Vereinbarung zwischen gemeinsam Verantwortlichen
Zwischen
Fitness Nation GmbH
Bergstr. 18
59394 Nordkirchen,
DEUTSCHLAND
– im Folgenden „Verantwortlicher A“ –
und
dem im Hauptvertrag bezeichneten Unternehmen
– im Folgenden „Verantwortlicher B“ –
Der Verantwortliche A und der Verantwortliche B werden im Folgenden auch einzeln als „Partei“ oder gemeinsam als die „Parteien“ bezeichnet.
§ 1 Vertragsgegenstand
(1) Die Parteien schließen diese Vereinbarung zwischen gemeinsam Verantwortlichen (im Folgenden „GVV“) im Hinblick auf die Verarbeitung personenbezogener Daten durch den abgeschlossenen Hauptvertrag. Nachdem die Parteien gemeinsam die Zwecke der und die Mittel zu den nachstehend beschriebenen Verarbeitungsvorgängen (im Folgenden „Verarbeitungsvorgänge“) festgelegt haben, betrachten sie sich als gemeinsam für die Verarbeitung Verantwortliche im Sinne von Art. 26 der Datenschutzgrundverordnung (im Folgenden „DS-GVO“).
(2) Zur Klarstellung wird festgehalten, dass hinsichtlich jeglicher Verarbeitungen, die außerhalb des Anwendungsbereichs dieser GVV fallen, jede der Parteien als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO allein verantwortlich und voll haftbar bleibt, und dass insoweit keinerlei Verantwortlichkeiten oder Verpflichtungen einer Partei gegenüber der jeweils anderen Partei bestehen.
(3) Die vorliegende GVV enthält die wechselseitigen Verantwortlichkeiten und Verpflichtungen der Parteien hinsichtlich der Verarbeitungsvorgänge. Sollten die Bestimmungen dieser GVV zu denen des Hauptvertrags in Widerspruch stehen, gehen die erstgenannten vor, wenn und soweit die Verantwortlichkeiten und Verpflichtungen der Parteien hinsichtlich der Verarbeitungsvorgänge betroffen sind. Unbeschadet dessen sind die Parteien darüber einig, dass keine der Parteien für die Erfüllung ihrer Verantwortlichkeiten im Rahmen dieser GVV eine Vergütung verlangen kann, sondern dass derlei Ansprüche vollständig von den Vergütungsvereinbarungen unter dem Hauptvertrag abgedeckt werden.
(4) Soweit in dieser GVV nichts Abweichendes bestimmt ist, haben die hierin verwendeten Begriffe die Bedeutung, die ihnen in Art. DS-GVO zugeschrieben wird.
§ 2 Grundsätze für die und Einzelheiten der Verarbeitungsvorgänge
(1) Die Parteien sichern einander zu und gewährleisten, dass sämtliche personenbezogenen Daten in Übereinstimmung mit den Bestimmungen dieser GVV und der anwendbaren Datenschutzgesetze erhoben und weiter verarbeitet werden, insbesondere aber nicht ausschließlich im Einklang mit den in Art. 5 DS-GVO niedergelegten Grundsätzen für die Verarbeitung personenbezogener Daten. Sollte einer der Parteien der Ansicht sein, dass die jeweils andere Partei im Rahmen der Ausführung der vorliegenden GVV deren Bestimmungen oder die anwendbaren Datenschutzgesetze verletzt, wird sie diese andere Partei unverzüglich darüber in Kenntnis setzen.
(2) Im Rahmen der Verarbeitungsvorgänge werden die Parteien sämtliche personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format verarbeiten.
(3) Keine der Parteien wird Kopien oder Duplikate der unter dieser GVV verarbeiteten personenbezogenen Daten anfertigen, wenn dies nicht für die Verarbeitungsvorgänge (einschließlich Daten-Backups) oder zwecks Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich ist.
