Vereinbarung zur Auftragsverarbeitung
nach EU-Datenschutz-Grundverordnung (DS-GVO)
Online-Variante, Stand April 2018
zwischen
siehe Angaben zum Kunden
im Folgenden "Kunde" genannt
und
onix - Dienstleistungs- und Handels-GmbH
Breite Straße 27
32657 Lemgo
HRB 6964
im folgenden "onix" genannt
- gemeinsam "Parteien" genannt
1. Gegenstand der Verarbeitung
a. onix verarbeitet personenbezogene Daten im Auftrag des Kunden (Auftragsverarbeitung). Dies umfasst alle Tätigkeiten, die onix gemäß Vereinbarungen mit dem Kunden erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern die Leistungsbeschreibungen und die jeweiligen vertraglichen Vereinbarungen nicht ausdrücklich Bezug nehmen auf diese Vereinbarung zur Auftragsverarbeitung.
b. Diese Vereinbarung zur Auftragsverarbeitung enthält in Ziffer 15 Regelungen und Vereinbarungen zu weiteren Vertragszwecken.
c. Vorstehender Absatz gilt auch für die jeweiligen vertraglichen Vereinbarungen zwischen onix und dem Kunden, welche an Stelle oder zusätzlich zu den Leistungsbeschreibungen gelten.
2. Dauer der Verarbeitung
Die Verarbeitung erfolgt zeitlich unbefristet, sofern dies in den Leistungsbeschreibungen und den jeweiligen vertraglichen Vereinbarungen nicht anders vereinbart ist. Die in den jeweiligen vertraglichen Vereinbarungen geregelten Kündigungsfristen bleiben unberührt.
3. Art und Zweck der Verarbeitung
a. Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DS-GVO.
b. Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung erforderlichen und alle in Ziffern 15 weiteren Vertragszwecke.
4. Art der personenbezogenen Daten und Kategorien betroffener Personen
a. Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die onix im Auftrag des Kunden verarbeitet. Hiervon umfasst sind auch besondere Kategorien personenbezogener Daten.
b. Hinsichtlich der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO ist der Kunde verpflichtet, in eigener Verantwortung dafür Sorge zu tragen, dass die hierzu geltenden gesetzlichen Vorgaben eingehalten werden.
c. Kategorien betroffener Personen sind insbesondere
i. Beschäftigte und Geschäftspartner/Mandanten des Kunden,
ii. Beschäftigte, Familienangehörige und Geschäftspartner des Geschäftspartners/Mandanten,
iii. Beschäftigte des Geschäftspartners des Geschäftspartners/Mandanten,
iv. andere Personen, ggf. auch als Verbraucher, sofern sie Nutzer einer onix-Leistung sind.
5. Pflichten und Rechte des Kunden
a. Der Kunde ist im Rahmen dieser Vereinbarung zur Auftragsverarbeitung für die Einhaltung der esetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an onix sowie für die Rechtmäßigkeit der Verarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung und die Beschreibung der betroffenen Daten.
b. Der Kunde hat onix unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.
c. Der Kunde nennt onix bei Bedarf den Ansprechpartner für im Rahmen dieser Vereinbarung zur Auftragsverarbeitung anfallende Datenschutzfragen.
d. Weitere Pflichten und Rechte des Kunden ergeben sich aus den nachfolgenden Regelungen dieser Vereinbarung zur Auftragsverarbeitung und der DS-GVO sowie den dazugehörigen gesetzlichen Bestimmungen.
6. Verarbeitung auf dokumentierte Weisung
a. onix - und jede ihr unterstellte Person - darf die personenbezogenen Daten nur im Rahmen der jeweiligen vertraglichen Vereinbarungen zwischen onix und dem Kunden und der Weisungen des Kunden verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 Satz 2 lit.a DS-GVO vor. onix nimmt Weisungen des Kunden in schriftlicher Form sowie über die hierfür von onix angebotenen elektronischen Formate entgegen. Mündliche Weisungen sind durch den Kunden unverzüglich schriftlich oder in einem hierfür von onix angebotenen elektronischen Format zu bestätigen.
b. onix informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. onix darf die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde.
c. Sind die Weisungen des Kunden nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt onix dem Kunden mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist onix die Umsetzung der Weisung nicht zumutbar, so ist onix berechtigt, die Verarbeitung zu beenden.
d. Die Parteien vereinbaren, dass onix berechtigt ist, die personenbezogenen Daten - unter Beachtung der zwingend anwendbaren Vorschriften - an Dienstleister in einem Drittland zu übermitteln. Ist dies der Fall wird onix den Kunden vor Übertragung der Daten schriftlich informieren.
7. Verpflichtung zur Vertraulichkeit
onix gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
8. Maßnahmen zur Sicherheit der Verarbeitung
a. onix gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung gemäß den Anforderungen der DS-GVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. onix ergreift in ihrem Verantwortungsbereich alle gemäß Art. 32 DS-GVO erforderlichen Maßnahmen.
b. Die jeweils aktuell geltenden technischen und organisatorischen Maßnahmen kann der Kunde unter www.onix.de/av/tom einsehen. Der Kunde informiert sich vor Abschluss der Vereinbarung zur Auftragsverarbeitung und anschließend in regelmäßigen Abständen über diese technischen und organisatorischen Maßnahmen. Der Kunde trägt die Verantwortung dafür, dass die jeweils aktuell geltenden, vertraglich vereinbarten technischen und organisatorischen Maßnahmen für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
c. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt onix vorbehalten, sofern das Schutzniveau nach DS-GVO nicht unterschritten wird.
