Vereinbarung zur Auftragsdatenverarbeitung nach DSGVO
Allgemeine Pflichten Apocalypsa
- Apocalypsa verpflichtet sich, seine Betriebsabläufe so zu organisieren, dass die von ihm im Auftrag verarbeiteten Daten im erforderlichen Umfang gesichert und vor der unbefugten Erlangung oder Kenntnisnahme Dritter gesichert sind. Sicherheitserhebliche Änderungen der Betriebsabläufe wird Hedonistic Bitches vorab mit der Auftraggeberin abstimmen.
- Apocalypsa verpflichtet sich, die Daten ausschließlich im Rahmen dieses Vertrags und/oder des Hauptvertrages und/oder zur Umsetzung der Weisungen der Auftraggeberin zu erheben/zu verarbeiten/zu nutzen. Eine darüber hinausgehende Erhebung, Verarbeitung oder Nutzung ist Apocalypsa untersagt.
- Apocalypsa stellt sicher, dass die im Einzelfall mit der Datenverarbeitung befassten Personen mit den Schutzbestimmungen der Datenschutzgesetze und -verordnungen (insb. das Datengeheimnis) vertraut gemacht wurden. Die befassten Personen sind außerdem zur Einhaltung besonderer Verschwiegenheitspflichten im Sinne des § 203 StGB zu verpflichten.
- Soweit gesetzlich vorgeschrieben, bestätigt Apocalypsa, dass ein/e betriebliche/r Datenschutzbeauftragte/r bestellt wurde und sichert der Auftraggeberin zu, diese/n unter Angabe seiner/ihrer Kontaktdaten zu benennen (z.B. per E- Mail). Im Falle der Bestellung einer/s neuen Datenschutzbeauftragten sind der Auftraggeberin dessen/deren Kontaktdaten unverzüglich mitzuteilen. Besteht keine Pflicht zur Bestellung einer Datenschutzbeauftragen, ist dies von Apocalypsa nachzuweisen; in diesem Fall muss sie jedoch ggf. nachweisen, dass betriebliche Regelungen bestehen, die vertragsgemäße Verarbeitung der Daten gewährleisten.
- Apocalypsa wird die Auftraggeberin unverzüglich informieren, wenn Betroffene ihre Betroffenenrechte ihm gegenüber geltend machen und die Betroffenen an die Auftraggeberin verweisen. Darüber hinaus hat Apocalypsa die Auftraggeberin unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch die die vertragsgegenständlichen Daten gefährdet werden könnten.
- Die Auftraggeberin wird allen landes- und bundesrechtlichen sowie europarechtlichen Regelungen zum Schutz personenbezogener Daten entsprechen. Sie wird insbesondere die notwendigen technischen und organisatorischen Maßnahmen verwirklichen sowie das nach Art. 30 Abs. 2 der EU- Datenschutzgrundverordnung erforderliche Verzeichnis von Verarbeitungstätigkeiten führen, soweit dies gesetzlich vorgeschrieben ist.
- Apocalypsa wird die Erfüllung seiner Pflichten regelmäßig und selbst- ständig kontrollieren und in geeigneter Weise dokumentieren.
Technische und organisatorische Maßnahmen
Apocalypsa verpflichtet sich dazu, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen.
Technisch:
– https – Domain für verschlüsselte Formular-Übertragung
– Sicherheits-Server auf EU-Boden (Berlin)
– IT-Hardware und Software (WordPress-Theme) auf dem Stand der Technik
– Firewall mit kontinuierlicher technischer Wartung
– regelmäßige Sicherheits-Updates der gesamten IT-Software
Organisatorisch:
– Datenschutzerklärung (DE/EN) im Impressum ab Inkrafttreten der EU-Datenschutzverordnung
– Check-Boxes an allen Kontaktformularen zwecks Information und Einverständnis- Erklärung der User
– Möglichkeit, bei Namen und Mailadresse den Klarnamen zu ersetzen (keine Identitäts-Überprüfung findet statt)
– Möglichkeit, Google Analytics und sonstige Tracking-Software für die eigene IP-Adresse zu deaktivieren (Link im Impressum)
– keine Datenspeicherung auf externen Festplatten oder Datenträgern („Kundendatei“)
– Löschfristen von 2 Monaten bei Kundendaten, 24 Monaten bei Daten von Bewerberinnen
– Chat über die sichere Signal-App
Apocalypsa wird die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüfen und ggf. optimieren.