(4) Die Einzelheiten der Verarbeitungsvorgänge sind in der separat veröffentlichten Übersicht “Data Flow” dargestellt. Diese Einzelheiten enthalten eine umfassende Darstellung von Art, Zweck und Gegenstand der Verarbeitungsvorgänge, die Kategorien der von den Verarbeitungsvorgängen betroffenen Personen und der Art der verarbeiteten personenbezogenen Daten. Zusätzlich werden die Parteien in der Übersicht “Data Flow” jeden Schritt der Verarbeitungsvorgänge beschreiben und dabei festhalten, (a) welche der Parteien für welchen dieser Schritte verantwortlich zeichnet, und (b) auf welcher Rechtsgrundlage die einzelnen Verarbeitungsvorgänge beruhen.
(5) Wenn dies wegen einer Veränderung der Verarbeitungsvorgänge selbst und/oder aufgrund einer Änderung oder Ergänzung des Hauptvertrags erforderlich wird, werden die Parteien die Festlegungen in der “Data Flow” Übersicht entsprechend anpassen. Angesichts der Verpflichtungen der Parteien als gemeinsam für die Verarbeitung Verantwortliche, ist jede der Parteien dafür verantwortlich, die jeweils andere Partei darüber zu unterrichten, wenn sie eine Anpassung der Festlegungen in der “Data Flow” Übersicht für notwendig erachtet. Unbeschadet dessen wird jede der Parteien regelmäßig, zumindest aber einmal jährlich, prüfen, ob die Festlegungen in der “Data Flow” die dann aktuellen Verarbeitungsvorgänge widerspiegeln.
(6) Die Parteien weisen hiermit dem Verantwortlichen A die Befugnis zu, Entscheidungen hinsichtlich der Verarbeitungsvorgänge mit Wirkung für alle gemeinsam für die Verarbeitung Verantwortlichen umzusetzen. Hierdurch wird der Verantwortliche A für alle Parteien im Hinblick auf die Verarbeitungsvorgänge zur Hauptniederlassung in der Europäischen Union. Danach ist die federführende Aufsichtsbehörde hinsichtlich der Verarbeitungsvorgänge die Aufsichtsbehörde von NRW.
§ 3 Ort der Datenverarbeitung; Übermittlung in Drittländer und das Vereinigte Königreich
(1) Die Parteien werden personenbezogene Daten ausschließlich an ihrem eigenen oder dem Sitz ihrer befugten Auftragsverarbeiter verarbeiten. Danach werden sämtliche Verarbeitungsvorgänge grundsätzlich in den Mitgliedsstaaten der Europäischen Union oder in einem anderen Staat ausgeführt, der Partei des Vertrags über den Europäischen Wirtschaftsraum ist.
(2) Jede Verarbeitung personenbezogener Daten außerhalb von EU/EWR ist nur bei vorheriger Vereinbarung zwischen den Parteien und nur dann zulässig, wenn die Voraussetzungen der Art. 44 ff. DS-GVO eingehalten werden.
(3) Für die Zwecke der vorliegenden GVV wird das Vereinigte Königreich von Großbritannien und Nordirland als Drittland betrachtet, um die Risiken eines „Brexits“ zu vermindern. Aus diesem Grund ist jede Datenverarbeitung im Vereinigten Königreich nur dann erlaubt, wenn angemessene Garantien im Sinne des Art. 46 DS-GVO zur Absicherung vereinbart werden.
§ 4 Rechte der betroffenen Personen
(1) Die Parteien werden den betroffenen Personen die Informationen gemäß Art. 13, 14 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache mitteilen. In diesem Zusammenhang stimmen die Parteien darin überein, dass (a) die unter “Datenschutz” abrufbaren Datenschutz-Hinweise den vorgenannten Anforderungen des Art. 12 Abs. 1 DS-GVO entsprechen, (b) im Hinblick auf Art. 13 Abs. 4, 14 Abs. 5 Nr. 1 DS-GVO keine weiteren Informationspflichten hinsichtlich der Verarbeitungsvorgänge bestehen, und (c) die Datenschutz-Hinweise das Wesentliche der Vereinbarung im Sinne des Art. 26 Abs. 2 DS-GVO enthalten, das auf diese Weise den betroffenen Personen zur Verfügung gestellt werden. § 2 Abs. 5 gilt entsprechend.
