Staffomatic-Auftragsverarbeitungsvertrag/Staffomatic-Data-Processing-Agreement
Auftragsverarbeitung nach Art. 28 DSGVO | Data processing in accordance with Article 28 of the General Data Protection Regulation (GDPR) |
____________________________________ | ____________________________________ |
Vereinbarung | Agreement |
zwischen | between |
KUNDE/CUSTOMER
– Verantwortlicher, nachfolgend „Auftraggeber, Kunde“ genannt – | – Controller, hereinafter referred to as “the Principal, contractor or client” – |
und | and |
EASYPEP UG
Zirkusweg 2
20359 Hamburg
Germany
– Auftragsverarbeiter, nachfolgend „Auftragnehmer“ genannt – | – Processor, hereinafter referred to as “the Agent” – |
Auftraggeber und Auftragnehmer jeweils einzeln als „Partei“ und gemeinsam als „Parteien“ bezeichnet. | Principal and Agent individually designated as “Party” and collectively as “Parties”. |
____________________________________ | ____________________________________ |
1. Vertragsgegenstand | 1. Subject-matter |
Im Rahmen der Leistungserbringung nach dem Vertrag vom REPLACE_WITH_DATE (nachfolgend „Hauptvertrag“ genannt) ist es erforderlich, dass der Auftragnehmer als Auftragsverarbeiter i. S. d. Art. 4 Nr. 8 DS-GVO mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher i. S. d. Art. 4 Nr. 7 DS-GVO fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags. | In the framework of the service provision according to the agreement dated REPLACE_WITH_DATE (hereinafter referred to as the “Main Agreement”) it is necessary that the Agent handles personal data as a processor in the sense of Article 4 no. 8 GDPR, for which the Principal is responsible as controller in the sense of Article 4 no. 7 GDPR (hereinafter referred to as “Principal-Data”). This Agreement concretizes the data privacy rights and duties of the parties in the context of handling the Principal-Data for the performance of the Main Agreement by the Agent. |
2. Art und Zweck, Dauer der Auftragsverarbeitung | 2. Nature and purpose, duration of the processing |
2.1 Der Auftragnehmer verarbeitet die Auftraggeber-Daten im Auftrag und nur nach Weisung des Auftraggebers. Der Auftraggeber bleibt gemäß Art. 5 Abs. 2 DS-GVO im datenschutzrechtlichen Sinn Verantwortlicher („Herr der Daten“). | 2.1 The Agent shall process the Principal-Data on behalf of and in compliance with the instructions of the Principal. The Principal remains the controller according to Article 5 (2) GDPR ("Master of the Data "). |
2.2 Die Verarbeitung der Auftraggeber-Daten im Rahmen der Auftragsverarbeitung erfolgt entsprechend den in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art und Zweck der Verarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der Auftraggeber-Daten und auf die dort bestimmten Kategorien betroffener Personen. | 2.2 The processing of Principal-Data in the framework of the commissioned processing is carried out in accordance with the specifications concerning nature and purpose of the processing of Principal-data laid down in Appendix 1 of this Agreement. It refers to the type of Principal-data and the categories of data subjects set out in Appendix 1. |
2.3 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind. | 2.3 The undertaking of the contractually agreed processing of data shall be carried out exclusively within a Member State of the European Union (EU). Each and every transfer of data to a third country shall only occur if the specific conditions of Article 44 et seq. GDPR have been fulfilled. |
3. Weisungsrechte des Auftraggebers | 3. Principal’s rights to give instructions |
3.1 Der Auftragnehmer verwendet die Auftraggeber-Daten ausschließlich in Übereinstimmung mit den Weisungen des Auftraggebers, wie sie abschließend in den Bestimmungen dieses Vertrags Ausdruck finden. Einzelweisungen, die von den Festlegungen dieses Vertrags abweichen oder zusätzliche Anforderungen aufstellen, bedürfen einer vorherigen Zustimmung des Auftragnehmers und erfolgen nach Maßgabe des im Hauptvertrag festgelegten Änderungsverfahrens. | 3.1 The Agent shall process the Principal-data solely in accordance with the Principal's instructions as laid down exclusively in the provisions of this Agreement. Any individual instruction that deviates from the provisions of this Agreement or establishes additional requirements shall be subject to the prior consent of the Agent and shall be made in accordance with the amendment procedure set out in the Main Agreement. |
3.2 Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen die DS-GVO oder gegen andere Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstößt, wird er den Auftraggeber möglichst zeitnah darauf hinweisen. Außerdem ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zu einer Bestätigung der Weisung durch den Auftraggeber auszusetzen. | 3.2 If the Agent considers that an admissible individual instruction violates applicable provisions of the General Data Protection Regulation or other data privacy provisions of EU law or the law of the Member States, he shall point this out to the Principal as promptly as possible. In addition, the Agent is entitled to suspend the execution of the instruction until the instruction is confirmed by the Principal. |
