Auftragsverarbeitungsvertrag
1. ZWECK UND BESCHREIBUNG DER VERARBEITUNG
1.1 Der Auftragsverarbeitungsvertrag dient der Regelung der vom Auftragsverarbeiter im Namen des Verantwortlichen vorgenommenen Verarbeitung von personenbezogenen Daten.
1.2 Der Vertrag unterliegt der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) sowie dem Datenschutzgesetz.
1.3 Der Auftragsverarbeiter verarbeitet für den Verantwortlichen oder Kunden des Verantwortlichen personenbezogene Daten verschiedener Art.
1.4 Zweck der Auftragsverarbeitung ist die Ausführung von Online Marketingaufgaben im Auftrag des Verantwortlichen.
1.5 Der Verantwortliche legt selbst fest, welche Daten der Auftragsverarbeiter erhält, und ist für die Übermittlung dieser Daten selbst verantwortlich, weshalb River Online GmbH ein Auftragsverarbeiter im Sinne des Datenschutzgesetzes ist. Der Verantwortliche ist für alle personenbezogenen Daten verantwortlich, zu deren Verarbeitung er den Auftragsverarbeiter angewiesen hat. Der Verantwortliche trägt dafür die Verantwortung, dass alle personenbezogenen Daten, die der Auftragsverarbeiter auf seine Weisung verarbeitet, von diesem verarbeitet werden dürfen und die Verarbeitung für die Erfüllung der Aufgabe des Verantwortlichen notwendig ist und in einem angemessenen Verhältnis zu ihr steht.
1.6 Die Daten werden für die Dauer des Vertrags und 6 Monate darüber hinaus gespeichert.
2. DIE PFLICHTEN DES AUFTRAGSVERARBEITERS
2.1 Der Auftragsverarbeiter darf nur die vom Verantwortlichen übermittelten personenbezogenen Daten dem in Punkt 1.4 angegebenen Zweck entsprechend verarbeiten. 1.4.
2.2 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nach bewährten Datenverarbeitungspraktiken gemäß den jeweils geltenden Vorschriften und Verordnungen.
2.3 Der Auftragsverarbeiter stellt sicher, dass der Zugang zu den personenbezogenen Daten auf die Beschäftigten beschränkt ist, die im Rahmen ihrer Tätigkeit auf die personenbezogenen Daten zugreifen müssen. Die Beschäftigten unterliegen einer Verschwiegenheitspflicht.
2.4 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Diese werden so durchgeführt, dass die Verarbeitung im Einklang mit den Anforderungen der einschlägigen Datenschutzgesetzgebung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
2.5 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, sobald ihm eine Verletzung des Schutzes personenbezogener Daten oder der Vertraulichkeit bekannt wird. Der Auftragsverarbeiter unterstützt den Verantwortlichen auf dessen Anfrage bei der Klärung der Verletzung des Schutzes personenbezogener Daten, wozu die Meldung an die Aufsichtsbehörde und/oder die Benachrichtigung der betroffenen Person zählen.
2.6 Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage ausreichende Informationen zur Verfügung, damit dieser die Einhaltung der Anforderungen gemäß der Datenschutz-Grundverordnung und des Datenschutzgesetzes überwachen kann
2.7 Der Verantwortliche oder ein von ihm beauftragter Dritter kann innerhalb einer angemessenen Frist Zugang zu Systemen des Auftragsverarbeiters erhalten, welche die vertragsgegenständliche Verarbeitung betreffen. Der Verantwortliche kann nur Zugriff auf jene Teile der Systeme verlangen, die Daten des Verantwortlichen enthalten, und der Zugang wird dem Verantwortlichen oder dem von ihm beauftragten Dritten nur bei persönlichem Erscheinen in den Geschäftsräumen des Auftragsverarbeiters und im Beisein von mindestens einem Beschäftigten des Auftragsverarbeiters gewährt. Die hiermit verbundenen Kosten trägt der Verantwortliche selbst.
3. INANSPRUCHNAHME EINES ODER MEHRERER SUBAUFTRAGNEHMER UND OFFENLEGUNG
3.1 Mit Abschluss des Vertrags über die Zusammenarbeit zwischen dem Verantwortlichen und dem Auftragsverarbeiter erklärt sich der Verantwortliche damit einverstanden, dass der Auftragsverarbeiter Subauftragnehmer in Anspruch nimmt.
3.2 Ein Subauftragnehmer wird nur angenommen, wenn er die Datenschutzverpflichtungen und vertraglichen Bedingungen erfüllt, die in diesem Vertrag festgeschrieben sind. Hierzu zählt, dass der Subauftragnehmer geeignete technische und organisatorische Maßnahmen trifft und diese so durchführt, dass die Verarbeitung im Einklang mit den Anforderungen der Datenschutz-Grundverordnung und des Datenschutzgesetzes erfolgt.