(2) Die Parteien geben den Verantwortlichen A als Anlaufstelle für die betroffenen Personen an. Die Parteien sind sich dabei gleichwohl bewusst, dass die betroffenen Personen desungeachtet ihre Rechte bei und gegenüber jeder der Parteien geltend machen. Aus diesem Grunde hat der Verantwortliche B den Verantwortlichen A unverzüglich über jede Beschwerde, Mitteilung oder Anfrage zu unterrichten, die er direkt von einer betroffenen Person hinsichtlich dessen oder deren personenbezogener Daten erhält, ohne auf jene Anfrage zu antworten. Der Verantwortliche B wird dem Verantwortlichen A die notwendige Unterstützung im Hinblick auf jede Beschwerde, Mitteilung oder Anfrage einer betroffenen Person zuteilwerden lassen.
(3) Der Verantwortliche A wird der betroffenen Person bestätigen, ob sie betreffende personenbezogene Daten im Rahmen der Verarbeitungsvorgänge verarbeitet werden. Soweit dies der Fall ist, wird der Verantwortliche A der betroffenen Person die Informationen gemäß Art. 15 Abs. 1 DS-GVO sowie eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, gemäß Art. 15 Abs. 3 DS-GVO zur Verfügung stellen.
(4) Der Verantwortliche A wird mit der gebotenen Sorgfalt jede Anfrage einer betroffenen Person hinsichtlich (a) der Berichtigung ihrer vermeintlich unrichtigen personenbezogenen Daten, (b) der Löschung ihrer personenbezogenen Daten, (c) der Einschränkung der Verarbeitung ihrer personenbezogenen Daten oder (d) des Rechts dieser betroffenen Person auf Datenportabilität untersuchen. Nach Abschluss der Untersuchung wird der Verantwortliche A entscheiden ob die Anfrage begründet ist oder nicht, und welche der Parteien oder ob beide Parteien verpflichtet ist bzw. sind, die personenbezogenen Daten zu berichtigen oder zu löschen, oder ihre Verarbeitung einzuschränken, oder der betroffenen Person das Recht auf Datenportabilität zu gewähren. Der Verantwortliche A wird den Verantwortlichen B entsprechend informieren.
(5) Wenn eine Anfrage betreffend die Löschung personenbezogener Daten begründet ist, oder nach Kündigung oder Auslaufen des Hauptvertrags werden die Parteien die betreffenden oder sämtliche personenbezogenen Daten löschen. Wenn die Datenschutzgesetze, denen eine Partei unterliegt, es dieser Parteien verbieten, alle oder Teile der personenbezogenen Daten zu löschen, muss diese Partei garantieren, dass (a) die Vertraulichkeit dieser personenbezogenen Daten gewahrt bleibt, (b) sie die personenbezogenen Daten nicht mehr aktiv verarbeitet und (c) sie diese personenbezogenen Daten löschen wird, sobald die gesetzliche Verpflichtung, die Daten nicht zu löschen, nicht mehr besteht. Jede Partei wird ein Protokoll über die Löschung personenbezogener Daten aufsetzen, welcher der jeweils anderen Partei auf Anfrage bereitzustellen ist.
§ 5 Gemeinsame Zusicherungen der Parteien
(1) Die Parteien haben bevollmächtigte Vertreter und deren Stellvertreter als alleinige Ansprechpartner für sämtliche Kommunikation betreffend die Verarbeitungsvorgänge Ihren Datenschutzbestimmungen bestimmt. Die Parteien werden einander sofort schriftlich über jeden Wechsel in der Person des bevollmächtigten Vertreters oder dessen Stellvertreter unterrichten und einen Ersatz benennen. Bis eine solche Mitteilung die jeweils andere Partei erreicht hat, bleiben die benannten Personen berechtigt, Nachrichten der jeweils anderen Partei entgegenzunehmen und an diese gerichtete Nachrichten gelten als ordnungsgemäß übermittelt.
