Vereinbarung über Auftragsdatenverarbeitung (ADV) nach 11 BDSG

Transkript

1 Anlage 1 zu den Vertragsbedingungen der rabbit mobile GmbH für die Nutzung von quicklead Vereinbarung über Auftragsdatenverarbeitung (ADV) nach 11 BDSG Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen zwischen rabbit mobile (hier als Auftragnehmerin bezeichnet), die anlässlich ihrer Tätigkeit für den Kunden (hier als Auftraggeber bezeichnet) als Herrn seiner personenbezogenen Daten Zugriff auf diese Daten hat. rabbit mobile ist sich ihrer Pflichten als Auftragsdatenverarbeiterin bewusst und legt großen Wert auf Datenschutzkonformität, um dem Kunden den vertrauensvollen Umgang mit seinen Daten auch außerhalb seiner Organisation zu ermöglichen. 1 Überblick, Zweck der ADV und Datenschutzbeauftragter (1) rabbit mobile stellt dem Kunden die im Hauptvertrag definierte Software zur Erfassung, Verwaltung und zum Export von Leads zur Verfügung. Diese Anlage regelt die Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Sinne des 3 BDSG (im Folgenden: pbd ) durch rabbit mobile für den Kunden. (2) Die Auftragnehmerin ist nicht im engeren Sinne des 11 Abs. 1 BDSG mit der Erhebung, Verarbeitung oder Nutzung personbezogener Daten beauftragt, sondern stellt dem Auftraggeber lediglich einen Dienst zur Verfügung, mit dem er dies selbst tun kann. Die Auftragnehmerin hat aber anlässlich ihrer Systemadministrations- und Wartungstätigkeit für den Auftraggeber jedenfalls technisch Zugriff auf personenbezogene Daten nach 11 Abs. 5 BDSG. (3) Das Erfordernis der Bestellung eines Datenschutzbeauftragten nach 4f Abs. 1 S. 4 BDSG ist bei der Auftragnehmerin aktuell nicht gegeben. Sie hält sich dennoch selbstverständlich an geltendes Datenschutzrecht. 2 Betroffenenkreis und betroffene Datenkategorien (1) Die datenschutzrechtlich betroffenen natürlichen Personen (im Folgenden: Betroffene ) der hier definierten ADV sind: a) vom Auftraggeber zur Nutzung von quicklead autorisierte Nutzer; b) von quicklead erfasste Personen, mit denen der jeweilige Nutzer Kontakte hatte (Leads); c) möglicherweise Namen und/oder Kontaktdaten in vom Auftraggeber individuell erstellten Formularen zur Nutzung in quicklead ( Leadbögen ), zum Beispiel Daten von Personen, an die bestimmte Leaddaten weitergegeben werden sollen. Nutzungsvertrag quicklead (Stand: ) 1 von 7

2 (2) Die im Rahmen dieser ADV betroffenen Kategorien personenbezogener Daten hängen davon ab, welche Datenkategorien der jeweilige quicklead-nutzer festlegt. Regelmäßig sind dies voraussichtlich: a) vollständiger Name; b) Kontaktdaten von Visitenkarten der Kontaktpersonen, z. B. Firmenname, Postund/oder -Adresse, Telefon- und/oder Faxnummern als Text- und/oder als Bildinformation; c) Fotos der Kontaktpersonen; d) Zeitpunkt und Ort des Gespräches inkl. Bezeichnung des Events (z. B. der Messe). 