nordpass logo

Datenverarbeitungsvereinbarung (Business)

Zuletzt aktualisiert: 30/09/20

Versionsnummer: 1.0

Es gibt keine früheren Versionen zur Ansicht.

Indessen

Der Kunde („Datenverantwortlicher“) und NordPass („Datenverarbeiter“);

Datenverantwortlicher und Datenverarbeiter werden im Folgenden gemeinsam als „Parteien“ bezeichnet;

  1. Der Datenverarbeiter erbringt für den Datenverantwortlichen Dienstleistungen im Rahmen des NordPass Nutzungsbedingungen (Business) („Bedingungen“), verfügbar auf der Website des Datenverarbeiters;
  2. Bei der Erbringung der Dienstleistungen verarbeitet der Datenverarbeiter die personenbezogenen Daten im Namen und auf Anweisung des Datenverantwortlichen;
  3. Die Parteien beabsichtigen, ihre Rechte und Pflichten in Bezug auf die oben beschriebene Verarbeitung personenbezogener Daten festzulegen;

Die vorliegende Datenverarbeitungsvereinbarung (die „Vereinbarung“) wurde abgeschlossen.

Definitionen

Sofern in dieser Vereinbarung nicht ausdrücklich etwas anderes vorgesehen ist, haben die in dieser Vereinbarung verwendeten Definitionen die Bedeutung, die in den Bedingungen oder wie unten angegeben definiert ist:

Anwendbare Datenschutzgesetze bezeichnet alle anwendbaren Gesetze und Vorschriften zum Schutz der Privatsphäre und des Datenschutzes überall auf der Welt, einschließlich, wo anwendbar, die DSGVO;

EEA bezeichnet den Europäischen Wirtschaftsraum (alle EU-Mitgliedstaaten, Großbritannien und Island, Norwegen und Liechtenstein);

DSGVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);

Verarbeitung bezeichnet jeden Vorgang oder jede Reihe von Vorgängen, die unter Verwendung personenbezogener Daten oder personenbezogener Datensätze durchgeführt werden, unabhängig davon, ob sie mit automatisierten Mitteln erfolgen, wie das Erheben, das Erfassen, die Organisation, die Strukturierung, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung und den Zugang, die Koordinierung, die Einschränkung, die Löschung oder die Vernichtung;

Person bezeichnet eine natürliche Person, deren persönliche Daten verarbeitet werden;

Personal Data bezeichnet jegliche Informationen, die sich auf eine identifizierbare Person beziehen;

Standardvertragsklauseln (SCC) means Standardvertragsklauseln for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council, as up-dated or replaced from time to time;

bezeichnet eine vom Datenverarbeiter beauftragte Stelle, die zustimmt, personenbezogene Daten vom Datenverarbeiter zu erhalten, die ausschließlich für die im Rahmen der Dienstleistungen durchzuführenden Verarbeitungstätigkeiten bestimmt sind.

Anwendung dieser Vereinbarung

  1. Diese Vereinbarung gilt, wenn die Verarbeitung personenbezogener Daten durch die DSGVO geregelt ist. Wenn die Vereinbarung gilt, ist sie zwischen den Parteien rechtsverbindlich und stellt einen integralen Bestandteil der Bedingungen dar.
  2. Sofern in dieser Vereinbarung (einschließlich der SCC, falls zutreffend) nichts anderes vereinbart ist, gelten die Bedingungen zwischen den Parteien in ihrer Gesamtheit.

