus Art. 44-49 DSGVO erfüllt sind.

2. Art der personenbezogenen Daten, Kategorien von betroffenen Personen

(1) Art der Daten:

☒  Personenbezogene Stammdaten
☒  Kommunikationsdaten (z. B. Telefonnummern, E-Mail-Adressen)
☒  Vertragsdaten (Vertragsbeziehung, Produkt oder vertragliche Interessen)
☒  Kunden-/Klientenhistorie
☒  Vertragliche Abrechnungsdaten und Zahlungsinformationen
☒  Informationen von Dritten (z. B. Auskunfteien oder öffentliche Verzeichnisse)

(2) Kategorien von betroffenen Personen:

☒ Kunden (Geschäftskunden)
☒ Kunden (Verbraucher)
☒ Potenzielle Kunden
☒ Mitarbeiter
☒ Lieferanten

3. Dauer der Beauftragung

  • Die Dauer der Beauftragung („Laufzeit“) entspricht der Laufzeit des Hauptvertrags.
  • Ungeachtet der Bestimmungen des Hauptvertrags kann der Verantwortliche diesen Vertrag jederzeit fristlos kündigen, wenn der Auftragsverarbeiter einen schwerwiegenden Verstoß gegen diesen Vertrag begangen hat, wenn der Auftragsverarbeiter die Weisungen des Verantwortlichen nicht umsetzen kann oder will oder wenn der Auftragsverarbeiter sich entgegen der vertraglichen Bestimmungen weigert, dem Verantwortlichen im Rahmen von Überprüfungen Informationen zur Verfügung zu stellen oder ihm Zutritt zu gewähren. Nach einer Kündigung darf der Auftragsverarbeiter keine personenbezogenen Daten des Verantwortlichen mehr verarbeiten.

4. Verantwortung und Weisungsbefugnis

  • Der Verantwortliche trägt die Verantwortung für die Einhaltung der Datenschutzvorschriften, insbesondere für die Rechtmäßigkeit der Datenübertragung an den Auftragsverarbeiter und die Rechtmäßigkeit der Datenverarbeitung (Art. 4 Abs. 7 DSGVO). Der Auftragsverarbeiter darf die Daten zu keinen anderen Zwecken verwenden und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Ohne Wissen des Verantwortlichen werden keine Kopien oder Duplikate angefertigt. Ausnahmen gelten lediglich in dem in Absatz 2 dieser Klausel angegebenen Umfang.
  • Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur nach dokumentierten Weisungen des Verantwortlichen, sofern die Gesetze der Europäischen Union oder des jeweiligen Mitgliedsstaats, denen der Auftragsverarbeiter unterliegt, nichts anderes vorschreiben. Im Falle widersprüchlicher Verpflichtungen informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung unverzüglich über die entsprechenden rechtlichen Anforderungen.
  • Falls der Auftragsverarbeiter der Ansicht ist, dass eine Weisung gegen Datenschutzvorschriften verstößt, muss der Auftragsverarbeiter den Verantwortlichen unverzüglich gemäß Artikel 28 Abs. 3 Satz 3 DSGVO informieren. Der Auftragsverarbeiter ist berechtigt, die Ausführung der Weisung auszusetzen, bis die Weisung bestätigt oder geändert wurde.

5. Vertraulichkeit

Der Auftragsverarbeiter betraut nur Personen mit der Ausführung der Arbeiten, die sich gemäß Art. 28 Abs. 3 Satz 2 Punkt b DSGVO zur Vertraulichkeit verpflichtet haben und sich vorab mit den für sie relevanten Datenschutzvorschriften vertraut gemacht haben. Der Auftragsverarbeiter und jegliche unter der Kontrolle des Auftragsverarbeiters stehenden Personen, die Zugriff auf die personenbezogenen Daten haben, dürfen diese Daten nur gemäß den Weisungen des Verantwortlichen verarbeiten, einschließlich der mit diesem Vertrag erteilten Vollmachten, sofern sie nicht gesetzlich zur Verarbeitung der Daten verpflichtet sind.

6. Datensicherheit

  • Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen zum angemessenen Schutz von personenbezogenen Daten gemäß Art. 28 Abs. 3 Punkt c DSGVO in Verbindung mit Art. 32 Abs. 1 DSGVO ergreifen, um die Sicherheit der Verarbeitung durch den Auftragsverarbeiter zu gewährleisten. Zu diesem Zweck muss der Auftragsverarbeiter
  • die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung langfristig sicherstellen,
  • die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, und
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung befolgen.

Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen.

