Datenschutzvereinbarung
1. Gegenstand
Die vorliegende Datenschutzvereinbarung (im Folgenden „DSV“) regelt die Bedingungen, unter denen die personenbezogenen Daten des Kunden, der als Verantwortlicher auftritt (im Folgenden „der Kunde“) , vom Dienstleister Nemorius, der als Auftragsverarbeiter auftritt (im Folgenden „Auftragsverarbeiter“), im Rahmen des Dienstleistungsvertrags (im Folgenden „Vertrag“) verarbeitet werden.
Diese DSA ist integraler Bestandteil des Vertrags. Im Falle von Widersprüchen zwischen den Dokumenten haben die Bestimmungen dieser DSA in allen Fragen des Datenschutzes Vorrang.
Die in diesem Dokument verwendeten datenschutzrechtlichen Begriffe sind im Sinne der Verordnung (EU) 2016/679 („DSGVO“) zu verstehen.
2. Verpflichtungen des Auftragsverarbeiters
Der Auftragsverarbeiter verpflichtet sich, alle geltenden gesetzlichen und behördlichen Bestimmungen zum Datenschutz einzuhalten, insbesondere die DSGVO und das Datenschutzgesetz.
Er gewährleistet, dass er über geeignete Maßnahmen verfügt, um die Sicherheit, Integrität und Vertraulichkeit der im Auftrag des Kunden verarbeiteten Daten zu gewährleisten.
Der Auftragsverarbeiter stellt sicher, dass die zum Zugriff auf die Daten berechtigten Personen einer vertraglichen oder gesetzlichen Geheimhaltungspflicht unterliegen.
Darüber hinaus führt er regelmäßig Sensibilisierungs- und Schulungsmaßnahmen für seine Teams zu den Anforderungen des Datenschutzes durch.
3. Anweisungen des Kunden
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf der Grundlage dokumentierter Anweisungen des Auftraggebers.
Der Auftraggeber verpflichtet sich, jede Änderung dieser Anweisungen unverzüglich mitzuteilen.
Sollte eine erteilte Anweisung gegen geltende Vorschriften zu verstoßen, informiert der Auftragsverarbeiter den Auftraggeber unverzüglich darüber. Der Auftraggeber muss die erhobenen personenbezogenen Daten und deren Verwendungszweck festlegen, um die gesetzlichen Anforderungen der DSGVO zu erfüllen.
4. Datenschutz durch Technikgestaltung
Der erbrachte Dienst ist nach den Grundsätzen des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen konzipiert.
Der Auftragsverarbeiter stellt Funktionen zur Verfügung, die es dem Kunden ermöglichen, seinen Verpflichtungen als Verantwortlicher nachzukommen.
Der Kunde bleibt allein verantwortlich für die Nutzung des Dienstes und dessen Konformität mit den geltenden Vorschriften.
5. Sicherheitsmaßnahmen
Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor unbefugtem Zugriff, Veränderung, Verlust oder Offenlegung zu schützen.
6. Umgang mit Datenschutzverletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten informiert der Auftragsverarbeiter den Kunden so schnell wie möglich, spätestens jedoch innerhalb von 72 Arbeitsstunden nach Bekanntwerden des Vorfalls.
Er stellt dem Auftraggeber die erforderlichen Informationen zur Verfügung, damit dieser seinen gesetzlichen Verpflichtungen nachkommen kann.
Der Auftragsverarbeiter ergreift zudem alle geeigneten Maßnahmen, um die Folgen des Vorfalls zu begrenzen.
Ohne vorherige Zustimmung des Auftraggebers ist der Auftragsverarbeiter nicht befugt, die Aufsichtsbehörde (CNIL) zu benachrichtigen oder die betroffenen Personen im Namen des Auftraggebers zu informieren.
7. Unterstützung in Bezug auf Sicherheit und Folgenabschätzung
Auf schriftliche Anfrage stellt der Auftragsverarbeiter dem Kunden die erforderlichen Informationen zu den umgesetzten Sicherheitsmaßnahmen sowie die Zertifizierungen der Lösung zur Verfügung.
