Datenverarbeitungsvertrag

Datenverantwortlicher: Kunde mit Sitz in der EU

(der „Datenverantwortliche“)

und

Auftragsverarbeiter

Unternehmen: One.com Group AB

Reg. Nr. 559205-2400

Ort: Malmö

Land der Registrierung: Schweden

(der „Auftragsverarbeiter“)

(einzeln bezeichnet als „Vertragspartei“ und gemeinsam als die „Vertragsparteien“)

haben diesen

DATENVERARBEITUNGSVERTRAG – DPA

(den „Vertrag“)

in Bezug auf die Verarbeitung personenbezogener Daten durch den

Auftragsverarbeiter im Auftrag des Datenverantwortlichen geschlossen.

1. Die verarbeiteten personenbezogenen Daten

1.1 Diese Vertrag wurde im Zusammenhang mit der Nutzung der

Dienste des Auftragsverarbeiters durch den 

Datenverantwortliche im Rahmen des Abonnements und der zusätzlichen

Serviceleistungen, wie in den Allgmeinen

Geschäftsbedingungen von One.com (der „Hauptvertrag“) beschrieben,

geschlossen.

1.2 Der Auftragsverarbeiter verarbeitet die in Anhang 1 genannten

Arten personenbezogener Daten im Auftrag des 

Datenverantwortlichen. Die personenbezogenen Daten beziehen sich auf die

in Anhang 1 aufgeführten betroffenen

Personen.

1.3 Dieser Vertrag und der Hauptvertrag sind voneinander abhängig

und können nicht gesondert beendet werden. 

Dieser Vertrag kann jedoch durch einen anderen gültigen

Datenverarbeitungsvertrag ersetzt werden, ohne den Hauptvertrag zu beenden.

2. Zweck

2.1 Der Auftragsverarbeiter darf personenbezogene Daten nur für

Zwecke verarbeiten, die zur Erfüllung der 

Verpflichtungen des Auftragsverarbeiters und zur Erbringung der im

Hauptvertrag festgelegten 

Dienstleistungen erforderlich sind.

3. Pflichten des Datenverantwortlichen

3.1 Der Datenverantwortliche gewährleistet, dass die

personenbezogenen Daten für legitime und objektive Zwecke verarbeitet werden und dass der

Auftragsverarbeiter keine personenbezogenen Daten verarbeitet, die nicht

zur Erfüllung dieser Zwecke erforderlich

sind.

3.2 Der Datenverantwortliche ist dafür verantwortlich, dass zum

Zeitpunkt der Übermittlung der 

personenbezogenen Daten an den Auftragsverarbeiter eine gültige

Rechtsgrundlage für die Verarbeitung 

besteht. Auf Anfrage des Auftragsverarbeiters verpflichtet sich der

Datenverantwortliche schriftlich, die 

Grundlage für die Verarbeitung nachzuweisen und/oder durch Dokumente zu

belegen.

3.3 Darüber hinaus gewährleistet der Datenverantwortliche, dass

die betroffenen Personen, mit denen die 

personenbezogenen Daten in Zusammenhang stehen, ausreichende

Informationen über die Verarbeitung ihrer 

personenbezogenen Daten erhalten haben.

3.4 Falls der Datenverantwortliche einen weiteren Auftragsverarbeiter

beauftragt, der gemäß Abschnitt 5.1 direkt benannt wurde, muss

der Datenverantwortliche den Auftragsverarbeiter hiervon unverzüglich in Kenntnis setzen. Der Auftragsverarbeiter

haftet in keiner Weise für Verarbeitungen, die vom weiteren Auftragsverarbeiter gemäß eines

solchen Auftrags durchgeführt werden.

