Processor Agreement

Diese Auftragsverarbeitungsvereinbarung gilt für alle Formen der Verarbeitung personenbezogener Daten, die XITENS , eingetragen bei der Handelskammer unter der Nummer 61228893, (im Folgenden: Verantwortlicher) von einer zu diesem Zweck beauftragten Partei (im Folgenden: Auftragsverarbeiter) auf der Grundlage der zwischen den Parteien geschlossenen Vereinbarung (im Folgenden: Allgemeine Geschäftsbedingungen) durchführen lässt.

Artikel 1. Zwecke der Verarbeitung

  1. 1.1. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten im Auftrag des Verantwortlichen gemäß den Bedingungen dieser Verarbeitungsvereinbarung zu verarbeiten. Die Verarbeitung erfolgt nur im Rahmen der Bearbeitung von Bestellungen und Zahlungen für Produkte oder Dienstleistungen des Verantwortlichen, der Verwaltung der Buchhaltung und Finanzverwaltung des Verantwortlichen, der Verwaltung der Personalverwaltung des Verantwortlichen, der Aufrechterhaltung des telefonischen Kontakts mit Kunden des Verantwortlichen zum Zwecke der Bearbeitung von Beschwerden und der Erbringung von Dienstleistungen, des Versands von Newslettern im Auftrag des Verantwortlichen, der Verwaltung der Kundenverwaltung des Verantwortlichen sowie zu den Zwecken, die damit in angemessenem Zusammenhang stehen oder die mit weiterer Zustimmung bestimmt werden.
  2. 1.2. Die vom Auftragsverarbeiter im Rahmen der im vorigen Absatz genannten Tätigkeiten verarbeiteten personenbezogenen Daten und die Kategorien betroffener Personen, von denen sie stammen, sind in Anhang 1 aufgeführt. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur zu den vom Verantwortlichen festgelegten Zwecken. Der Verantwortliche informiert den Auftragsverarbeiter über die Verarbeitungszwecke, sofern diese nicht bereits in dieser Auftragsverarbeitervereinbarung aufgeführt sind. Der Auftragsverarbeiter kann die personenbezogenen Daten jedoch für Qualitätszwecke verwenden, beispielsweise zur Befragung betroffener Personen oder zur Durchführung wissenschaftlicher oder statistischer Untersuchungen zur Qualität seiner Dienstleistungen.
  3. 1.3. Die im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten bleiben Eigentum des Verantwortlichen und/oder der betroffenen Personen.

Artikel 2. Pflichten des Auftragsverarbeiters

  1. 2.1. In Bezug auf die in Artikel 1 genannte Verarbeitung stellt der Verarbeiter die Einhaltung der geltenden Gesetze und Vorschriften sicher, einschließlich in jedem Fall der Gesetze und Vorschriften im Bereich des Schutzes personenbezogener Daten, wie etwa der Datenschutz-Grundverordnung.
  2. 2.2. Der Auftragsverarbeiter informiert den Verantwortlichen auf erste Anfrage über die von ihm im Hinblick auf seine Verpflichtungen aus diesem Auftragsverarbeitervertrag ergriffenen Maßnahmen.
  3. 2.3. Die Verpflichtungen des Auftragsverarbeiters aus diesem Auftragsverarbeitervertrag gelten auch für diejenigen, die unter der Aufsicht des Auftragsverarbeiters personenbezogene Daten verarbeiten, darunter insbesondere Mitarbeiter im weitesten Sinne des Wortes.
  4. 2.4. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, wenn seiner Ansicht nach eine Anweisung des Verantwortlichen im Widerspruch zu den in Absatz 1 genannten Rechtsvorschriften steht.
  5. 2.5. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Befugnisse bei der Durchführung von Datenschutz-Folgenabschätzungen.
  6. 2.6. Der Auftragsverarbeiter führt gemäß Artikel 30 DSGVO ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die er im Auftrag des Verantwortlichen im Rahmen dieser Auftragsverarbeitungsvereinbarung durchführt. Auf Anfrage gewährt der Auftragsverarbeiter dem Verantwortlichen Zugriff auf dieses Register.

