Datenverarbeitungsvereinbarung

In Verbindung mit den laut der Dienstleistungsvereinbarung („DIENSTLEISTUNGSVEREINBARUNG“) durch den Dienstanbieter –Imprima oder das jeweilige in die DIENSTLEISTUNGSVEREINBARUNG mit einbezogene VERBUNDENE UNTERNEHMEN als Auftragsverarbeiter (im Folgenden als „DIENSTANBIETER“ bezeichnet) – für den KUNDEN („KUNDE“) als Verantwortlichen erbrachten Dienstleistungen haben die Vertragsparteien die folgende Datenverarbeitungsvereinbarung („VEREINBARUNG“) abgeschlossen, um den Verpflichtungen des KUNDEN gemäß DATENSCHUTZRECHT gerecht zu werden. Diese VEREINBARUNG wird durch Bezugnahme mit in die DIENSTLEISTUNGSVEREINBARUNG übernommen.

DURCH DIE WEITERE LIEFERUNG BZW. NUTZUNG DER DIENSTLEISTUNGEN STIMMEN DIE VERTRAGSPARTEIEN DIESER VEREINBARUNG ZU.

ES WURDE FOLGENDES VEREINBART:

  1. DEFINITIONEN
    1. Im Rahmen der VEREINBARUNG haben die Wörter in Großbuchstaben die in der DIENSTLEISTUNGSVEREINBARUNG definierte Bedeutung, sofern an anderer Stelle nicht ausdrücklich eine andere Regelung vorgesehen ist.
      1. „VERBUNDENES UNTERNEHMEN“ bezeichnet eine Einheit, die während der LAUFZEIT eine der Vertragsparteien zeitweise direkt oder indirekt kontrolliert, von dieser kontrolliert wird oder mit dieser einer gemeinsamen Kontrolle untersteht.
      2. „DATENSCHUTZRECHT“ bezeichnet die auf die Datenverarbeitung in Verbindung mit den DIENSTLEISTUNGEN anwendbaren Datenschutzgesetze, darunter, soweit anwendbar, die Verordnung (EU) 2016/679 in der jeweils gültigen Fassung bzw. die sie ersetzende VERORDNUNG, RICHTLINIE oder ein sonstiges Rechtsinstrument der Europäischen Union, insbesondere die DATENSCHUTZ-GRUNDVERORDNUNG oder ein ähnliches Gesetz, sowie die anwendbaren Datenschutzgesetze der jeweils maßgeblichen Rechtsordnung.
      3. „ENDBENUTZER“ ist gemäß der in der DIENSTLEISTUNGSVEREINBARUNG definierten Definition zu verstehen
      4. „DIENSTLEISTUNGEN“ bezeichnet die in der DIENSTLEISTUNGSVEREINBARUNG und im Folgenden beschriebenen Dienstleistungen
      5. „VERTRAGSKLAUSELN“ bezeichnet die Standardvertragsklauseln der Europäischen Kommission bezüglich der Übertragung personenbezogener Daten über Grenzen hinweg in der jeweiligen Fassung oder wie gelegentlich ersetzt durch entsprechende Vertragsklauseln, die für den Einsatz im DATENSCHUTZRECHT gebilligt wurden
      6. „PERSONENBEZOGENE KUNDENDATEN“ bezeichnet die personenbezogenen Daten, die von uns in Verbindung mit den DIENSTLEISTUNGEN wie unten beschrieben verarbeitet werden. Gemäß Absatz 2.1 kann sich dieser Begriff auch auf die personenbezogenen Daten eines VERBUNDENEN UNTERNEHMENS des KUNDEN beziehen.
    2.  Die Begriffe „betroffene Person“„personenbezogene Daten“, „Verarbeitung“ und Varianten davon, „Verantwortlicher“ und „Auftragsverarbeiter“ haben die Bedeutung, die ihnen im DATENSCHUTZRECHT zugewiesen worden sind.