  • Die Vertragsparteien vereinbaren die Datensicherheitsmaßnahmen, die in Anhang 1 „Technische und organisatorische Maßnahmen“ dieser Vereinbarung beschrieben sind.
  • Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und weiteren Entwicklungen. In dieser Hinsicht ist es dem Auftragsverarbeiter gestattet, alternative geeignete Maßnahmen zu implementieren. Das Sicherheitsniveau darf nicht unter das der beschriebenen Maßnahmen fallen. Wesentliche Änderungen müssen dokumentiert und den Verantwortlichen schriftlich mitgeteilt werden.

7. Beauftragung weiterer Auftragsverarbeiter (Unterauftragnehmer)

  • Zum Zwecke dieser Bestimmung sind Unterauftragnehmer Auftragsverarbeiter, die vom Auftragsverarbeiter beauftragt werden und deren Dienstleistungen in einem direkten Zusammenhang mit der Hauptdienstleistung stehen. Hierzu zählen keine unterstützenden Dienstleistungen, die der Auftragsverarbeiter in Anspruch nimmt, etwa Telekommunikationsdienstleistungen, Postversand-/Transportdienstleistungen und Reinigung. Allerdings ist der Auftragsverarbeiter verpflichtet, angemessene, den rechtlichen Vorschriften entsprechende vertragliche Vereinbarungen zu schließen und Kontrollmaßnahmen zu ergreifen, um den Datenschutz und die Sicherheit der Daten des Verantwortlichen auch im Falle von unterstützenden Dienstleistungen, die von externen Anbietern erbracht werden, zu gewährleisten.
  • Die Beauftragung von Unterauftragnehmern oder der Wechsel des aktuellen Unterauftragnehmers ist zulässig, sofern:
    • der Auftragsverarbeiter den Verantwortlichen mit einer angemessenen Frist vorab in Schrift- oder Textform über die Beauftragung von Unterauftragnehmern informiert und
    • der Verantwortliche nicht bis zum Datum der Übergabe der Daten an den Auftragsverarbeiter in Schrift- oder Textform Einwände gegen die geplante Beauftragung erhebt.
  • Gemäß Art. 28 Abs. 3 und 4 DSGVO muss eine vertragliche Vereinbarung mit dem Unterauftragnehmer geschlossen werden, die die Anforderungen im Hinblick auf Datenschutz und Datensicherheit aus diesem Vertrag erfüllt. Der Verantwortliche ist berechtigt, die Verträge des Auftragsverarbeiters mit den Unterauftragnehmern zu überprüfen und zu verlangen, dass der Auftragsverarbeiter ihm eine Kopie dieser Verträge zusendet.
  • Falls der Unterauftragnehmer die vereinbarte Dienstleistung außerhalb der EU/des EWR erbringt, stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch geeignete Maßnahmen sicher.
  • Eine Weitergabe des Auftrags durch den Unterauftragnehmer erfordert die ausdrückliche Einwilligung des Verantwortlichen (zumindest in Textform). Alle vertraglichen Bestimmungen in dieser Auftragskette müssen ebenfalls an alle Unterauftragnehmer weitergegeben werden.

8. Unterstützung beim Schutz der Rechte betroffener Personen

  • Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen beim Schutz der in Art. 12 bis 22 DSGVO beschriebenen Rechte der betroffenen Personen zu unterstützen (Art. 28 Abs. 3 Satz 2 Punkt e DSGVO). Insbesondere muss der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung des Rechtsanspruchs der betroffenen Personen auf Löschung ihrer personenbezogenen Daten gemäß Artikel 17 DSGVO unterstützen.
  • Falls betroffene Personen das Recht auf Datenübertragbarkeit gegenüber dem Verantwortlichen geltend machen können, muss der Auftragsverarbeiter sicherstellen, dass sie die Daten, die sie dem Verantwortlichen zur Verfügung gestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format erhalten können.
  • Der Auftragsverarbeiter darf personenbezogene Daten nur gemäß den dokumentierten Weisungen des Verantwortlichen berichtigen und korrigieren bzw. ihre Verarbeitung einschränken (Art. 28 Abs. 3 Satz 2 Punkt g DSGVO). Der Auftragnehmer darf Dritten oder den Betroffenen nur mit vorheriger schriftlicher Einwilligung des Verantwortlichen Informationen zur Verfügung stellen.
  • Wenn eine betroffene Person, die ihre Rechte aus den Artikeln 12 bis 22 der DSGVO geltend machen möchte, den Auftragsverarbeiter direkt kontaktiert, leitet der Auftragsverarbeiter die Aufforderung unverzüglich an den Verantwortlichen weiter.

