Vereinbarung zur Auftragsverarbeitung
Zwischen
Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen, DEUTSCHLAND
– im Folgenden „Auftragsverarbeiter“ –
und
dem im Hauptvertrag bezeichneten Unternehmen
– im Folgenden „Verantwortlicher“ –
Der Auftragsverarbeiter und der Verantwortliche werden im Folgenden auch einzeln als „Partei“ oder gemeinsam als die „Parteien“ bezeichnet.
§ 1 Vertragsgegenstand
(1) Diese Vereinbarung zur Auftragsverarbeitung („AVV“) wird zwischen den Parteien im Hinblick auf die Verarbeitung personenbezogener Daten unter dem Hauptvertrag (im Folgenden „Hauptvertrag“) abgeschlossen. Die Leistungserbringung unter dem Hauptvertrag („Services“) erfordert die Verarbeitung von Daten. Wenn und soweit diese Daten aus personenbezogenen Daten bestehen oder solche enthalten, wird die Auftragsverarbeiter als Auftragsverarbeiter hinsichtlich dieser Daten agieren, wohingegen der Verantwortliche Verantwortlicher für diese Daten gemäß Art. 28 der Datenschutzgrundverordnung (im Folgenden „DS-GVO“) bleibt.
(2) Die Services werden von dem Auftragsverarbeiter in der Weise erbracht, dass der Verantwortliche seine eigenen Daten beibringt, deren Übermittlung an den Auftragsverarbeiter kontrolliert und, im Falle von Software as a Service-Modellen direkt den Umgang mit solchen auf die Services hochgeladenen Daten steuert. Der Verantwortliche ist einverstanden und versteht, dass der Auftragsverarbeiter die Daten des Verantwortlichen oder den Umgang des Verantwortlichen mit diesen Daten nicht überwacht, wenn nicht der Verantwortliche ausdrücklich eine diesbezügliche Anfrage zum Zugriff auf diese Daten an den Auftragsverarbeiter richtet. Daher ist es die alleinige Verantwortung und Obliegenheit des Verantwortlichen sicherzustellen, dass die Daten des Verantwortlichen in Übereinstimmung mit den anwendbaren Datenschutzgesetzen erhoben und übermittelt werden und, insbesondere, dass hierfür eine Rechtsgrundlage besteht und die betroffenen Personen über die Erhebung und Verarbeitung ihrer personenbezogenen Daten ordnungsgemäß informiert sind.
(3) Als Auftragsverarbeiter wird der Auftragsverarbeiter personenbezogene Daten des Verantwortlichen ausschließlich in Übereinstimmung mit den Bestimmungen dieser AVV und den dokumentierten Weisungen des Verantwortlichen verarbeiten. Sofern der Auftragsverarbeiter durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zu einer weitergehenden Verarbeitung der personenbezogenen Daten verpflichtet ist, wird der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mitteilen, wenn nicht das betreffende Recht eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses verbietet; letzterenfalls wird der Auftragsverarbeiter den Verantwortlichen über die weitergehende Verarbeitung informieren, sobald dies rechtlich zulässig ist. Der Auftragsverarbeiter wird sicherstellen und regelmäßig selbst überprüfen, dass die Verarbeitung personenbezogener Daten im Verantwortungsbereich des Auftragsverarbeiters, der ggf. eingeschaltete Subunternehmer mit einschließt, in Übereinstimmung mit den Vorgaben dieser AVV, der anwendbaren Gesetze zum Datenschutz und insbesondere der DS-GVO erfolgt.
§ 2 Einzelheiten der Verarbeitung
(1) Die Einzelheiten der Verarbeitung sind in den nachstehenden Bestimmungen sowie im Hauptvertrag beschrieben. Eingedenk seiner Pflichten als Verantwortlicher wird der Verantwortliche den Auftragsverarbeiter darauf hinweisen, sollte eine Ergänzung der im Hauptvertrag getroffenen Festlegungen erforderlich sein.
(2) Der Auftragsverarbeiter wird personenbezogene Daten verarbeiten, wie im Hauptvertrag im Einzelnen beschrieben.
