Vereinbarung zur Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung

Vereinbarung zur Auftragsverarbeitung

zwischen

Verantwortlicher
nachfolgend „Auftraggeber“

und

AIMO GmbH
Quellenstrasse 7a
70376 Stuttgart

Auftragsverarbeiter
nachfolgend „Auftragnehmer“

1. Gegenstand der Vereinbarung

1.1        Diese Vereinbarung zur Auftragsverarbeitung konkretisiert die Pflichten des Auftragnehmers zur ordnungsgemäßen Verarbeitung von personenbezogenen Daten und berücksichtigt die gesetzlichen Vorgaben des Art. 28 der EU-Datenschutzgrundverordnung (DSGVO).

1.2        Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten (nachfolgend „Daten“) durch den Auftragnehmer für den Auftraggeber in dessen Auftrag und nach dessen Weisung.

 

2. Verarbeitung von Daten durch den Auftragnehmer

2.1    Der Auftragnehmer verarbeitet folgende Daten im Auftrag des Auftraggebers:

  • Namen,

  • E-Mail Adressen,

  • Telefonnummern

Betroffene Personen sind Kunden des Auftraggebers (Neukunden oder bestehende Kunden).

2.2        Die Bereitstellung der Daten erfolgt über die App des Auftragnehmers (AIMO App), deren Nutzung sich nach dem Hauptvertrag richtet.

2.3        Die Auftragsverarbeitung erfolgt für die nachfolgend beschriebenen Zwecke (a) und auf die beschriebene Art (b):

  •  (a) Der Auftraggeber versendet über die AIMO App eine Einladung an seine Kunden, um diesen Zugang zur AIMO App zu gewähren. Die AIMO App dient dann der digitalen Unterstützung dieser Beratung. Der Kunde nutz die AIMO App danach selbstständig und mit einem eigenen Nutzungsverhältnis.
  •  (b) Der Auftraggeber speichert in der AIMO App die Daten seiner Kunden und versendet dann eine Einladung an seine Kunden mit der AIMO App.


3. Rechte und Pflichten des Auftraggebers

3.1        Der Auftraggeber ist für die Einhaltung der Datenschutzgrundverordnung (DSGVO) und anderer Vorschriften über den Datenschutz sowie die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer verantwortlich (Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO).

3.2        Der Auftraggeber hat das Recht, jederzeit dokumentierte Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Der Auftraggeber kann Aufträge und Weisungen schriftlich, per Telefax oder per E-Mail erteilen.

3.3        Der Auftraggeber ist dazu berechtigt, jederzeit die Erhebung und Verwendung der Daten des Auftraggebers durch den Auftragnehmer einschließlich der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen (TOM) und die Ordnungsmäßigkeit der Datenverarbeitungsprozesse, -programme und -systeme des Auftragnehmers zu prüfen, um sich von der Einhaltung der Vorschriften über den Datenschutz, insbesondere der DSGVO, der vertraglichen Vereinbarung und der erteilten Weisungen zu überzeugen.

3.4        Für die Einhaltung der vereinbarten Maßnahmen und deren geprüfter Wirksamkeit kann der Auftragnehmer auf angemessene Zertifizierungen oder andere geeignete Prüfungsnachweise verweisen. Angemessen sind insbesondere Zertifizierungen nach Art. 40 DSGVO oder Nachweise nach Art. 42 DSGVO. Daneben kommen unter anderem in Betracht: eine Zertifizierung nach ISO 27001 oder ISO 27017, eine ISO 27001-Zertifizierung auf Basis von IT-Grundschutz, eine Zertifizierung nach anerkannten und geeigneten Branchenstandards oder ein Prüfungsnachweis gemäß SOC / PS 951. Die Zertifizierungs- und Prüfungsverfahren sind von einem anerkannten unabhängigen Dritten durchzuführen. Der Auftragnehmer hat seine Zertifikate oder Prüfungsnachweise zur Verfügung zu stellen. Weitere geeignete Mittel (z.B. Tätigkeitsberichte des Datenschutzbeauftragten oder Auszüge aus Berichten der Wirtschaftsprüfer) können zum Nachweis der Einhaltung der vereinbarten Schutzmaßnahmen dem Auftraggeber zur Verfügung gestellt werden. Das Kontrollrecht des Auftraggebers aus Zif. 3.5 bleibt hiervon unberührt.