9. Unterstützung bei Dokumentations- und Meldepflichten

  • Falls der Auftragsverarbeiter gemäß Art. 37 DSGVO, Paragraf 37 BDSG (neu) gesetzlich verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, stellt der Auftragsverarbeiter dem Verantwortlichen die Kontaktdaten des Datenschutzbeauftragten zum Zwecke der direkten Kontaktaufnahme zur Verfügung. Ein Wechsel des Datenschutzbeauftragten ist dem Verantwortlichen unverzüglich mitzuteilen.

Als Datenschutzbeauftragter des Auftragsverarbeiters wurde

Herr Felix Hudy, intersoft consulting services AG, Beim Strohhause 17, 20097 Hamburg, Telefon: +49 40 790 235 – 278  |  Mobiltelefon: +49 151 619 419 76  |  E-Mail: FHudy@intersoft-consulting.de

bestellt. Der Ansprechpartner in Datenschutzfragen muss in der Lage sein, auf Anforderung des Verantwortlichen Belege dafür vorzulegen, dass der Auftragsverarbeiter die Vorgaben der nationalen und internationalen Datenschutzgesetze erfüllt.

  • Falls der Auftragsverarbeiter Kenntnis über eine Verletzung des Schutzes personenbezogener Daten erlangt, benachrichtigt er den Verantwortlichen gemäß Art. 28 Abs. 3 Punkt f, Art. 33 Abs. 2 DSGVO unverzüglich über diese Verletzung. Gleiches gilt, wenn Mitarbeiter des Auftragnehmers gegen diese Vereinbarung verstoßen.
  • Nach Rücksprache mit dem Verantwortlichen ergreift der Auftragsverarbeiter unverzüglich die notwendigen Maßnahmen, um die Daten zu sichern und jegliche möglichen negativen Folgen für die betroffenen Personen zu minimieren.
  • Der Auftragsverarbeiter unterstützt den Verantwortlichen mit allen ihm zur Verfügung stehenden Informationen bei der Erfüllung der Informationspflichten gegenüber der zuständigen Aufsichtsbehörde gemäß Art. 33 DSGVO und ggf. gegenüber den betroffenen Personen, die von der Verletzung des Schutzes personenbezogener Daten betroffen sind, gemäß Art. 34 DSGVO.
  • Der Auftragsverarbeiter unterstützt den Verantwortlichen mit allen ihm zur Verfügung stehenden Informationen bei der Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und bei Bedarf bei einer vorherigen Konsultation mit der zuständigen Aufsichtsbehörde gemäß Art. 36 DSGVO.
  • Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über jegliche Prüfungen und Maßnahmen der zuständigen Aufsichtsbehörde, sofern diese in einem Zusammenhang mit diesem Vertrag stehen.

10. Kündigung der Beauftragung

  • Entsprechend der Entscheidung des Verantwortlichen löscht der Auftragsverarbeiter alle personenbezogenen Daten oder gibt sie an den Verantwortlichen zurück, wenn die Erbringung von Verarbeitungsdienstleistungen beendet ist, und löscht vorhandene Kopien, sofern die Gesetze der Europäischen Union oder des Mitgliedsstaats nicht die Speicherung der personenbezogenen Daten vorschreiben.
  • Der Auftragsverarbeiter muss dem Verantwortlichen ohne ausdrückliche Aufforderung in Textform mit Datumsangabe belegen, dass er alle Datenträger und sonstigen Dokumente an den Verantwortlichen zurückgegeben oder sie gemäß den Datenschutzvorschriften vernichtet oder gelöscht hat und daher keine Daten des Verantwortlichen mehr besitzt.
  • Der Auftragsverarbeiter bewahrt jegliche und sämtliche Dokumente, die als Beleg für die ordnungsgemäße und rechtmäßige Datenverarbeitung für den Verantwortlichen dienen, über das Ende der Vertragslaufzeit hinaus auf. Der Auftragsverarbeiter kann sie dem Verantwortlichen am Ende der Vertragslaufzeit zu seiner Entlastung zurückgeben.