(2) Jegliche Kommunikation zwischen den Parteien erfolgt grundsätzlich schriftlich oder zumindest in Textform durch die hierzu nach der vorliegenden GVV berechtigten Personen. Mündliche Mitteilungen werden unverzüglich schriftlich oder in Textform bestätigt.
(3) Mitarbeiter beider Parteien: (a) die Zugang zu personenbezogenen Daten haben, haben sich einer Verpflichtung zur Vertraulichkeit unterworfen oder unterliegen einer gesetzlichen Geheimhaltungspflicht; (b) dürfen personenbezogene Daten nur nach Weisung der anstellenden Partei verarbeiten, wenn nicht eine anderweitige gesetzliche Verpflichtung zur Verarbeitung besteht; und (c) werden regelmäßig, zumindest aber einmal im Jahr, im Hinblick auf die Verpflichtungen der Parteien unter der vorliegenden GVV, den Datenschutzgesetzen und insbesondere der DS-GVO geschult.
(4) Auf Anfrage werden die Parteien einander im Falle von Ermittlungen oder Anfragen einer Aufsichtsbehörde unterstützen, wenn und soweit sich diese Ermittlung oder Anfrage auf die Verarbeitungsvorgänge bezieht. Die Parteien unternehmen die erforderlichen Schritte, um jegliche Verpflichtungen im Zusammenhang mit einer solchen Ermittlung oder Anfrage einzuhalten. Unabhängig von einer Unterstützungsanfrage werden die Parteien einander in jedem Falle über jegliche derartige Ermittlung oder Anfrage einer Aufsichtsbehörde unterrichten.
(5) Die Parteien werden einander unverzüglich, in keinem Fall später als 24 Stunden, nachdem sie eine Verletzung des Schutzes personenbezogener Daten festgestellt haben, hierüber unterrichten. Diese Mitteilung muss die Informationen gemäß Art. 33 Abs. 3 DS-GVO oder, wenn die mitteilende Partei nicht in der Lage ist, diese Informationen innerhalb der 24-Stunden-Frist zur Verfügung zu stellen, zumindest eine Erklärung enthalten zu (a) den Gründen für dieses Unvermögen, (b) dem zu erwartenden zusätzlichen Zeitraum bis zur Vervollständigung der Informationen und (c) soweit vorhanden, dem Einfluss dieses Unvermögens auf die ergriffenen Maßnahmen zur Abmilderung der nachteiligen Auswirkungen dieser Verletzung des Schutzes personenbezogener Daten. Sollte eine Partei wegen eines Risikos für die Rechte und Freiheiten natürlicher Personen gesetzlich dazu verpflichtet sein, Informationen bereitzustellen (insbesondere, aber nicht ausschließlich nach Art. 33, 34 DS-GVO), hat die jeweils andere Partei die verpflichtete Partei nach besten Kräften bei der Erfüllung ihrer Informationspflichten zu unterstützen. Soweit möglich, soll jede Kommunikation mit der zuständigen Aufsichtsbehörde und/oder den betroffenen Personen im Zusammenhang mit einer Verletzung des Schutzes personenbezogener Daten vor ihrer Absendung zwischen den Parteien abgestimmt werden.
(6) In Anbetracht der Art der Verarbeitungsvorgänge und unter Berücksichtigung der Bestimmungen des Art. 35 DS-GVO stimmen die Parteien darin überein, dass eine Datenschutz-Folgenabschätzung nicht erforderlich ist. Unbeschadet dessen werden die Parteien miteinander kooperieren und sich im Rahmen einer dann notwendigen Datenschutz-Folgenabschätzung und/oder einer vorherigen Konsultation der Aufsichtsbehörde, zu der die Parteien nach Art. 36 DS-GVO im Hinblick auf eine solche Datenschutz-Folgenabschätzung gesetzlich verpflichtet sind, unterstützen, wenn künftige Änderungen der Verarbeitungsvorgänge aufzeigen, dass die Verarbeitungsvorgänge voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.
