Datenverarbeitungsvertrag

Gemäß dem Durchführungsbeschluss der Europäischen Kommission vom 4. Juni 2021 über EU-Standardvertragsklauseln (SCC) zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates

Abschnitt I

Klausel 1 - Zweck und Anwendungsbereich

(a) Zweck dieser Standardvertragsklauseln (die Klauseln) ist es, die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sicherzustellen

(b) Die in Anhang I aufgeführten für die Verarbeitung Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 sicherzustellen.

(d) Die Anhänge I bis IV sind Bestandteil der Klauseln.

(e) Diese Klauseln berühren nicht die Verpflichtungen, denen der für die Verarbeitung Verantwortliche aufgrund der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

(f) Diese Klauseln gewährleisten für sich genommen nicht die Einhaltung der Verpflichtungen im Zusammenhang mit internationalen Übermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725.

Klausel 2 - Unveränderlichkeit der Klauseln

(a) Die Vertragsparteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, sie fügen den Anhängen Informationen hinzu oder aktualisieren sie.

(b) Dies hindert die Vertragsparteien nicht daran, die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfassenderen Vertrag aufzunehmen oder andere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese nicht direkt oder indirekt im Widerspruch zu den Klauseln stehen oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigen.

Klausel 3 - Auslegung

(a) Wenn in diesen Klauseln Begriffe verwendet werden, die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definiert sind, haben diese Begriffe dieselbe Bedeutung wie in der genannten Verordnung.

(b) Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 zu lesen und auszulegen.

(c)

Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den Rechten und Pflichten gemäß der Verordnung (EU) 2016/679 / Verordnung (EU) 2018/1725 zuwiderläuft oder die Grundrechte oder -freiheiten der betroffenen Personen beeinträchtigt.

Klausel 4 - Hierarchie

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen der zwischen den Parteien zum Zeitpunkt der Vereinbarung dieser Klauseln bestehenden oder später abgeschlossenen Verträge sind diese Klauseln maßgebend.

Klausel 5 - Fakultativ

Andockklausel

(a) Jede Stelle, die nicht Vertragspartei dieser Klauseln ist, kann mit Zustimmung aller Vertragsparteien diesen Klauseln jederzeit als für die Verarbeitung Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.

(b) Sobald die Anhänge unter Buchstabe a) ausgefüllt und unterzeichnet sind, wird die beitretende Einrichtung als Vertragspartei dieser Klauseln behandelt und hat die Rechte und Pflichten eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters gemäß ihrer Bezeichnung in Anhang I.

(c) Der beitretende Rechtsträger hat keine Rechte und Pflichten, die sich aus diesen Klauseln für den Zeitraum vor seinem Beitritt ergeben.

Datenverarbeitungsvertrag

Abschnitt II: Pflichten der Parteien

Klausel 6 - Beschreibung der Verarbeitung (en)

Die Einzelheiten der Verarbeitungen, insbesondere die Kategorien personenbezogener Daten und die Zwecke der Verarbeitung, für die die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7 - Pflichten der Partein

7.1. Anweisungen

(a) Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen, es sei denn, er ist aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen er unterliegt, hierzu verpflichtet. In diesem Fall unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung, es sei denn, das Gesetz verbietet dies aus wichtigen Gründen des öffentlichen Interesses. Der für die Verarbeitung Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten auch nachträgliche Anweisungen erteilen. Diese Anweisungen sind stets zu dokumentieren.

(b) Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass Anweisungen des für die Verarbeitung Verantwortlichen gegen die Verordnung (EU) 2016/679 / Verordnung (EU) 2018/1725 oder gegen die geltenden Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2. Zweckbeschränkung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für die in Anhang II genannten spezifischen Zwecke, es sei denn, er erhält vom für die Verarbeitung Verantwortlichen weitere Anweisungen.

7.3. Dauer der Verarbeitung personenbezogener Daten

Die Verarbeitung durch den Verarbeiter darf nur für die in Anhang II angegebene Dauer erfolgen.