(3) Der Auftragsverarbeiter wird personenbezogene Daten grundsätzlich für die Laufzeit des Hauptvertrags und der vorliegenden AVV verarbeiten, soweit nicht anders schriftlich vereinbart.
§ 3 Ort der Datenverarbeitung; Übermittlung in Drittländer
(1) Der Auftragsverarbeiter wird personenbezogene Daten ausschließlich an seinem eigenen oder dem Sitz seiner befugten Unter-Auftragsverarbeiter verarbeiten. Danach werden sämtliche Verarbeitungsvorgänge grundsätzlich in den Mitgliedsstaaten der Europäischen Union oder in einem anderen Staat ausgeführt, der Partei des Vertrags über den Europäischen Wirtschaftsraum ist.
(2) Jede Verarbeitung personenbezogener Daten außerhalb von EU/EWR ist nur bei vorheriger Vereinbarung zwischen den Parteien und nur dann zulässig, wenn die Voraussetzungen der Art. 44 ff. DS-GVO eingehalten werden.
§ 4 Weisungen des Verantwortlichen
(1) Die Parteien sind darüber einig, dass diese AVV die generellen Weisungen des Verantwortlichen hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag durch dem Auftragsverarbeiter enthält.
(2) Spezielle Weisungen des Verantwortlichen, die von den Festlegungen dieser AVV abweichen oder dem Auftragsverarbeiter neue, zusätzliche Verpflichtungen auferlegen, bedürfen zu ihrer Wirksamkeit der Zustimmung des Auftragsverarbeiters. Für derartige spezielle Weisungen werden die Parteien das ggf. im Hauptvertrag vereinbarte Change Verfahren anwenden.
(3) Es obliegt dem Verantwortlichen sicherzustellen, dass von ihm erteilte Weisungen im Hinblick auf die Verarbeitung personenbezogener Daten im Auftrag im Einklang mit den anwendbaren Datenschutzgesetzen stehen, und dass der Auftragsverarbeiter eine weisungsgemäße Verarbeitung personenbezogener Daten möglich ist, ohne gegen für den Auftragsverarbeiter anwendbare Datenschutzgesetze, insbesondere die DS-GVO zu verstoßen. Sofern der Auftragsverarbeiter der Auffassung ist, dass eine Weisung des Verantwortlichen gegen anwendbare Datenschutzgesetze verstößt, wird der Auftragsverarbeiter dies dem Verantwortlichen mitteilen. In solchen Fällen ist der Auftragsverarbeiter berechtigt, die Ausführung der Weisung zu verweigern, bis der Verantwortliche die Weisung bestätigt.
(4) Spezielle Weisungen des Verantwortlichen werden in Schriftform oder zumindest in Textform erteilt, und zwar durch die hierzu berechtigten Personen aufseiten des Verantwortlichen. Mündlich erteilte Weisungen müssen zu ihrer Wirksamkeit unverzüglich durch eine der berechtigten Personen und zumindest in Textform bestätigt werden.
§ 5 Zusicherungen des Auftragsverarbeiters
(1) Mitarbeiter des Auftragsverarbeiters: (i) sind, soweit sie zur Verarbeitung der personenbezogenen Daten befugt sind, zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht; (ii) werden personenbezogene Daten ausschließlich entsprechend den Weisungen des Auftragsverarbeiters verarbeiten, soweit nicht nach den anwendbaren Gesetzen zum Datenschutz eine Verpflichtung zu anderweitiger Verarbeitung besteht; und (iii) werden in regelmäßigen Abständen über die sich aus dieser AVV sowie den anwendbaren Gesetzen zum Datenschutz, insbesondere der DS-GVO ergebenden Pflichten belehrt.
(2) Der Auftragsverarbeiter darf ohne vorherige Zustimmung durch den Verantwortlichen im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der im Auftrag verarbeiteten personenbezogenen Daten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Services (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(3) Der Auftragsverarbeiter wird einen fachkundigen und zuverlässigen Datenschutzbeauftragten bestellen, wenn und solange die gesetzlichen Voraussetzungen für die Benennung eines Datenschutzbeauftragten bestehen. Die Kontaktinformationen eines solchermaßen benannten Datenschutzbeauftragten wird der Auftragsverarbeiter dem Verantwortlichen mitteilen.
