fbpx
Postkarten App App

Vereinbarung Datenschutz und Datensicherheit

Vereinbarung zum Datenschutz und zur Datensicherheit XYZ & Postando GmbH

Diese Vereinbarung gilt zwischender POSTANDO GmbH

vertreten durch ihren Geschäftsführer

Dennis Goetjes

Bertramstr. 2A

60320 Frankfurt am Main

Deutschland

– nachstehend Postando oder Auftragnehmer genannt –

und

XYZ

– nachstehend Auftraggeber genannt –

 
Präambel
Postando stellt Dienstleistungen im Internet via App und Website bereit. Dabei können Kunden von Postando insbesondere individuelle Post- und Grußkarten erstellen, welche auf einen Server übermittelt und im Anschluss produziert, qualitätsgeprüft, frankiert sowie verschickt werden. Des Weiteren unterstützt Postando seine Firmenkunden bei der Durchführung von Marketingaktivitäten, insbesondere der grafischen Aufbereitung und der Herstellung sowie des Versands von Post- und Grußkarten sowie Briefmailings.Beide Vertragsparteien bezwecken eine Zusammenarbeit, bei der der Auftraggeber den Auftragnehmer mit den unter Ziffer III. „Art des Auftrags und der verarbeiteten Daten“ genannten Leistungen beauftragt. Teil der Vertragsdurchführung umfasst die Verarbeitung von personenbezogenen Daten. Insbesondere gilt es die Anforderungen des Artikels 28 der Datenschutz-Grundverordnung (DS-GVO) „Auftragsverarbeiter“ hierbei zu beachten. Zu diesem Zwecke schließen die Vertragsparteien die nachfolgende Vereinbarung.

I. Begriffbestimmungen

  1. Verantwortlicher ist gem. Art. 4 Abs. 7 DS-GVO die XYZ, als alleiniger Entscheider über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten.
  2.  Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DS-GVO die Postando GmbH, als Verarbeiter personenbezogener Daten im Auftrag des Verantwortlichen.
  3. Personenbezogene Daten sind gem. Art. 4 Abs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.
  4.  Verarbeitung ist gem. Art. 4 Abs. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

II. Gegenstand der Vereinbarung

  1. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dieser Vereinbarung oder einem separat geschlossenen Hauptvertrag, wobei die Regelungen dieser Vereinbarung Vorrang haben.
  2. Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich von Marketingaktivitäten (z.B. Design, Erstellung und Versand von Werbepostkarten) auf Grundlage dieser Vereinbarung.
  3.  Der Auftragnehmer erhält Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers.
  4.  Die Weisungen des Auftraggebers werden in schriftlicher Form oder in Textform vorgenommen und können auch die Löschung und Sperrung von Daten umfassen.
  5.  Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

III. Art des Auftrags und der verarbeiteten Daten

  1.  Der Auftrag umfasst: 1.1 Gegenstand des Auftrages (Definition der Aufgaben): Die vom Auftraggeber bereitgestellten Daten werden vom Auftragnehmer ausschließlich zum Zweck der Erstellung vereinbarter Post- und Grußkarten oder Briefmailings genutzt. Die Daten werden auf einen Server oder anderweitig elektronisch übermittelt und im Anschluss produziert, qualitätsgeprüft, frankiert und verschickt. 1.2 Dauer des Auftrages Der Vertrag wird auf unbestimmte Zeit geschlossen, und kann mit einer Kündigungsfrist von 2 Wochen von beiden Parteien gekündigt werden, die Kündigung bedarf der Schriftform. Einzelne Aufträge erfolgen auf schriftliche Weisung (i.d.R. digital via Email) des Auftraggebers. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen dieses Vertrages vorliegt.1.3 Umfang und Zweck der Datenerhebung, -verarbeitung oder -nutzung Der Zweck der Datenerhebung, -verarbeitung oder -nutzung dient ausschließlich zur Erstellung der vom Auftraggeber in Auftrag gegeben Post- und Grußkarten oder Briefmailings. Die Speicherung der übermittelten Daten dient ausschließlich der Erfüllung des Auftrags. Eine Weitergabe der Daten an Dritte ist nur gestattet, wenn es für die Erfüllung des Auftrags notwendig ist. Eine weitergehende Weitergabe an Dritte erfolgt nicht. 1.4 Art der Daten Bei der Art der Daten handelt es sich um personenbezogene Kundendaten (Vorname, Name und Anschrift). Die Daten werden dem Auftragnehmer durch den Auftraggeber elektronisch zur Verfügung gestellt.