7.4. Sicherheit der Verarbeitung

(a) Der Auftragsverarbeiter trifft mindestens die in Anhang III genannten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dazu gehört der Schutz der Daten vor einer Sicherheitsverletzung, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung, einer unbefugten Weitergabe oder einem unberechtigten Zugang zu den Daten führt (Verletzung des Schutzes personenbezogener Daten). Bei der Beurteilung des angemessenen Sicherheitsniveaus tragen die Vertragsparteien dem Stand der Technik, den Kosten der Durchführung, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den Risiken für die betroffenen Personen angemessen Rechnung.

(b) Der Auftragsverarbeiter gewährt den Mitgliedern seines Personals nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter stellt sicher, dass die Personen, die zur Verarbeitung der erhaltenen personenbezogenen Daten befugt sind, sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5. Sensible Daten

Betrifft die Verarbeitung personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten oder biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Daten über Gesundheit oder das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten ("sensible Daten"), so wendet der Auftragsverarbeiter besondere Einschränkungen und/oder zusätzliche Garantien an.

7.6 Dokumentation und Einhaltung der Vorschriften

(a) Die Parteien müssen in der Lage sein, die Einhaltung dieser Klauseln nachzuweisen.

(b) Der Auftragsverarbeiter ist verpflichtet, Anfragen des für die Verarbeitung Verantwortlichen über die Verarbeitung von Daten nach Maßgabe dieser Klauseln unverzüglich und angemessen zu beantworten.

(c) Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der Verpflichtungen nachzuweisen, die in diesen Klauseln festgelegt sind und sich unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 ergeben. Auf Verlangen des für die Verarbeitung Verantwortlichen gestattet der Auftragsverarbeiter außerdem in angemessenen Abständen oder bei Anzeichen für Verstöße Audits der unter diese Klauseln fallenden Verarbeitungstätigkeiten und trägt zu diesen bei. Bei der Entscheidung über eine Überprüfung oder ein Audit kann der für die Verarbeitung Verantwortliche die einschlägigen Zertifizierungen des Auftragsverarbeiters berücksichtigen.

(d)

Der für die Verarbeitung Verantwortliche kann die Prüfung entweder selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Audits können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Verarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

(e)

Die Vertragsparteien stellen der/den zuständigen Aufsichtsbehörde(n) auf Anfrage die in diesem Abschnitt genannten Informationen, einschließlich der Ergebnisse etwaiger Audits, zur Verfügung.

7.7. Einsatz von Unterauftragsverarbeitern

(a) Der Auftragsverarbeiter hat die allgemeine Genehmigung des für die Verarbeitung Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern aus einer vereinbarten Liste. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen mindestens drei Wochen im Voraus schriftlich über jede beabsichtigte Änderung dieser Liste durch Hinzufügung oder Ersetzung von Unterauftragsverarbeitern, so dass der für die Verarbeitung Verantwortliche genügend Zeit hat, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter(s) Einspruch gegen diese Änderungen zu erheben. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann.

(b) Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des für die Verarbeitung Verantwortlichen), so erfolgt dies im Wege eines Vertrags, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie dem Auftragsverarbeiter gemäß diesen Klauseln. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Verpflichtungen einhält, denen der Auftragsverarbeiter gemäß diesen Klauseln und der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

(c) Auf Verlangen des für die Verarbeitung Verantwortlichen legt der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen eine Kopie der Unterauftragsverarbeitungsvereinbarung und aller nachfolgenden Änderungen vor. Soweit dies zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten, erforderlich ist, kann der Auftragsverarbeiter den Text der Vereinbarung vor der Weitergabe der Kopie schwärzen.

(d) Der Auftragsverarbeiter bleibt gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang für die Erfüllung der Verpflichtungen des Unterauftragsverarbeiters gemäß seinem Vertrag mit dem Auftragsverarbeiter verantwortlich. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen, wenn der Unterauftragsverarbeiter seinen vertraglichen Verpflichtungen nicht nachkommt.