3.3 Überträgt der Auftragsverarbeiter die Verarbeitung von personenbezogenen Daten, für die der Verantwortliche verantwortlich ist, an Subauftragnehmer, muss der Auftragsverarbeiter mit dem Subauftragnehmer einen schriftlichen (Sub-)Auftragsverarbeitungsvertrag abschließen.
3.4 Der (Sub-)Auftragsverarbeitungsvertrag muss dem Subauftragnehmer dieselben Datenschutzverpflichtungen auferlegen, die dem Auftragsverarbeiter obliegen. Demnach muss der Subauftragnehmer garantieren, dass er in der Lage ist, ausreichendes Fachwissen, Zuverlässigkeit und Ressourcen zu liefern, um die geeigneten technischorganisatorischen Maßnahmen in einer Weise durchführen zu können, dass die Verarbeitung des Subauftragnehmers jederzeit die Anforderungen der Datenschutz-Grundverordnung erfüllt und der Schutz der Rechte der betroffenen Person gewährleistet ist.
3.5 Der Verantwortliche kann vom Auftragsverarbeiter jederzeit Nachweise zum Vorhandensein und den Inhalt von SubAuftragsverarbeitungsverträgen für die vom Auftragsverarbeiter für die Erfüllung seiner Verpflichtungen gegenüber dem Verantwortlichen in Anspruch genommenen Subauftragnehmer verlangen.
3.6 Sämtliche Kommunikation zwischen dem Verantwortlichen und dem Subauftragnehmer erfolgt über den Auftragsverarbeiter.
3.7 Erfüllt der Subauftragnehmer seine Pflichten nicht, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen weiter in vollem Umfang für die Erfüllung der Pflichten des Subauftragnehmers.
4. VERTRAULICHKEIT
4.1 Sämtliche im Zusammenhang mit diesem Vertrag abgegebenen oder erhaltenen Informationen sind vertraulich.
4.2 Vertrauliche Informationen sind streng vertraulich zu behandeln und dürfen nicht an Dritte weitergegeben oder offengelegt werden, sofern dies nicht zur Erfüllung des Vertrags geschieht oder durch die Datenschutz-Grundverordnung und/oder deutsche Gesetzgebung verlangt wird.
4.3 Nach dem Ende des Vertrags löscht der Auftragsverarbeiter sämtliche Informationen und Materialien, die er im Rahmen seiner Zusammenarbeit mit dem Verantwortlichen empfangen hat.
5. VERTRAGSVERLETZUNGEN
5.1 Bei einer wesentlichen Vertragsverletzung von Seiten des Auftragsverarbeiters oder des Verantwortlichen kann die jeweils andere Partei vom Vertrag zurücktreten. Der Rücktritt kann jedoch frühestens 20 Arbeitstage nach schriftlicher Geltendmachung der Vertragsverletzung durch die nicht vertragsverletzende Partei gegenüber der vertragsverletzenden Partei mit der Forderung nach Nachbesserung innerhalb einer Frist von nicht unter fünf Arbeitstagen geschehen.
5.2 Erfolgt eine Nachbesserung innerhalb der angegebenen Frist, wie in Punkt 5.1 angeführt, ist ein Rücktritt nicht möglich.
5.3 Der Auftragsverarbeiter ist nach den allgemeinen gesetzlichen Bestimmungen deutschen Rechts schadenersatzpflichtig, haftet jedoch nicht für indirekte Verluste und Folgeschäden, wenn kein Vorsatz oder grobe Fahrlässigkeit vorgelegen hat.
6. INKRAFTTRETEN UND BEENDIGUNG
6.1 Der Auftragsverarbeitungsvertrag tritt am 25. Mai 2018 in Kraft.
6.2 Der Auftragsverarbeiter ist durch den Auftragsverarbeitungsvertrag so lange verpflichtet, wie er im Namen des Verantwortlichen personenbezogene Daten verarbeitet.
6.3 Der Auftragsverarbeitungsvertrag erlischt automatisch bei Kündigung der Zusammenarbeit zwischen dem Verantwortlichen und dem Auftragsverarbeiter oder zu dem Zeitpunkt, an dem der Auftragsverarbeiter keine personenbezogenen Daten für den Verantwortlichen mehr verarbeitet.
7. ANZUWENDENDES RECHT UND GERICHTSSTAND
7.1 Der Auftragsverarbeitungsvertrag unterliegt deutschem Recht.
7.2 Forderungen und Streitigkeiten jeglicher Art, die aus dem Auftragsverarbeitungsvertrag herrühren oder in anderer Weise mit ihm verbunden sind, sind zu entscheiden vom Amtsgericht in Hamburg.
STANDORTE, EINSCHLIESSLICH ANGABE DES LANDES DER VERARBEITUNG
Neue Burg 2, 20457 Hamburg, DE
Königsallee 14, 40212 Düsseldorf, DE
Banegaardspladsen 4, 6000 Kolding, DK
Fredrikstadvej 1, 9200 Aalborg, DK
Helgavej 2, 5230 Odense, DK