§ 6 Technische und organisatorische Maßnahmen
(1) Vor Beginn der Verarbeitung hat der Auftragsverarbeiter die unter www.fitness-nation.com/support/tom.html genannten technischen und organisatorischen Maßnahmen umzusetzen und diese während der Laufzeit der vorliegenden AVV aufrechtzuerhalten. Hierbei handelt es sich um technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau im Hinblick auf die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten. Dabei müssen der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne des Art. 32 Abs. 1 DS-GVO berücksichtigt werden.
(2) Weil die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und technologischen Fortentwicklungen unterliegen, ist es dem Auftragsverarbeiter erlaubt, alternative und angemessene Maßnahmen umzusetzen, wenn hierdurch der Sicherheitsstandard der unter www.fitness-nation.com/support/tom.html spezifizierten Maßnahmen nicht unterschritten wird.
§ 7 Einschaltung von Unter-Auftragsverarbeitern
(1) Der Auftragsverarbeiter darf Unter-Auftragsverarbeiter hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag nur mit vorheriger Zustimmung des Verantwortlichen einschalten. Der Verantwortliche erteilt danach seine Zustimmung zum Einsatz der unter www.fitness-nation.com/support/subunternehmer.html genannten Unter-Auftragsverarbeiter.
(2) Der Auftragsverarbeiter wird jedem Unter-Auftragsverarbeiter Verpflichtungen im Hinblick auf den Datenschutz, die Vertraulichkeit und die Datensicherheit auferlegen, die zumindest so streng sind wie die in dieser AVV niedergelegten Verpflichtungen des Auftragsverarbeiters gegenüber dem Verantwortlichen. Sofern ein Unter-Auftragsverarbeiter diese ihm auferlegten Verpflichtungen nicht einhält, haftet der Auftragsverarbeiter für diese Verstöße wie für eigenes Verschulden.
(3) Der Auftragsverarbeiter wird dem Verantwortlichen jeden neuen Einsatz eines Unter-Auftragsverarbeiters schriftlich mitteilen. Teilt der Verantwortliche nach Erhalt einer solchen Mitteilung binnen dreißig (30) Tagen unter Angabe eines nachvollziehbaren Grundes mit, dass er dem Einsatz widerspreche, so werden die Parteien nach einer einvernehmlichen Lösung suchen. Gelingt es in einem solchen Falle nicht binnen zwei (2) Monaten, eine einvernehmliche Lösung zu erreichen, hat der Verantwortliche das Recht, den Hauptvertrag im Hinblick auf solche Services zu kündigen, für die der Einsatz des vorgeschlagenen Unter-Auftragsverarbeiters notwendig ist.
(4) Die Parteien sind darüber einig, dass Erbringer von bloßen Hilfsdienstleistungen keine Auftragsverarbeiter im Sinne der Datenschutzgesetze sind; dazu zählen insbesondere Transportleistungen von Post- oder Kurierdiensten sowie Geldtransportdienstleistungen, Telekommunikationsdienste, Bewachungsdienste und Reinigungsdienste. Unbeschadet dessen wird der Auftragsverarbeiter mit solchen Subunternehmern branchenübliche Geheimhaltungsvereinbarungen treffen.
(5) Die Regelungen in diesem § 7 gelten auch, wenn ein Unter-Auftragsverarbeiter in einem Drittland außerhalb der EU bzw. des EWR eingeschaltet wird. Die Zustimmung des Verantwortlichen zum Einsatz des Unter-Auftragsverarbeiters vorausgesetzt, bevollmächtigt der Verantwortliche den Auftragsverarbeiter hiermit, in Vertretung des Verantwortlichen mit einem Unter-Auftragsverarbeiter, der Daten des Verantwortlichen außerhalb der EU bzw. des EWR verarbeitet, einen Vertrag unter Einbeziehung der EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern vom 05.02.2010 oder ggf. später von der EU-Kommission oder der zuständigen Aufsichtsbehörde erlassener Standarddatenschutzklauseln zu schließen.