Allgemeine Bestimmungen und Verpflichtungen

  1. Der Datenverarbeiter verpflichtet sich, personenbezogene Daten nur in Übereinstimmung mit den dokumentierten Anweisungen zu verarbeiten, die von Zeit zu Zeit vom Datenverantwortlichen mitgeteilt werden. Die ursprünglichen Anweisungen des Datenverantwortlichen an den Datenverarbeiter bezüglich des Gegenstands und der Dauer der Verarbeitung, der Art und des Zwecks der Verarbeitung, der Art der personenbezogenen Daten und der Personenkategorien sind in dieser Vereinbarung festgelegt.
  2. Bei der Verarbeitung personenbezogener Daten im Rahmen dieser Vereinbarung beachtet der Datenverantwortliche alle anwendbaren Datenschutzgesetze und Empfehlungen der zuständigen Aufsichtsbehörden.
  3. Der Datenverantwortliche wird keine Maßnahmen ergreifen, die den Datenverarbeiter dazu veranlassen würden, gegen die geltenden Datenschutzgesetze zu verstoßen.
  4. Mit der Unterzeichnung der Vereinbarung bestätigt der Datenverantwortliche, dass:
    • Alle im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten rechtmäßig erhoben werden;
    • Alle Bedingungen für die Übermittlung personenbezogener Daten an den Datenverarbeiter außerhalb des EWR erfüllt sind;
    • Alle Personen ordnungsgemäß über die Nutzung der Dienste des Datenverarbeiters informiert wurden und dass der Datenverantwortliche den Personen alle gemäß den geltenden Datenschutzgesetzen erforderlichen Informationen übermittelt hat.
  5. Alle in dieser Vereinbarung aufgeführten Anweisungen umfassend sind und den Willen des Datenverantwortlichen widerspiegeln. Zusätzliche oder abweichende Anweisungen des Datenverantwortlichen müssen von den Parteien gesondert schriftlich vereinbart werden.
  6. Der Datenverarbeiter:
    • Darf keine Anweisungen des Datenverantwortlichen bewerten, der dafür verantwortlich und haftbar ist, dass die erteilten Anweisungen in vollem Umfang rechtmäßig und mit den geltenden Datenschutzgesetzen konform sind. Wenn eine Anweisung nach vernünftiger Einschätzung des Datenverarbeiters zweifellos gegen die geltenden Datenschutzgesetze verstößt, muss der Datenverarbeiter den Datenverantwortlichen informieren;
    • Unter Berücksichtigung der Art der Verarbeitung unterstützt der Datenverarbeiter den Datenverantwortlichen auf dessen Kosten dabei, die Einhaltung der Verpflichtungen des Datenverantwortlichen gemäß den geltenden Datenschutzgesetzen sicherzustellen, indem er die vom Datenverantwortlichen angeforderten Informationen bereitstellt;
    • Anweisungen zur Verarbeitung

Anweisungen zur Verarbeitung

  1. Die personenbezogenen Daten im Rahmen dieser Vereinbarung werden verarbeitet, um dem Datenverantwortlichen Dienstleistungen gemäß den Bedingungen zu erbringen. Die Art, der Zweck, der Gegenstand und andere Einzelheiten der im Rahmen der Dienstleistungen durchgeführten Verarbeitungstätigkeiten sind in Anhang I dieser Vereinbarung dargelegt.
  2. Der Datenverarbeiter verarbeitet die personenbezogenen Daten der Endnutzer des Datenverantwortlichen.
  3. Die Verarbeitung durch den Datenverarbeiter bezieht sich auf die folgenden Kategorien personenbezogener Daten:
    • Sonstige Informationen, die für die Erbringung von Dienstleistungen erforderlich sind.
    • Die personenbezogenen Daten im Rahmen dieser Vereinbarung werden verarbeitet, um dem Datenverantwortlichen Dienstleistungen gemäß den Bedingungen zu erbringen. Die Art, der Zweck, der Gegenstand und andere Einzelheiten der im Rahmen der Dienstleistungen durchgeführten Verarbeitungstätigkeiten sind in Anhang I dieser Vereinbarung dargelegt.
  4. Die Verarbeitung durch den Datenverarbeiter bezieht sich nicht auf die besonderen Kategorien personenbezogener Daten.
  5. Die personenbezogenen Daten, die im Rahmen dieser Vereinbarung verarbeitet werden, unterliegen den grundlegenden Verarbeitungsaktivitäten, wie sie in den Bedingungen vorgesehen sind oder wie sie für die Erbringung der Dienstleistungen erforderlich sind.

Offenlegung personenbezogener Daten

  1. Der Datenverarbeiter verpflichtet sich, keine verarbeiteten personenbezogenen Daten an Dritte weiterzugeben, es sei denn, dies geschieht durch den Einsatz von Unterverarbeitern, wie in dieser Vereinbarung festgelegt, es sei denn, die personenbezogenen Daten werden aufgrund von Auskunftsersuchen Dritter in Übereinstimmung mit anwendbaren Rechtsakten oder aufgrund von berechtigten Anfragen von Strafverfolgungs- oder anderen zuständigen Behörden weitergegeben.
  2. Der Datenverantwortliche ermächtigt den Datenverarbeiter, Unterverarbeiter einzusetzen, um seine Verpflichtungen gemäß dieser Vereinbarung zu erfüllen (er erteilt eine allgemeine Ermächtigung), vorausgesetzt, der Datenverarbeiter führt eine Liste der Unterverarbeiter und stellt dem Datenverantwortlichen diese Liste auf schriftliche Anfrage des Datenverantwortlichen zur Verfügung. Im Falle eines neuen Unterverarbeiters wird der Datenverarbeiter den Datenverantwortlichen darüber informieren. Der Datenverarbeiter ermöglicht dem Datenverantwortlichen, durch einen begründeten, spezifischen und schriftlichen Einspruch gegen Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterverarbeitern auf der vorgenannten Liste Einspruch zu erheben.
  3. Der Datenverarbeiter ist verpflichtet, dafür zu sorgen, dass die Unterverarbeiter schriftlich ähnliche Verpflichtungen wie die in dieser Vereinbarung vereinbarten übernehmen. Der Datenverarbeiter bleibt gegenüber dem Datenverantwortlichen in vollem Umfang für die Erfüllung der Datenschutzverpflichtungen seiner Unterverarbeiter haftbar, wenn die Unterverarbeiter diese Verpflichtungen nicht erfüllen.