Er ist jedoch nicht verpflichtet, diese Analysen durchzuführen oder die Sicherheit des Systems des Kunden zu gewährleisten. Gegebenenfalls können zusätzliche Leistungen angeboten werden.
8. Unterstützung in Bezug auf die Rechte der betroffenen Personen
Der Auftragsverarbeiter unterstützt den Auftraggeber, indem er ihm die erforderlichen Informationen zur Beantwortung von Anfragen betroffener Personen zur Verfügung stellt.
Er kann auf schriftliche Anweisung auch die erforderlichen technischen Maßnahmen durchführen.
Die direkte Bearbeitung der Anfragen bleibt in der Verantwortung des Kunden, sofern zwischen den Parteien keine spezifische Leistung vereinbart wurde.
9. Einsatz von Unterauftragsverarbeitern
Der Auftraggeber ermächtigt den Auftragsverarbeiter, im Rahmen der Vertragserfüllung auf Drittanbieter zurückzugreifen, sofern er darüber informiert wird.
Der Kunde kann in bestimmten Fällen (Wettbewerb, Rechtsstreit, kürzlich ergangene Verurteilung im Bereich Datenschutz) einen begründeten Einspruch erheben.
Im Falle eines zulässigen Einwands verfügt der Auftragsverarbeiter über eine Frist von sechs Monaten, um eine konforme Lösung vorzuschlagen. Andernfalls kann der Auftraggeber den Vertrag unter den vorgesehenen Bedingungen kündigen.
Der Auftragsverarbeiter stellt sicher, dass seine eigenen Unterauftragsverarbeiter Verpflichtungen einhalten, die denen dieser Datenschutzvereinbarung entsprechen, und bleibt für deren Handlungen verantwortlich.
10. Verbleib der Daten nach Vertragsende
Bei Vertragsende gibt der Kunde seine Wahl unter den folgenden Möglichkeiten an:
- Rückgabe und anschließende Löschung der Daten,
- sofortige Löschung,
- Übertragung an einen anderen Dienstleister und anschließende Löschung.
Erhält der Auftragsverarbeiter keine Anweisungen, löscht er die Daten 48 Stunden nach Beendigung des Vertrags.
Der Kunde wird gebeten, alle erforderlichen Daten vor Beendigung des Dienstes zu sichern. Da die Löschung unwiderruflich ist, trägt der Kunde die Konsequenzen.
Auf Anfrage kann der Auftragsverarbeiter eine Löschbescheinigung ausstellen.
11. Übermittlungen außerhalb der Europäischen Union
Der Auftragsverarbeiter ist bestrebt, keine Daten außerhalb der Europäischen Union zu übermitteln.
Sollte eine solche Übermittlung erforderlich sein, verpflichtet er sich, geeignete Garantien zu treffen (Standardvertragsklauseln, BCR usw.).
12. Zusammenarbeit mit den Behörden
Der Auftragsverarbeiter stellt dem Auftraggeber die erforderlichen Informationen zur Verfügung, um Anfragen der zuständigen Aufsichtsbehörden zu beantworten.
13. Ansprechpartner
Jede Partei benennt einen Ansprechpartner, der für Fragen im Zusammenhang mit dieser Datenschutzvereinbarung zuständig ist.
Der Auftragsverarbeiter teilt die Kontaktdaten seines Datenschutzbeauftragten oder seines DSGVO-Beauftragten mit.
Der Auftragsverarbeiter teilt dem Auftraggeber mit, dass der Datenschutzbeauftragte Herr Esteban MATHIEU ist, dessen Kontaktdaten wie folgt lauten: gdpr@nemorius.com
14. Änderungen der Vereinbarung
Die vorliegende Datenschutzvereinbarung kann geändert werden, um geltenden gesetzlichen oder behördlichen Änderungen Rechnung zu tragen. Der Kunde wird im Falle einer Änderung darüber informiert.
15. Anwendbares Recht und Gerichtsstand
Diese Vereinbarung unterliegt französischem Recht.
Für alle Streitigkeiten im Zusammenhang mit ihrer Erfüllung sind die zuständigen Gerichte am Sitz des Auftragsverarbeiters zuständig.