3 Datenverarbeitung durch die Auftragnehmerin (1) Grundsätzlich erhebt, verarbeitet und nutzt die Auftragnehmerin keinerlei Daten für den Auftraggeber, sondern hat anlässlich des für ihre Wartungs- und Pflegetätigkeiten erforderlichen Systemzugriffs gegebenenfalls Zugriff auf alle in 2 dieser Anlage definierten pbd des Auftraggebers. (2) Die Auftragnehmerin verarbeitet pbd ausschließlich im Rahmen des Hauptvertrages und der Weisungen des Auftraggebers. Sie verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, die ihr überlassenen Daten an Dritte weiterzugeben. Die Auftragnehmerin erstellt keine Kopien ohne Wissen des Auftraggebers mit Ausnahme der erforderlichen Sicherheitskopien zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und der geforderten Sicherheit. (3) Die Datenverarbeitung nach dieser Vereinbarung findet ausschließlich innerhalb der EU statt. Datenverarbeitungen in so genannten Drittstaaten außerhalb der EU müssen vom Auftraggeber unter Einhaltung der einschlägigen Vorschriften, insbesondere 4b BDSG, beauftragt werden. 4 Nutzungsrechte an Daten, Sicherungsübereignung, Rückgabe, Zurückbehaltungsrecht (1) Sämtliche Rechte an Daten und Inhalten von Datenbanken, die im Rahmen dieses Vertrages generiert und verarbeitet werden, stehen ausschließlich und ab Zeitpunkt der Entstehung dem Auftraggeber zu. Im Verhältnis zur Auftragnehmerin ist der Auftraggeber alleiniger Eigentümer dieser Daten und der Inhalte dieser Datenbanken und ist Datenbankhersteller im Sinne der 87a ff. UrhG. (2) Die Auftragnehmerin darf personenbezogene Daten des Auftraggebers im Rahmen und ausschließlich für die Zwecke dieses Vertrages und gemäß der darin geregelten Verarbeitung nutzen. (3) Während der gesamten Dauer der Nutzung kann der Auftraggeber alle seine in quicklead eingebrachten oder darin verwalteten Lead-Daten exportieren. Mit Ende der Nutzung (Löschung des Accounts) werden die bis dahin eingebrachten und eventuell noch im System vorhandenen Lead-Daten gelöscht. Mit dem Ende der vertraglichen Leistungen der Auftragnehmerin werden sämtliche erfassten personenbezogenen Daten gelöscht. (4) Eine Löschungsverpflichtung gilt als erfüllt, wenn und soweit die Löschung im Rahmen eines verwendeten Backup-Turnus geschieht. Löschungsverpflichtungen entstehen nicht, wenn und solange die Auftragnehmerin eine zwingende gesetzliche Aufbewahrungspflicht trifft. (5) Die Einrede des Zurückbehaltungsrechts isv. 273 BGB wird hinsichtlich der im Rahmen dieser ADV verarbeiteten personenbezogenen Daten des Auftraggebers ausgeschlossen. Nutzungsvertrag quicklead (Stand: ) 2 von 7

3 5 Informations- und Auskunftspflichten der Auftragnehmerin, Kontrollen (1) Die Auftragnehmerin stellt dem Auftraggeber auf Anforderung die Angaben zu ihrer IT- Infrastruktur, insbesondere zu Zugriffsberechtigungen und Schnittstellen bezüglich der Verarbeitung der Daten des Auftraggebers zur Verfügung, die für eine Verfahrensübersicht gemäß 4g Abs. 2 S. 1 BDSG erforderlich sind. (2) Die Auftragnehmerin informiert den Auftraggeber unverzüglich über Fälle schwerwiegender Betriebsstörungen und bei Verdacht auf Datenschutzverletzungen oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten des Auftraggebers. (3) Macht ein Betroffener gegenüber der Auftragnehmerin sein Recht auf Berichtigung, Löschung oder Sperrung seiner Daten geltend, nimmt die Auftragnehmerin in Abstimmung mit dem Auftraggeber die Berichtigung, Sperrung oder Löschung vor oder leitet die Anfrage an ihn weiter, soweit ihr die Vornahme der Anpassungen nicht möglich oder vertraglich nicht erlaubt ist. (4) Ist der Auftraggeber gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Daten zu geben, so wird die Auftragnehmerin ihn darin unterstützen, diese Auskünfte zu erteilen. Im Fall von