4. Pflichten des Auftragsverarbeiters

4.1 Die Verarbeitung personenbezogener Daten der vom

Datenverantwortlichen zur Verfügung gestellten Daten durch den Auftragsverarbeiter muss in

Übereinstimmung mit den Anweisungen des Datenverantwortlichen erfolgen und der Auftragsverarbeiter ist

darüber hinaus verpflichtet, alle jeweils geltenden Datenschutzgesetze einzuhalten. Wenn das Recht der Europäischen Union oder das Recht eines

EU-Mitgliedstaates, der für den 

Auftragsverarbeiter zuständig ist, verlangt, dass der

Auftragsverarbeiter die in Abschnitt 1.2 aufgeführten personenbezogenen Daten verarbeiten muss,

muss der Auftragsverarbeiter den Datenverantwortlichen vor der Verarbeitung über diese rechtliche

Verpflichtung informieren. Dies gilt jedoch nicht, wenn diese Rechtsvorschriften solche Information aus

wichtigen Gründen des öffentlichen Interesses verbieten. Der Auftragsverarbeiter muss den Datenverantwortlichen

unverzüglich informieren, wenn eine Anweisung aus Sicht des Auftragsverarbeiters gegen die

EU-Datenschutzgrundverordnung oder die Datenschutzbestimmungen eines EU-Mitgliedstaates verstößt.

4.2 Der Auftragsverarbeiter muss alle notwendigen technischen und

organisatorischen Sicherheitsmaßnahmen 

ergreifen, einschließlich etwaiger zusätzlicher Maßnahmen, die

erforderlich sind, um sicherzustellen, dass die in Abschnitt 1.2 genannten personenbezogenen

Daten nicht versehentlich oder rechtswidrig vernichtet werden, verlorengehen oder beeinträchtigt werden oder

unberechtigte Dritten zur Kenntnis gebracht, missbraucht oder anderweitig verarbeitet werden, soweit dies

gegen das jeweils geltende dänische Gesetz über die Verarbeitung personenbezogener Daten (Persondataloven)

verstößt. Diese Maßnahmen werden in Anhang 1 näher beschrieben.

4.3 Der Auftragsverarbeiter muss sicherstellen, dass Mitarbeiter,

die zur Verarbeitung der personenbezogenen 

Daten berechtigt sind, sich zur Vertraulichkeit verpflichtet haben oder

unter gesetzlichen Vertraulichkeitspflichten stehen.

4.4 Wenn der Datenverantwortliche dies verlangt, muss der

Auftragsverarbeiter angeben und/oder dokumentieren, dass der Auftragsverarbeiter die

Anforderungen der geltenden Datenschutzgesetze erfüllt, einschließlich der Dokumentation der Datenflüsse des

Auftragsverarbeiters sowie der Verfahren/Richtlinien für die Verarbeitung von personenbezogenen Daten.

4.5 Unter Berücksichtigung der Art der Verarbeitung muss der

Auftragsverarbeiter den Datenverantwortlichen 

soweit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der 

Verpflichtungen des Datenverantwortlichen dabei unterstützen, auf Ersuchen um Ausübung der Rechte der 

betroffenen Personen wie in Kapitel 3 der Datenschutz-Grundverordnung vorgesehen zu reagieren.

4.6 Der Auftragsverarbeiter oder ein anderer Auftragsverarbeiter

(Sub-Auftragsverarbeiter) muss Anfragen und 

Einwände von betroffenen Personen an den Datenverantwortlichen zur

Weiterbearbeitung durch diesen senden, es sei denn, der Auftragsverarbeiter ist berechtigt, diese

Anfragen selbst zu bearbeiten. Auf Verlangen des Datenverantwortlichen muss der

Auftragsverarbeiter den Datenverantwortlichen bei der Beantwortung solcher Anfragen und/oder Einwände unterstützen.

4.7 Wenn der Auftragsverarbeiter personenbezogene Daten in einem

anderen EU-Mitgliedstaat verarbeitet, muss 

der Auftragsverarbeiter die in diesem Mitgliedstaat geltenden

Rechtsvorschriften in Bezug auf 

Sicherheitsmaßnahmen einhalten.

4.8 Der Auftragsverarbeiter muss den Datenverantwortlichen

benachrichtigen, wenn der Verdacht besteht, dass Datenschutzbestimmungen verletzt wurden oder

andere Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der personenbezogenen Daten

aufgetreten sind. Die Frist für die Benachrichtigung des Datenverantwortlichen über eine

Sicherheitsverletzung endet 24 Stunden nach dem Zeitpunkt, zu dem der Auftragsverarbeiter eine

Sicherheitsverletzung feststellt. Auf Verlangen des Datenverantwortlichen hat

der Auftragsverarbeiter diesen bei der

Klärung des Umfangs der Sicherheitsverletzung, einschließlich der Vorbereitung einer Meldung an die betroffene

Datenschutzbehörde und/oder Personen, zu unterstützen.