3.3 Soweit der Auftragnehmer durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist, die personenbezogenen Daten auch ohne Weisung des Auftraggebers zu verarbeiten, teilt der Auftragnehmer dem Auftraggeber die entsprechenden rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. | 3.3 Insofar as the Agent is required to process the personal data without any instruction from the Principal by Union or Member State law to which the Agent is subject, the Agent shall inform the Principal of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest. |
3.4 Weisungen des Auftraggebers sind mindestens in Textform (z.B. E-Mail) zu erteilen. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich mindestens in Textform (z.B. E-Mail). | 3.4 Instructions from the Principal are to be given at least in text form (e-mail being sufficient). Verbal instructions are immediately confirmed by the Principal at least in text form (e-mail being sufficient). |
3.5 Sofern gegen den Auftragnehmer wegen eines Verstoßes gegen die DS-GVO Ansprüche auf Zahlung von Schadenersatz gemäß Art. 82 DS-GVO geltend gemacht werden, ohne dass der Auftragnehmer gegen eine vom Auftraggeber erlassene Weisung verstoßen hat, stellt der Auftraggeber den Auftragnehmer auf erstes Anfordern von allen Ansprüchen frei. Der Auftraggeber übernimmt hierbei auch die Kosten der notwendigen Rechtsverteidigung des Auftragnehmers einschließlich sämtlicher Gerichts- und Anwaltskosten. Die Freistellungspflicht gilt nicht, soweit der Schadenersatzanspruch auf die Verletzung einer speziell den Auftragsverarbeitern auferlegten Pflicht aus der DSGVO gestützt wird. | 3.5 Insofar as claims for damages pursuant to Article 82 GDPR are made against the Agent for an infringement of the GDPR without the Agent having contravened a Principal’s instruction, the Principal shall indemnify the Agent upon first request from all claims. The Principal also covers the costs of the necessary legal defense of the Agent including all court and legal fees. The Principal’s duty of indemnification does not apply as far as the claim for damages is based on the non-compliance with obligations of GDPR specifically directed to processors such as the Agent. |
4. Pflichten des Auftraggebers | 4. Duties of the Principal |
4.1 Der Auftraggeber ist für die Rechtmäßigkeit der Verarbeitung der Auftraggeber-Daten sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung von Auftraggeber-Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen. | 4.1 The Principal is responsible for the legality of the processing of Principal-data as well as for safeguarding the rights of the data subjects. If third parties assert claims against the Agent due to the processing of Principal-data, the Principal shall indemnify the Agent from any such claim at first request. |
4.2 Der Auftraggeber ist Eigentümer der Auftraggeber-Daten und Inhaber aller etwaigen Rechte, die die Auftraggeber-Daten betreffen. | 4.2 The Principal is owner of the Principal-data and holder of every right which concerns the Principal-data. |
4.3 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Prüfung der Auftragsergebnisse des Auftragnehmers Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt. | 4.3 The Principal shall inform the Agent immediately and completely if he observes errors or irregularities regarding data privacy laws or his instructions in the examination of the Agent's order results. |
4.4 Soweit sich der Auftragnehmer gegen einen Anspruch auf Schadenersatz nach Art. 82 DS-GVO, gegen ein drohendes oder bereits verhängtes Bußgeld nach Art. 83 DS-GVO oder sonstige Sanktionen im Sinne des Art. 84 DS-GVO mit rechtlichen Mitteln verteidigen will, erlaubt der Auftraggeber dem Auftragnehmer Details der Auftragsverarbeitung inklusive erlassener Weisungen zum Zweck der Verteidigung offenzulegen. | 4.4 Insofar as the Agent defends himself with legal means against a claim for damages according to Article 82 GDPR, against an imminent or already imposed administrative fine according to Article 83 GDPR or other sanctions in the sense of Article 84 GDPR, the Principal shall allow the Agent to disclose details of the processing for the purpose of legal defense, including instructions issued from the Principal. |