§ 8 Unterstützungspflichten gegenüber dem Verantwortlichen
(1) Auf schriftliche Anfrage des Verantwortlichen wird der Auftragsverarbeiter den Verantwortlichen im Falle einer Untersuchung oder einer Anfrage durch eine Datenschutzaufsichtsbehörde in angemessenem Umfang unterstützen, soweit diese Untersuchung oder Anfrage die Services betrifft. Der Auftragsverarbeiter wird den Verantwortlichen in angemessenem Umfang dabei unterstützen, sämtliche Verpflichtungen im Zusammenhang mit einer solchen Untersuchung oder Anfrage einzuhalten. Sollte eine Datenschutzaufsichtsbehörde Untersuchungen direkt bei dem Auftragsverarbeiter aufnehmen oder eine entsprechende Anfrage direkt an den Auftragsverarbeiter richten, wird der Auftragsverarbeiter den Verantwortlichen hierüber unverzüglich informieren, soweit ihm dies erlaubt ist, und im Rahmen dieser Untersuchung oder Anfrage kooperieren.
(2) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn er eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung personenbezogener Daten unter dieser AVV feststellt. Wenn sich aufgrund einer solchen Mitteilung für den Verantwortlichen seinerseits Meldepflichten gegenüber Datenschutzaufsichtsbehörden und/oder betroffenen Personen ergeben (insbesondere aus den Art. 33, 34 DS-GVO), wird der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung dieser Meldepflichten in angemessenem und erforderlichem Umfang unterstützen. Soweit den Auftragsverarbeiter an einem meldepflichtigen Datenschutzvorfall kein Verschulden trifft, ist der Auftragsverarbeiter berechtigt, den Aufwand für die Unterstützungsleistungen entsprechend den im Hauptvertrag vereinbarten Vergütungssätzen zu berechnen.
(3) Der Auftragsverarbeiter wird den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter vorliegenden Informationen bei einer von diesem ggf. im Hinblick auf die Verarbeitung personenbezogener Daten durchzuführenden Datenschutzfolgenabschätzung einschließlich, wo erforderlich, der Konsultation der zuständigen Datenschutzaufsichtsbehörde unterstützen (Art. 35, 36 DS-GVO). Der Auftragsverarbeiter ist berechtigt, den Aufwand für die Unterstützungsleistungen entsprechend den im Hauptvertrag vereinbarten Vergütungssätzen zu berechnen.
(4) Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, wenn sich eine betroffene Person mit einer Beschwerde, Anfrage oder zwecks Ausübung ihr zustehender Rechte direkt an den Auftragsverarbeiter wenden sollte. Der Auftragsverarbeiter wird nicht selbst auf die Anfrage antworten, wenn nicht der Verantwortliche dem Auftragsverarbeiter ausdrücklich eine entsprechende Weisung erteilt hat. Der Auftragsverarbeiter wird den Verantwortlichen bei der Beantwortung solcher Beschwerden, Anfragen und Verlangen betroffener Personen in angemessenem Umfang unterstützen. Der Auftragsverarbeiter ist berechtigt, den Aufwand für die Unterstützungsleistungen entsprechend den im Hauptvertrag vereinbarten Vergütungssätzen zu berechnen.
§ 9 Rückgabe oder Löschung Rückgabe personenbezogener Daten
(1) Nach entsprechender Weisung durch den Verantwortlichen während der Laufzeit dieser AVV oder nach deren Kündigung oder nach Beendigung der Verarbeitung personenbezogener Daten unter dem betreffenden Einzelvertrag wird der Auftragsverarbeiter die im Auftrag des Verantwortlichen verarbeiteten Daten entweder vernichten, löschen oder diese an den Verantwortlichen zurückgeben. Sofern anwendbare Gesetze dem Auftragsverarbeiter eine Vernichtung, Löschung oder Rückgabe der im Auftrag verarbeiteten personenbezogenen Daten verbieten, wird der Auftragsverarbeiter diese Daten gleichwohl nicht mehr aktiv verarbeiten, sondern lediglich zur Einhaltung der gesetzlichen Bestimmungen, insbesondere gesetzlicher Aufbewahrungspflichten weiter speichern und nach Fortfall des gesetzlichen Hindernisses entsprechend der ursprünglichen Weisung des Verantwortlichen vernichten, löschen oder an diesen zurückgeben.
