Coachonaut.de
Coachonaut.de

Auftragsverarbeitungsvereinbarung

Auftragsverarbeitungsvereinbarung

  1. Allgemeiner Geltungsbereich 

    1. Diese Auftragsverarbeitungsvereinbarung („AVV„) ist integraler Bestandteil der AGB und kommt mit Abschluss des Vertrags zwischen dem Anbieter und dem Kunden zustande (“Vertrag“). Der Anbieter wird nachfolgend als „Auftragsverarbeiter“ und der Kunde als „Verantwortlicher“ bezeichnet.

    2. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen im Sinne von Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutzgrundverordnung („DSGVO„). 

  2.  Definierte Begriffe  

Die Definitionen aus der DSGVO gelten entsprechend in dieser AVV. Die in den AGB definierten Begriffe haben dieselbe Bedeutung in dieser AVV. Im Übrigen gelten folgende Definitionen:

„Daten des Verantwortlichen“ bezeichnet alle personenbezogenen Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen auf der Grundlage dieser AVV verarbeitet. 

„Datenschutzgesetze“ bezeichnet alle Gesetze und Vorschriften, einschließlich der Gesetze und verbindlichen Vorschriften der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten, der Schweiz und des Vereinigten Königreichs, die für personenbezogener Daten im Rahmen der AVV gelten. 

„Drittland“ bezeichnet jedes Land außerhalb eines Landes, in dem die Datenschutzgesetze die Übermittlung personenbezogener Daten an Bestimmungsorte außerhalb dieses Landes einschränken, es sei denn, die Datenschutzgesetze und die zuständigen Aufsichtsbehörden des Herkunftslandes haben einen Angemessenheitsbeschluss bezüglich der Datenschutzgesetze des Bestimmungslandes gefasst, so dass die Übermittlung personenbezogener Daten an dieses Bestimmungsland nicht eingeschränkt ist. 

„Geschäftstage“ sind alle Wochentage, Samstage und Sonntage ausgenommen, an denen ein normaler Geschäftsverkehr geöffnet sind.

  1.  Beschreibung der Datenverarbeitung

    1. Die Auftragsverarbeitung auf der Grundlage dieser AVV hat folgenden Gegenstand: 

      1. Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden: 

  1. Mitarbeiterinnen und Mitarbeiter des Kunden 

  2. Personen, denen der Kunde ein Benutzerkonto freischaltet 

  3. Endkunden

  4. Partner (Publisher, Teammitglieder, Joint-Venture-Partner) 

  1. Kategorien personenbezogener Daten, die verarbeitet werden:

  1. Personenstammdaten (Name, Vorname, Adresse) Kommunikationsdaten (E-Mail-Adresse, Telefonnummer) 

  2. Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse) 

  3. Kundenhistorie (z.B. Login, Produktnutzung, gekaufte Produkte) 

  4. Vertragsabrechnungs- und Zahlungsdaten (z.B. Zahlungsmethode, Zahlungsstatus, Rechnungen) 

  5. Planungs- und Steuerungsdaten (z.B. Besucherquellen, Anzahl Aufrufe, besuchte Seiten, Klicks) 

  6. Technische Daten (z.B. IP-Adresse, Gerät, Browser, Standort, Mac-Adresse) 

  7. Inhaltsdaten (z.B. Videos, Bilder, Texte, Audios, Dateien, Kurskommentare, Antworten auf Quizfragen) 

  1. Art, Zwecke und Dauer der Datenverarbeitung:

Der Auftragsverarbeiter stellt dem Verantwortlichen die Plattform als Cloud-Anwendung zur Unterstützung der digitalen Produkterstellung und des Vertriebes dieser Produkte zur Verfügung. Der Verantwortliche kann in der Cloud-Anwendung Angebots-Webseiten erstellen und Verträge mit Endkunden schließen. Der Auftragsverarbeiter verarbeitet und speichert in diesem Zusammenhang Daten im Auftrag des Verantwortlichen. Die Dauer der Verarbeitung entspricht der Laufzeit des Vertrags.

  1.  Rechte und Pflichten des Verantwortlichen 

    1. Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung sowie die Wahrung der Rechte der betroffenen Personen verantwortlich. 

    2. Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder eine sonstige, für den Verantwortlichen geltende gesetzliche Meldepflicht besteht, ist der Verantwortliche für deren Einhaltung verantwortlich.

  2.  Weisungen

    1. Der Verantwortliche hat das Recht, dem Auftragsverarbeiter jederzeit Weisungen zu Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Die Weisungen sind in Textform (z.B. E-Mail) zu erteilen. Der Verantwortliche ist für die Rechtmäßigkeit der Weisungen verantwortlich. 

    2. Die Parteien können Personen in Textform benennen, die zur Erteilung bzw. zum Empfang von Weisungen befugt sind. Ändern sich diese befugten Personen, so teilen sich dies die Parteien gegenseitig in Textform mit.