  2. BEAUFTRAGUNG
    2.1. Der KUNDE wird von seinen VERBUNDENEN UNTERNEHMEN und ENDBENUTZERN (KUNDE, VERBUNDENE UNTERNEHMEN und ENDBENUTZER im Folgenden gemeinsam als „AUFTRAGSPARTEIEN“ bezeichnet) beauftragt, verschiedene Dienstleistungen, einschließlich der DIENSTLEISTUNGEN, für sie zu erbringen und zu verwalten. Deshalb können die PERSONENBEZOGENEN KUNDENDATEN auch personenbezogene Daten umfassen, für die eine der AUFTRAGSPARTEIEN der Verantwortliche ist. Der KUNDE bestätigt hiermit, dass er im Zusammenhang mit den DIENSTLEISTUNGEN berechtigt ist, Anweisungen oder andere Anforderungen hinsichtlich der Verarbeitung PERSONENBEZOGENER KUNDENDATEN im Namen einer oder aller AUFTRAGSPARTEIEN an den DIENSTANBIETER weiterzugeben.
    2.2. Der DIENSTANBIETER wird vom KUNDEN beauftragt, PERSONENBEZOGENE KUNDENDATEN für die jeweiligen AUFTRAGSPARTEIEN zu verarbeiten, soweit dies für die Erbringung der DIENSTLEISTUNGEN erforderlich ist oder anderweitig schriftlich zwischen den Parteien vereinbart wurde.
  3. LAUFZEIT Die vorliegende VEREINBARUNG erlangt mit Erhalt durch den KUNDEN (dem „GÜLTIGKEITSDATUM“) Gültigkeit und bleibt bis zur Kündigung oder zum Ablauf der DIENSTLEISTUNGSVEREINBARUNG (der „LAUFZEIT“) gültig. 
  4. „DIENSTLEISTUNGEN“ 
    1. Der DIENSTANBIETER kann die im Folgenden beschriebene Verarbeitung von PERSONENBEZOGENEN KUNDENDATEN ausführen:
      1. Bezeichnung der DIENSTLEISTUNGEN: Cloudbasierte VDR- (Virtueller Datenraum) und damit verbundene Dokumentenverarbeitungs-Dienstleistungen.
      2. Gegenstand der Verarbeitung: Verarbeitungstätigkeiten in Verbindung mit der Erbringung der DIENSTLEISTUNGEN.
      3. Dauer der Verarbeitung: Während der Laufzeit der DIENSTLEISTUNGSVEREINBARUNG.
      4. Art und Zweck der Verarbeitung: Bereitstellung von Speicherplatz („Hosting“) für personenbezogene Daten im Datenraum und die im Zusammenhang mit der Dokumentenverarbeitung erforderliche Verarbeitung im Auftrag der AUFTRAGSPARTEIEN, sowie die Ermöglichung des Zugriffs auf und die Verarbeitung von PERSONENBEZOGENEN KUNDENDATEN für den ENDBENUTZER im Rahmen der DIENSTLEISTUNGEN.
      5. Art personenbezogener Daten: Mitarbeiterdaten, Aktionärsdaten, Kundendaten, Geschäftsdaten, Vertriebsdaten, Finanzdaten etc.
      6. Kategorien betroffener Personen: Mitarbeiter, Berater, Aktionäre, Kunden und andere Personen
  5. .ERFÜLLUNG DER DATENSCHUTZBESTIMMUNGEN
    1. Im Zusammenhang mit der Verarbeitung PERSONENBEZOGENER KUNDENDATEN während der LAUFZEIT verpflichtet sich der DIENSTANBIETER (soweit nicht anderweitig gesetzlich vorgeschrieben):
      1. Das DATENSCHUTZRECHT bei der Verarbeitung PERSONENBEZOGENER KUNDENDATEN einzuhalten;
      2. PERSONENBEZOGENE KUNDENDATEN nur soweit zu verarbeiten, wie dies im Zusammenhang mit den DIENSTLEISTUNGEN erforderlich ist, gemäß den dokumentierten, von Zeit zu Zeit erteilten ordnungsgemäßen Anweisungen des KUNDEN im Zusammenhang mit den DIENSTLEISTUNGEN, sowie für interne Geschäftsanalysen. Der KUNDE gewährleistet und sichert kontinuierlich zu, dass seine Anweisungen den DIENSTANBIETER niemals zu einem Rechtsbruch zwingen werden.