Datengeheimnis
- Apocalypsa hat dafür Sorge zu tragen, dass alle Personen, die von ihr zur Verarbeitung der vertragsgegenständlichen personenbezogenen Daten eingesetzt werden, ausdrücklich zu gesetzlich vorgeschriebenen Geheimhaltungspflichten verpflichtet und über die besonderen Weisungs- und Zweckbindungen sowie gegebenenfalls besonderen Datenschutz- oder Geheimhaltungspflichten belehrt werden. Apocalypsa wird die genannten Personen auch auf die Geheimhaltungsregeln nach § 203 StGB (Verletzung von Privatgeheimnissen) und § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen) hinweisen. Die vorgenannten Personen werden von Apocalypsa ferner darauf hingewiesen, dass die entsprechenden Verpflichtungen grundsätzlich auch nach der Beendigung der Tätigkeit fortbestehen.
- Apocalypsa versichert, dass ihm und allen von ihm zur Erfüllung des vorliegenden Vertrags eingesetzten Personen die geltenden datenschutzrechtlichen Vorschriften und deren Anwendung bekannt sind.
- Gesetzliche Offenbarungspflichten Apocalypsa bleiben von den vorgenannten Regelungen unberührt.
Berichtigung, Löschung und Sperrung der Daten
Nicht mehr benötigte personenbezogene Daten oder Unterlagen dürfen nur mit Zustimmung der Auftraggeberin gesperrt oder vernichtet werden. Es gilt die Regelung, dass Apocalypsa die verarbeiteten Daten innerhalb von 2 Monaten löscht, nachdem diese nicht mehr zur Erfüllung des Geschäftszweckes benötigt werden.
Ersucht ein Betroffener den Apocalypsa um Berichtigung, Sperrung oder Löschung oder Einsicht von Daten, wird der Apocalypsa dieser Anfrage unverzüglich nachkommen.
Einsatz von Unter-AuftragnehmerInnen (Subunternehmen)
Apocalypsa ist zum Einsatz von Unter- AuftragnehmerInnen (Subunternehmen) berechtigt.
Die Handlungen des/der Unter- AuftragnehmerIn, die mit der Vertragsdurchführung in Zusammenhang stehen, werden Apocalypsa wie eigene Handlungen zugerechnet.
Apocalypsa versichert, dass er seine Unter-AuftragnehmerInnen sorgfältig und gewissenhaft ausgewählt hat und zukünftige Unter-AuftragnehmerInnen entsprechend auswählen wird, sodass deren Einsatz die ordnungsgemäße Vertragsdurchführung im Verhältnis zur Auftraggeberin nicht beeinträchtigt. Insbesondere stellt er durch geeignete vertragliche Regelungen und entsprechende Unterauftragsdatenverarbeitungsverträge sicher, dass der/die SubunternehmerIn die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat.
Apocalypsa hat sich von seinen Unter-AuftragnehmerInnen bestätigen zu lassen, dass diese – soweit gesetzlich vorgeschrieben – eine/einen betrieblichen Datenschutzbeauftragte/n bestellt haben. Wenn kein/keine Datenschutzbeauftragte/r bestellt wurde oder eine solche/ ein solcher während der Vertragslaufzeit ersatzlos ausscheidet, ist die Auftraggeberin vom Apocalypsa über diesen Umstand zu unterrichten.
Sämtliche Verträge zwischen Apocalypsa und Unter-AuftragnehmerInnen (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den Anforderungen der gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen.
Apocalypsa ist im Falle einer entsprechenden Aufforderung der Auftraggeberin verpflichtet, Auskunft über die datenschutzrechtlich relevanten Verpflichtungen des/der SubunternehmerIn zu erteilen und erforderlichenfalls die entsprechenden Vertragsunterlagen einzusehen oder die Übermittlung dieser Unterlagen in Kopie zu verlangen.
Dienstleistungen, die Apocalypsa als reine Nebenleistungen zur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt, sind nicht als Unteraufträge im Sinne dieser Ziffer anzusehen. Hiervon umfasst sind z.B. Reinigungsleistungen, Telekommunikationsdienstleistungen, die keinen konkreten Bezug zur vertragsgegenständlichen Leistung aufweisen sowie Post- und Kurierdienste, sonstige Transportleistungen und Bewachungsdienste. Auch im Falle nicht zustimmungsbedürftiger Nebenleistungen muss Apocalypsa die erforderlichen organisatorischen und technischen Vorkehrungen zum Schutz personenbezogener Daten treffen.
Sollte Apocalypsa Unter-AuftragnehmerInnen in einem Drittland (Nicht- EU bzw. Nicht-EWR) mit der Datenverarbeitung beauftragen wollen, darf dies nicht ohne schriftliche Einwilligung der Auftraggeberin erfolgen. Über die in den vorangegangenen Ziffern genannten Pflichten hinaus hat er für ein angemessenes Datenschutzniveau zu sorgen und sicherzustellen, dass alle gesetzlichen und vertraglichen Pflichten eingehalten werden.
Berlin, August 2020