4.9 Der Auftragsverarbeiter muss dem Datenverantwortlichen alle

Daten zur Verfügung stellen, die zum Nachweis 

der Einhaltung von Artikel 28 der Datenschutz-Grundverordnung und des

Vertrags erforderlich sind. In diesem 

Zusammenhang ermöglicht der Auftragsverarbeiter die Durchführung von

Audits, einschließlich Inspektionen, die

vom Datenverantwortlichen oder einem anderen vom Datenverantwortlichen

beauftragten Auditor durchgeführt werden.

4.10 Darüber hinaus muss der Auftragsverarbeiter den

Datenverantwortlichen bei der Einhaltung der Pflichten des für die Verarbeitung Verantwortlichen gemäß

Artikel 32 bis 36 der Datenschutz-Grundverordnung unterstützen. Diese Unterstützung berücksichtigt die Art

der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Daten.

5. Übermittlung personenbezogener Daten an weitere Auftragsverarbeiter oder Dritte

5.1 Der Auftragsverarbeiter muss die in Artikel 28 Absatz 2 und 4

der Datenschutz-Grundverordnung festgelegten 

Bedingungen erfüllen, um einen weiteren Auftragsverarbeiter

(Sub-Auftragsverarbeiter) zu beauftragen. Dies bedeutet, dass der Auftragsverarbeiter ohne vorherige

ausdrückliche oder allgemeine schriftliche 

Genehmigung des Datenverantwortlichen keinen weiteren

Auftragsverarbeiter mit der Erfüllung des Vertrags beauftragt.

5.2 Der Datenverantwortliche erteilt dem Auftragsverarbeiter

hiermit eine allgemeine Genehmigung zum Abschluss von Verträgen mit weiteren

Auftragsverarbeitern. Der Auftragsverarbeiter muss den Datenverantwortlichen

über Änderungen im Zusammenhang mit dem

Hinzufügen oder Ersetzen von weiteren Auftragsverarbeitern informieren. Der Datenverantwortliche kann

angemessene und relevante Einwände gegen solche Änderungen erheben. Wenn der Auftragsverarbeiter

weiterhin einen weiteren Auftragsverarbeiter nutzen möchte, gegen den der Datenverantwortliche Einwände erhoben

hat, haben die Vertragsparteien das Recht, den Vertrag und gegebenenfalls den Hauptvertrag mit einer

kürzeren Frist zu kündigen, vgl. 7.2. Während dieser Zeit darf der Datenverantwortliche nicht verlangen, dass

der Auftragsverarbeiter den fraglichen weiteren Auftragsverarbeiter nicht verwendet.

5.3 Der Auftragsverarbeiter muss dem weiteren Auftragsverarbeiter

die gleichen Verpflichtungen auferlegen wie in 

diesem Vertrag festgelegt. Dies geschieht durch einen Vertrag oder einen

anderen Rechtsakt nach EU-Recht oder

nach dem Recht eines EU-Mitgliedstaates. Es muss sichergestellt werden, dass

vom weiteren Auftragsverarbeiter

ausreichende Garantien gegeben werden, um geeignete technische und

organisatorische Maßnahmen so umzusetzen,

dass die Verarbeitung den Anforderungen der Datenschutz-Grundverordnung entspricht.

5.4 Wenn der weitere Auftragsverarbeiter seinen

Datenschutzverpflichtungen nicht nachkommt, bleibt der Auftragsverarbeiter gegenüber dem

Datenverantwortlichen für die Erfüllung der Verpflichtungen des weiteren Auftragsverarbeiters haftbar.

5.5 Der Auftragsverarbeiter muss im Auftrag des

Datenverantwortliche Datenverarbeitungsverträge mit weiteren Auftragsverarbeitern innerhalb der EU/des EWR

schließen. Bei weiteren Auftragsverarbeitern mit Sitz außerhalb der EU/des EWR muss der Auftragsverarbeiter

Standardverträge gemäß dem Beschluss 2010/87/EU der Kommission vom 5. Februar 2010 über

Standardvertragsklauseln für die Übermittlung personenbezogener Daten an in Drittländern niedergelassene

Auftragsverarbeiter (Mustervertragsklauseln) oder in Übereinstimmung mit dem EU/US- Privacy Shield schließen.