    3. Soweit aufgrund einer Weisung des Verantwortlichen nicht unwesentliche Änderungen an den vertraglich vereinbarten Datenverarbeitungsvorgängen erforderlich wären und dadurch zusätzliche Aufwände oder Kosten für den Auftragsverarbeiter entstehen, werden die Parteien über eine angemessene Erhöhung der vertraglich vereinbarten Vergütung verhandeln. Sollten sich die Parteien nicht innerhalb einer angemessenen Frist auf eine Anpassung der Vergütung einigen, steht beiden Parteien ein außerordentliches Recht zur fristlosen Kündigung des Vertrags zu. 

    4. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich darüber, wenn eine vom Verantwortlichen erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird. 

  3.  Pflichten des Auftragsverarbeiters

    1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Verantwortlichen erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragsverarbeiter ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach dieser AVV und/oder den Weisungen des Verantwortlichen. 

    2. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Verantwortlichen, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten.

    3. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. 

    4. Für den Fall, dass eine betroffene Person ihre Rechte gemäß Art. 12 – 23 DSGVO gegenüber dem Auftragsverarbeiter geltend macht, die sich offensichtlich auf die Verarbeitung von Daten des Verantwortlichen beziehen, ist der Auftragsverarbeiter berechtigt, die betroffene Person darüber zu informieren, dass der Verantwortliche für die Datenverarbeitung verantwortlich ist. In diesem Zusammenhang kann der Auftragsverarbeiter der betroffenen Person die Kontaktdaten des Verantwortlichen mitteilen.

    5. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten.

  4.  Unterauftragsverarbeiter 

    1. Der Verantwortliche stimmt zu, dass der Auftragsverarbeiter Unterauftragsverarbeiter einsetzt.

      (Hosting) IONOS SE. Elgendorfer Str. 57, 56410 Montabaur

      (Zahlungsabwicklung) PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg

      (E-Mail Kommunikation) Aut O’Mattic A8C Ireland Ltd., Business Centre, No.1 Lower Mayor Street, International Financial Services Centre, Dublin 1, Irland

      (Rechnungen/Buchhaltung) sevDesk GmbH. Hauptstraße 115, 77652 Offenburg

      1. Der Auftragsverarbeiter hat mit dem Unterauftragsverarbeiter einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 2 DSGVO zu schließen und dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzverpflichtungen aufzuerlegen, die nach dieser AVV gelten. 

      2. Nicht als Unterauftragsverhältnisse sind Dienstleistungen anzusehen, die der Auftragsverarbeiter bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragsverarbeiter für den Verantwortlichen erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragsverarbeiter ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen werden, um den Schutz personenbezogener Daten zu gewährleisten.

  5.  Ort der Datenverarbeitung

    1. Der Auftragsverarbeiter wird personenbezogene Daten vornehmlich in Mitgliedsstaaten der Europäischen Union oder des Europäischen Wirtschaftsraums verarbeiten. Jede Übermittlung von Daten durch den Auftragsverarbeiter in ein Drittland erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der DSGVO in Einklang stehen.

    2. Der Verantwortliche erklärt sich mit einer Drittlandübermittlung von personenbezogenen Daten des Verantwortlichen einverstanden, wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der DSGVO beinhalten und der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der DSGVO sicherstellen können, etwa durch den Abschluss von Standardvertragsklauseln, die von der Kommission gemäß Artikel 46 Absatz 2 DSGVO erlassen wurden.

  6.  Dokumentation und Kontrollen

    1. Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anforderung alle erforderlichen Informationen zum Nachweis der Einhaltung der Datenschutzverpflichtungen dieser AVV zur Verfügung.

    2. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter die Kontrolle der Einhaltung der Datenschutzverpflichtungen dieser AVV und trägt zu einer solchen Kontrolle bei. Bei der Entscheidung über die Durchführung einer Kontrolle hat der Verantwortliche einschlägige Zertifizierungen oder sonstige Nachweise des Auftragsverarbeiters zu berücksichtigen.

    3. Der Verantwortliche kann die Kontrolle in den Geschäftsräumen des Auftragsverarbeiters während der üblichen Geschäftszeiten nach vorheriger schriftlicher Anmeldung mit angemessener Vorankündigung durchführen. Der Verantwortliche wird den Geschäftsbetrieb des Auftragsverarbeiters durch die Kontrollen nicht unverhältnismäßig stören. Die Kontrollen können von einem unabhängigen, zur Verschwiegenheit verpflichteten Auditor durchgeführt werden. Der Auditor übermittelt dem Auftragsverarbeiter eine Kopie des Auditberichts zum gleichen Zeitpunkt wie dem Verantwortlichen. Soweit für die Durchführung der Prüfung Kosten anfallen, sind diese vom Verantwortlichen zu tragen.