      3. Den KUNDEN darüber zu informieren, wenn eine Anweisung seiner Meinung nach einen Verstoß des DATENSCHUTZRECHTS darstellt.
      4. Dafür zu sorgen, dass alle Mitarbeiter, die vom DIENSTANBIETER autorisiert werden, PERSONENBEZOGENE KUNDENDATEN zu verarbeiten, sich zur Verschwiegenheit verpflichtet haben oder bereits gesetzlich dazu verpflichtet sind.
      5. Geeignete technische und organisatorische Maßnahmen zum Schutz der PERSONENBEZOGENEN KUNDENDATEN zu ergreifen, wobei die Art der zu schützenden PERSONENBEZOGENEN KUNDENDATEN sowie der mögliche Schaden durch eine SICHERHEITSVERLETZUNG (siehe unten) zu berücksichtigen sind. Dies erfolgt gemäß den Bestimmungen der DIENSTLEISTUNGSVEREINBARUNG oder durch geeignete andere Maßnahmen, mindestens aber entsprechend den im Anhang aufgeführten Maßnahmen.
      6. Den KUNDEN unverzüglich über das Ersuchen einer BETROFFENEN PERSON gemäß DATENSCHUTZRECHT bzw. über Ersuchen durch Strafverfolgungs- oder andere Behörden in Bezug auf die PERSONENBEZOGENEN KUNDENDATEN zu informieren. Der DIENSTANBIETER kann das Ersuchen um Auskunft einer BETROFFENEN PERSON bestätigen. Soweit vereinbart kann der DIENSTANBIETER auch auf Kosten des KUNDEN im Namen des KUNDEN ein solches Ersuchen um Auskunft einer BETROFFENEN PERSON beantworten.
      7.  Auf Kosten des KUNDEN hat der DIENSTANBIETER dem KUNDEN alle zumutbare Unterstützung bereitzustellen, um zu gewährleisten, dass der KUNDE die Bestimmungen des DATENSCHUTZRECHTS in Bezug auf Datensicherheit, Benachrichtigung bei Datenschutzverletzungen, Bewertung von Datenschutzauswirkungen sowie vorherige Beratung mit den für Datenschutz zuständigen Aufsichtsbehörden erfüllt.
      8. Auf Wunsch und Kosten des KUNDEN hat der DIENSTANBIETER nach Beendigung der Erbringung der DIENSTLEISTUNGEN alle PERSONENBEZOGENEN KUNDENDATEN zu löschen oder dem KUNDEN zurückzugeben sowie alle Kopien der PERSONENBEZOGENEN KUNDENDATEN zu löschen. Davon ausgenommen sind PERSONENBEZOGENE KUNDENDATEN, die gegebenenfalls zu Zwecken des Notfallmanagements archiviert wurden, sowie anonymisierte PERSONENBEZOGENE KUNDENDATEN, die zu legitimen Geschäftszwecken aufbewahrt werden. Der DIENSTANBIETER kann PERSONENBEZOGENE KUNDENDATEN, die nicht mehr benötigt werden, löschen oder vernichten, um so diese VEREINBARUNG zu erfüllen. Außerdem kann er,
      9. auf Kosten des KUNDEN, dem KUNDEN Informationen in angemessenem Umfang zum Nachweis der Erfüllung dieser VEREINBARUNG durch den DIENSTANBIETER zur Verfügung stellen und Überprüfungen durch unabhängige Dritte nach entsprechender Vereinbarung zwischen den Parteien zulassen.
