Auftragsverarbeitungsvertrag

Artikel 1 – Gegenstand

Die vorliegende Vereinbarung über die Verarbeitung personenbezogener Daten (nachfolgend die „Vereinbarung") ist Bestandteil des Vertrags.

Zweck der Vereinbarung ist es, die Bedingungen festzulegen, unter denen KBINE sich verpflichtet, die im Rahmen der Erbringung der Dienste bereitgestellten personenbezogenen Daten gemäß Artikel 28 der Verordnung (EU) 2016/679 (nachfolgend die „DSGVO") zu verarbeiten.

Die vorliegende Vereinbarung tritt mit Unterzeichnung des Vertrags, dem sie beiliegt, in Kraft und bleibt für die gesamte Dauer der Vertragsbeziehung zwischen KBINE und dem Kunden in Kraft.

Artikel 2 – Definitionen

Alle in der vorliegenden Vereinbarung nicht definierten Großschreibungen haben die ihnen hier zugewiesene Bedeutung.

Der Begriff „Unterauftragsverarbeiter" bezeichnet die von KBINE eingesetzten Unterauftragnehmer zur Verarbeitung der personenbezogenen Kundendaten.

Die Begriffe „Unternehmen", „Verantwortlicher", „betroffene Person", „personenbezogene Daten", „persönliche Informationen", „Auftragsverarbeiter", „Verarbeitung", „Verkauf", „Verkaufen", „Diensteanbieter" und „Teilen" haben die Bedeutung, die ihnen in den anwendbaren Datenschutzvorschriften zugewiesen wird. Soweit die anwendbaren Datenschutzvorschriften diese Begriffe nicht definieren, gelten die Definitionen des Datenschutzgesetzes.

Artikel 3 – Beschreibung der Verarbeitungen

Ausschließlich zur Erfüllung des Vertrags ermächtigt der Kunde KBINE, in seinem Namen die zur Erbringung der Dienste erforderlichen Verarbeitungen personenbezogener Daten („übertragene Verarbeitungen") durchzuführen.

Die Art der auf den personenbezogenen Daten durchgeführten Vorgänge umfasst das Erheben, Extrahieren, Erfassen, Organisieren, Speichern, Anpassen, Ändern, Archivieren, Abrufen, Übermitteln, Zusammenführen, Anonymisieren und Löschen der personenbezogenen Daten.

Der Zweck der Verarbeitung ist die Erbringung der im Vertrag beschriebenen Dienste.

Die verarbeiteten personenbezogenen Daten sind alle Daten, die zur Erbringung der im Vertrag beschriebenen Dienste erforderlich sind. Als relevant gelten grundsätzlich die in den Kommentaren der Anwendungen enthaltenen Daten, die Identifikationsdaten der unten aufgeführten betroffenen Personen sowie die Anmeldedaten, die die Aktionen der Nutzer auf der Plattform wiedergeben.

Die Kategorien betroffener Personen sind alle Personen, deren personenbezogene Daten zur Erbringung der im Vertrag beschriebenen Dienste verarbeitet werden müssen, d. h. die Nutzer.

Artikel 4 – Rolle der Parteien

Für sämtliche im Rahmen der Vertragserfüllung übertragenen Verarbeitungen erkennen die Parteien ausdrücklich an, dass der Kunde der Verantwortliche und KBINE ein Auftragsverarbeiter ist.

KBINE ist vom Kunden ermächtigt, im Namen des Verantwortlichen die für die Erbringung der Dienste erforderlichen personenbezogenen Daten zu verarbeiten.

Artikel 5 – Auswahl der Dienste

Der Kunde ist allein für die Auswahl der Dienste verantwortlich und muss sicherstellen, dass die von ihm für seine beruflichen Tätigkeiten abonnierten Dienste die vom Verantwortlichen geforderten Eigenschaften und Bedingungen aufweisen.

KBINE stellt dem Kunden gemäß Artikel „Audits" die Informationen zu den im Rahmen der Dienste umgesetzten Sicherheitsmaßnahmen zur Verfügung, damit der Kunde die Konformität dieser Maßnahmen mit den übertragenen Verarbeitungen beurteilen kann.

Artikel 6 – Einhaltung der geltenden Vorschriften

Jede Partei verpflichtet sich, den Vertrag in Übereinstimmung mit den geltenden Gesetzen und Verordnungen zum Schutz personenbezogener Daten auszuführen und insbesondere die Bestimmungen der DSGVO jederzeit einzuhalten.

Artikel 7 – Pflichten des Kunden als Verantwortlicher

Der Kunde ist in seiner Eigenschaft als Verantwortlicher verpflichtet, die ihm aus der DSGVO obliegenden Pflichten zu erfüllen. Er ist insbesondere allein verantwortlich für

(i) die Rechtmäßigkeit der übertragenen Verarbeitungen, insbesondere im Hinblick auf die Grundsätze und Pflichten aus den anwendbaren Datenschutzvorschriften betreffend die Rechtsgrundlage und die Information der betroffenen Personen;

(ii) die Nutzung der Plattform, der Dienste und der Dokumente, die er in die Plattform einpflegt, ablegt, speichert, archiviert, abruft und herunterlädt;

(iii) die Führung des Verzeichnisses der durchgeführten Verarbeitungen; und

(iv) gegebenenfalls die Durchführung der für die Verarbeitung erforderlichen Vorabformalitäten.

Der Kunde verpflichtet sich ferner, KBINE die in den Merkmalen der übertragenen Verarbeitung genannten Daten zur Verfügung zu stellen und die Verarbeitung zu überwachen, u. a. durch Audits gemäß Artikel „Audits".