IV. Schutzmaßnahmen des Auftragnehmers

  1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
  2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO, insbesondere die folgend aufgeführten Maßnahmen: 1. Zutrittskontrolle: In separaten Geschäftsräumen ist der Zutritt von Unbefugten außerhalb der Arbeitszeiten durch Verschluss der Geschäftsräume und während der Arbeitszeiten durch eine Kontrolle von Zutritten sichergestellt. 2. Zugangskontrolle: Jeder Mitarbeiter arbeitet an einem Rechner. Es wird durch alle Mitarbeiter sichergestellt, dass die Geräte passwortgeschützt sind, auch werden die Passwörter in regelmäßigen Abständen geändert. 3. Zugriffskontrolle: Sämtliche Serverzugänge sind Passwortgeschütz, auch werden die Passwörter in regelmäßigen Abständen geändert. Eine weitere Schutzmaßnahme bieten die Sicherheitsbedingungen des eingesetzten Serverproviders. 4. Weitergabekontrolle: Sämtliche Daten werden über Serverlösungen gespeichert. Es wird daher kein Transport / Speicherung über Datenträger erfolgen. 5. Eingabekontrolle: Es erfolgt eine Dokumentation von Auftragsnummern zur Gewährleistung, Kontrolle und zur Erfüllung der Dienstleistung. 6. Auftragskontrolle: Auftragserteilung an Postando -> Dokumentation über Auftragsnummer -> Weitergabe an Druckzentrum -> Kontrolle der Auftragsnummer 7. Verfügbarkeitskontrolle: Server und Daten werden beim Serverprovider gehostet. Sicherung aller Daten gemäß Vertragsbestimmungen mit Serverprovider. 8. Trennungskontrolle: für die genannte Dienstleistung nicht relevant
  3.  Für die auftragsgemäße Bearbeitung personenbezogener Daten nutzt der Auftragnehmer folgende Einrichtungen: 1&1 Internet SE; Elgendorfer Straße 57; 56410 Montabaur siehe auch: http://unternehmen.1und1.de/impressum/
  4. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Maßgebliche Änderungen sind schriftlich zu vereinbaren.
  5.  Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

V. Informationspflichten des Auftragnehmers

  1. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde.
  2. Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
  3. Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
  4. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DS-GVO liegen.
  5. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
  6. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

VI. Weitere Pflichten des Auftragnehmers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er hat personenbezogene Daten zu berichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies im Rahmen einer Weisung verlangt. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.
  2. An der Erstellung der Verfahrensverzeichnisse durch den Auftraggeber hat der Auftragnehmer mitzuwirken. Er hat dem Auftraggeber die erforderlichen Angaben zuzuleiten.
  3. Bei zur Verfügungstellung von Datenträgern durch den Auftraggeber bzw. Nutzung von Datenträgern für den Auftraggeber, werden diese besonders gekennzeichnet und unterliegen der laufenden – automatisierten – Verwaltung. Eingang und Ausgang werden dokumentiert.
  4. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu.
  5. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen zu löschen.
  6. Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die Voraussetzungen für die Bestellung nicht vorliegen.
  7. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der hier angegebenen datenschutzrechtlichen Vorschriften.
  8. Der Auftragnehmer sichert zu, dass die vom Auftraggeber erhaltenen personenbezogenen Daten ausschließlich auf Servern verarbeitet und gespeichert werden, die sich in der Europäischen Union befinden. Dieses gilt sowohl für den Auftragnehmer selbst, aber auch für die von ihm direkt oder indirekt beauftragten Subunternehmen.