Artikel 3. Übermittlung personenbezogener Daten

  1. 3.1. Der Auftragsverarbeiter kann die personenbezogenen Daten in Ländern innerhalb der Europäischen Union verarbeiten. Eine Übermittlung in Länder außerhalb der Europäischen Union ist untersagt.

Artikel 4. Aufteilung der Verantwortung

  1. 4.1. Die zulässige Verarbeitung wird von Mitarbeitern des Verarbeiters in einer automatisierten Umgebung durchgeführt.
  2. 4.2. Der Auftragsverarbeiter ist ausschließlich für die Verarbeitung der personenbezogenen Daten im Rahmen dieser Auftragsverarbeitungsvereinbarung verantwortlich, gemäß den Anweisungen des Verantwortlichen und unter der ausdrücklichen (endgültigen) Verantwortung des Verantwortlichen. Der Auftragsverarbeiter ist ausdrücklich nicht für andere Verarbeitungen personenbezogener Daten verantwortlich, einschließlich, aber nicht beschränkt auf die Erhebung personenbezogener Daten durch den Verantwortlichen, die Verarbeitung für Zwecke, die dem Auftragsverarbeiter vom Verantwortlichen nicht mitgeteilt wurden, die Verarbeitung durch Dritte und/oder für andere Zwecke.
  3. 4.3. Der Verantwortliche garantiert, dass Inhalt, Verwendung und Reihenfolge der Verarbeitung der personenbezogenen Daten im Rahmen dieser Verarbeitungsvereinbarung nicht rechtswidrig sind und keine Rechte Dritter verletzen.

Artikel 5. Einschaltung Dritter oder Subunternehmer

  1. 5.1. Der Auftragsverarbeiter darf im Rahmen dieser Verarbeitungsvereinbarung keinen Dritten ohne die vorherige schriftliche Zustimmung des Verantwortlichen einsetzen, wobei diese Zustimmung an weitere Bedingungen geknüpft sein kann.
  2. 5.2. Der Auftragsverarbeiter stellt in jedem Fall sicher, dass diese Dritten mindestens dieselben Verpflichtungen schriftlich übernehmen, die zwischen dem Verantwortlichen und dem Auftragsverarbeiter vereinbart wurden. Der Verantwortliche hat das Recht, alle diesbezüglichen Vereinbarungen einzusehen.
  3. 5.3. Der Auftragsverarbeiter ist für die korrekte Einhaltung der Verpflichtungen aus diesem Auftragsverarbeitervertrag durch diese Dritten verantwortlich und haftet im Falle von Fehlern dieser Dritten selbst für sämtliche Schäden, als hätte er den/die Fehler selbst begangen.

Artikel 6. Sicherheit

  1. 6.1. Der Auftragsverarbeiter ist bestrebt, ausreichende technische und organisatorische Maßnahmen im Hinblick auf die Verarbeitung personenbezogener Daten zu ergreifen, um diese vor Verlust oder jeglicher Form der unrechtmäßigen Verarbeitung (wie etwa unbefugtem Zugriff, Beschädigung, Änderung oder Bereitstellung der personenbezogenen Daten) zu schützen.
  2. 6.2. Der Auftragsverarbeiter garantiert nicht, dass die Sicherheit unter allen Umständen wirksam ist. Wenn in der Auftragsverarbeitervereinbarung eine ausdrücklich beschriebene Sicherheit fehlt, wird der Auftragsverarbeiter sich bemühen, sicherzustellen, dass die Sicherheit ein Niveau erreicht, das angesichts des Stands der Technik, der Sensibilität der personenbezogenen Daten und der mit der Implementierung der Sicherheit verbundenen Kosten nicht unangemessen ist.
  3. 6.3. Der Verantwortliche stellt dem Auftragsverarbeiter personenbezogene Daten nur dann zur Verarbeitung zur Verfügung, wenn er sichergestellt hat, dass die erforderlichen Sicherheitsmaßnahmen getroffen wurden. Der Verantwortliche ist für die Einhaltung der von den Parteien vereinbarten Maßnahmen verantwortlich.