4.5 Der Auftraggeber unterstützt den Auftragnehmer bei Kontrollen durch eine Aufsichtsbehörde, bei Ordnungswidrigkeits- oder Strafverfahren, bei der Geltendmachung eines Haftungsanspruchs einer betroffenen Person oder eines Dritten oder bei der Geltendmachung eines anderen Anspruchs im Rahmen des Zumutbaren und Erforderlichen, soweit ein Zusammenhang mit dieser Auftragsverarbeitung besteht. | 4.5 The Principal shall support the Agent in the case of controls by a supervisory Authority, regulatory offence procedures, criminal procedures, claims to compensation or liability of the data subject or a third person in a reasonable and necessary manner, as far as these controls concern the data processing by the Agent. |
5. Pflichten des Auftragnehmers | 5. Duties of the Agent |
5.1 Der Auftragnehmer darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. | 5.1 The Agent must not make copies or duplicates of Principal-data without the prior approval by the Principal in the framework of the commissioned data processing. Exempted thereof are copies as far as they are necessary to safeguard due data processing and due performance of the services according to the Main Agreement (including data backup), as well as copies mandatory to meet legal requirements of record-keeping. |
5.2 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörde, bei Ordnungswidrigkeits- oder Strafverfahren, bei der Geltendmachung eines Haftungsanspruchs einer betroffenen Person oder eines Dritten oder bei der Geltendmachung eines anderen Anspruchs im Rahmen des Zumutbaren und Erforderlichen, soweit ein Zusammenhang mit dieser Auftragsverarbeitung besteht. | 5.2 The Agent shall support the Principal in the case of controls by a supervisory authority, regulatory offence procedures, criminal procedures, claims to compensation or liability of the data subject or a third person in a reasonable and necessary manner, as far as these controls concern the data processing by the Agent. |
5.4 Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen gemäß Art. 28 Abs. 3 Satz 2 lit. b) DSGVO schriftlich auf die Vertraulichkeit zu verpflichten und sie zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut zu machen. Dies ist nicht erforderlich, wenn die bei der Verarbeitung von Auftraggeber-Daten beschäftigten Personen bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. | 5.4 The Agent shall commit the persons authorised to process Principal-data to confidentiality in writing according to Article 28 (3) sentence 2 Point b GDPR and, beforehand, familiarize them with the relevant provisions concerning data protection. This is not necessary if the persons authorised to process Principal-data are already subject to an appropriate statutory obligation of confidentiality. |
5.5 Sofern und solange die gesetzlichen Voraussetzungen für eine Bestellpflicht gegeben sind, ist der Auftragnehmer verpflichtet, einen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis fachkundigen, für die Aufgaben nach Art. 39 DSGVO fähigen und zuverlässigen betrieblichen Datenschutzbeauftragten schriftlich zu bestellen, der seine Tätigkeit gemäß Art. 38, 39 DSGVO und § 38 Abs. 2 BDSG ausübt. Dessen Kontaktdaten werden dem Auftraggeber zum Zwecke der direkten Kontaktaufnahme mindestens in Textform (z.B. E-Mail) mitgeteilt. Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt. Sollte keine Bestellpflicht für einen betrieblichen Datenschutzbeauftragten bestehen, benennt der Auftragnehmer gegenüber dem Auftraggeber mindestens in Textform (z.B. E-Mail) einen Ansprechpartner für datenschutzrechtliche Belange und teilt dem Auftraggeber dessen Kontaktdaten mit. Sollte der Auftragnehmer seinen Sitz außerhalb der EU haben, benennt er gegenüber dem Auftraggeber einen Vertreter nach Art. 27 Abs. 1 DSGVO in der EU und teilt dem Auftraggeber dessen Kontaktdaten mit. | 5.5 If and as long as the statutory requirements for an obligation to designate a data protection officer are fulfilled, the Agent shall be obliged to designate in writing a data protection officer who has expert knowledge of data protection law and practices, who is competent and reliable for the tasks referred to in Article 39 GDPR and who exercises his function in accordance with Articles 38 and 39 GDPR as well as Section 38 (2) of the German Federal Data Protection Act. His contact details shall be given to the Principal for the purpose of direct contact at least in text form (e-mail being sufficient). A replacement of the data protection officer shall be communicated immediately to the Principal. If the Agent is not obliged to designate a data protection officer, the Agent shall name a contact person responsible for data protection matters, at least in text form (e-mail being sufficient), and shall communicate his contact details to the Principal. If the Agent is located outside the EU, he shall designate in writing a representative in the EU in accordance with Article 27 (1) GDPR and shall communicate his contact details to the Principal. |
