Datenverarbeitungsvertrag
Während unsere Datenverarbeitungsvereinbarung online verfügbar ist, möchten Sie vielleicht eine unterzeichnete Kopie erhalten? Dann senden Sie uns bitte Ihre Firmendaten und Sie erhalten eine bereits von uns unterschriebene Kopie auf Ihren Namen, fertig zur Unterschrift.
Datenverarbeitungsvertrag KUBUS
Diese Datenverarbeitungsvereinbarung („Vereinbarung“) ist Teil des Vertrags über die BIMcollab®-Dienste, wie er in der „BIMCOLLAB-GESCHÄFTSVEREINBARUNG“ dargelegt ist, zwischen dem Unternehmen (nachstehend das „Unternehmen“) und KUBUS BV, Handelskammer Nr. 17076900, mit Anschrift Stuiverstraat 100, 5611 TC EINDHOVEN, Niederlande (nachstehend der „Datenverarbeiter“), zusammen als die „Parteien“ bezeichnet.
ES WIRD FOLGENDES VORAUSGESCHICKT
(A) Das Unternehmen handelt als Datenverantwortlicher.
(B) Das Unternehmen möchte bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Datenverarbeiter untervergeben.
(C) Die Parteien streben die Umsetzung einer Datenverarbeitungsvereinbarung an, die den Anforderungen des geltenden Rechtsrahmens für die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) entspricht.
(D) Die Vertragsparteien wollen ihre Rechte und Pflichten festlegen.
1. Definitionen und Auslegung
1.1 Sofern hierin nicht anders definiert, haben die in diesem Vertrag verwendeten Begriffe und Ausdrücke in Großbuchstaben die folgende Bedeutung:
1.1.1 „Vertrag“ bezeichnet diesen Datenverarbeitungsvertrag und alle Anhänge;
1.1.2 „Personenbezogene Daten des Unternehmens“ sind alle personenbezogenen Daten, die von einem Auftragsverarbeiter im Namen des Unternehmens gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden;
1.1.3 “Auftragsverarbeiter” ist ein Unterauftragsverarbeiter;
1.1.4 “Datenschutzgesetze” sind die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze eines anderen Landes;
1.1.5 „EWR“ bezeichnet den Europäischen Wirtschaftsraum;
1.1.6 “EU-Datenschutzgesetze” bezeichnet die EU-Richtlinie 95/46/EG in der in den einzelnen Mitgliedstaaten in nationales Recht umgesetzten Fassung, die von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO;
1.1.7 “GDPR” bezeichnet die EU-Datenschutzgrundverordnung 2016/679;
1.1.8 „Datenübermittlung“ bedeutet:
1.1.8.1 eine Übertragung personenbezogener Unternehmensdaten vom Unternehmen an einen Auftragsverarbeiter; oder
1.1.8.2 eine Weitergabe von personenbezogenen Daten des Unternehmens von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines Auftragsverarbeiters, wenn eine solche Weitergabe durch Datenschutzgesetze (oder durch die Bedingungen von Datenübertragungsvereinbarungen, die eingerichtet wurden, um die Datenübertragungsbeschränkungen der Datenschutzgesetze zu umgehen) untersagt ist;
1.1.9 “Dienste” bedeutet die BIMcollab®-Dienste, die das Unternehmen anbietet.
1.1.10 “Unterauftragsverarbeiter” bezeichnet jede Person, die vom oder im Namen des Auftragsverarbeiters mit der Verarbeitung personenbezogener Daten im Auftrag des Unternehmens in Verbindung mit dem Vertrag beauftragt wird.
1.2 Die Begriffe “Kommission”, “für die Verarbeitung Verantwortlicher”, “betroffene Person”, “Mitgliedstaat”, “personenbezogene Daten”, “Verletzung des Schutzes personenbezogener Daten”, “Verarbeitung” und “Aufsichtsbehörde” haben dieselbe Bedeutung wie in der Datenschutz-Grundverordnung, und ihre verwandten Begriffe sind entsprechend auszulegen.