9. Weitere Auftragsverarbeiter
a. Der Kunde erteilt onix die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DS-GVO in Anspruch zu nehmen.
b. Die jeweils aktuell eingesetzten, weiteren Auftragsverarbeiter kann der Kunde unter www.onix.de/av/auftragsverarbeiter produktspezifisch abrufen.
c. onix informiert den Kunden, wenn sie eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt.
d. Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 4 Wochen nach Zugang der Information über die Änderung gegenüber onix zu erheben. Im Fall des Einspruchs kann onix nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung onix nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Kunden innerhalb von 4 Wochen nach Zugang des Einspruchs kündigen.
e. Erteilt onix Aufträge an weitere Auftragsverarbeiter, so obliegt es onix, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen.
10. Unterstützung des Verantwortlichen (Kunden) im Hinblick auf Betroffenenrechte
a. Bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DS-GVO genannten Rechte der betroffenen Person unterstützt onix den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen.
b. onix ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen.
11. Unterstützung des Verantwortlichen (Kunden) im Hinblick auf die Sicherheit personenbezogener Daten
a. onix unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten Pflichten.
b. onix ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen.
12. Umgang mit den Daten nach Abschluss der Erbringung der Verarbeitungsleistungen
Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht onix nach Wahl des Kunden entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach dem Unionsrecht oder nach deutschem Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus den Leistungsbeschreibungen und den jeweiligen vertraglichen Vereinbarungen etwas anderes ergibt.
13. Informationen und Überprüfungen zum Nachweis der Einhaltung der Pflichten
a. onix stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Kunden oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und wirkt daran mit. Sofern hierbei die Kenntnisnahmemöglichkeit von vertraulichen Informationen besteht, ist onix berechtigt, eine Verschwiegenheitserklärung vom Kunden und von diesem beauftragten Prüfer zu verlangen.
b. Das Inspektionsrecht des Kunden hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DS-GVO und dieses Vertrages zu überprüfen. Der Nachweis kann durch Vor-Ort-Kontrollen durchgeführt werden. Sofern solche Vor-Ort-Kontrollen durchgeführt werden, sind diese als Stichprobenkontrollen der für die Durchführung der Auftragsverarbeitung relevanten Bereiche auszugestalten und onix rechtzeitig im Voraus, in der Regel (Ausnahme z.B. bei besonderen Vorfällen) mindestens jedoch 14 Kalendertage, schriftlich anzumelden. Das Gleiche gilt für anlasslose Vor-Ort-Kontrollen. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb von onix nicht über Gebühr stören oder missbräuchlich sein.
c. onix ist berechtigt, für Inspektionen eine angemessene Vergütung vom Kunden zu verlangen.
14. Gegenseitige Unterstützung
Im Fall des Art. 82 DS-GVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
15. Vereinbarung weiterer Vertragszwecke
onix ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zu verarbeiten, soweit sie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig erachtet, soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit dem vereinbarten Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen.
Dies umfasst insbesondere auch, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern ("Denial of service"-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.
16. Salvatorische Klausel
Sollten sich einzelne Bestimmungen dieser Vereinbarung als ungültig erweisen, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ungültige Bestimmung ist durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Ungültigkeit des jeweiligen Punktes gedacht. Soweit diese Vereinbarung eine unbewusste Regelungslücke enthält, ist diese durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Regelungsbedürftigkeit des jeweiligen Punktes gedacht.
17. Formerfordernis
Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - sind gemäß DS-GVO schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
18. Beginn der Vereinbarung, Auswirkung von Kündigungen
a. Diese Vereinbarung beginnt mit Bestätigung des Vertragsschlusses durch onix, frühestens jedoch am 25.05.2018.
b. Nimmt der Kunde Änderungen am Vertragstext vor, die über die Streichung von Ziffer 15 hinausgehen, beginnt diese Vereinbarung mit Annahme der geänderten Fassung durch onix; onix ist zur Annahme jedoch nicht verpflichtet.
c. Eine Annahme der geänderten Fassung durch onix erfolgt nicht bereits durch (fortgesetzte) Leistungserbringung, sondern erfordert eine dem Formerfordernis des Art. 28 DS-GVO entsprechende Annahmeerklärung durch onix.
d. Die Annahme/Bestätigung des Vertragsschlusses durch onix kann in einem elektronischen Format erfolgen.
e. Diese Vereinbarung endet nicht automatisch mit der Kündigung aller vertraglichen Vereinbarungen, sondern bedarf des ausdrücklichen Hinweises darauf in der Kündigung, dass es sich um eine Kündigung dieser Vereinbarung zur Auftragsverarbeitung handelt.
19. Aufhebung bisheriger Vereinbarungen
Vereinbarung zur Auftragsdatenverarbeitung nach BDSG
Die Parteien vereinbaren, dass zeitgleich mit Beginn dieser Vereinbarung zur Auftragsverarbeitung die zwischen den Parteien bestehende Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz sowie etwaige weitere Vereinbarungen zur Auftragsdatenverarbeitung einvernehmlich aufgehoben und durch diese neue Vereinbarung zur Auftragsverarbeitung ersetzt werden.
20. Verweise auf die DS-GVO
Alle in dieser Vereinbarung enthaltenen Verweise auf die DS-GVO gelten für die DS-GVO in ihrer jeweils aktuellen Fassung bzw. etwaige Nachfolgeregelungen.