5.6 Der Auftragnehmer unterliegt der behördlichen Aufsicht nach § 40 BDSG sowie den Bußgeld- und Strafvorschriften in § 42, 43 BDSG sowie in Art. 83 Abs. 4-6 DSGVO nach Maßgabe von § 41 BDSG. | 5.6 The Agent is subject to supervision by the competent authorities in accordance with Section 40 of the German Federal Data Protection Act as well as the administrative offences and criminal offences laid down in Sections 42, 43 of the German Federal Data Protection Act and in Article 83 (4) to (6) GDPR as implemented by Section 41 of the German Federal Data Protection Act. |
5.7 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der nach Anlage 2 zu treffenden technischen und organisatorischen Maßnahmen im Rahmen der Kontrollrechte nach Ziffer 8 dieses Vertrages nachzuweisen. | 5.7 The Agent shall ensure that the Principal is able to assure himself of compliance of the Agent’s duties according to Article 28 GDPR. The Agent undertakes to provide the Principal, upon request, with the necessary information and, in particular, to demonstrate the execution of the technical and organisational measures pursuant to Appendix 2 in the framework of the Principal’s rights of control pursuant to Clause 8 of this Agreement. |
6. Technische und organisatorische Maßnahmen | 6. Technical and organisational measures |
6.1 Der Auftragnehmer hat vor Beginn der Verarbeitung der Auftraggeber-Daten die in Anlage 2 dieses Vertrags aufgelisteten technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 Satz 2 lit. c), Art. 32 DSGVO zu implementieren und während des Vertrags aufrechtzuerhalten. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. | 6.1 Prior to commencing the processing of Principal-data, the Agent shall implement the technical and organisational measures according to Article 28 (3) sentence 2 Point c, Article 32 GDPR listed in Appendix 2 of this Agreement and shall maintain them throughout the term of this Agreement. The measures to be taken are measures of data security and measures that guarantee a protection level appropriate to the risk concerning confidentiality, integrity, availability and resilience of the systems. The state of the art, implementation costs, the nature, scope and purposes of processing as well as the probability of occurrence and the severity of the risk to the rights and freedoms of natural persons within the meaning of Article 32 (1) GDPR must be taken into account. |
6.2 Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen schriftlichen Zustimmung des Auftraggebers und sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen. | 6.2 Since the technical and organisational measures are subject to technical progress and technological enhancements, the Agent is allowed to implement alternative and adequate measures provided that the security level of the measures set out in Appendix 2 is not undercut. The Agent shall document such modifications. Significant modifications of the measures require the prior written approval by the Principal and must be documented by the Agent and made available to the Principal upon request. |
7. Unterstützung des Auftragnehmers zur Einhaltung der Pflichten des Auftraggebers nach Art. 32 – 36 DS-GVO | 7. Assistance by the Agent for compliance of Principal’s obligations according to Articles 32 to 36 GDPR |
7.1 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgenabschätzungen und vorherige Konsultationen. Hierzu gehören a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen, b) die Unterstützung des Auftraggebers im Falle einer Verletzung des Schutzes personenbezogener Daten nach Art. 33 DSGVO, c) die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht nach Art. 34 DSGVO gegenüber einem Betroffenen zu unterstützen, d) die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzungen i. S. d. Art. 35 DSGVO, e) die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde nach Art. 36 DSGVO. | 7.1 The Agent shall assist the Principal in complying with the obligations concerning the security of personal data, reporting requirements for data breaches, data protection impact assessments and prior consultations, referred to in Articles 32 to 36 of the GDPR taking into account the nature of processing and the information available to the Agent. These include a) ensuring an appropriate level of security through technical and organisational measures that take into account the circumstances and purposes of the processing as well as the projected probability and severity of a possible infringement of the law as a result of security vulnerabilities and that enable an immediate detection of relevant infringement events, b) the obligation to assist the Principal in the case of a violation of the protection of Principal-data according to Article 33 GDPR, c) the duty to assist the Principal with regard to the Principal’s obligation to provide information to the data subject concerned according to Article 34 GDPR, d) supporting the Principal with its data protection impact assessment in the sense of Article 35 GDPR, e) supporting the Principal with regard to prior consultation of the supervisory authority according to Article 36 GDPR. |