3.5        Zur Durchführung von Kontrollen räumt der Auftragnehmer dem Auftraggeber und dessen Bevollmächtigten ein  Besichtigungs-, Revisions- und Kontrollrecht, nach vorheriger Abstimmung mit dem Auftragnehmer und während dessen gewöhnlichen Geschäftszeiten, ein. Der Auftragnehmer ist entsprechend Artikel 28 Abs. 3 lit h) DSGVO zur Mitwirkung verpflichtet.  


4. Rechte und Pflichten des Auftragnehmers

4.1        Der Auftragnehmer erbringt für den Auftraggeber bezogen auf die vom Auftraggeber bereit gestellten Daten die im Hauptvertrag festgehaltenen Leistungen. Der Auftragnehmer und dessen Mitarbeiter dürfen die Daten nur im Rahmen der in dieser Vereinbarung getroffenen Bestimmungen und Weisungen des Auftraggebers verarbeiten. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis der Auftraggeber die Weisung überprüft und gegenüber dem Auftragnehmer als auszuführende Weisung bestätigt hat.

4.2        Der Auftragnehmer ist verpflichtet, die ihm zur Verfügung gestellten Daten ausschließlich zur vertraglich vereinbarten Leistung zu verwenden und strikt von sonstigen, bei ihm gespeicherten Datenbeständen zu trennen. Er verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, die ihm überlassenen Daten an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Dem Auftragnehmer ist es lediglich gestattet, verfahrens- und sicherheitstechnisch erforderliche Zwischen-, Temporär- oder Duplikatsdateien zur leistungsgemäßen Verarbeitung oder Nutzung der Daten zu erstellen, soweit dies nicht zu einer inhaltlichen Umgestaltung führt. Im Übrigen ist es dem Auftragnehmer nicht gestattet, unautorisiert Kopien der Daten zu erstellen. Ein anderweitiges Erheben, Verarbeiten oder Nutzen für eigene oder fremde Zwecke, einschließlich Marketingzwecke, ist nicht gestattet.

4.3        Dem Auftragnehmer ist es nicht gestattet, die Daten zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, es sei denn, er wird ausdrücklich vom Auftraggeber entsprechend nach dokumentierter Weisung angewiesen. Unberührt von dieser Regelung ist der Auftragnehmer nach Art. 28 Abs. 3 lit. g) DSGVO verpflichtet, die Daten nach Abschluss der Erbringung der Verarbeitungsleistungen- nach Wahl des Auftraggebers - vollständig datenschutzgerecht zu löschen (einschließlich der verfahrens- oder sicherheitstechnisch notwendigen Kopien) und/oder an den Auftraggeber zurückzugeben und die vorhandenen Kopien zu löschen, sofern nicht nach dem Recht der Europäischen Union oder nationalem Recht eine Verpflichtung zur Speicherung besteht. Weitere Einzelheiten zu den Löschanforderungen ergeben sich auch aus Ziff. 2.4. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

4.4        Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung der Anträge und Ansprüche betroffener Personen gem. Kapitel III der DSGVO sowie bei Einhaltung der in Art. 32 – 36 DSGVO genannten Pflichten.

4.5        Der Auftragnehmer wird den Auftraggeber unverzüglich benachrichtigen, wenn im Hinblick auf die Daten, die im Auftrag des Auftraggebers verarbeitet werden, der Verdacht besteht, dass die Voraussetzungen des Art. 33 DSGVO vorliegen. Der Auftragnehmer teilt dem Auftraggeber mit, welche Maßnahmen er trifft, um eine Verletzung des Schutzes der Daten, wie die unrechtmäßige Übermittlung bzw. unbefugte Kenntnisnahme durch Dritte künftig zu verhindern. Die Pflicht zur unverzüglichen Mitteilung gilt auch bei begründetem Verdacht eines Verstoßes gegen die Festlegungen in dieser Vereinbarung.


5. Verarbeitung im Ausland

Die Erhebung, Verarbeitung und Nutzung der Daten darf ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum stattfinden. Jede Übermittlung in ein Drittland oder Verarbeitung durch einen Auftragsverarbeiter mit Sitz in einem Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen des Art. 44 ff. DSGVO erfüllt sind. Sofern der Auftragnehmer zur Übermittlung von Daten an ein Drittland oder eine internationale Organisation aufgrund eines für ihn geltenden Rechts verpflichtet ist, teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen mit. Eine Ausnahme besteht nur dann, wenn das betreffende Recht eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses verbietet.