Artikel 7. Meldepflicht

  1. 7.1. Der Verantwortliche ist jederzeit dafür verantwortlich, eine Sicherheitsverletzung und/oder ein Datenleck (d. h. eine Verletzung der Sicherheit personenbezogener Daten, die möglicherweise nachteilige Folgen für den Schutz personenbezogener Daten hat oder mit sich bringt) der Aufsichtsbehörde und/oder den betroffenen Personen zu melden. Damit der Verantwortliche dieser gesetzlichen Verpflichtung nachkommen kann, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich über die Sicherheitsverletzung und/oder das Datenleck.
  2. 7.2 Eine Meldung ist grundsätzlich notwendig, allerdings nur, wenn das Ereignis tatsächlich eingetreten ist.
  3. 7.3. Die Meldepflicht umfasst in jedem Fall die Meldung der Tatsache, dass eine Verletzung aufgetreten ist. Darüber hinaus umfasst die Meldepflicht: die Art der Verletzung des Schutzes personenbezogener Daten, wobei, wenn möglich, die Kategorien und die ungefähre Zahl der betroffenen Personen und der betroffenen personenbezogenen Datensätze anzugeben sind; den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen erhältlich sind; die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; die vom Auftragsverarbeiter vorgeschlagenen oder ergriffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich, falls angemessen, Maßnahmen zur Milderung ihrer möglichen nachteiligen Auswirkungen.
  4. 7.4. Der Auftragsverarbeiter dokumentiert gemäß Artikel 33 Absatz 5 DSGVO alle Datenschutzverletzungen, einschließlich der Fakten im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten, ihrer Folgen und der ergriffenen Korrekturmaßnahmen. Auf Anfrage gewährt der Auftragsverarbeiter dem Verantwortlichen Zugriff auf diese Informationen.

Artikel 8. Bearbeitung von Anfragen betroffener Personen

  1. 8.1. Falls eine betroffene Person einen Antrag auf Ausübung ihrer gesetzlichen Rechte (Artikel 15-22 DSGVO) an den Auftragsverarbeiter stellt, leitet der Auftragsverarbeiter den Antrag an den Verantwortlichen weiter, der den Antrag dann weiter bearbeitet. Der Auftragsverarbeiter kann die betroffene Person hierüber informieren.

Artikel 9. Vertraulichkeit und Geheimhaltung

  1. 9.1. Alle personenbezogenen Daten, die der Auftragsverarbeiter vom Verantwortlichen erhält und/oder im Rahmen dieser Auftragsverarbeitervereinbarung selbst erhebt, unterliegen der Geheimhaltungspflicht gegenüber Dritten. Der Auftragsverarbeiter wird diese Informationen nicht für andere Zwecke verwenden als für die, für die er sie erhalten hat, auch wenn sie in einer Form vorliegen, die nicht auf betroffene Personen zurückgeführt werden kann.
  2. 9.2. Diese Geheimhaltungspflicht gilt nicht, sofern der Verantwortliche ausdrücklich die Erlaubnis zur Weitergabe der Informationen an Dritte erteilt hat, die Weitergabe der Informationen an Dritte angesichts der Art des erteilten Auftrags und der Durchführung dieses Verarbeitungsvertrags logisch erforderlich ist oder eine gesetzliche Verpflichtung zur Weitergabe der Informationen an Dritte besteht.

Artikel 10. Prüfung

  1. 10.1. Der Verantwortliche hat das Recht, die Einhaltung der Sicherheitsanforderungen und aller damit in direktem Zusammenhang stehenden Aspekte durch einen unabhängigen, zur Vertraulichkeit verpflichteten Dritten überprüfen zu lassen.
  2. 10.2. Diese Überprüfung kann bei konkreten Verdachtsmomenten auf Missbrauch personenbezogener Daten erfolgen.
  3. 10.3. Der Auftragsverarbeiter kooperiert bei der Prüfung und stellt alle für die Prüfung erforderlichen Informationen, einschließlich unterstützender Daten wie Systemprotokolle und Mitarbeiter, so schnell wie möglich zur Verfügung.
  4. 10.4. Die aus der durchgeführten Prüfung resultierenden Erkenntnisse werden vom Auftragsverarbeiter schnellstmöglich umgesetzt.
  5. 10.5. Die Kosten der Prüfung trägt der Verantwortliche.