VII. Einsatz von Subunternehmern

  1. Die vereinbarten Leistungen können unter Einschaltung der nachfolgend genannten Subunternehmer erbracht werden:7. Routinemäßige Löschung und Sperrung von personenbezogenen Daten.
  2. Als Subunternehmer zur Erfüllung von Druckdienstleistungen können folgende Unternehmen beauftragt werden: 1. Daten-Partner Gesellschaft für Direktmarketing und Informations-Technologie mbH; Feldheider Str. 39 – 45; 40699 Erkrath; Geschäftsführer Axel Both 2. dataform dialogservices GmbH; Feuchtwanger Straße 7; 90574 Roßtal – Buchschwabach. Geschäftsführer Klaus Vollmer
  3. Als Subunternehmer im Rahmen von IT-Dienstleistungen inkl. Anpassungs- und Wartungsarbeiten an im Einsatz befindlichen Serverlandschaften und Schnittstellen kann folgendes Unternehmen beauftragt werden: Building Digital Solutions 421 GmbH mit Sitz im Icon – Vienna am Hauptbahnhof, Tower 9, 9. Stock, Gertrude-Fröhlich-Sandner Straße 2-4, 1100 Wien Wien, Österreich. Geschäftsführer DI Dr. techn. René Heinzl
  4. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt. Er setzt den Auftraggeber hiervon schriftlich in Kenntnis. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
  5. Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen.

VIII. Anfragen und Rechte Betroffener

  1. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DS-GVO.
  2.  Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist an den Auftraggeber und wartet dessen Weisungen ab.

IX.Pflichten des Auftraggebers

  1. Für die Beurteilung der Zulässigkeit der Datenerhebung/-verarbeitung/-nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich und bestätigt die Zulässigkeit mit Übermittlung von Auftragsdaten.
  2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich (i.d.R. via Email). Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und schriftlich festzulegen.
  3. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.

X. Rechte des Auftraggebers

  1. Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und so dann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen.
  2. Der Auftraggeber hat das Recht, in folgendem Umfang Weisungen gegenüber dem Auftragnehmer zu erteilen: Definition Empfängerkreis (mittels Übergabe der entsprechenden personenbezogenen Daten) Definition Zeitpunkt für den Versand bzw. die Übergabe an den Versanddienstleister auf Wochenbasis Sämtliche Anweisungen zur Behandlung der vom Auftraggeber dem Auftragnehmer übergebenen personenbezogenen Daten, die sich aus den Rechten der betroffenen Personen aus der DS-GVO herleiten, wie das Löschen von Daten.
  3. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Die schriftliche Bestätigung der mündlichen Weisungen sollte von Auftraggeber und Auftragnehmer zusammen mit der Vereinbarung so aufbewahrt werden, dass alle maßgeblichen Regelungen verfügbar sind.
    Weisungsberechtigte Personen des Auftraggebers sind:

    XYZ
    ________________________________________________________________
    (Vorname Nachname)

    Weisungsempfänger beim Auftragnehmer sind:

    Johannes Duttenhöfer, Dennis Goetjes, Christoph Baumann
    ________________________________________________________________
    (Vorname Nachname)

    Bei einer Erweiterung, einem Wechsel oder einer längerfristigen Verhinderung eines Ansprechpartners ist dem Vertragspartner schriftlich der Nachfolger bzw. der Vertreter mitzuteilen.

XI. Haftung

  1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist allein der Auftraggeber gegenüber dem Betroffenen verantwortlich.
  2. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung schuldhaft oder vertragswidrig verursachen.

XII.Schlussbestimmungen

  1. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
  2. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
  3. Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Frankfurt.