Übermittlung an Drittstaaten

  1. Der Datenverarbeiter ist berechtigt, die personenbezogenen Daten in ein Land außerhalb des EWR zu übermitteln, soweit dies für die Erbringung der Dienstleistungen erforderlich ist, vorausgesetzt, dass der Datenverarbeiter ein angemessenes Schutzniveau gewährleistet und andere Verpflichtungen einhält, denen er nach dieser Vereinbarung unterliegt.
  2. Sofern die Parteien nach den geltenden Datenschutzgesetzen verpflichtet sind, die SCC abzuschließen, wird die SCC hiermit durch diesen Verweis in diese Vereinbarung als rechtsverbindliche und ordnungsgemäß ausgeführte Vereinbarung zwischen den Parteien aufgenommen und:
    • Der Datenverantwortliche gilt als „Datenexporteur“ und der Datenverarbeiter gilt als „Datenimporteur“;
    • Abschnitt 4 dieser Vereinbarung gilt als Anlage 1 zu den SCC;
    • Abschnitt 7 dieser Vereinbarung gilt als Anhang 2 zu den SCC.

Grundsätze zur Sicherheit personenbezogener Daten

  1. Um den Datenverantwortlichen bei der Einhaltung der gesetzlichen Verpflichtungen zu unterstützen, einschließlich, aber nicht beschränkt auf die Umsetzung angemessener Sicherheitsmaßnahmen für personenbezogene Daten, ergreift der Datenverarbeiter geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten. Die Maßnahmen müssen ein angemessenes Maß an Sicherheit gewährleisten, wobei Folgendes zu berücksichtigen ist:
    • besondere Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten;
    • die Kosten der Maßnahmen;
    • bestehenden technischen Möglichkeiten.
  2. Der Datenverarbeiter setzt ausreichende technische und organisatorische Mittel ein, um ein den Risiken entsprechendes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich:
    • die Fähigkeit, die kontinuierliche Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zur Verarbeitung personenbezogener Daten zu gewährleisten;
    • die Möglichkeit, die Bedingungen und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen; und
    • regelmäßige Bewertung der Effizienz der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit, Überprüfung, Bewertung und Leistung der Verarbeitung personenbezogener Daten.
  3. Der Datenverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Unterverarbeiter sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.

Bearbeitung der Personenanfragen

  1. Der Datenverantwortliche bearbeitet und beantwortet alle Anfragen oder Anträge einer Person zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen, einschließlich, aber nicht beschränkt auf den Zugang zu den über die Person gespeicherten Informationen und Anträge auf Löschung oder Berichtigung der personenbezogenen Daten oder Einschränkung der Verarbeitung in Bezug auf die Person.
  2. Jede Anfrage einer Person oder jeder Antrag auf Ausübung ihrer Rechte, die direkt an den Datenverarbeiter gerichtet sind, werden vom Datenverarbeiter an den Datenverantwortlichen weitergeleitet.
  3. Wenn der Datenverantwortliche nicht in der Lage ist, die Rechte der Person auszuüben, kann der Datenverantwortliche den Datenverarbeiter um Unterstützung bei der Bereitstellung von Informationen im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäß dieser Vereinbarung bitten.