7.2 Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung des Hauptvertrages enthalten oder auf ein Fehlverhalten des Auftraggebers zurückzuführen sind, kann der Auftragnehmer eine angemessene Vergütung beanspruchen. | 7.2 The Agent may claim appropriate compensation for assistance services which are not included in the description of the services of the Main Agreement or which are not attributable to failures on the part of the Agent. |
8. Kontrollrechte des Auftraggebers | 8. Principal’s rights of control |
8.1 Der Auftraggeber ist berechtigt, im Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers die Geschäftsräume des Auftragnehmers, in denen Auftraggeber-Daten verarbeitet werden, zu betreten, um sich von der Einhaltung der aus dieser Vereinbarung ergebenden Pflichten, insbesondere der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag, zu überzeugen. Der Auftragnehmer weist dem Auftraggeber auf Anforderung die Umsetzung der technischen und organisatorischen Maßnahmen nach. | 8.1 The Principal is entitled to enter into the business premises of the Agent, in which Principal-data are processed, within the usual business hours at his own expense, without disturbing the operating procedure and with strict secrecy of company and business secrets of the Agent in order to assure himself that the technical and organisational measures set out in Appendix 2 to this agreement are kept. The Agent shall demonstrate the Principal the execution of the technical and organisational measures upon request. |
8.2 Der Auftragnehmer gewährt dem Auftraggeber die zur Durchführung der Kontrollen nach Ziffer 8.1 erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte. | 8.2 The Agent shall grant the Principal access, information and inspection rights required to carry out the controls pursuant to Clause 8.1. |
8.3 Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen. | 8.3 The Principal shall give the Agent sufficient notice (as a rule at least two weeks beforehand) of all circumstances connected with the performance of the control. As a rule, the Principal may carry out one control per calendar year. The Principal is free to carry out further controls in the event of special incidents. |
8.4 Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 8 dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen. | 8.4 If the Principal mandates a third party to carry out the controls, the Principal shall commit the third party in writing just as the Principal is committed according to Clause 8 of this Agreement vis-à-vis the Agent. In addition, the Principal shall commit the third party to maintain discretion and secrecy, unless the third party is subject to a professional secrecy duty. Upon request by the Agent, the Principal must immediately present him the agreements on commitment with the third party. The Principal must not mandate any of the Agent's competitors with the control. |
8.5 Nach Wahl des Auftragnehmers kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 anstatt einer Vor-Ort-Kontrolle auch durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren nach Art. 42 DSGVO, die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen. | 8.5 At the Agent's discretion, instead of an on-site inspection proof of compliance with the technical and organisational measures set out in Appendix 2 may be provided by means of Compliance with approved Codes of Conduct pursuant to Article 40 GDPR, Certification according to an approved certification procedure in accordance with Article 42 GDPR, presenting an appropriate, up-to-date certificate, reports or report excerpts from independent bodies (e.g. accountants, auditors, data protection officers, IT Security department, data privacy auditors or quality auditors) or an adequate certification by IT security or data protection auditing – e.g. according to “BSI-Grundschutz” (IT Baseline Protection certification developed by the German Federal Office for Security in Information Technology (BSI)) or ISO/IEC 27001) – (“audit report”), if the audit report affords the Principal in an adequate way to assure himself of the Agent’s compliance with the technical and organisational measures set out in Appendix 2 of this Agreement. |
8.6 Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen. | 8.6 The Agent may claim remuneration for enabling Principal inspections. |
9. Unterauftragsverhältnisse | 9. Subcontracts |