5.6 Der Datenverantwortliche erteilt dem Auftragsverarbeiter

hiermit eine allgemeine Vollmacht, um im Auftrag des Datenverantwortlichen Standardverträge mit

weiteren Auftragsverarbeitern außerhalb der EU/des EWR abzuschließen.

6. Haftung

6.1 Die Haftung der

Vertragsparteien richtet sich nach dem Hauptvertrag.

6.2 Die Haftung der Vertragsparteien für Schäden aus diesem

Vertrag unterliegt dem Hauptvertrag. 7.

Datum des Inkrafttretens und Kündigung

7.1 Dieser Vertrag wird gleichzeitig mit dem Hauptvertrag wirksam.

7.2 Im Falle der Kündigung des

Hauptvertrags endet auch dieser Vertrag. Der Auftragsverarbeiter unterliegt jedoch weiterhin den in diesem

Vertrag festgelegten Verpflichtungen, solange 

der Auftragsverarbeiter personenbezogene Daten im Auftrag des

Datenverantwortlichen verarbeitet. In der in Abschnitt 5.2 beschriebenen Situation haben die

Vertragsparteien das Recht, den Hauptvertrag und den Vertrag mit einer Kündigungsfrist von

einem Monat zum Monatsende zu kündigen.

7.3 Nach Beendigung der Verarbeitungsdienste ist der

Auftragsverarbeiter verpflichtet, auf Verlangen des Datenverantwortlichen alle personenbezogenen

Daten des Datenverantwortlichen zu löschen oder an diesen zurückzugeben sowie bestehende Kopien zu

löschen, sofern Recht der EU oder nationales Recht die Aufbewahrung der personenbezogenen Daten

nicht vorschreibt.

8. Anwendbares Recht und Gerichtsstand

8.1 Alle Ansprüche oder Streitigkeiten, die sich aus oder im

Zusammenhang mit diesem Vertrag ergeben, müssen 

von einem zuständigen Gericht der ersten Instanz in der gleichen

Gerichtsbarkeit wie im Hauptvertrag festgelegt 

entschieden werden.

Anhang 1

Kategorien von betroffenen Personen, Arten personenbezogener Daten und Anweisungen

1. Kategorien der betroffenen Personen:

– Der Auftragsverarbeiter wird Kontaktdaten zu tatsächlichen,

potenziellen oder früheren Kunden und/oder 

Mitgliedern, Mitarbeitern, Lieferanten, Geschäfts- und

Kooperationspartnern und verbundenen Unternehmen des Datenverantwortlichen verarbeiten.

– Der Auftragsverarbeiter stellt sein System zur Verfügung, um es

dem Datenverantwortlichen als gehosteten 

Dienst zur Verfügung zu stellen, und es ist dem Auftragsverarbeiter

nicht möglich, alle Kategorien von betroffenen Personen zu ermitteln. Wenn der Datenverantwortliche Daten von weiteren Kategorien betroffener 

Personen beim Auftragsverarbeiter speichert, ist der Datenverantwortliche verpflichtet, diese Daten zu registrieren.

2. Arten personenbezogener Daten:

– Kontakt- und Identifikationsdaten einschließlich E-Mail-Adressen

– IP-Adressen

– Domainnamen

– Benutzernamen

– Mitgliedschaftsdaten

– Analyse- und Nutzungsdaten

– Bestellverlauf und -daten

– Verträge

– Kommunikation

– Support

– Bilder

– Zusätzliche Arten von personenbezogenen Daten können auftreten

3. Anweisungen

Service

Der Auftragsverarbeiter kann personenbezogene Daten der

betroffenen Personen verarbeiten, um die Dienste des Hauptvertrags zu liefern, zu entwickeln, zu

administrieren und zu verwalten, einschließlich der Gewährleistung der Stabilität und Betriebszeit unserer Server

und Erfüllung gesetzlicher Anforderungen.