2. Verarbeitung personenbezogener Daten des Unternehmens
2.1 Der Verarbeiter verpflichtet sich:
2.1.1 alle geltenden Datenschutzgesetze bei der Verarbeitung personenbezogener Daten des Unternehmens einzuhalten; und
2.1.2 die personenbezogenen Daten des Unternehmens nur auf der Grundlage der dokumentierten Anweisungen des betreffenden Unternehmens zu verarbeiten.
2.2 Das Unternehmen beauftragt den Auftragsverarbeiter mit der Verarbeitung der personenbezogenen Daten des Unternehmens.
3. Personal des Verarbeiters
3.1 Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Bevollmächtigten oder Auftragnehmer eines Auftragsverarbeiters, die Zugang zu den personenbezogenen Daten des Unternehmens haben, zu gewährleisten, wobei in jedem Fall sichergestellt wird, dass der Zugang streng auf die Personen beschränkt ist, die die betreffenden personenbezogenen Daten des Unternehmens kennen bzw. darauf zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags unbedingt erforderlich ist, und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Personen gegenüber dem Auftragsverarbeiter einzuhalten, wobei sichergestellt wird, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterworfen sind.
4. Sicherheit
4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen hat der Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Unternehmens geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.
4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus hat der Auftragsverarbeiter insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.
5. Weiterverarbeitung
5.1 Der Auftragsverarbeiter darf keinen Unterauftragsverarbeiter ernennen (oder personenbezogene Daten des Unternehmens an diesen weitergeben), es sei denn, er wird vom Unternehmen dazu aufgefordert oder ermächtigt.
5.2 Derzeit zugelassene Unterauftragsverarbeiter:
Name der Entität – Verarbeitende Tätigkeit – Standort
Interconnect – Dienstleistungen für Rechenzentren – Die Niederlande
Microsoft – Azure-Cloud-Dienste – Die Niederlande (West-Europa)
Zoho – CRM-Dienste – Die Niederlande
Amplitude – Datenanalyse – Deutschland (AWS Frankfurt)
6. Rechte der betroffenen Person
6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter das Unternehmen, indem er geeignete technische und organisatorische Maßnahmen ergreift, soweit dies möglich ist, um die Verpflichtungen des Unternehmens zu erfüllen, wie sie vom Unternehmen vernünftigerweise verstanden werden, um auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.
6.2 Der Verarbeiter muss:
6.2.1 das Unternehmen unverzüglich benachrichtigen, wenn es eine Anfrage von einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf personenbezogene Daten des Unternehmens erhält; und
6.2.2 sicherstellen, dass er auf diese Anfrage nicht antwortet, es sei denn, dies geschieht auf dokumentierte Anweisung des Unternehmens oder ist nach geltendem Recht, dem der Auftragsverarbeiter unterliegt, erforderlich; in diesem Fall muss der Auftragsverarbeiter, soweit dies nach geltendem Recht zulässig ist, das Unternehmen über diese rechtliche Anforderung informieren, bevor der Auftragsverarbeiter auf die Anfrage antwortet.
7. Verletzung des Schutzes personenbezogener Daten
7.1 Der Auftragsverarbeiter hat das Unternehmen unverzüglich zu benachrichtigen, sobald er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, die personenbezogene Daten des Unternehmens betrifft, und dem Unternehmen ausreichende Informationen zur Verfügung zu stellen, damit das Unternehmen seinen Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.
7.2 Der Auftragsverarbeiter arbeitet mit dem Unternehmen zusammen und ergreift auf Anweisung des Unternehmens angemessene kommerzielle Maßnahmen, um bei der Untersuchung, Eindämmung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.