Datenschutzverletzungen, die mit der Datenerhebung bzw. -verarbeitung durch die Auftragnehmerin im Zusammenhang stehen, unterstützt sie den Auftraggeber auf Aufforderung bei der Benachrichtigung Betroffener und der Aufsichtsbehörde. Die Auftragnehmerin informiert den Auftraggeber außerdem unverzüglich über jegliche Kommunikation der Aufsichtsbehörden (z. B. Anfragen, Mitteilung von Maßnahmen oder Auflagen) gegenüber der Auftragnehmerin im Zusammenhang mit der Datenerhebung oder -verarbeitung im Rahmen dieses Vertrages. Auskünfte an Dritte, auch an Aufsichtsbehörden, darf die Auftragnehmerin nur nach vorheriger schriftlicher Zustimmung durch und in Abstimmung mit dem Auftraggeber erteilen. (5) Der Auftraggeber kann die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarung durch die Auftragnehmerin, auch in ihren Betriebsstätten, kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in seine gespeicherten Daten und die Datenverarbeitungsprogramme bei der Auftragnehmerin, mit denen seine Daten verarbeitet werden. Der Auftraggeber wird das Ergebnis der Kontrollen dokumentieren. Die Auftragnehmerin ist entsprechend zur Auskunft und Mitwirkung verpflichtet, sie unterstützt den Auftraggeber insbesondere bei Datenschutzkontrollen durch die Aufsichtsbehörde, soweit es sich um die Datenverarbeitung im Rahmen dieser Vereinbarung handelt, und er leistet Aufforderungen der Aufsichtsbehörde in Abstimmung mit dem Auftraggeber unverzüglich Folge. (6) Soweit Einblick in bzw. Zutritt zu Unterlagen, Daten, Systemen oder Bereichen verlangt wird, die Geschäftsgeheimnisse enthalten oder Daten anderer Kunden der Auftragnehmerin betreffen, kann der Auftraggeber verlangen, dass eine Überwachung und Kontrolle insoweit von einem durch ihn beauftragten, unabhängigen Dritten vorgenommen wird. Dieser muss nach seinem Berufsrecht einer gesetzlichen Schweigepflicht unterliegen. Bei Ausübung des Kontrollrechts wird der Kunde die Belange der Auftragnehmerin angemessen berücksichtigen, insbesondere den laufenden Geschäftsbetrieb nicht unangemessen beeinträchtigen. 6 Mitwirkung durch den Auftraggeber (1) Für die Beurteilung der Zulässigkeit jeder Datenerhebung und -verarbeitung im Rahmen der Leistungen der Auftragnehmerin für den Auftraggeber und für die Wahrung der Rechte der Betroffenen ist der Auftraggeber verantwortlich. Die Auftragnehmerin unterstützt ihn bei der Wahrung der Betroffenenrechte (s. 5 Abs. 3). Nutzungsvertrag quicklead (Stand: ) 3 von 7

4 (2) Der Auftraggeber erteilt bereits mit diesem Vertrag datenschutzrechtliche Weisungen über Art, Umfang und Verfahren der Datenverarbeitung. Wesentliche Weisungen des Auftraggebers sind die in 2 geregelten Datenkategorien, Verarbeitungsverfahren und Zweckbestimmungen. Der Umfang der Zweckbestimmung und -bindung ergibt sich als Weisung aus der begrenzten Zweckbestimmung des Hauptvertrages. (3) Darüber hinaus ist der Auftraggeber berechtigt, im Einzelfall datenschutzrechtliche Weisungen zu erteilen. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge und Weisungen schriftlich, per Telefax oder per . 