Diese Auftragsverarbeitungsvereinbarung ("Vereinbarung") wird geschlossen von und zwischen Ihnen, als
und
iubenda s.r.l.
Via San Raffaele, 1
20121 Mailand
Italien
gesetzlicher Vertreter, Andrea Giannangelo
Der Gegenstand dieses Vertrags ergibt sich aus dem von den Parteien geschlossenen Hauptvertrag über die Erbringung von iubenda Leistungen (“Vertrag”). Der Auftragsverarbeiter wird die darin beschriebenen Verarbeitungstätigkeiten durchführen
hinsichtlich folgender Kategorien von Daten:
hinsichtlich folgender Kategorien von Betroffenen:
Ungeachtet des Standorts des Verantwortlichen werden, sofern hierin nichts anderes angegeben ist - insbesondere in Bezug auf Unterauftragsverarbeiter gemäß Abschnitt. 7 unten - werden alle Datenverarbeitungstätigkeiten des Auftragsverarbeiters innerhalb des Gebiets der Europäischen Union / des Europäischen Wirtschaftsraums (EU/EWR) durchgeführt.
In diesem Vertrag haben die folgenden Begriffe, sofern der Kontext nichts anderes erfordert, die folgende Bedeutung:
a. „Vertrag“ bezieht sich auf diese Auftragsverarbeitungsvereinbarung und alle dazugehörigen Anhänge sowie alle Änderungen dazu.
b. „Anwendbare Datenschutzgesetze“ bezieht sich - je nach Fall - auf alle anwendbaren Gesetze und Vorschriften zum Schutz der Privatsphäre und zum Datenschutz, wie zum Beispiel: (i) die EU-Datenschutzgrundverordnung (Verordnung 2016/679) ("DSGVO"); (ii) das Bundesgesetz über den Datenschutz der Schweiz ("DSG"); (iii) das Lei Geral de Proteção de Dados von Brasilien Nr. 13,709/2018 ("LGPD"); (iv) Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (United Kingdom General Data Protection Regulation) ("UK GDPR").
c. „Verantwortlicher“ ist die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
d. „Betroffene Person“ bezeichnet die Person, auf die sich die personenbezogenen Daten beziehen.
e. „ISO 27001-Zertifizierung“ bezieht sich auf einen weithin anerkannten internationalen Standard für Informationssicherheits-Managementsysteme. Sie spezifiziert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung des Informationssicherheitsmanagementsystems (ISMS) einer Organisation. Die ISO 27001-Zertifizierung belegt, dass der Auftragsverarbeiter umfassende Sicherheitskontrollen und -maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationsbeständen implementiert hat und sich einer unabhängigen Bewertung und Prüfung durch eine Zertifizierungsstelle unterzogen hat, um die Compliance mit dem ISO 27001-Standard zu belegen.
f. „personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
g. „Verarbeitung“ jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
h. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
i. „Unterauftragsverarbeiter“ ist jeder vom Auftragsverarbeiter beauftragte Verarbeiter, der sich damit einverstanden erklärt, vom Auftragsverarbeiter personenbezogene Daten zu erhalten, die ausschließlich für die im Auftrag des Verantwortlichen durchzuführenden Verarbeitungstätigkeiten bestimmt sind, nachdem der Verantwortliche eine solche Unterbeauftragung genehmigt hat.
l. „Technische und organisatorische Maßnahmen“ sind Maßnahmen zum Schutz personenbezogener Daten vor zufälliger oder unrechtmäßiger Zerstörung, zufälligem Verlust, Änderung, unberechtigter Weitergabe oder unberechtigtem Zugriff sowie vor allen anderen unrechtmäßigen Formen der Verarbeitung.
Soweit nicht ausdrücklich anders festgelegt, haben die hierin verwendeten Begriffe die Bedeutung, die den jeweiligen gesetzlichen Definitionen entspricht.
Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten nur auf dokumentierte Anweisung des Verantwortlichen zu verarbeiten, auch im Hinblick auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, er ist aufgrund der geltenden Datenschutzgesetze, denen der Auftragsverarbeiter unterliegt, dazu verpflichtet.
Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen zu ergreifen, die ein Sicherheitsniveau gewährleisten, das dem mit der Verarbeitung verbundenen Risiko und der Art der zu schützenden personenbezogenen Daten angemessen ist. Diese Maßnahmen dienen unter anderem dem Schutz personenbezogener Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden.
Spezifische Einzelheiten zu diesen Maßnahmen sind in Anhang I dargelegt.
Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen bei der Sicherstellung der Compliance mit den Rechten der betroffenen Personen gemäß den geltenden Datenschutzgesetzen zu unterstützen.
Die Rechte, die dem Verantwortlichen im Rahmen dieses Vertrags gewährt werden, einschließlich, aber nicht beschränkt auf das Recht auf Berichtigung, Einschränkung und Löschung oder Rückgabe von Daten, können über das Ticketsystem oder durch Kontaktaufnahme mit dem Auftragsverarbeiter unter der E-Mail-Adresse info@iubenda.com wahrgenommen werden.
Der Auftragsverarbeiter stellt die Qualität seiner Datenverarbeitungstätigkeiten sicher und hält seine Pflichten gemäß den geltenden Datenschutzgesetzen ein. Der Auftragsverarbeiter wird:
a. Verfahren dokumentieren und implementieren: Der Auftragsverarbeiter führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Verantwortlichen durchgeführt werden, das die nach den geltenden Datenschutzgesetzen erforderlichen Informationen enthält.
b. Datenminimierung: Der Auftragsverarbeiter stellt sicher, dass die personenbezogenen Daten angemessen und relevant sind und sich auf das beschränken, was in Bezug auf die Zwecke, für die sie verarbeitet werden, erforderlich ist.
c. Daten-Richtigkeit: Der Auftragsverarbeiter wird alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten, die unter Berücksichtigung der Zwecke, für die sie verarbeitet werden, unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
d. Verfügbarkeit, Integrität und Vertraulichkeit der Daten: Der Auftragsverarbeiter wird personenbezogene Daten in einer Weise verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor versehentlichem Verlust, Zerstörung, Beschädigung oder Unterbrechung durch geeignete technische oder organisatorische Maßnahmen.
e. Zusammenarbeit mit dem Verantwortlichen: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Verpflichtungen in Bezug auf die Sicherheit der Verarbeitung, die Meldung von Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an die betroffene Person, die Datenschutz-Folgenabschätzungen und die vorherige Konsultation in Bezug auf die Verarbeitung mit hohem Risiko.
f. Vertraulichkeit der Mitarbeiter: Der Auftragsverarbeiter stellt sicher, dass seine Mitarbeiter, die an der Verarbeitung personenbezogener Daten beteiligt sind, über die Vertraulichkeit der personenbezogenen Daten informiert sind, eine angemessene Schulung zu ihren Verantwortlichkeiten erhalten haben und an die Vertraulichkeitsverpflichtungen und Nutzungsbeschränkungen in Bezug auf die personenbezogenen Daten gebunden sind.
g. Antwort an die betroffenen Personen: Wenn der Auftragsverarbeiter einen Antrag einer betroffenen Person gemäß einem anwendbaren Datenschutzgesetz in Bezug auf personenbezogene Daten erhält, wird der Auftragsverarbeiter der betroffenen Person raten, ihren Antrag an den Verantwortlichen zu richten, und der Auftragsverarbeiter wird den Verantwortlichen so schnell wie möglich über den Antrag informieren.
h. Datenschutz-Folgenabschätzung (DSFA): Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter dem Verantwortlichen die notwendigen Informationen zur Durchführung einer Datenschutzfolgenabschätzung zur Verfügung, wie es die geltenden Datenschutzgesetze verlangen.
Der Verantwortliche erkennt an und akzeptiert, dass der Auftragsverarbeiter Unterauftragsverarbeiter mit der Durchführung von Verarbeitungstätigkeiten im Rahmen dieser Vereinbarung beauftragen kann. Die derzeit eingesetzten Unterauftragsverarbeiter gelten hiermit als vom Verantwortlichen akzeptiert.
Eine Liste der Unterauftragsverarbeiter kann über das Ticketingsystem oder die E-Mail Adresse info@iubenda.com verlangt werden.
Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen im Voraus über jeden geplanten Wechsel von Unterauftragsverarbeitern zu informieren und die Zustimmung des Verantwortlichen einzuholen, bevor er einen solchen Wechsel vornimmt. Der Auftragsverarbeiter erlegt den Unterauftragsverarbeitern in jedem Fall die gleichen Datenschutzverpflichtungen auf, wie sie in dieser Vereinbarung festgelegt sind.
Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung der in diesem Vertrag festgelegten Verpflichtungen nachzuweisen, und er gestattet Audits, einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden, und trägt zu diesen bei.
Inspektionen und Audits müssen im Voraus mit dem Auftragsverarbeiter vereinbart und finden ohne Beeinträchtigung des regulären Geschäftsbetriebs des Auftragsverarbeiters statt. Der Auftragsverarbeiter kann die Kosten für solche Audits oder Inspektionen dem Verantwortlichen in Rechnung stellen.
Der Auftragsverarbeiter unterhält robuste Verfahren und Technologien, um Verletzungen des Schutzes personenbezogener Daten zu erkennen, zu verhindern und auf sie zu reagieren.
Im Falle einer Verletzung des Schutzes personenbezogener Daten wird der Auftragsverarbeiter den Verantwortlichen unverzüglich und ohne unangemessene Verzögerung benachrichtigen, sobald er davon Kenntnis erhält. Diese Benachrichtigung wird Folgendes enthalten:
Der Auftragsverarbeiter dokumentiert jede Verletzung des Schutzes personenbezogener Daten, einschließlich der Fakten in Bezug auf die Verletzung des Schutzes personenbezogener Daten, ihrer Auswirkungen und der getroffenen Abhilfemaßnahmen. Der Auftragsverarbeiter unterstützt den Verantwortlichen auch bei der Sicherstellung der Compliance mit den Verpflichtungen des Verantwortlichen gemäß den geltenden Datenschutzgesetzen in Bezug auf die Meldung von Sicherheitsverletzungen an die Behörden und die betroffenen Personen.
Der Auftragsverarbeiter wird die Verletzung des Schutzes personenbezogener Daten ohne die vorherige schriftliche Zustimmung des Verantwortlichen nicht an Dritte oder an die betroffene Person weitergeben, es sei denn, eine solche Weitergabe ist nach den geltenden Datenschutzgesetzen erforderlich.
Der Auftragsverarbeiter ist sich darüber im Klaren und akzeptiert, dass jede Unterlassung der in diesem Artikel beschriebenen Unterstützung des Verantwortlichen zu Strafen und Bußgeldern führen kann, für die der Auftragsverarbeiter verantwortlich gemacht wird.
Dieser Artikel berührt nicht die Rechte oder Rechtsmittel, die der Verantwortliche gemäß diesem Vertrag oder den geltenden Datenschutzgesetzen hat.
Nach Beendigung der Erbringung der Dienstleistungen oder früher, wenn der Verantwortliche dies anordnet, löscht der Auftragsverarbeiter nach dem Ermessen des Verantwortlichen alle personenbezogenen Daten, die gemäß dieser Vereinbarung erhoben und verarbeitet wurden, oder gibt sie zurück, es sei denn, der Auftragsverarbeiter ist aufgrund einer geltenden Rechtsvorschrift verpflichtet, diese personenbezogenen Daten aufzubewahren.
Sofern der Auftragsverarbeiter vom Verantwortlichen nicht anders angewiesen wird, bewahrt er die personenbezogenen Daten für einen Zeitraum von sechs Monaten nach Beendigung des Vertrags und der abgeschlossenen Erbringung der Dienstleistungen ausschließlich zu dem Zweck auf, dem Verantwortlichen den Export zu ermöglichen. Nach Ablauf der sechsmonatigen Aufbewahrungsfrist löscht der Auftragsverarbeiter alle personenbezogenen Daten.
Ungeachtet dessen ist der Auftragsverarbeiter berechtigt, auch nach der Erbringung der Dienstleistungen und der Beendigung des Vertrags alle Informationen aufzubewahren, die für den Nachweis einer ordnungsgemäßen und gesetzeskonformen Verarbeitung erforderlich sind, und zwar in Übereinstimmung mit den gesetzlichen Aufbewahrungsfristen.