(e) Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigungsklausel, wonach der für die Verarbeitung Verantwortliche das Recht hat, den Unterauftragsverarbeitungsvertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben, wenn der Auftragsverarbeiter faktisch oder rechtlich nicht mehr existiert oder zahlungsunfähig geworden ist.

7.8. Internationale Überweisungen

(a) Jede Übermittlung von Daten in ein Drittland oder an eine internationale Organisation durch den Auftragsverarbeiter erfolgt nur auf der Grundlage dokumentierter Anweisungen des für die Verarbeitung Verantwortlichen oder zur Erfüllung einer spezifischen Anforderung nach dem Recht der Union oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt , und erfolgt in Übereinstimmung mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725.

(b) Der für die Verarbeitung Verantwortliche erklärt sich damit einverstanden, dass der Auftragsverarbeiter bei der Beauftragung eines Unterauftragsverarbeiters gemäß Klausel 7.7. für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des für die Verarbeitung Verantwortlichen) und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, können der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 angenommen wurden, sofern die Bedingungen für die Verwendung dieser Standardvertragsklauseln erfüllt sind.

Klausel 8 - Unterstützung des Kontrolleurs

(a) Der Auftragsverarbeiter meldet dem für die Verarbeitung Verantwortlichen unverzüglich jeden Antrag, den er von der betroffenen Person erhalten hat. Sie beantwortet die Anfrage nicht selbst, es sei denn, der für die Verarbeitung Verantwortliche ermächtigt sie dazu.

(b) Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen der betroffenen Personen auf Ausübung ihrer Rechte, wobei die Art der Verarbeitung zu berücksichtigen ist. Bei der Erfüllung seiner Verpflichtungen gemäß den Buchstaben a) und b) befolgt der Auftragsverarbeiter die Anweisungen des für die Verarbeitung Verantwortlichen.

(c) Zusätzlich zu der Verpflichtung des Auftragsverarbeiters, den für die Verarbeitung Verantwortlichen gemäß Klausel 8 Buchstabe b) zu unterstützen, muss der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Einhaltung der folgenden Verpflichtungen unterstützen, wobei die Art der Datenverarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen zu berücksichtigen sind:

(1) die Verpflichtung, eine Abschätzung der Auswirkungen der geplanten Verarbeitungen auf den Schutz personenbezogener Daten (eine "Datenschutz-Folgenabschätzung") durchzuführen, wenn eine Art der Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt;

(2) die Verpflichtung, die zuständige(n) Aufsichtsbehörde(n) vor der Verarbeitung zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Risikominderung trifft;

(3) die Verpflichtung, für die Richtigkeit und Aktualität der personenbezogenen Daten zu sorgen, indem der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

(4) die Verpflichtungen aus Artikel 32 der Verordnung (EU) 2016/679

(d) Die Vertragsparteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen fest, mit denen der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Anwendung dieser Klausel zu unterstützen hat, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung.

Klausel 9 - Benachrichtigung bei Verletzung des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem für die Verarbeitung Verantwortlichen zusammen und unterstützt ihn, damit der für die Verarbeitung Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 bzw. gemäß den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt werden.

9.1 Datenschutzverletzung in Bezug auf Daten, die von dem für die Verarbeitung Verantwortlichen verarbeitet werden

Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit Daten, die von dem für die Verarbeitung Verantwortlichen verarbeitet werden, unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen:

(a) bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), gegebenenfalls unverzüglich nachdem der für die Verarbeitung Verantwortliche davon Kenntnis erlangt hat (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen);

(b) bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des für die Verarbeitung Verantwortlichen anzugeben sind und mindestens Folgendes umfassen müssen:

(1) die Art der personenbezogenen Daten und, soweit möglich, die Kategorien und die ungefähre Anzahl der betroffenen Personen sowie die Kategorien und die ungefähre Anzahl der betroffenen personenbezogenen Datensätze;
(2) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
(3) die Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abmilderung möglicher nachteiliger Auswirkungen.