    2.  Der KUNDE wird dem DIENSTANBIETER unverzüglich jede angemessene Unterstützung zukommen lassen, die dieser für die Erfüllung seiner Datenschutzverpflichtungen gemäß dieser VEREINBARUNG benötigt.
  6. MITTEILUNG
    Der DIENSTANBIETER wird auf Ersuchen und Kosten sowie im Namen des KUNDEN jeder BETROFFENEN PERSON eine Standardmitteilung zum Datenschutz zukommen lassen, wie dies der KUNDE laut DIENSTLEISTUNGSVEREINBARUNG gelegentlich fordern kann.
  7. UNTERAUFTRAGSVERARBEITER
    1. Der DIENSTANBIETER wird nur mit Zustimmung des KUNDEN Unterauftragsunternehmer zur Verarbeitung PERSONENBEZOGENER KUNDENDATEN (jeweils ein „UNTERAUFTRAGSVERARBEITER“) heranziehen. Diese Zustimmung wird hiermit nach Maßgabe von Absatz 7.2erteilt.
    2. Bei der Beauftragung eines UNTERAUFTRAGSVERARBEITERS wird der DIENSTANBIETER
      1.  gebührende Sorgfalt walten lassen;
      2. einen Vertrag abschließen, dessen Bestimmungen, soweit durchführbar, denen dieser VEREINBARUNG entsprechen und durch entsprechende VERTRAGSKLAUSELN angemessene Sicherungen in Bezug auf die Verarbeitung PERSONENBEZOGENER KUNDENDATEN bietet;
      3. den KUNDEN über alle beabsichtigten Veränderungen in Bezug auf die zusätzliche Verpflichtung oder den Ersatz eines UNTERAUFTRAGSVERARBEITERS informieren. Widerspricht der KUNDE einer Veränderung aus nachvollziehbaren Gründen, werden die Vertragsparteien vertrauensvoll zusammenarbeiten, um eine gemeinsame Lösung zu finden.
  8. SICHERHEITSRELEVANTE ZWISCHENFÄLLE
    1. „SICHERHEITSVERLETZUNG“ bedeutet eine Verletzung der Sicherheitsbestimmungen, die auf unbeabsichtigte oder ungesetzliche Weise zu Vernichtung, Verlust, Änderung, unberechtigter Bekanntmachung von oder Zugriff auf PERSONENBEZOGENE KUNDENDATEN führt, die übertragen, gespeichert oder anderweitig verarbeitet werden.
    2. Der DIENSTANBIETER wird den KUNDEN unverzüglich davon in Kenntnis setzen, wenn er von einer SICHERHEITSVERLETZUNG erfährt. Soweit möglich wird der DIENSTANBIETER Einzelbenachrichtigungen liefern.
    3. Der DIENSTANBIETER wird die SICHERHEITSVERLETZUNG untersuchen und angemessene Maßnahmen ergreifen, um die vom DIENSTANBIETER verursachte SICHERHEITSLETZUNG zu identifizieren, zu verhindern und die Auswirkungen einzudämmen. Auf Kosten des KUNDEN wird der DIENSTANBIETER auf Wunsch des KUNDEN noch weitere Maßnahmen ergreifen, um die Bestimmungen des DATENSCHUTZRECHTS zu erfüllen.
    4. Der KUNDE darf Aktenvermerke, Korrespondenz, Mitteilungen, Presseerklärungen oder Berichte über eine SICHERHEITSVERLETZUNG nur mit vorheriger schriftlicher Zustimmung des DIENSTANBIETERS verschicken oder veröffentlichen. Eine solche Zustimmung kann jedoch nicht ohne triftigen Grund verweigert werden.