7 Technische und organisatorische Maßnahmen (1) Die Datenverarbeitung findet auf Datenverarbeitungsanlagen und in einer IT-Infrastruktur statt, für die technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten getroffen wurden. In diesem Zusammenhang stellt die Auftragnehmerin sicher und sichert dem Auftraggeber zu, alle Maßnahmen zu treffen, die für die Verarbeitung der überlassenen Daten auf den von der Auftragnehmerin genutzten Datenverarbeitungsanlagen gemäß der Anlage zu 9 BDSG für die Durchführung der nach dem Hauptvertrag geschuldeten Tätigkeiten erforderlich sind. Diese derzeit erforderlichen Maßnahmen sind in Anlage 2 dieses Vertrages beschrieben. (2) Stellt die Auftragnehmerin während der Laufzeit dieser Vereinbarung fest, dass eine vereinbarte Sicherheitsmaßnahme, insbesondere eine Maßnahme nach Anlage 2 dieses Vertrages nicht oder nicht mehr ausreicht oder unzweckmäßig ist, ist sie verpflichtet, den Auftraggeber darauf hinzuweisen und eine ausreichende und zweckmäßige Maßnahme umzusetzen. (3) Die Auftragnehmerin ist verpflichtet, ihre Sicherheitsmaßnahmen regelmäßig zu überprüfen und zu aktualisieren. Außerdem hat sie die Maßnahmen auf Hinweis des Auftraggebers an sich ändernde individuelle Vorgaben gegen Vergütung anzupassen. Die für die Sicherheit erheblichen Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind rechtzeitig mit dem Auftraggeber abzustimmen. (4) Der Auftraggeber behält sich vor, Maßnahmen zur Qualitätssicherung und Maßnahmen zur Missbrauchserkennung bezüglich der Systeme durchzuführen, mit denen seine Daten verarbeitet werden, ggf. auch unter Einsichtnahme in personenbezogene Daten (individuelle Kennungen und Name, Kontaktdaten) der auf die Systeme zugreifenden Personen. 8 Datengeheimnis (1) Die Auftragnehmerin verpflichtet sich, bei der Datenverarbeitung das Datengeheimnis zu wahren, das derzeit in 5 BDSG geregelt ist ( Datengeheimnis ). Sie verpflichtet sich außerdem, die jeweils geltenden gesetzlichen Datenschutzbestimmungen zu beachten, derzeit insbesondere die des BDSG, des Telekommunikationsgesetzes (im Folgenden: TKG ) und des Telemediengesetzes (im Folgenden: TMG ). (2) Die Auftragnehmerin bestätigt, dass ihr die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind, und sichert zu, dass sie die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter nachweislich zuvor mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und insbesondere auf das Datengeheimnis verpflichtet. Sie überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. (3) Die Verpflichtung zum Datengeheimnis und Fernmeldegeheimnis gilt auch nach Beendigung dieses Vertrages fort. Nutzungsvertrag quicklead (Stand: ) 4 von 7

5 9 Genehmigte Subunternehmer Der Auftraggeber ist informiert und damit einverstanden, dass die Auftragnehmerin die folgenden Subunternehmer zur Erbringung ihrer Verpflichtungen aus dem Hauptvertrag einsetzt. Subunternehmer 1 ProfitBricks GmbH Greifswalder Str Berlin Fon: +49 (0) Fax: +49 (0) (1) Aufgaben des Subunternehmers a) Hosting der quicklead-plattform auf von ihm installierten, konfigurierten und verwalteten Servern. b) Bereistellung von Backup-Speicher für tägliches Backup, das jeweils 30 (dreißig) Tage vorgehalten und danach, vorbehaltlich zwingender gesetzlicher Regelungen, gelöscht wird. (2) Der Subunternehmer hat gesicherten Zugriff auf die Hardware, um im Supportfall rabbit mobile unterstützen zu können. (3) Der sichere Serverbetrieb wird neben einem Service Level Agreement durch eine Vereinbarung zur Auftragsdatenverarbeitung und durch definierte Mindestanforderungen an die Server sichergestellt. Subunternehmer 2 Paymill GmbH St.