Wenn und soweit es nicht möglich ist, alle diese Informationen gleichzeitig zu übermitteln, enthält die ursprüngliche Meldung die zu diesem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, ohne unnötige Verzögerung nachgereicht.

(c) bei der Einhaltung der Verpflichtung gemäß Artikel 34 der Verordnung (EU) 2016/679, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes personenbezogener Daten wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

9.2 Datenschutzverletzung in Bezug auf die vom Auftragsverarbeiter verarbeiteten Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten in Bezug auf Daten, die vom Auftragsverarbeiter verarbeitet werden, benachrichtigt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, nachdem er von der Verletzung Kenntnis erlangt hat. Diese Mitteilung muss mindestens Folgendes enthalten

(a) eine Beschreibung der Art der Verletzung (einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze);
(b) die Angaben zu einer Kontaktstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
(c)

die wahrscheinlichen Folgen des Verstoßes und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung des Verstoßes, einschließlich der Abmilderung möglicher nachteiliger Auswirkungen.

Die Vertragsparteien legen in Anhang III alle weiteren Elemente fest, die der Auftragsverarbeiter bereitstellen muss, wenn er den für die Verarbeitung Verantwortlichen bei der Erfüllung seiner Pflichten nach den Artikeln 33 und 34 der Verordnung (EU) 2016/679 unterstützt.

Data Processing Agreement

SECTION III - Schlussbestimmungen

Klausel 10 - Nichteinhaltung der Klauseln und Kündigung

(a) Unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 kann der für die Verarbeitung Verantwortliche im Falle eines Verstoßes des Auftragsverarbeiters gegen seine Verpflichtungen gemäß diesen Klauseln den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis dieser diese Klauseln einhält oder der Vertrag beendet wird. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich, wenn er diese Klauseln, aus welchen Gründen auch immer, nicht einhalten kann.

(b) Der für die Verarbeitung Verantwortliche hat das Recht, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn:

(1) die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter von dem für die Verarbeitung Verantwortlichen gemäß Buchstabe a) ausgesetzt wurde und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wird;

(2) der Auftragsverarbeiter in erheblichem Maße oder anhaltend gegen diese Klauseln oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 verstößt;

(3) der Auftragsverarbeiter einer verbindlichen Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n) hinsichtlich seiner Verpflichtungen gemäß diesen Klauseln oder der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht nachkommt.

(c) Der Auftragsverarbeiter ist berechtigt, den -Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der für die Verarbeitung Verantwortliche, nachdem er den für die Verarbeitung Verantwortlichen darüber informiert hat, dass seine Anweisungen gemäß Klausel 7.1 (b) gegen geltende gesetzliche Anforderungen verstoßen, auf der Einhaltung der Anweisungen besteht.

(d) Nach Beendigung des Vertrags hat der Auftragsverarbeiter nach Wahl des für die Verarbeitung Verantwortlichen alle im Auftrag des für die Verarbeitung Verantwortlichen verarbeiteten personenbezogenen Daten zu löschen und dem für die Verarbeitung Verantwortlichen zu bescheinigen, dass dies geschehen ist, oder alle personenbezogenen Daten an den für die Verarbeitung Verantwortlichen zurückzugeben und vorhandene Kopien zu löschen, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt die Aufbewahrung der personenbezogenen Daten vor. Bis zur Löschung oder Rückgabe der Daten muss der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln gewährleisten.

Anlage I: Liste der Vertragsparteien

Anlage II: Beschreibung der Verarbeitung

Kategorien von betroffenen Personen, deren personenbezogene Daten verarbeitet werden

☒ Kunden

☐ Aussichten

☒ Abonnenten

☒ Mitarbeiter, Ansprechpartner des für die Verarbeitung Verantwortlichen

☐ Mitarbeiter des Verarbeiters

☒ Kunden des Controllers

☐ Lieferanten

☐ Vertriebsmitarbeiter

☒ Ansprechpartner

☒ Zahlungsdienstleister des für die Verarbeitung Verantwortlichen

☐ Antragsteller

☐ Andere, bitte angeben

………………………..