  9.  INTERNATIONALE DATENÜBERTRAGUNG
    1. Der DIENSTANBIETER wird dafür sorgen, dass PERSONENBEZOGENE KUNDENDATEN nicht in Gebiete außerhalb entweder des
      1. Europäischen Wirtschaftsraums oder
      2. eines anderen Territoriums übertragen werden, in dem DATENSCHUTZGESETZE Beschränkungen bezüglich der Übertragung PERSONENBEZOGENER KUNDENDATEN gelten
        ohne vorherige schriftliche Genehmigung des KUNDEN, die hiermit gemäß Absatz 9.2erteilt wird.
    2. Auf Kosten des KUNDEN wird der DIENSTANBIETER dem KUNDEN jede angemessene Unterstützung bereitstellen, um zu gewährleisten, dass VERTRAGSKLAUSELN oder andere anwendbare Transferregelungen, wie zum Beispiel das Übereinkommen zum EU-US-Datenschutzschild für die Übertragung von Daten zwischen der EU und den USA, vorhanden sind und ein angemessener Datenschutz gewährleistet ist.
  10.  VERSCHIEDENES
    1. Absatz- und andere Überschriften in dieser VEREINBARUNG dienen ausschließlich der leichteren Bezugnahme. Sie sind nicht Teil dieser VEREINBARUNG und haben keine Auswirkung auf deren Bedeutung oder Auslegung.
    2. Gemäß Absatz 10.3unterliegt die Haftung der beiden Parteien gemäß dieser VEREINBARUNG den Ausnahmeregelungen und Beschränkungen im Rahmen der DIENSTLEISTUNGSVEREINBARUNG.
    3.  In dieser VEREINBARUNG soll nichts die Haftung der Parteien, die durch das Gesetz nicht eingeschränkt oder ausgeschlossen werden kann, einschränken oder ausschließen. Entsprechend dem obigen Satz (i) stellen diese VEREINBARUNG und die DIENSTLEISTUNGSVEREINBARUNG die Gesamtheit der Vereinbarungen zwischen den Parteien bezüglich der Verarbeitung PERSONENBEZOGENER KUNDENDATEN im Rahmen der zu erbringenden DIENSTLEISTUNGEN dar und ersetzen alle vorherigen Verträge, Abmachungen, Verhandlungen und Gespräche der beiden Parteien zu diesem Thema. (ii) Durch Zustimmung zu dieser VEREINBARUNG stehen den Parteien einzig und allein die Rechte und Abhilfen zu, die in dieser VEREINBARUNG ausdrücklich dargelegt sind.
    4. Der KUNDE ersetzt dem DIENSTANBIETER binnen 15 Tagen nach Rechnungsdatum alle Kosten und Auslagen einschließlich angemessene Anwaltshonorare, sowie die Kosten für die Erstellung und Versendung des Schriftverkehrs, der beim DIENSTANBIETER bzw. ihm VERBUNDENEN UNTERNEHMEN im Rahmen der Ausführung von Verpflichtungen aus dieser VEREINBARUNG auf Kosten des KUNDEN anfallen.
    5. Sofern das Verhalten des KUNDEN, eines VERBUNDENEN UNTERNEHMENS oder eines ENDBENUTZERS dazu führt, dass der DIENSTANBIETER die DIENSTLEISTUNGEN aus der DIENSTLEISTUNGSVEREINBARUNG nicht mehr so wie von ihm geplant ausführen kann, weil der KUNDE zum Beispiel verlangt, dass der Vertrag mit einem UNTERAUFTRAGSVERARBEITER ganz oder teilweise ausgesetzt oder gekündigt wird, alle PERSONENBEZOGENEN KUNDENDATEN vernichtet oder an den KUNDEN zurückgegeben werden sollen oder der Zugang zu den PERSONENBEZOGENEN KUNDENDATEN ausgesetzt oder beendet werden soll, hat der DIENSTANBIETER das Recht, die DIENSTLEISTUNGSVEREINBARUNG jederzeit durch schriftliche Mitteilung an den KUNDEN mit sofortiger oder späterer Wirkung und ohne Haftungsfolgen zu kündigen. Nach Kündigung der DIENSTLEISTUNGSVEREINBARUNG durch den DIENSTANBIETER oder den KUNDEN aus Gründen, die sich auf diese VEREINBARUNG oder auf die Erfüllung des DATENSCHUTZRECHTS beziehen, sind alle Gebühren für die DIENSTLEISTUNGEN, Auslagen oder anderen Zahlungen gemäß der DIENSTLEISTUNGSVEREINBARUNG sofort vom KUNDEN an den DIENSTANBIETER zu zahlen, wobei sie so berechnet werden, als wäre die DIENSTLEISTUNGSVEREINBARUNG durch den KUNDEN entsprechend ihren Bestimmungen beendet worden.