§ 6 Technische und organisatorische Maßnahmen
(1) Vor Beginn der Verarbeitung haben die Parteien die in den TOMS genannten technischen und organisatorischen Maßnahmen umzusetzen und diese während der Laufzeit der vorliegenden GVV aufrechtzuerhalten. Hierbei handelt es sich (a) um Maßnahmen zur Sicherstellung der Einhaltung der Rechte der betroffenen Personen und (b) um technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau im Hinblick auf die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme zu gewährleisten. Dabei müssen der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen berücksichtigt werden.
(2) Weil die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und technologischen Fortentwicklungen unterliegen, ist es den Parteien erlaubt, alternative und angemessene Maßnahmen umzusetzen, wenn hierdurch der Sicherheitsstandard der in den TOMs spezifizierten Maßnahmen nicht unterschritten wird.
(3) Unbeschadet dessen ist eine Partei zur Umsetzung weiterer Maßnahmen verpflichtet, wenn sich herausstellt, dass (a) die in den TOMs spezifizierten Maßnahmen angesichts des technischen Fortschritts und technologischer Fortentwicklungen nicht länger angemessen im Sinne des obigen Absatzes 1 sind und/oder (b) ein Audit oder eine Untersuchung durch eine Aufsichtsbehörde ergeben hat, dass die Maßnahmen in in den TOMs unzureichend sind.
(4) Jede der Parteien wird jegliche Änderungen im vorstehenden Sinne dokumentieren und der jeweils anderen Partei eine Kopie der solcherart ergänzten oder aktualisierten technischen und organisatorischen Maßnahmen zur Verfügung stellen.
§ 7 Weitere Verantwortliche; Einschaltung von Auftragsverarbeitern für die hier in gemeinsamer Verantwortlichkeit stehender Daten
(1) Die Parteien erkennen an, dass keinen weiteren Verantwortlichen durch Beitritt zu dieser GVV Zugriff auf die bis zu diesem Zeitpunkt als Teil der Verarbeitungsvorgänge verarbeiteten personenbezogenen Daten gewährt werden darf. Die Parteien sind weiter darüber einig, dass, sofern sie einen weiteren Verantwortlichen in künftige Verarbeitungsvorgänge einbeziehen wollten, dies (a) eine Ergänzungsvereinbarung sowohl zum Hauptvertrag als auch zu dieser GVV, (b) eine sorgfältige Durchführung des in § 2 Abs. 5 niedergelegten Prozesses und (c) eine aktualisierte Information an die betroffenen Personen im Sinne des § 4 Abs. 1 erforderlich machen würde.
(2) Setzt eine Partei einen Auftragsverarbeiter ein, muss sie diesem Verpflichtungen zu Datenschutz, Vertraulichkeit und Datensicherheit auferlegen, die (a) den Anforderungen der Art. 28, 20 DS-GVO genügen und (b) zumindest so streng ausfallen wie die in dieser GVV niedergelegten. § 3 Abs. 2 und 3 gelten entsprechend.
(3) Eine Partei muss der jeweils anderen Partei schriftlich mitteilen, wenn sie beabsichtigt einen neuen Auftragsverarbeiter einzusetzen. Wenn die informierte Partei der einsetzenden Partei innerhalb von 30 Tagen ab Erhalt dieser Mitteilung schriftlich in nachvollziehbarer Weise ihre Ablehnung des vorgeschlagenen Einsatzes mitteilt, werden die Parteien nach Treu und Glauben eine beidseits akzeptable Alternativlösung aushandeln.
(4) Erfüllt ein Auftragsverarbeiter seine Verpflichtungen im Hinblick auf die Verarbeitungsvorgänge nicht, so hat die einsetzende Partei gegenüber der jeweils anderen Partei vollumfänglich für die Einhaltung der Verpflichtungen des Auftragsverarbeiters einzustehen.