6. Datenschutzbeauftragter

Der Auftragnehmer bestellt einen fachkundigen und zuverlässigen Datenschutzbeauftragten. Der Datenschutzbeauftragte ist für den Auftraggeber der Ansprechpartner bei Auskunftsverlangen, Umsetzung von Korrektur- und Löschansprüchen betroffener Personen und sonstige Belange nach dieser Vereinbarung beim Auftragnehmer. Als Beauftragter für den Datenschutz ist bestellt:

Fabian Henkel – Zertifizierter Datenschutzbeauftragter – DSB Externer Datenschutzbeauftragter; Kantstr.14, 71277 Rutesheim; info@externer-datenschutzbeauftragter-stuttgart.de, +49 7152 564773

Bei einem Wechsel der unter dieser Ziffer angegebenen Person teilt der Auftragnehmer dem Auftraggeber Name und Kontaktdaten des Ansprechpartners mit.


7. Unterauftragnehmer

7.1        Der Auftragnehmer darf die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere Auftragsverarbeiter (nachfolgend „Unterauftragnehmer“) erbringen lassen.

7.2        Der Auftragnehmer informiert den Auftraggeber in Textform rechtzeitig vorab über die Beauftragung von Unterauftragnehmern oder Änderungen in der Unterbeauftragung. Der Auftraggeber kann bei Vorliegen eines wichtigen Grundes der Unterbeauftragung innerhalb von vier Wochen nach Kenntnisnahme in Textform widersprechen. Ein wichtiger Grund liegt insbesondere vor, wenn ein begründeter Anlass zu Zweifeln besteht, dass der Unterauftragnehmer die vereinbarte Leistung entsprechend den anwendbaren gesetzlichen Bestimmungen zum Datenschutz oder gemäß dieser Vereinbarung erbringt. Im Fall eines begründeten Widerspruchs des Auftraggebers räumt dieser dem Auftragnehmer eine angemessene Frist ein, um den vom Widerspruch betroffenen Unterauftragnehmer durch einen anderen Unterauftragnehmer zu ersetzen. Ist dem Auftragnehmer dies nicht möglich oder dem Auftraggeber nicht zumutbar, ist die jeweilige Partei zur außerordentlichen Kündigung des Hauptvertrags aus wichtigem Grund berechtigt.

7.3        Folgende Unterauftragnehmer gelten mit Abschluss der Vereinbarung als genehmigt:

  • Amazon Webservices EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxemburg
  • Softwerk AB, Reveljgränd 5, 352 36 Växjö, Schweden

7.4        Der Auftragnehmer wird mit dem Unterauftragnehmer die in dieser Vereinbarung getroffenen Regelungen inhaltsgleich vereinbaren. Insbesondere müssen die mit dem Unterauftragnehmer zu vereinbarenden TOM ein gleichwertiges Schutzniveau aufweisen. 

7.5        Keine Unterbeauftragungen im Sinne dieser Regelung sind Leistungen, die der Auftragnehmer als reine Nebenleistung zur Unterstützung seiner geschäftlichen Tätigkeit außerhalb der Auftragsverarbeitung in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes der Daten auch für solche Nebenleistungen angemessene Vorkehrungen zu ergreifen.


8. Technische und organisatorische Sicherheitsmaßnahmen

8.1        Der Auftragnehmer ergreift alle erforderlichen TOM gemäß Art. 28 Abs. 3 lit. c), 32 DSGVO i.V.m. Art. 5 Abs. 1, 2 DSGVO. Er wird seine Datenschutz- und Datensicherheitsmaßnahmen fortlaufend dem technischen Fortschritt anpassen und ein Verfahren zur regelmäßigen Überprüfung gem. Art. 32 Abs. 1 lit. d) DSGVO einsetzen.

8.2        Der Auftragnehmer kann den Nachweis der Einhaltung der getroffenen TOM gemäß Art. 32 DSGVO durch ein regelmäßiges Testat. z. B. von einer anerkannten Wirtschaftsprüfungsgesellschaft oder Revision, durch ein ISO-Zertifikat oder ein Datenschutzaudit, ein genehmigtes Zertifizierungsverfahren nach Art. 42 DSGVO oder durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO nachkommen. Die Rechte des Auftraggebers nach Ziff. 3.3 dieser Vereinbarung bleiben davon unbenommen.