    6. Alle Kündigungsschreiben sind schriftlich, auf Englisch, an die Kontaktperson der anderen Partei oder deren Rechtsabteilung zu richten. Eine Kündigung gilt bei Erhalt, bestätigt durch eine gültige Empfangsbestätigung oder ein elektronisches Protokoll, als ergangen. Kündigungen per Post gelten 48 Stunden nach Aufgabe als Einschreiben als zugestellt.
    7. Die Bestimmungen dieser VEREINBARUNG sind abtrennbar. Sofern ein Satz, Absatz oder eine Bestimmung ganz oder teilweise ungültig oder nicht durchsetzbar ist, behalten alle anderen Sätze, Absätze oder Bestimmungen dieser VEREINBARUNG ihr volle Gültigkeit.
    8. Jede der Parteien hat das Recht, die Rechte bzw. Verpflichtungen aus dieser VEREINBARUNG auf einen Rechtsnachfolger aus einer Fusion, Übernahme, einem Verkauf, einer Reorganisation oder einer Geschäftsauflösung zu übertragen.
    9. Diese VEREINBARUNG unterliegt dem in der DIENSTLEISTUNGSVEREINBARUNG genannten Recht und die Parteien unterliegen bei vertraglichen und außervertraglichen Auseinandersetzungen bezüglich dieser VEREINBARUNG der ausschließlichen Gerichtsbarkeit des Ursprungslandes dieses Rechts. Allerdings kann jede Partei jedes Gericht bezüglich einer gerichtlichen Anordnung oder einer sonstigen Verfügung zum Schutz ihres Eigentums, ihrer Schutz- und Urheberrechte oder vertraulicher Informationen anrufen.

ANHANG – SICHERHEITSMASSNAHMEN

Der DIENSTANBIETER hat, soweit anwendbar, mindestens die folgenden Maßnahmen zu ergreifen:

  • Zertifizierung nach ISO 27001:2013
  • Aktuelle Firewall
  • Soweit anwendbar Benutzerkontrolle mit zugewiesenen Rechten (Least-Privilege-Prinzip) mit Benutzerkennung sowie begrenzt gültigen Passwörtern
  • Beschränkter Fernzugriff sowie Mehr-Faktor-Authentifizierung bei Fernzugriff
  • Antiviren-, Anti-Malware- und Anti-Spyware-Schutz in Echtzeit
  • Erfüllung der Anweisungen der Hardware- und Softwarehersteller
  • Soweit anwendbar Datentrennung nach Kunde und Zweck
  • Regelmäßige Software-Updates
  • Sichere Entfernung der Daten von außer Betrieb genommenen Geräten
  • 256-Bit-Verschlüsselung mobiler Speichervorrichtungen und Verschlüsselung personenbezogener Daten unterwegs
  • Angriffserkennungs- und -Abwehrsysteme
  • Datensicherung mit regelmäßiger Prüfung
  • Notfallmanagement mit Business-Continuity- und Disaster-Recovery-Planung
  • Sicherheitsüberprüfung der Mitarbeiter
  • Zugangskontrolle mit unterschiedlichen Rechten
  • Vertraulichkeitsvereinbarungen für die Mitarbeiter
  • Schulung der Mitarbeiter zur Geheimhaltung