9.1 Der Auftragnehmer darf Unterauftragsverhältnisse (Unterauftragnehmer) hinsichtlich der Verarbeitung oder Nutzung von Auftraggeber-Daten begründen. Zurzeit sind für den Auftragnehmer die in Anlage 3 mit Namen, Anschrift und Auftragsinhalt bezeichneten Unterauftragnehmer beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden. Der Auftragnehmer informiert den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines Unterauftragnehmers. Sofern der Auftraggeber keine Einwände gegen neue Unterauftragnehmer innerhalb von 2 Wochen ab Zugang der Mitteilung über den neuen Unterauftragnehmer erhebt, gilt dessen Einschaltung als durch den Auftraggeber genehmigt. | 9.1 The Agent may subcontract with regard to the processing of Principal-data after an approval by the Principal. For the time being, the subcontractors listed in Appendix 3 with their name, postal address and the respective subject-matter are commissioned by the Agent. The Principal agrees to their commissioning. The Agent shall always inform the Principal about any intended amendment relating to the enlistment or replacement of a subcontractor. If the Principal does not raise objections to new subcontractors within 2 weeks from the receipt of the notice about the new subcontractor, their commissioning shall be deemed approved by the Principal. |
9.2 Nicht als Unterauftragsverhältnis im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. | 9.2 Subcontracting in the sense of Clause 9.1 of this Agreement does not include ancillary services, such as telecommunication services, postal, maintenance and user support services, cleaning workers, auditors, or the disposal of data media. The Agent shall, however, be obliged to make appropriate and legally binding contractual arrangements and take appropriate control measures to safeguard the protection and security of Principal-data, even in the case of outsourced ancillary services. |
9.3 Die Verpflichtung des Unterauftragnehmers muss schriftlich erfolgen, was auch in einem elektronischen Format erfolgen kann (z.B. E-Mail). Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer stellt bei jeder Unterbeauftragung sicher, dass die in Art. 28 Abs. 2 und Abs. 4 DSGVO genannten Bedingungen eingehalten werden. | 9.3 The subcontractor's commissioning must be in writing, including in electronic form (email being sufficient). The Agent shall carefully select the subcontractor and verify prior to the commissioning that the subcontractor is able to comply with the agreements made between the Principal and the Agent. The Agent shall ensure for every subcontracting that the requirements laid down in Article 28 (2) and (4) GDPR are met. |
9.4 Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten. Die Ausübung der Kontrollrechte des Auftraggebers nach Ziffer 8 muss gegenüber dem Unterauftragnehmer grundsätzlich möglich sein. Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, von dem Auftragnehmer Auskunft über den datenschutzwesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen. | 9.4 The Agent shall ensure that the arrangements stipulated in this Agreement and, where applicable, additional instructions by the Principal also apply vis-à-vis the subcontractor. The exercise of the Principal's control rights pursuant to Clause 8 of this Agreement must be possible in principle also vis-à-vis the subcontractor. Upon written request the Principal shall be entitled to receive information from the Agent about the essential contractual provisions concerning data privacy and the implementation of the subcontractor’s data privacy obligations, if necessary also by accessing the relevant contract documents. |
9.5 Die Regelungen in dieser Ziffer 9 gelten auch, wenn ein Unterauftragnehmer in einem Drittstaat eingeschaltet wird. Der Auftragnehmer stellt in einem solchen Fall die datenschutzrechtliche Zulässigkeit durch geeignete Rechtsinstrumente, beispielsweise EU-Standardvertragsklauseln, sicher. | 9.5 The provisions of this Clause 9 also apply if a subcontractor in a third country is commissioned. In such a case, the Agent shall ensure compliance with applicable data privacy law by means of appropriate legal instruments, e.g. EU standard contractual clauses (processor) for the transfer of personal data to processors established in third countries which do not ensure an adequate level of data protection dated from 5 February 2010. |
9.6 Die Weitergabe von Auftraggeber-Daten an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. | 9.6 The transfer of Principal-data from the Agent to the Subcontractor and the subcontractors commencement of the data processing shall only be undertaken after compliance with all requirements for a subcontracting has been achieved. |
10. Rechte der Betroffenen | 10. Rights of the data subjects |
10.1 Die Rechte der durch die Datenverarbeitung betroffenen Personen nach Kapitel 3 DSGVO (Art. 12-23 DSGVO) unter Berücksichtigung von Teil 2, Kapitel 2 BDSG (§§ 32-37 BDSG), insbesondere auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch der gespeicherten Auftraggeber-Daten, sind gegenüber dem Auftraggeber geltend zu machen. | 10.1 The rights of the data subjects according to Chapter III GDPR (Articles 12 to 23 GDPR) taking into account Part 2, Chapter 2 of the German Federal Data Protection Act (§§ 32 to 37 of the German Federal Data Protection Act), in particular the rights to information, access, rectification, erasure, restriction of processing, data portability or object of the stored Principal-data shall be asserted vis-à-vis the Principal. |