-Cajetan-Straße München Fon: +49 (0) 89 / Fax: +49 (0) 89 / (1) Aufgaben des Subunternehmers a) Online-Zahlungsdienstleistungen entsprechend der von rabbit mobile auf der Plattform angebotenen Zahlungsmöglichkeiten für quicklead (2) Die Übertragung aller zahlungsrelevanten Daten an Paymill geschieht über https Subunternehmer 3 Pactas GmbH Hanauer Landstraße Frankfurt am Main Fon: +49 (0) Fax: +49 (0) ) Aufgaben des Subunternehmers a. Regelmäßige Fakturierung und Mahnwesen gemäß dem vom Kunden gewählten Zahlungsrhythmus Nutzungsvertrag quicklead (Stand: ) 5 von 7

6 2) Alle Daten liegen in einem mehrfach gesicherten professionellen Rechenzentrum in Frankfurt/Main. Das Rechenzentrum ist ISO/IEC zertifiziert. 3) Der Zugang zur Pactas-Plattform ist nur über eine sichere Internet-Verbindung möglich. Pactas benutzt dabei ein Zertifikat mit Extended Validation der Firma Symantec. 4) Die Systeme sind durch eine Firewall vor unberechtigten Zugriffen geschützt. 5) Die Pactas-Plattform wird mit einem 24/7- Monitoring überwacht. 6) Die Pactas-Plattform verwendet kein SQL, was die Gefahr von SQL-Injections ausschließt Subunternehmer 4 domainfactory GmbH Oskar-Messter-Str Ismaning Fon: 089/ Fax: 089/ ) Aufgaben des Subunternehmers a. Domainhosting aller quicklead-web-domains b. Bereitstellung der SSL-Zertifikate Subunternehmer 5 The Rocket Science Group, LLC 512 Means St Suite 404 Atlanta, GA USA 1) Aufgaben des Subunternehmers a. Technischer Dienstleister für den Versand von quicklead-bezogenen s, die die Auftragnehmerin an seine Auftraggeber versendet. Dies können z. B. sein: i. notwendige Informationen für die Nutzung von quicklead ii. Ankündigung von Systemereignissen (geplante Downtimes etc.) iii. Informationen über neue Versionen iv. Tutorials v. Kundensupport vi. etc. b. Speicherung der -Adressen von quicklead-usern, deren Vor- und Nachname, Unternehmensname und ggf. Benutzerrolle bei quicklead Soweit die Auftragnehmerin freie Mitarbeiter zur Erbringung ihrer Tätigkeiten einsetzt, verpflichtet sie sie zur Einhaltung mindestens der selben Datenschutzstandards, die sie selbst dem Auftraggeber gegenüber unterliegt. Nutzungsvertrag quicklead (Stand: ) 6 von 7

7 10 Ansprechpartner für Fragen der Auftragsdatenverarbeitung (1) Weisungsberechtigte des Auftraggebers: Person 1 Name, Position: -Adresse: Telefonnummer: Person 2 Name, Position: -Adresse: Telefonnummer: (2) Weisungsempfänger der Auftragnehmerin: Name, Position: -Adresse: Telefonnummer: 11 Schlussbestimmungen (1) Die Laufzeit dieser Anlage richtet sich nach der Laufzeit des Hauptvertrages. (2) Dienstleistungen, die der Auftraggeber von der Auftragnehmerin im Rahmen der ADV fordert, werden vorbehaltlich anderer Vereinbarung nach den im Hauptvertrag vereinbarten Konditionen vergütet. (3) Im Fall von Widersprüchen datenschutzrelevanter Regelungen in dieser Vereinbarung mit sonstigen Vereinbarungen zwischen den Parteien gehen die Regelungen dieser Vereinbarung vor. Im Übrigen bleiben die Regelungen des Hauptvertrages unberührt und gelten für diese Vereinbarung entsprechend. Frankfurt, den [Ort], den [Name] rabbit mobile GmbH [Name] [Firma] Nutzungsvertrag quicklead (Stand: ) 7 von 7