Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag

Der vorliegende Auftragsverarbeitungsvertrag (Data Processing Agreement, "DPA") spiegelt die Vereinbarung der Parteien hinsichtlich der Bedingungen wider, die die Verarbeitung personenbezogener Daten im Rahmen des Vertrags regeln.

1. Begriffsbestimmungen

Für die Zwecke dieses DPA haben die folgenden Begriffe die nachstehend festgelegte Bedeutung:

1.1 "Personenbezogene Daten": Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. 1.2 "Verarbeitung": Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang im Zusammenhang mit personenbezogenen Daten wie das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, Veränderung, das Auslesen, die Verwendung, Offenlegung oder Löschung. 1.3 "Verantwortlicher": Die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. 1.4 "Auftragsverarbeiter": Die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 1.5 "Unterauftragsverarbeiter": Jeder Dritte, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten beauftragt wird. 1.6 "Betroffene Person": Die Person, auf die sich die personenbezogenen Daten beziehen.

2. Rollen und Verantwortlichkeiten

2.1 Pflichten des Verantwortlichen: Der Verantwortliche bestätigt, dass:

  • Er über eine Rechtsgrundlage für die Erhebung und Verarbeitung personenbezogener Daten gemäß den geltenden Datenschutzgesetzen verfügt.
  • Er ausreichende Hinweise bereitstellt und die Einwilligung der betroffenen Personen einholt, soweit erforderlich.
  • Er den Auftragsverarbeiter anweist, personenbezogene Daten nur insoweit zu verarbeiten, wie es zur Erfüllung des Vertrags erforderlich ist.

2.2 Pflichten des Auftragsverarbeiters: Der Auftragsverarbeiter wird:

  • Personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
  • Sicherstellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind.
  • Geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten gemäß Artikel 32 der DSGVO umsetzen.

3. Umfang der Verarbeitung

3.1 Zweck: Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich für die im Vertrag festgelegten Zwecke und gemäß den Weisungen des Verantwortlichen.

3.2 Art der Verarbeitung: Die Verarbeitungstätigkeiten können das Scrapen, Extrahieren, Strukturieren, Speichern und Übermitteln von Daten umfassen.

3.3 Kategorien betroffener Personen: Die Kategorien betroffener Personen können Nutzer der Website oder Dienste des Verantwortlichen, Mitarbeiter, Auftragnehmer und andere Endnutzer umfassen.

3.4 Arten personenbezogener Daten: Personenbezogene Daten können Namen, E-Mail-Adressen, IP-Adressen und alle anderen vom Verantwortlichen festgelegten Datenarten umfassen.

4. Sicherheitsmaßnahmen

4.1 Der Auftragsverarbeiter setzt geeignete technische und organisatorische Maßnahmen um und erhält diese aufrecht, um personenbezogene Daten vor unbefugtem Zugriff, Verlust, Veränderung oder Zerstörung zu schützen.

4.2 Sicherheitsmaßnahmen können unter anderem umfassen:

  • Verschlüsselung von Daten bei der Übertragung und im Ruhezustand.
  • Zugriffskontrollen und Authentifizierungsprotokolle.
  • Regelmäßige Sicherheitsaudits und Schwachstellenbewertungen.

4.3 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen ohne unangemessene Verzögerung über jede Verletzung des Schutzes personenbezogener Daten und stellt Einzelheiten der Verletzung sowie die ergriffenen Gegenmaßnahmen bereit.

5. Unterauftragsverarbeiter

5.1 Der Verantwortliche ermächtigt den Auftragsverarbeiter, bei Bedarf Unterauftragsverarbeiter zur Erbringung der Dienste hinzuzuziehen.

5.2 Der Auftragsverarbeiter wird:

  • Eine Sorgfaltsprüfung durchführen, um sicherzustellen, dass Unterauftragsverarbeiter gleichwertige Datenschutzstandards einhalten.
  • Mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung abschließen, die Verpflichtungen auferlegt, die denen in diesem DPA entsprechen.

5.3 Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage eine Liste der aktuellen Unterauftragsverarbeiter zur Verfügung.

6. Internationale Übermittlungen

6.1 Wenn der Auftragsverarbeiter personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums (EWR) oder einer Rechtsordnung mit ähnlichen Beschränkungen für Datenübermittlungen übermittelt, stellt er sicher, dass solche Übermittlungen den geltenden Datenschutzgesetzen entsprechen.

6.2 Mechanismen zur Einhaltung können umfassen:

  • Von der Europäischen Kommission genehmigte Standardvertragsklauseln.
  • Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules).
  • Zertifizierung im Rahmen von Mechanismen wie dem EU-U.S. Data Privacy Framework (sofern anwendbar).

7. Rechte der betroffenen Personen

7.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit möglich, bei der Beantwortung von Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen, einschließlich:

  • Recht auf Auskunft, Berichtigung und Löschung.
  • Recht auf Datenübertragbarkeit.
  • Recht auf Einschränkung der oder Widerspruch gegen die Verarbeitung.

7.2 Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich über solche Anfragen, die er direkt erhält.

8. Datenspeicherung und -löschung

8.1 Der Auftragsverarbeiter bewahrt personenbezogene Daten nur so lange auf, wie es zur Erfüllung des Vertrags erforderlich oder gesetzlich vorgeschrieben ist.

8.2 Nach Beendigung des Vertrags oder auf Verlangen des Verantwortlichen löscht oder gibt der Auftragsverarbeiter alle personenbezogenen Daten zurück, sofern die Aufbewahrung nicht gesetzlich vorgeschrieben ist.

9. Haftung

Die Haftung des Auftragsverarbeiters im Rahmen dieses DPA ist auf den im Vertrag festgelegten Umfang beschränkt, sofern dies nicht durch geltendes Recht untersagt ist.

10. Audits und Inspektionen

10.1 Der Verantwortliche kann angemessenen Zugang zu den Aufzeichnungen und Einrichtungen des Auftragsverarbeiters verlangen, um die Einhaltung dieses DPA zu überprüfen.

10.2 Der Auftragsverarbeiter wirkt bei Audits mit, die vom Verantwortlichen oder seinen bevollmächtigten Vertretern durchgeführt werden, sofern solche Audits den Geschäftsbetrieb nicht stören.

11. Änderungen dieses DPA

Wir können dieses DPA aktualisieren, um Änderungen gesetzlicher Anforderungen oder Geschäftspraktiken widerzuspiegeln. Jegliche Aktualisierungen werden mit der Benachrichtigung des Verantwortlichen wirksam.

12. Anwendbares Recht und Streitbeilegung

12.1 Dieses DPA unterliegt den Gesetzen Litauens.

12.2 Alle Streitigkeiten, die sich aus oder im Zusammenhang mit diesem DPA ergeben, werden ausschließlich vor den Gerichten Litauens beigelegt.