8. Datenschutz-Folgenabschätzung und vorherige Konsultation
8.1 Der Auftragsverarbeiter unterstützt das Unternehmen in angemessener Weise bei der Durchführung von Datenschutz-Folgenabschätzungen und der vorherigen Konsultation von Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich hält, und zwar je weils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch die Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den Auftragsverarbeitern vorliegenden Informationen.
9. Löschung oder Rückgabe von personenbezogenen Daten des Unternehmens
9.1 Vorbehaltlich dieses Abschnitts 9 ist der Auftragsverarbeiter verpflichtet, unverzüglich und in jedem Fall innerhalb von 90 Werktagen nach dem Datum der Beendigung von Dienstleistungen, die die Verarbeitung personenbezogener Daten des Unternehmens beinhalten (das “Beendigungsdatum”), alle Kopien dieser personenbezogenen Daten des Unternehmens zu löschen und für deren Löschung zu sorgen.
9.2 Der Auftragsverarbeiter bestätigt dem Unternehmen schriftlich, dass er diesen Abschnitt 9 innerhalb von 90 Arbeitstagen nach dem Beendigungsdatum vollständig eingehalten hat.
10. Prüfungsrechte
10.1 Vorbehaltlich dieses Abschnitts 10 stellt der Auftragsverarbeiter dem Unternehmen auf schriftliche Aufforderung des für die Verarbeitung Verantwortlichen und mit einer Frist von mindestens 30 Tagen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieses Vertrags erforderlich sind, und ermöglicht Prüfungen, einschließlich Inspektionen, durch das Unternehmen oder einen vom Unternehmen beauftragten Prüfer in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch die Auftragsverarbeiter und trägt zu diesen Prüfungen bei.
10.2 Auskunfts- und Prüfungsrechte des Unternehmens ergeben sich aus Abschnitt 10.1 nur insoweit, als der Vertrag ihnen nicht anderweitig Auskunfts- und Prüfungsrechte einräumt, die den einschlägigen datenschutzrechtlichen Anforderungen entsprechen.
11. Datenübertragung
11.1 Der Auftragsverarbeiter darf ohne vorherige schriftliche Zustimmung des Unternehmens keine Daten in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übertragen oder deren Übertragung genehmigen. Werden personenbezogene Daten, die im Rahmen dieser Vereinbarung verarbeitet werden, von einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt, stellen die Parteien sicher, dass die personenbezogenen Daten angemessen geschützt sind. Zu diesem Zweck verwenden die Parteien, sofern nichts anderes vereinbart wurde, die von der EU genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten.
12. Allgemeine Begriffe
12.1 Vertraulichkeit. Jede Partei muss diese Vereinbarung und die Informationen, die sie über die andere Partei und deren Geschäfte im Zusammenhang mit dieser Vereinbarung erhält (“vertrauliche Informationen”), vertraulich behandeln und darf diese vertraulichen Informationen nicht ohne die vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, es sei denn, dass:
(a) die Offenlegung gesetzlich vorgeschrieben ist;
(b) die betreffenden Informationen sind bereits öffentlich zugänglich.
12.2 Bekanntmachungen. Alle Mitteilungen im Rahmen dieser Vereinbarung bedürfen der Schriftform und werden persönlich, per Post oder per E-Mail an die in der Überschrift dieser Vereinbarung angegebene Adresse oder E-Mail-Adresse bzw. an eine andere, von den Parteien von Zeit zu Zeit mitgeteilte Adresse zugestellt.
13. Geltendes Recht und Gerichtsstand
13.1 Dieser Vertrag unterliegt dem Recht der Niederlande.
13.2 Für alle Streitigkeiten, die sich im Zusammenhang mit diesem Vertrag ergeben und die die Parteien nicht gütlich beilegen können, sind ausschließlich die Gerichte in den Niederlanden zuständig.
ZU URKUND DESSEN wird dieses Abkommen mit Wirkung von dem nachstehend aufgeführten Datum geschlossen.
14-02-2025 KUBUS BV