In Übereinstimmung mit der Zertifizierung des Auftragsverarbeiters nach UNI CEI EN ISO/IEC ISO 27001:2017 werden die folgenden Schlüsselelemente als technische und organisatorische Maßnahmen umgesetzt:
a. Richtlinien zur Informationssicherheit: Der Auftragsverarbeiter hat eine Richtlinie zur Informationssicherheit erstellt und überprüft diese regelmäßig, um die Informationssicherheit in Übereinstimmung mit den geschäftlichen Anforderungen und den einschlägigen Gesetzen und Vorschriften zu gewährleisten.
b. Organisation der Informationssicherheit: Der Auftragsverarbeiter weist die Verantwortlichkeiten für bestimmte Aufgaben zu, um ein effektives Management der Informationssicherheit zu gewährleisten.
c. Sicherheit der Humanressourcen: Der Auftragsverarbeiter hat Sicherheitspraktiken für Mitarbeiter und Auftragnehmer im Laufe ihrer Beschäftigung und ihres Arbeitseinsatzes eingeführt.
d. Asset Management: Der Auftragsverarbeiter führt ein Inventar von Vermögenswerten und hat entsprechende Schutzverantwortlichkeiten festgelegt.
e. Zugangskontrolle: Der Auftragsverarbeiter stellt sicher, dass Mitarbeiter und Auftragnehmer nur Zugang zu den Informationen und Vermögenswerten haben, die mit ihrer Funktion verbunden sind.
f. Kryptographie: Der Auftragsverarbeiter verwendet Verschlüsselung und Schlüsselverwaltung zum Schutz von Informationen.
g. Physische und ökologische Sicherheit: Der Auftragsverarbeiter sichert Büros, Räume und Einrichtungen, um unbefugten physischen Zugang, Beschädigungen und Störungen der Räumlichkeiten und Informationen des Auftragsverarbeiters zu verhindern.
h. Operative Sicherheit: Der Auftragsverarbeiter sorgt für den korrekten und sicheren Betrieb der Informationsverarbeitungsanlagen.
i. Sicherheit der Kommunikation: Der Auftragsverarbeiter setzt Netzwerke und Informationsübertragungen sicher um.
l. Systembeschaffung, Entwicklung und Wartung: Der Auftragsverarbeiter stellt sicher, dass die Informationssicherheit ein integraler Bestandteil der Systeme während ihres gesamten Lebenszyklus ist.
m. Beziehungen zu den Lieferanten: Der Auftragsverarbeiter schützt die Vermögenswerte des Auftragsverarbeiters, die für Lieferanten zugänglich sind.
n. Management von Zwischenfällen: Der Auftragsverarbeiter verwaltet Vorfälle und Verbesserungen im Bereich der Informationssicherheit.
o. Business Continuity Management: Der Auftragsverarbeiter gewährleistet die Kontinuität des Informationssicherheitsmanagements im Falle einer Geschäftsunterbrechung.
p. Compliance: Der Auftragsverarbeiter hält sich an die rechtlichen, gesetzlichen, behördlichen und vertraglichen Anforderungen sowie an die Richtlinien und Verfahren des Auftragsverarbeiters.
q. Cloud-Sicherheit: Der Auftragsverarbeiter hat zusätzliche Sicherheitsmaßnahmen in der Cloud implementiert, um die Integrität, Zugänglichkeit und Vertraulichkeit der Daten zu schützen. Diese Maßnahmen umfassen unter anderem sichere Datenübertragung, sichere Software-Schnittstellen, sichere Datenspeicherung, Benutzeridentität und Zugriffsverwaltung sowie Sicherheit der Infrastruktur. Der Auftragsverarbeiter führt außerdem regelmäßig Sicherheitsaudits seiner Cloud-Umgebung durch, um potenzielle Schwachstellen zu identifizieren und zu beheben.
Weitere Einzelheiten zur ISO 27001-Zertifizierung des Auftragsverarbeiters, einschließlich einer Kopie des Zertifikats selbst, können über das Ticketingsystem des Auftragsverarbeiters oder per E-Mail angefordert werden.