Kategorien von verarbeiteten personenbezogenen Daten

☒ Stammdaten (z.B. Anrede, Titel, Vorname, Nachname)

☒ Kontaktdaten (z.B. E-Mail-Adresse, Telefonnummer, Faxnummer)

☐ Adressdaten (z. B. Straße, Hausnummer, Postleitzahl, Ort, Land)

☒ Zahlungs-/Finanz- und Bankdaten (z. B. IBAN, BIC, Kreditkartendaten, Zahlungsbedingungen)

☒ Daten zur Auftragsabwicklung (z. B. Bestelldaten, Kundennummer, Kundentyp usw.)

☒ Rechnungsdaten

☒ Daten zum Zahlungsverhalten

☒ IT-Daten (IP-Adressen, Zeitzone, Betriebssystem, Browsersprache)

☐ …

☐ Andere, bitte spezifizieren / others, please specify

………………………..

Sensible verarbeitete Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den damit verbundenen Risiken in vollem Umfang Rechnung tragen, wie z. B. strikte Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnung des Zugangs zu den Daten, Beschränkungen für die Weitergabe oder zusätzliche Sicherheitsmaßnahmen.

☐ Rasse oder ethnische Herkunft

☐ Politische Meinungen

☐ religiöse oder philosophische Überzeugungen

☐ Gewerkschaftsmitgliedschaft

☐ genetische Daten

☐ biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person

☐ Daten zur Gesundheit

☐ Daten, die das Sexualleben oder die sexuelle Ausrichtung einer natürlichen Person betreffen

☒ keine dieser Daten

………………………..

Art der Verarbeitung

Im Rahmen der im Hauptvertrag festgelegten Dienstleistungen werden die Daten für den angegebenen Zweck verarbeitet.

Zweck(e), für den/die die personenbezogenen Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden

Bereitstellung von Software und Dienstleistungen für die Durchführung und Abwicklung von Zahlungsprozessen, Rechnungsstellung, Abrechnung und Abonnementverwaltung sowie die Abwicklung wiederkehrender Zahlungen.

Dauer der Verarbeitung

Die Dauer der Verarbeitung richtet sich nach der Laufzeit der jeweiligen Leistungsvereinbarung(en), es sei denn, aus den Bestimmungen der Klauseln ergeben sich weitere Verpflichtungen oder Kündigungsrechte. Dienstleistungsvertrag im Sinne dieser Bestimmung ist der nachstehend bezeichnete Vertrag: xxx………………………..

Bei der Verarbeitung durch (Unter-)Verarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben

ANLAGE III: technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit

Bitte fordern Sie die Anlage “Technisch-organisatorische Maßnahmen” unter [email protected] an.

Anlage IV: Liste der Unterauftragsverarbeiter

ERLÄUTERUNG:

Dieser Anhang ist auszufüllen, wenn eine besondere Zulassung von Unterauftragsverarbeitern vorliegt (Klausel 7.7 Buchstabe a, Option 1).

Eine Beschreibung der Unterauftragsverarbeiter (einschließlich einer klaren Abgrenzung der Zuständigkeiten für den Fall, dass mehrere Unterauftragsverarbeiter zugelassen sind) finden Sie hier: https://frisbii.com/de/sub-processors/

Der Auftragsverarbeiter informiert über geplante Änderungen/Ergänzungen bei Unterauftragsverarbeitern auf der Website https://frisbii.com/de/sub-processors/. Um automatisch benachrichtigt zu werden, kann der für die Verarbeitung Verantwortliche hier ein Abonnement abschließen, und der Abonnent wird über Änderungen informiert.

Datenverarbeitungsvertrag

Abschnitt I

Abschnitt II: Pflichten der Parteien

SECTION III - Schlussbestimmungen

Anlage I: Liste der Vertragsparteien

Anlage II: Beschreibung der Verarbeitung

ANLAGE III: technische und organisatorische Maßnahmen, einschließlich technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit

Anlage IV: Liste der Unterauftragsverarbeiter

Features