Artikel 11. Haftungs- und Strafbestimmungen

  1. 11.1. Die Haftung des Verarbeiters für Schäden, die aus einer zurechenbaren Nichterfüllung des Verarbeitervertrags, einer rechtswidrigen Handlung oder anderweitig resultieren, ist ausgeschlossen. Soweit die vorgenannte Haftung nicht ausgeschlossen werden kann, ist sie pro Ereignis (eine Reihe aufeinanderfolgender Ereignisse gilt als ein Ereignis) auf die Entschädigung für direkte Schäden beschränkt, maximal jedoch auf den Betrag der Entschädigung, die der Verarbeiter für die Arbeiten im Rahmen dieses Verarbeitervertrags im Monat vor dem schadensverursachenden Ereignis erhalten hat. Die Haftung des Verarbeiters für direkte Schäden übersteigt insgesamt nie 100.000,00 €.
  2. 11.2. Unter direktem Schaden ist ausschließlich jeder Schaden zu verstehen, der aus Folgendem besteht: Schäden, die direkt an materiellem Eigentum entstehen („Sachschaden“); angemessene und nachweisbare Kosten, um den Auftragsverarbeiter dazu zu bewegen, den Auftragsverarbeitervertrag ordnungsgemäß (erneut) zu erfüllen; angemessene Kosten, um die Ursache und das Ausmaß des Schadens festzustellen, sofern es sich um einen direkten Schaden im Sinne dieses Artikels handelt; und angemessene und nachweisbare Kosten, die dem Verantwortlichen entstehen, um einen direkten Schaden im Sinne dieses Artikels zu verhindern oder zu begrenzen.
  3. 11.3. Die Haftung des Auftragsverarbeiters für indirekte Schäden ist ausgeschlossen. Unter indirekten Schäden sind alle Schäden zu verstehen, die keine direkten Schäden sind, und daher in jedem Fall, jedoch nicht beschränkt auf, Folgeschäden, entgangenen Gewinn, entgangene Einsparungen, verminderten Geschäftswert, Schäden aufgrund von Geschäftsstagnation, Schäden aufgrund der Nichtbestimmung von Marketingzielen, Schäden im Zusammenhang mit der Verwendung von Daten oder Datendateien, die vom Verantwortlichen vorgeschrieben sind, oder Verlust, Beschädigung oder Zerstörung von Daten oder Datendateien.
  4. 11.4. Die in diesem Artikel genannten Ausschlüsse und Beschränkungen erlöschen, wenn und soweit der Schaden auf Vorsatz oder bewusste Fahrlässigkeit des Verarbeiters oder seiner Geschäftsleitung zurückzuführen ist.
  5. 11.5. Sofern die Erfüllung durch den Auftragsverarbeiter nicht dauerhaft unmöglich ist, haftet der Auftragsverarbeiter nur dann für zurechenbare Nichterfüllung des Vertrags, wenn der Auftraggeber den Auftragsverarbeiter unverzüglich schriftlich über den Verzug informiert, ihm eine angemessene Frist zur Behebung des Verzugs setzt und der Auftragsverarbeiter seinen Verpflichtungen auch nach Ablauf dieser Frist nicht nachkommt. Die Inverzugsetzung muss eine möglichst vollständige und detaillierte Beschreibung des Verzugs enthalten, damit dem Auftragsverarbeiter die Möglichkeit gegeben wird, angemessen zu reagieren.
  6. 11.6. Jeder Schadensersatzanspruch des Verantwortlichen gegenüber dem Auftragsverarbeiter, der nicht speziell und ausdrücklich gemeldet wurde, verfällt nach Ablauf von zwölf (12) Monaten nach Entstehung des Anspruchs.
  7. 11.7. Der Auftragsverarbeiter muss für die Dauer der Auftragsverarbeitervereinbarung eine ausreichende Haftpflichtversicherung gemäß diesem Artikel abschließen und aufrechterhalten. Die Versicherungsbedingungen zu diesem Zweck können auf Anfrage eingesehen werden.
  8. 11.8. Im Falle eines Verstoßes gegen die Verarbeitungsvereinbarung verpflichtet sich der Verarbeiter gegenüber dem Verantwortlichen, eine sofort fällige Geldstrafe in Höhe von 100.000,00 € pro Verstoß und 10.000,00 € pro Tag, an dem der Verstoß andauert, zu zahlen.