Sicherheit

Der Auftragsverarbeiter muss die Vertraulichkeit, Integrität und

Verfügbarkeit personenbezogener Daten gewährleisten. Der Auftragsverarbeiter muss systematische,

organisatorische und technische Maßnahmen ergreifen, um ein angemessenes Sicherheitsniveau zu

gewährleisten, wobei der Stand, die Art und die Kosten der Umsetzung in Bezug

auf die Art der personenbezogenen Daten und das Risiko der Verarbeitung berücksichtigt werden.

Der Auftragsverarbeiter muss in seinen Diensten und Produkten ein

hohes Maß an Sicherheit gewährleisten. Diese 

Sicherheit wird durch technische, organisatorische und physische

Sicherheitsmaßnahmen gewährleistet, die Folgendes umfassen:

– Colocation-Einrichtungen und Büros sind durch geeignete

Zugangskontrollen geschützt, die sicherstellen, dass nur autorisierte Mitarbeiter Zugang haben.

– Relevanter Virenschutz ist vorhanden.

– Zugriff und Anmeldung sind rollenbasiert oder individuell, und Mitarbeiter und Systeme haben nicht mehr 

Zugriff, als für die Ausführung ihrer Aufgaben erforderlich ist.

– Backup von Systemen, die personenbezogene Daten verarbeiten.

– Änderungsprotokolle

– Die Kommunikation zwischen Systemen, die mit personenbezogenen Daten umgehen, über das Internet erfolgt verschlüsselt.

– Klassifizierung personenbezogener Daten zur Gewährleistung der Durchführung von Sicherheitsmaßnahmen, die 

der Risikobewertung entsprechen.

– Verwendung von Systemen und Prozessen, die zur Verbesserung der Sicherheit beim Umgang mit personenbezogenen Daten beitragen.

Der Auftragsverarbeiter ist berechtigt, weitere Entscheidungen

über die notwendigen technischen und organisatorischen Sicherheitsmaßnahmen zu treffen, die zur

Gewährleistung des angemessenen Sicherheitsniveaus in Bezug auf die personenbezogenen Daten durchgeführt werden

müssen.

Speicherfristen

Personenbezogene Daten, die in unseren Systemen

gespeichert/gehostet werden, werden innerhalb einer angemessenen Zeit, nachdem der Datenverantwortliche den

Hauptvertrag vollständig gekündigt hat, gelöscht oder anonymisiert. Ausnahmen sind Daten, bei denen der

Auftragsverarbeiter gesetzlich verpflichtet ist, diese länger zu speichern.

Diese Art von Daten wird in der Regel innerhalb von acht Wochen gelöscht, kann jedoch früher gelöscht werden. Andere Arten von Daten, die in Protokollen usw. gespeichert sind, werden nach einer angemessenen Zeit, normalerweise innerhalb von 8 Wochen, gelöscht.

Speicherort der Daten

Personenbezogene Daten, die in den Datenverarbeitungssystemen gespeichert/gehostet werden, werden in Rechenzentren in Dänemark gehostet. Der Datenverantwortliche ermächtigt

den Auftragsverarbeiter hiermit, Daten in 

andere Datenzentren innerhalb der Europäischen Union zu verschieben,

wenn der Auftragsverarbeiter dies für relevant 

hält und das gleiche Sicherheitsniveau und die Verfügbarkeit

gewährleistet ist.

Prüfung des Auftragsverarbeiters

Der Auftragsverarbeiter muss einmal jährlich auf eigene Kosten einen

Audit-/Inspektionsbericht von einem Dritten 

bezüglich der Einhaltung dieser Vertrag und der Pläne durch den

Auftragsverarbeiter einholen. Da die Systeme des Auftragsverarbeiter von mehreren

Datenverantwortlichen verwendet werden, erteilt der Datenverantwortliche dem Auftragsverarbeiter

aus Sicherheitsgründen die Befugnis, zu bestimmen, dass das Audit von einem Inspektor oder Auditor eines Drittanbieters

durchgeführt werden soll, den der Auftragsverarbeiter auswählt. Wenn der

Datenverantwortliche den vom Auftragsverarbeiter ausgewählten neutralen Dritten

nicht akzeptiert, kann er zusammen mit

dem Auftragsverarbeiter einen anderen Dritten auswählen.