Datenverarbeitungsvertrag
Während unsere Datenverarbeitungsvereinbarung online verfügbar ist, möchten Sie vielleicht eine unterzeichnete Kopie erhalten? Dann senden Sie uns bitte Ihre Firmendaten und Sie erhalten eine bereits von uns unterschriebene Kopie auf Ihren Namen, fertig zur Unterschrift.
Datenverarbeitungsvertrag KUBUS BV
Dieser Datenverarbeitungsvertrag („Vertrag“) ist Teil des Vertrages über die BIMcollab®-Dienstleistungen, wie im „BIMCOLLAB BUSINESS AGREEMENT“ festgelegt, zwischen dem Endnutzer (im Folgenden „Unternehmen“) und KUBUS B.V. (im Folgenden „Datenverarbeiter“), zusammen die „Vertragsparteien“.
ES WIRD FOLGENDES VORAUSGESCHICKT
(A) Das Unternehmen handelt als Datenverantwortlicher.
(B) Das Unternehmen möchte bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Datenverarbeiter untervergeben.
(C) Die Vertragsparteien streben die Umsetzung eines Datenverarbeitungsvertrages an, der den Anforderungen des geltenden Rechtsrahmens für die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) entspricht.
(D) Die Vertragsparteien wollen ihre Rechte und Pflichten festschreiben.
1. Begriffsbestimmungen und Auslegung
1.1 Sofern hierin nichts anderes festgelegt ist, haben die in diesem Vertrag verwendeten großgeschriebenen Begriffe und Ausdrücke die folgende Bedeutung:
1.1.1 „Vertrag“ bezeichnet diesen Datenverarbeitungsvertrag und alle Anhänge;
1.1.2 „Personenbezogene Daten des Unternehmens“ sind alle personenbezogenen Daten, die von einem Auftragsverarbeiter im Namen des Unternehmens gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden;
1.1.3 Ein „Auftragsverarbeiter“ ist ein Unterauftragsverarbeiter;
1.1.4 „Datenschutzgesetze“ bedeutet EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze anderer Länder;
1.1.5 „EWR“ bezeichnet den Europäischen Wirtschaftsraum;
1.1.6 „EU-Datenschutzgesetze“ bezieht sich auf die EU-Richtlinie 95/46/EG, wie sie in den einzelnen Mitgliedstaaten in nationales Recht umgesetzt wurde und von Zeit zu Zeit geändert, ersetzt oder abgelöst wird, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO;
1.1.7 „GDPR“ bezeichnet die EU-Datenschutz-Grundverordnung 2016/679;
1.1.8 „Datenübermittlung“ bedeutet:
1.1.8.2 eine Datenübermittlung personenbezogener Unternehmensdaten von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines Auftragsverarbeiters, wenn eine solche Übermittlung durch Datenschutzgesetze (oder durch die Bedingungen von Datenübermittlungsvereinbarungen, die geschlossen wurden, um die Beschränkungen der Datenübermittlung durch Datenschutzgesetze zu umgehen) verboten wäre;
1.1.9 „Dienstleistungen“ bezeichnet die BIMcollab®-Dienstleistungen, die das Unternehmen anbietet.
1.1.10 „Unterauftragsverarbeiter“ bezeichnet jede Person, die vom Auftragsverarbeiter oder in dessen Namen beauftragt wird, im Zusammenhang mit dem Vertrag personenbezogene Daten im Namen des Unternehmens zu verarbeiten.
1.2 Die Begriffe „Kommission“, „Verantwortlicher“, „betroffene Person“, „Mitgliedstaat“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der Datenschutz-Grundverordnung, und die entsprechenden Begriffe sind entsprechend auszulegen.
2. Verarbeitung personenbezogener Unternehmensdaten
2.1 Der Auftragsverarbeiter muss:
2.1.1 bei der Verarbeitung personenbezogener Unternehmensdaten alle geltenden Datenschutzgesetze einhalten; und
2.1.2 er darf die personenbezogenen Unternehmensdaten nur auf der Grundlage der dokumentierten Anweisungen des betreffenden Unternehmens verarbeiten.