Recht auf Durchführung einer Prüfung

  1. Der Datenverantwortliche hat das Recht, Maßnahmen zu ergreifen, um die Einhaltung der Bedingungen dieser Vereinbarung durch den Datenverarbeiter zu überprüfen, wenn dies vernünftigerweise erforderlich ist. Der Datenverantwortliche hat das Recht, eine Prüfung durch ein unabhängiges, akkreditiertes und seriöses Drittunternehmen zu verlangen, auf das sich die beiden Parteien geeinigt haben.
  2. Diese Prüfung findet nur statt, wenn ein konkreter und begründeter Verdacht auf Missbrauch personenbezogener Daten besteht, und nur, nachdem der Datenverantwortliche ähnliche bestehende Berichte vom Datenverarbeiter angefordert und bewertet hat und angemessene Argumente vorgebracht hat, die eine Prüfung durch den Datenverantwortlichen rechtfertigen. Eine solche Prüfung ist gerechtfertigt, wenn die dem Datenverarbeiter zur Verfügung stehenden ähnlichen Berichte unzureichende oder nicht schlüssige Antworten hinsichtlich der Einhaltung dieser Vereinbarung durch den Datenverarbeiter liefern.
  3. Um Zweifel auszuschließen, dürfen weder der Datenverantwortliche noch der beauftragte Prüfer ein Konkurrent des Datenverarbeiters sein, und der Datenverantwortliche oder der ausgewählte Prüfer dürfen unter keinen Umständen Zugang zu vertraulichen Informationen des Datenverarbeiters, zu Informationen anderer Kunden des Datenverarbeiters oder zu Informationen Dritter haben, denen gegenüber der Datenverarbeiter eine Vertraulichkeitspflicht hat.
  4. Eine solche Prüfung durch den Datenverantwortlichen findet während der regulären Geschäftszeiten in einer Weise statt, die den Geschäftsbetrieb des Datenverarbeiters nicht beeinträchtigt, und zwar mit einer angemessenen Vorankündigung von mindestens 2 Monaten an den Datenverarbeiter und vorbehaltlich der maximalen Kapazität der Vertraulichkeitsverpflichtung, wie unten angegeben. Der Datenverantwortliche ist für alle Kosten und Gebühren im Zusammenhang mit einer solchen Prüfung verantwortlich, einschließlich aller Kosten und Gebühren für die Zeit, die der Datenverarbeiter für eine solche Prüfung aufwendet, zusätzlich zu den Sätzen für die vom Datenverarbeiter erbrachten Unterstützungsleistungen und allen dem Datenverarbeiter entstandenen Ausgaben. Vor Beginn einer solchen Prüfung einigen sich die Parteien einvernehmlich auf den Zeitpunkt, die Dauer und den Umfang der Prüfung, die keinen physischen Zugang zu den Servern, von denen aus die Datenverarbeitungsdienste erbracht werden, beinhalten darf. Der Datenverantwortliche benachrichtigt den Datenverarbeiter unverzüglich über alle Verstöße, die im Laufe einer Prüfung festgestellt werden. Der Datenverantwortliche darf den Datenverarbeiter nicht öfter als einmal pro Jahr überprüfen.
  5. Informationen, die im Laufe einer Prüfung entdeckt werden, werden als „vertrauliche Informationen“ behandelt und unterliegen dem Abschnitt „Vertraulichkeit“ der Bedingungen.

Bedingung

  1. Diese Vereinbarung gilt für die gesamte Dauer der Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen.
  2. Nach Beendigung der Vereinbarung löscht der Datenverarbeiter die personenbezogenen Daten oder gibt sie an den Datenverantwortlichen zurück, wie in dieser Vereinbarung vorgesehen. Personenbezogene Daten sind zu löschen oder auf andere Weise unwiederbringlich zu machen und/oder zu anonymisieren, mit Ausnahme der Kopien, die gemäß den Bedingungen oder dieser Vereinbarung zulässig sind oder die gemäß den geltenden Gesetzen aufbewahrt werden müssen.

Rückerstattung

  1. Der Datenverarbeiter hat Anspruch auf Erstattung angemessener Auslagen, Kosten und Gebühren, die ihm infolge unrichtiger, unvollständiger oder rechtswidriger Weisungen des Datenverantwortlichen oder infolge fehlender Weisungen des Datenverantwortlichen entstanden sind.

Haftung

  1. Die Gesamthaftung des Datenverarbeiters, die sich aus dieser Vereinbarung ergibt oder damit zusammenhängt, unabhängig davon, ob es sich um eine vertragliche Haftung, eine Haftung aus unerlaubter Handlung oder eine sonstige Haftungstheorie handelt, unterliegt den in den Bedingungen dargelegten Beschränkungen und Ausschlüssen. Unter Haftung des Datenverarbeiters ist die Gesamthaftung des Datenverarbeiters gemäß den Bedingungen und dieser Vereinbarung zu verstehen.

Sonstige Bestimmungen

  1. Alle Mitteilungen zwischen den Vertragsparteien erfolgen gemäß den Bestimmungen der Bedingungen.
  2. Diese Vereinbarung und alle Streitigkeiten oder Ansprüche, die sich aus dieser Vereinbarung ergeben, werden gemäß den Bestimmungen der Bedingungen geregelt.
  3. Im Falle von Widersprüchen zwischen dieser Vereinbarung, den Bedingungen und anderen Verträgen, die Datenschutzfragen zwischen den Parteien regeln, haben die Bestimmungen dieser Vereinbarung Vorrang vor allen anderen vertraglichen Bestimmungen.
« Zurück zur Datenverarbeitungsvereinbarung (Business) (aktuelle Version)