10.2 Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks der unter Ziffer 10.1 aufgeführten Rechte wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. | 10.2 If a data subject should directly contact the Agent for the purpose of the rights enumerated in Clause 10.1, the Agent shall immediately forward this request to the Principal. |
10.3 Für den Fall, dass eine betroffene Person ihre Rechte im Sinne von Ziffer 10.1 geltend macht, hat der Auftragnehmer den Auftraggeber bei der Erfüllung dieser Ansprüche angesichts der Art der Verarbeitung in angemessenem und für den Auftraggeber erforderlichen Umfang mit geeigneten technischen und organisatorischen Maßnahmen zu unterstützen. | 10.3 In the case that a data subject asserts his rights enumerated in Clause 10.1, the Agent shall support the Principal in the fulfilment of these claims taking into account the nature of the processing in an adequate and for the Principal necessary extent with suitable technical and organisational measures. |
10.4 Der Auftragnehmer wird es dem Auftraggeber ermöglichen, Auftraggeber-Daten zu berichtigen, zu löschen oder zu sperren oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Löschung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist. | 10.4 The Agent shall afford the Principal to correct, delete or block Principal-data or, upon request of the Principal, make the correction, blocking or deletion himself if and as far as the Principal is unable to do so. |
11. Rückgabe und Löschung überlassener Daten und Datenträger | 11. Return and deletion of data and data media |
11.1 Der Auftragnehmer hat sämtliche Auftraggeber-Daten nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des Hauptvertrags) oder früher nach Aufforderung durch den Auftraggeber datenschutzgerecht zu löschen und von dem Auftraggeber erhaltene Datenträger, die zu diesem Zeitpunkt noch Auftraggeber-Daten enthalten, an den Auftraggeber zurückzugeben. Gleiches gilt für Test- und Ausschussmaterial. Dies gilt nicht, sofern nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. | 11.1 The Agent shall delete all Principal-Data after having finished the services agreed on (in particular in the case of termination or another end of the Main Agreement) and return to the Principal the data mediums received by the Principal which still contain Principal-Data at that time. The same applies to test and rejection material. This shall not apply provided Union or Member State law requires storage of the personal data. |
11.2 Über eine Löschung bzw. Vernichtung von Auftraggeber-Daten hat der Auftragnehmer ein Protokoll zu erstellen, das dem Auftraggeber auf Anforderung vorzulegen ist. | 11.2 The Agent shall create a protocol about the deletion and destruction respectively of the Principal-data, which must be provided to the Principal upon request. |
11.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. | 11.3 Documentations which serve the purpose of proving the orderly and due data processing or legal requirements of record-keeping shall be kept by the Agent according to the respective record-keeping periods beyond the duration of the Agreement. |
12. Vertragsdauer und Kündigung | 12. Contract duration and termination |
Die Laufzeit und Kündigung dieses Vertrags richtet sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen. | The duration and termination of this contract, depends on the regulations of the duration and termination of the main contract. The termination of the main contract does automatically lead to the termination of this contract. An isolated termination of this contract is not possible. |
13. Verhältnis zum Hauptvertrag | 13. Relation to the Main Agreement |
Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus diesem Vertrag vor. | Unless special provisions are contained in this Agreement, the provisions of the Main Agreement shall apply. In the case of any inconsistencies between provisions of this Agreement and provisions of other agreements, in particular with the Main Agreement, the provisions of this Agreement shall prevail. |
_____________________________________ _____________________________________
Ort / Place Datum / Date Ort / Place Datum / Date
_____________________________________ _____________________________________
Unterschrift Auftraggeber/ Signature Principal Unterschrift Auftragnehmer/ Signature Agent
Anlagen: | Appendix: |
Anlage 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der Betroffenen | Appendix 1: Nature and purpose of the processing, Type of personal data, Categories of data subjects |
Anlage 2: Technische und organisatorische Maßnahmen | Appendix 2: Technical and organisational matters |
Anlage 3: Unterauftragnehmer | Appendix 3: Subcontractors |