    4. Bei der Durchführung der Kontrollen sind die Geheimhaltungsinteressen und Datenschutzrechte des Auftragsverarbeiters und dessen Kunden zu berücksichtigen. Diese dürfen durch die Ausübung der Kontrollrechte des Verantwortlichen nicht beeinträchtigt werden. Der Auftragsverarbeiter kann die Durchführung der Überprüfung von der Unterzeichnung einer Vertraulichkeitsverpflichtung abhängig machen, wobei diese es dem Verantwortlichen nicht unmöglich machen darf, im Bedarfsfall gegenüber der zuständigen Aufsichtsbehörde oder den betroffenen Personen einen Nachweis der Kontrollhandlungen bzw. ihren Ergebnissen zu führen.

  7.  Datensicherheit

    1. Der Auftragsverarbeiter verpflichtet sich gegenüber dem Verantwortlichen, angemessene technische und organisatorische Maßnahmen zur Sicherheit personenbezogener Daten des Verantwortlichen zu treffen. Dies umfasst den Schutz personenbezogener Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt. Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

      • physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
      • Berechtigungskonzept

        Der Auftragsverarbeiter setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen  wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.

        Zweckbindung und Trennbarkeit

        Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:

      Vertraulichkeit und Integrität

      Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters:

      • Verschlüsselung: Die im Auftrag verarbeiteten Daten bzw. Datenträger werden per SSL verschlüsselt.
      • Pseudonymisierung der IP-Adressen durch eine Erweiterung
      • Server Firewall
      • Malware Schutz und Bereinigung
      • Webseiten Firewall und Sicherheit Plugin

      Zugangskontrolle

      Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern:

      • Zuordnung von Benutzerrechten
      • Passwortvergabe- und Richtlinien
      • Verschlüsselung von Systemen und Datenträgern
      • Weitere Maßnahmen erfolgen durch die entsprechenden Subunternehmer

      Zugriffskontrolle

      Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

      • Verwaltung der Rechte durch Systemadministrator
      • Passwortrichtlinie inkl. Passwortlänge

      Eingabekontrolle

      Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

      • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
      • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen

      Auftragskontrolle

      Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

      • Abschluss eines Auftragsverarbeitungsvertrags

      Transport- bzw. Weitergabekontrolle

      Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können:

      • Verschlüsselter E-Mail-Verkehr
      • Verschlüsselung der Kommunikationswege

      Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme

      Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind

      • Regelmäßige unabhängige Backups
      • Testen von Datenwiederherstellung

      Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen

      Der Auftragsverarbeiter wird die in dieser Anlage niedergelegten technischen und

      organisatorischen Maßnahmen im Abstand von 6 Monaten anlassbezogen, prüfen, evaluieren und bei Bedarf anpassen.

       

    3. Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu personenbezogenen Daten des Verantwortlichen, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter wird die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichten.

  8. Rückgabe und Löschung von Daten des Verantwortlichen

Nach Beendigung der AVV löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten oder gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

  1. Laufzeit und Beendigung

    1. Die AVV beginnt mit dem Abschluss des Vertrags und endet mit der Beendigung des Vertrags.

    2. Der Verantwortliche kann diese AVV und den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen die anzuwendenden Datenschutzvorschriften oder gegen die Pflichten aus dieser AVV vorliegt.

  2.  Schlussbestimmungen 

    1. Soweit gesetzlich oder vertraglich verpflichtende Mitwirkungshandlungen des Auftragsverarbeiters einen im Verhältnis zur vertraglich vereinbarten Vergütung unverhältnismäßigen Aufwand auslösen, kann der Auftragsverarbeiter hierfür von dem Verantwortlichen eine angemessene Entschädigung verlangen. 

Laufzeit und Beendigung

Die vorliegende AVV tritt mit Abschluss des Vertrags in Kraft und endet mit der Vertragsbeendigung.

Der Verantwortliche hat das Recht, die AVV sowie den zugrunde liegenden Vertrag jederzeit ohne Einhaltung einer Kündigungsfrist zu beenden, sofern ein erheblicher Verstoß des Auftragsverarbeiters gegen die geltenden Datenschutzbestimmungen oder gegen die in dieser AVV festgelegten Pflichten vorliegt.

 

Report

Harassment or bullying behavior
Contains mature or sensitive content
Contains misleading or false information
Contains abusive or derogatory content
Contains spam, fake content or potential malware

Block Member?

Please confirm you want to block this member.

You will no longer be able to:

  • See blocked member's posts
  • Mention this member in posts
  • Invite this member to groups
  • Add this member as a connection

Please note: This action will also remove this member from your connections and send a report to the site admin. Please allow a few minutes for this process to complete.

Report

You have already reported this .