(2) Der Auftragsverarbeiter wird ein Protokoll über jede erfolgte Vernichtung oder Löschung personenbezogener Daten erstellen, das dem Verantwortlichen auf Verlangen zur Verfügung gestellt wird.
§ 10 Auditrechte
(1) Der Verantwortliche ist berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 9:00 bis 17:00 Uhr) auf eigene Kosten, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragsverarbeiters die Geschäftsräume des Auftragsverarbeiters, in denen Daten des Verantwortlichen verarbeitet werden, zu betreten, um sich von der Einhaltung dieser AVV zu überzeugen. Der Verantwortliche wird eine solche Vor-Ort-Inspektion in der Regel rechtzeitig (mindestens zwei Wochen vorher) ankündigen.
(2) In der Regel ist der Verantwortliche zu einer Vor-Ort-Kontrolle im Sinne des vorstehenden Absatzes pro Kalenderjahr berechtigt. Das Recht des Verantwortlichen zur Durchführung weiterer Vor-Ort-Kontrollen bei besonderen Vorkommnissen bleibt hiervon unberührt.
(3) Beauftragt der Verantwortliche einen Dritten mit der Durchführung der Kontrolle, hat der Verantwortliche den Dritten schriftlich ebenso zu verpflichten, wie auch der Verantwortliche aufgrund dieser AVV gegenüber dem Auftragsverarbeiter verpflichtet ist. Zudem hat der Verantwortliche den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragsverarbeiters hat der Verantwortliche dem Auftragsverarbeiter die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Verantwortliche darf keinen Konkurrenten des Verantwortlichen mit der Kontrolle beauftragen.
(4) Der Nachweis der Einhaltung dieser AVV kann anstatt durch eine Vor-Ort-Inspektion auch durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO, die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO sowie die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z.B. nach ISO 27001 – („Prüfungsbericht“) erbracht werden, wenn der Prüfungsbericht es dem Verantwortlichen in angemessener Weise ermöglicht, sich von der Einhaltung dieser AVV zu überzeugen.
(5) Wenn und soweit eine Vor-Ort-Inspektion nicht durch ein Fehlverhalten aufseiten des Auftragsverarbeiters notwendig geworden ist, ist der Auftragsverarbeiter berechtigt, den Aufwand für die Vor-Ort-Inspektionen entsprechend den im Hauptvertrag vereinbarten Vergütungssätzen zu berechnen.
§ 11 Sonstige Bestimmungen
(1) Die vorliegende AVV unterliegt demselben Recht wie der Hauptvertrag, und für alle Streitigkeiten aus und im Zusammenhang mit dieser AVV sind ausschließlich diejenigen Gerichte zuständig, auf welche sich die Parteien im Hauptvertrag verständigt haben.
(2) Änderungen oder Ergänzungen der vorliegenden AVV sind nur wirksam, wenn sie schriftlich abgefasst wurden.
(3) Wenn eine Bestimmung dieser AVV von dem zuständigen Gericht für unwirksam oder nicht durchsetzbar erklärt wird, bleiben die übrigen Bestimmungen uneingeschränkt wirksam.
(4) Diese AVV tritt mit Abschluss des Hauptvertrags als dessen integraler Bestandteil in Kraft. Sie gilt, ungeachtet des Endes der Vertragslaufzeit des Hauptvertrags solange, bis, und tritt automatisch außer Kraft, wenn sämtliche personenbezogenen Daten von dem Auftragsverarbeiter und/oder sämtlichen einsetzten Unter-Auftragsverarbeitern gelöscht worden sind.