2.2 Das Unternehmen weist den Auftragsverarbeiter an, die personenbezogenen Unternehmensdaten zu verarbeiten.
3. Personal des Verarbeiters
3.1 Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Beauftragten oder Vertragspartner eines Auftragsverarbeiters, die Zugang zu den personenbezogenen Unternehmensdaten haben, zu gewährleisten, wobei er in jedem Fall sicherstellt, dass der Zugang strikt auf die Personen beschränkt ist, die Zugang zu den relevanten personenbezogenen Daten des Unternehmens haben müssen, soweit dies für die Zwecke des Hauptvertrages unbedingt erforderlich ist, und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Personen gegenüber dem Auftragsverarbeiter einzuhalten, und er stellt sicher, dass alle diese Personen einer Vertraulichkeitsverpflichtung oder einer beruflichen oder gesetzlichen Verschwiegenheitspflicht unterworfen sind.
4. Sicherheit
4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Auftragsverarbeiter in Bezug auf die personenbezogenen Unternehmensdaten geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; gegebenenfalls einschließlich der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.
4.2 Bei der Bewertung des angemessenen Schutzniveaus berücksichtigt der Auftragsverarbeiter insbesondere die Risiken, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.
5. Unterauftragsverarbeitung
5.1 Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter einzusetzen, hat aber derzeit keine Unterauftragsverarbeiter ernannt.
Der Auftragsverarbeiter stellt durch einen schriftlichen Vertrag mit jedem Unterauftragsverarbeiter sicher, dass die von den Unterauftragsverarbeitern durchgeführte Verarbeitung personenbezogener Daten den gleichen Verpflichtungen und Beschränkungen unterliegt wie die, die dem Auftragsverarbeiter gemäß diesem Vertrag auferlegt werden.
5.2 Derzeit genehmigte Unterauftragsverarbeiter:
Interconnect – Datenzentrum Dienstleistungen – Die Niederlande
6. Rechte der betroffenen Person
6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter das Unternehmen, indem er geeignete technische und organisatorische Maßnahmen ergreift, soweit dies möglich ist, dabei, die Verpflichtungen des Unternehmens, auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren, zu erfüllen, wie sie vom Unternehmen vernünftigerweise verstanden werden.
6.2 Der Auftragsverarbeiter muss:
6.2.1 das Unternehmen unverzüglich benachrichtigen, wenn er eine Anfrage von einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Unternehmensdaten erhält; und
6.2.2 sicherstellen, dass er auf diese Anfrage nur auf dokumentierte Anweisungen des Unternehmens oder gemäß den geltenden Gesetzen, denen der Auftragsverarbeiter unterliegt, antwortet; in diesem Fall muss der Auftragsverarbeiter das Unternehmen, in dem nach den geltenden Gesetzen zulässigen Umfang über diese rechtliche Verpflichtung informieren, bevor er auf die Anfrage reagiert.
7. Verletzung des Schutzes personenbezogener Daten
7.1 Der Auftragsverarbeiter muss das Unternehmen unverzüglich benachrichtigen, wenn er von einer Verletzung des Schutzes personenbezogener Daten erfährt, die personenbezogene Unternehmensdaten betrifft, und das Unternehmen mit ausreichenden Informationen zu versorgen, damit das Unternehmen seinen Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.
7.2 Der Auftragsverarbeiter arbeitet mit dem Unternehmen zusammen und unternimmt auf Anweisung des Unternehmens angemessene kommerzielle Schritte, um bei der Untersuchung, Abmilderung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.
8. Datenschutz-Folgenabschätzung und vorherige Konsultation
8.1 Der Auftragsverarbeiter unterstützt das Unternehmen in angemessener Weise bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der Datenschutz-Grundverordnung oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich hält, und zwar in jedem Fall ausschließlich in Bezug auf die Verarbeitung personenbezogener Unternehmensdaten durch die Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der ihnen vorliegenden Informationen.