(5) Die Parteien sind darüber einig, dass die Erbringer von Hilfsleistungen keine Auftragsverarbeiter im Sinne der Datenschutzgesetze sind; dies betrifft insbesondere Transportdienstleistungen von Post- oder Kurierdiensten, Geldtransportleistungen, Telekommunikationsleistungen, Sicherheitsdienste und Reinigungsleistungen. Unbeschadet dessen werden die Parteien mit solchen Dienstleistern übliche Vertraulichkeitsvereinbarungen abschließen.
§ 8 Auditrechte
(1) Jede Partei hat das Recht, die Einhaltung dieser GVV aufseiten der jeweils anderen Partei zu überprüfen, wenn dies erforderlich ist, um (a) einer Verpflichtung gegenüber einer Aufsichtsbehörde ordnungsgemäß nachzukommen oder (b) sich selbst davon zu überzeugen, dass die jeweils andere Partei nach einem Datenschutzvorfall ihre Abläufe an die Bestimmungen dieser GVV angepasst hat.
(2) Wenn und soweit eine solche Überprüfung Vor-Ort-Inspektionen erfordert, sollen diese gewöhnlich während der üblichen Geschäftszeiten und ohne unnötige Störungen des Betriebsablaufs stattfinden. Die Partei, die eine Überprüfung durchführt, wird die jeweils andere Partei mit einer angemessenen Frist im Vorwege über alle mit der Überprüfung verbundenen Umstände unterrichten.
(3) Eine Partei darf einen Dritten mit der Durchführung der Überprüfung beauftragen. In einem solchen Fall ist der Dritte schriftlich auf die strikte Wahrung von Geheimhaltung und Vertraulichkeit zu verpflichten, wenn nicht der Dritte einer beruflichen Verschwiegenheitspflicht unterliegt.
§ 9 Haftung
(1) Die Parteien erkennen an, dass sie beide hinsichtlich der Verarbeitungsvorgänge gegenüber betroffenen Personen nach Art. 82 Abs. 2–4 haftbar sind.
(2) Hat eine Partei gemäß Art. 82 Abs. 4 DS-GVO einer betroffenen Person vollständigen Schadenersatz für den erlittenen Schaden gezahlt, so ist diese Partei berechtigt, von der jeweils anderen Partei den Teil des Schadenersatzes zurückzufordern, der dem Anteil dieser anderen Partei an der Verantwortung für den Schaden entspricht.
(3) Abs. 2 findet entsprechende Anwendung für den Fall, dass eine Aufsichtsbehörde ein Bußgeld gegen eine Partei verhängt hat, wenn und soweit der Verstoß, der Anlass für das Bußgeld gegeben hat, ganz oder teilweise auf einen Verstoß der jeweils anderen Partei gegen die vorliegende GVV oder die anwendbaren Datenschutzgesetze beruht. Unbeschadet dessen kann eine Partei nur dann Entschädigung für ein Bußgeld verlangen, wenn sie alle angemessenen Anstrengungen unternommen hat, dieses Bußgeld im Rahmen der verwaltungsrechtlichen Verfahren abzuwehren oder zu reduzieren.
§ 10 Sonstige Bestimmungen
(1) Die vorliegende GVV unterliegt demselben Recht wie der Hauptvertrag, und für alle Streitigkeiten aus und im Zusammenhang mit dieser GVV sind ausschließlich diejenigen Gerichte zuständig, auf welche sich die Parteien im Hauptvertrag verständigt haben.
(2) Änderungen oder Ergänzungen der vorliegenden GVV sind nur wirksam, wenn sie schriftlich abgefasst wurden.
(3) Wenn eine Bestimmung dieser GVV von dem zuständigen Gericht für unwirksam oder nicht durchsetzbar erklärt wird, bleiben die übrigen Bestimmungen uneingeschränkt wirksam.
(4) Diese GVV tritt mit Unterschrift des Hauptvertrages der Parteien in Kraft. Sie gilt, ungeachtet des Endes der Vertragslaufzeit des Hauptvertrags solange, bis, und tritt automatisch außer Kraft, wenn sämtliche personenbezogenen Daten von den Parteien und/oder sämtliche einsetzten Auftragsverarbeitern gelöscht worden sind.