9. Vertraulichkeit; Verpflichtung von Mitarbeitern und Dritten

9.1        Der Auftragnehmer verpflichtet sich außerdem, die ihm bei der Ausübung der Aufgaben aus dieser Vereinbarung zur Kenntnis gelangten mündlichen oder schriftlichen Informationen und überlassenen Unterlagen streng vertraulich zu behandeln, es sei denn, er ist durch die geltenden gesetzlichen Bestimmungen zur Veröffentlichung verpflichtet. Er verpflichtet sich, bei der Datenverarbeitung die Verschwiegenheit hinsichtlich der Daten zu wahren. 

9.2        Der Auftragnehmer sichert zu, dass er zur Durchführung der Vereinbarung nur Mitarbeiter oder sonstige für ihn tätige Dienstleister einsetzt, die zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

9.3        Der Auftragnehmer sichert ferner zu, dass er zur Durchführung des Vertrags nur Mitarbeiter oder sonstige für ihn tätige Dienstleister einsetzt, denen es untersagt ist, die Daten außerhalb der vertraglichen Vereinbarungen oder dokumentierten Weisungen zu verarbeiten.

9.4        Die Verpflichtungen nach Ziff. 9.1und 9.2 gelten auch nach Beendigung dieser Vereinbarung fort.


10. Haftung

Die Haftung des Auftragnehmers gegenüber dem Auftraggeber für schuldhafte Verletzungen dieser Vereinbarung sowie die Haftung gegenüber betroffenen Personen und sonstigen Dritten regelt sich nach den gesetzlichen Bestimmungen. Etwaig an anderer Stelle vereinbarte Haftungsbegrenzungen gelten auch für diese Vereinbarung.


11. Laufzeit, Kündigung

11.1     Diese Vereinbarung tritt mit Abschluss des Hauptvertrages in Kraft und endet mit dessen Beendigung. 

11.2     Das Recht zur außerordentlichen Kündigung bleibt unberührt.

11.3     Der Auftraggeber kann diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Vereinbarungen zur Auftragsdatenverarbeitung vorliegt. Ein fristloses Kündigungsrecht des Auftraggebers besteht zudem, wenn der Auftragnehmer eine Weisung nicht ausführt oder wenn der Auftragnehmer Kontrollen durch den Auftraggeber vertragswidrig ganz oder teilweise verweigert. Im Zusammenhang mit der Kündigung kann der Auftragnehmer keine Ansprüche gegen den Auftraggeber geltend machen.


12    Schlussbestimmungen

12.1     Sollten die Daten des Auftraggebers beim Anbieter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Anbieter den Auftraggeber unverzüglich darüber in Textform zu informieren. Der Anbieter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Verantwortung für die Daten ausschließlich beim Auftraggeber liegt.

12.2     Mündliche Nebenabreden wurden nicht getroffen. Änderungen und Ergänzungen der Vereinbarung bedürfen zu ihrer Wirksamkeit der Textform und der ausdrücklichen Bezugnahme auf die Vereinbarung. Abweichende mündliche Abreden der Parteien sind unwirksam. Dies gilt auch für Änderungen dieser Klausel.

12.3     Sollte nur eine Bestimmung dieser Vereinbarung ganz oder teilweise rechtsunwirksam oder nichtig sein oder werden, bleibt dieser Vereinbarung im Übrigen unberührt. An Stelle der rechtsunwirksamen oder nichtigen Bestimmung gilt das Gesetz, sofern die hierdurch entstandene Lücke nicht durch ergänzende Vertragsauslegung gemäß §§ 133, 157 BGB geschlossen werden kann. Beide Parteien sind jedoch verpflichtet, unverzüglich Verhandlungen aufzunehmen mit dem Ziel einer Vereinbarung an Stelle der rechtsunwirksamen oder nichtigen Bestimmung, die deren Sinn und Zweck in rechtlicher und wirtschaftlicher Hinsicht am Nächsten kommt, insbesondere dem Charakter der Vereinbarung als Dauerschuldverhältnis zur Regelung datenschutzrechtlicher Belange gerecht wird. 

12.4     Es gilt deutsches Recht unter Ausschluss des Kollisionsrechts; Art. 3 Abs. 3, Abs. 4 ROM-I-VO bleiben unberührt.

Anschrift

AIMO GmbH
Quellenstraße 7a
70376 Stuttgart
Deutschland

© 2020 AIMO Group AB