11. Kontrollrechte des Verantwortlichen

  • Der Verantwortliche ist berechtigt, die technischen und organisatorischen Maßnahmen sowie die Einhaltung dieses Vertrags und der Datenschutzvorschriften vor und während der Erbringung der Verarbeitungsdienstleistungen regelmäßig zu überprüfen. Zu diesem Zweck kann der Verantwortliche oder ein bevollmächtigter Prüfer die Datenverarbeitungsanlagen und die Datenverarbeitungssysteme des Auftragsverarbeiters überprüfen.
  • Zu diesem Zweck ist der Auftragsverarbeiter verpflichtet, dem Verantwortlichen während der üblichen Geschäftszeiten und nach Ankündigung mit einer ausreichenden Frist Zugang zu den Einrichtungen zu gewähren, in denen die Daten des Verantwortlichen physisch oder elektronisch verarbeitet werden. Der Verantwortliche koordiniert die Überprüfungen mit dem Auftragsverarbeiter so, dass die Betriebsabläufe des Auftragsverarbeiters möglichst wenig beeinträchtigt werden.
  • Der Auftragsverarbeiter stellt dem Verantwortlichen alle notwendigen Informationen zur Verfügung, um die technischen und organisatorischen Maßnahmen sowie die Einhaltung dieses Vertrags und der Datenschutzvorschriften nachzuweisen. Zu diesen Informationen zählen insbesondere auch aktuelle Bescheinigungen, Berichte oder Auszüge aus Berichten von unabhängigen Organen (z. B. Wirtschaftsprüfer, externe Sachverständige, IT-Sicherheits- und Datenschutzprüfer) und geeignete Zertifizierungen (z. B. gemäß IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik, BSI). Der Auftragnehmer stellt dem Verantwortlichen spezifische Informationen unverzüglich fallweise zur Verfügung.

12. Haftung

  • 82 Abs. 1 DSGVO zufolge haften der Verantwortliche und der Auftragsverarbeiter im Rahmen ihrer externen Beziehung für materielle und immaterielle Schäden, die Personen wegen eines Verstoßes gegen die DSGVO erleiden. Wenn sowohl der Verantwortliche als auch der Auftragsverarbeiter gemäß Art. 82 Abs. 2 DSGVO für solche Schäden verantwortlich sind, haften die Parteien intern proportional gemäß ihrem Anteil an der Verantwortung für solche Schäden. Falls eine Person in einem solchen Fall Schadenersatzansprüche ganz oder teilweise gegen eine der Parteien geltend macht, kann die andere Partei Schadenersatz oder eine Entschädigung in der Höhe, die ihrem Anteil an der Verantwortung entspricht, von der anderen Partei verlangen.
  • Der Auftragsverarbeiter haftet dem Verantwortlichen gegenüber auch für die Einhaltung der Datenschutzvorschriften durch die Unterauftragnehmer, die er damit beauftragt hat, seine Aufgaben zu erfüllen. Das Verschulden des Unterauftragnehmers wird dem Auftragsverarbeiter zugeschrieben, als sei es sein eigenes Verschulden.
  • Der Auftragsverarbeiter unterstützt den Verantwortlichen mit allen ihm zur Verfügung stehenden Informationen, falls der Verantwortliche Gegenstand von verwaltungs- oder strafrechtlichen Verfahren, Haftungsansprüchen von Betroffenen oder Dritten oder anderen Rechtsansprüchen im Zusammenhang mit der Verarbeitung von Daten beim Auftragsverarbeiter wird.

13. Schlussbestimmungen

  • Datenträger und Datensätze, die dem Auftragsverarbeiter zur Verfügung gestellt werden, bleiben Eigentum des Verantwortlichen.
  • Falls einzelne bzw. mehrere Klauseln dieses Vertrags unwirksam sein sollten, bleibt die Wirksamkeit des übrigen Vertrags davon unberührt. Falls einzelne bzw. mehrere Bestimmungen des Vertrags nichtig sind, wird die nichtige Bestimmung von den Parteien unverzüglich durch eine Bestimmung ersetzt, die der nichtigen Bestimmung im Hinblick auf die wirtschaftlichen Interessen und den Datenschutz möglichst nahekommt.
  • Im Falle eines Widerspruchs zwischen dem Hauptvertrag und diesem Vertrag hat dieser Vertrag Vorrang, sofern der Widerspruch die Verarbeitung personenbezogener Daten betrifft.
  • Alle Dienstleistungen, die der Auftragsverarbeiter im Zusammenhang mit der Erfüllung seiner Verpflichtungen aus diesem Vertrag erbringt, werden den Regelungen aus dem Hauptvertrag entsprechend vergütet.
  • Die folgenden Anhänge stellen einen integralen Bestandteil dieser Vereinbarung dar.
  • Anhang 1 „Technische und organisatorische Maßnahmen“
  • Anhang 2 „Genehmigte Unterauftragnehmer“

Jetzt kostenlos registrieren

© Base7booking.com - Alle Rechte vorbehalten