9. Löschung oder Rückgabe von personenbezogenen Unternehmensdaten
9.1 Gemäß diesem Abschnitt 9 ist der Auftragsverarbeiter verpflichtet, unverzüglich und in jedem Fall innerhalb von neunzig Werktagen nach dem Datum der Beendigung von Dienstleistungen, die die Verarbeitung personenbezogener Unternehmensdaten beinhalten (das „Beendigungsdatum“), alle personenbezogenen Unternehmensdaten zu löschen und für die Löschung sämtlicher Kopien dieser Daten zu sorgen.
9.2 Der Verarbeiter muss dem Unternehmen innerhalb von neunzig Werktagen nach dem Beendigungsdatum schriftlich bestätigen, dass er diesen Abschnitt 9 vollständig eingehalten hat.
10. Prüfungsrechte
10.1 Gemäß diesem Abschnitt 10 stellt der Auftragsverarbeiter dem Unternehmen auf schriftliche Anfrage des Verantwortlichen und unter Einhaltung einer Frist von mindestens 30 Tagen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieses Vertrages erforderlich sind, und ermöglicht Prüfungen, einschließlich Inspektionen, durch das Unternehmen oder einen vom Unternehmen beauftragten Prüfer in Bezug auf die Verarbeitung personenbezogener Unternehmensdaten durch die Auftragsverarbeiter und wirkt an diesen Prüfungen mit.
10.2 Informations- und Prüfungsrechte des Unternehmens ergeben sich aus Abschnitt 10.1 nur insoweit, als der Vertrag ihnen nicht anderweitig Informations- und Prüfungsrechte einräumt, die den einschlägigen datenschutzrechtlichen Anforderungen genügen.
11. Datenübermittlung
11.1 Der Auftragsverarbeiter darf ohne die vorherige schriftliche Zustimmung des Unternehmens keine Daten in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übermitteln oder deren Übermittlung genehmigen. Werden personenbezogene Daten, die im Rahmen dieses Vertrages verarbeitet werden, aus einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt, so stellen die Vertragsparteien sicher, dass die personenbezogenen Daten angemessen geschützt werden. Zu diesem Zweck stützen sich die Vertragsparteien, sofern nichts anderes vereinbart wurde, auf die von der EU genehmigten Standardvertragsbestimmungen für die Übermittlung personenbezogener Daten.
12. Allgemeine Begriffe
12.1 Vertraulichkeit. Jede Vertragspartei ist verpflichtet, diesen Vertrag und die Informationen, die sie im Zusammenhang mit diesem Vertrag über die andere Vertragspartei und deren Geschäftstätigkeit erhält („vertrauliche Informationen“), vertraulich zu behandeln, und sie darf diese vertraulichen Informationen nicht ohne die vorherige schriftliche Zustimmung der anderen Vertragspartei verwenden oder offenlegen, es sei denn:
(a) die Offenlegung ist gesetzlich vorgeschrieben;
(b) die entsprechenden Informationen sind bereits öffentlich zugänglich.
12.2 Bekanntmachungen. Alle Bekanntmachungen und Mitteilungen im Rahmen dieses Vertrages bedürfen der Schriftform und werden persönlich, per Post oder per E-Mail an die in diesem Vertrag oben angegebene Adresse oder E-Mail-Adresse bzw. ggf. an eine andere Adresse, die von den Vertragsparteien bei einer Adressänderung mitgeteilt wird, zugestellt.
13. Geltendes Recht und Gerichtsstand
13.1 Dieser Vertrag unterliegt dem Recht der Niederlande.
13.2 Für alle Streitigkeiten im Zusammenhang mit diesem Vertrag, die von den Parteien nicht gütlich beigelegt werden können, sind ausschließlich die Gerichte der Niederlande zuständig.
ZU URKUND DESSEN wird dieser Vertrag mit Wirkung ab dem Datum des Beginns der Nutzung der BIMcollab®-Dienstleistungen geschlossen.
16-03-2023 KUBUS BV