Artikel 12. Dauer und Kündigung

  1. 12.1. Dieser Verarbeitungsvertrag kommt mit der Unterzeichnung der Parteien und mit dem Datum der letzten Unterschrift zustande.
  2. 12.2. Dieser Auftragsverarbeitervertrag wird für die in den Allgemeinen Geschäftsbedingungen zwischen den Parteien festgelegte Dauer geschlossen und, sofern keine solchen Bedingungen bestehen, in jedem Fall für die Dauer der Zusammenarbeit.
  3. 12.3. Sobald die Auftragsverarbeitervereinbarung aus irgendeinem Grund und auf irgendeine Weise gekündigt wird, muss der Auftragsverarbeiter – nach Wahl des Verantwortlichen – alle in seinem Besitz befindlichen personenbezogenen Daten im Original oder in Kopie an den Verantwortlichen zurückgeben und/oder diese ursprünglichen personenbezogenen Daten und alle Kopien davon löschen und/oder vernichten.
  4. 12.4. Der Verantwortliche ist berechtigt, diese Auftragsverarbeitungsvereinbarung von Zeit zu Zeit zu überarbeiten. Er wird den Auftragsverarbeiter mindestens drei Monate im Voraus über die Änderungen informieren. Der Auftragsverarbeiter kann nach Ablauf dieser drei Monate kündigen, wenn er den Änderungen nicht zustimmen kann.

Artikel 13. Geltendes Recht und Streitbeilegung

  1. 13.1. Der Verarbeitungsvertrag und seine Umsetzung unterliegen niederländischem Recht.
  2. 13.1. Der Auftragsverarbeitungsvertrag und seine Umsetzung unterliegen niederländischem Recht. 13.2. Alle Streitigkeiten, die zwischen den Parteien im Zusammenhang mit dem Auftragsverarbeitungsvertrag entstehen können, werden dem zuständigen Gericht für den Bezirk vorgelegt, in dem der Verantwortliche seinen Sitz hat.

Anhang 1: Spezifikation der personenbezogenen Daten und der betroffenen Personen

  1. Personenbezogene Daten Der Auftragsverarbeiter verarbeitet im Rahmen von Artikel 1.1 der Auftragsverarbeitervereinbarung die folgenden (besonderen) personenbezogenen Daten im Auftrag des Verantwortlichen:
  • Telefonnummer
  • E-Mail-Adresse
  • IP-Adresse
  • Besuchsverhalten
  • Name und Adressdaten
  • Social Media-Konten
  • Finanzdaten

Von den beteiligten Personenkategorien:

  • Kunden
  • Personal
  • Lieferanten
  • Kontoinhaber
  • Website-Besucher
  • Patienten
  • Potenzielle Kunden
  • Mitglieder
  • Mieter

Der Verantwortliche gewährleistet die Vollständigkeit und Richtigkeit der in diesem Anhang 1 beschriebenen personenbezogenen Daten und Kategorien betroffener Personen und stellt den Auftragsverarbeiter von allen Mängeln und Ansprüchen frei, die sich aus einer falschen Angabe des Verantwortlichen ergeben.

Copyright © 2024 Xitens – Alle Rechte vorbehalten. Alle Preise verstehen sich zzgl. 21% MwSt., sofern nicht anders angegeben.