Der Kunde ist außerdem verantwortlich für seine Nutzung der Dienste, insbesondere für den Schutz und die Sicherheit der personenbezogenen Daten bei der Übertragung zur und von der Plattform.

Artikel 8 – Pflichten von KBINE als Auftragsverarbeiter

8.1 – Einhaltung der Weisungen

KBINE verpflichtet sich, die personenbezogenen Daten ausschließlich zu den in dieser Vereinbarung beschriebenen oder anderweitig vereinbarten Zwecken im Rahmen der rechtmäßigen Weisungen des Kunden zu verarbeiten.

Hält KBINE eine Weisung für einen Verstoß gegen die DSGVO oder andere anwendbare Datenschutzvorschriften, informiert KBINE den Kunden unverzüglich.

Die Verpflichtung von KBINE beschränkt sich auf die Erbringung der Dienste und das Hosting der Plattform. Sobald der Verantwortliche personenbezogene Daten in die Plattform einträgt, muss er die gesetzlichen Datenschutzvorschriften einhalten, insbesondere die Information und gegebenenfalls die Einwilligung der betroffenen Personen.

8.2 – Vertraulichkeit

KBINE gewährt Zugang zu den anvertrauten personenbezogenen Daten nur denjenigen Personen unter seinen Mitarbeitenden und Unterauftragsverarbeitern, die diesen Zugang zur Wahrnehmung ihrer Aufgaben im Rahmen der Vertragserfüllung benötigen. KBINE verpflichtet sich, dass alle diese Empfänger an Verschwiegenheitspflichten bezüglich der anvertrauten personenbezogenen Daten gebunden sind.

8.3 – Sicherheit der übertragenen Verarbeitungen

KBINE verpflichtet sich, geeignete technische und organisatorische Maßnahmen zu ergreifen und aufrechtzuerhalten, um die personenbezogenen Daten vor jeglicher Verletzung zu schützen. KBINE kann diese Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, sofern dies nicht zu einer Verringerung des Sicherheitsniveaus führt.

8.4 – Unterauftragsverarbeiter

KBINE verfügt über eine allgemeine Ermächtigung des Kunden zum Einsatz der hier aufgeführten Unterauftragsverarbeiter. KBINE verpflichtet sich, jeden Kunden dreißig (30) Tage im Voraus schriftlich über jede geplante Ergänzung oder Ersetzung eines Unterauftragsverarbeiters zu informieren.

Hat der Kunde legitime und begründete Einwände gegen die Benennung eines neuen Unterauftragsverarbeiters, muss er diese KBINE innerhalb von dreißig (30) Tagen nach der Mitteilung schriftlich an den Support begründen; andernfalls gelten die Änderungen als genehmigt.

Nach Diskussion und in Ermangelung einer Einigung zwischen KBINE und dem Kunden kann der Kunde innerhalb von dreißig (30) Tagen nach der Mitteilung den betroffenen Teil des Vertrags kündigen.

KBINE verpflichtet sich in jedem Fall zu angemessener Sorgfalt bei der Bewertung, Benennung und Überwachung der Verarbeitungstätigkeiten der Unterauftragsverarbeiter. Die beauftragten Unterauftragsverarbeiter müssen hinreichende Garantien bezüglich der anwendbaren Verpflichtungen zur Sicherheit der Verarbeitung und zur Vertraulichkeit der anvertrauten personenbezogenen Daten bieten und gegenüber KBINE an Verpflichtungen gebunden sein, die denen dieser Vereinbarung entsprechen oder gleichwertig sind.

Erfüllt ein Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt KBINE gegenüber dem Kunden vollumfänglich für die Erfüllung seiner Pflichten verantwortlich.

8.5 – Datentransfers

Werden im Rahmen des Vertrags personenbezogene Daten außerhalb der Europäischen Union in ein Land übermittelt, das keinen Angemessenheitsbeschluss erhalten hat, wird eine Datenübermittlungsvereinbarung auf Grundlage der Standardvertragsklauseln oder – nach Wahl von KBINE – eine andere geeignete Garantie gemäß Kapitel V der DSGVO implementiert.

Darüber hinaus informiert KBINE den Kunden über etwaige Verpflichtungen aus Unionsrecht oder dem Recht des Mitgliedstaats, die zu einer Übermittlung an ein Drittland oder eine internationale Organisation verpflichten, vor der Verarbeitung, es sei denn, das betroffene Recht verbietet diese Mitteilung aus wichtigen Gründen des öffentlichen Interesses.

8.6 – Rechte der betroffenen Personen

Dem Verantwortlichen obliegt es, Anfragen betroffener Personen zu ihren Rechten an ihren personenbezogenen Daten nachzukommen. KBINE kann als Auftragsverarbeiter auf Anfrage des Verantwortlichen in angemessenem Umfang dabei unterstützen: Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden (einschließlich Profiling).

Kontaktiert eine betroffene Person KBINE direkt, um ihre Rechte auszuüben, verpflichtet sich KBINE, die Person schnellstmöglich an den Verantwortlichen zu verweisen, damit dieser der Anfrage nachkommen kann. KBINE kann den Verantwortlichen dabei unterstützen, soweit dies vernünftig erforderlich ist; die Beantwortung der Anfragen obliegt jedoch ausschließlich dem Verantwortlichen.

8.7 – Meldung von Datenschutzverletzungen

KBINE verpflichtet sich, dem Kunden jede Verletzung personenbezogener Daten schriftlich unverzüglich, spätestens jedoch 72 Stunden nach Kenntnisnahme zu melden, gemäß Artikel 33 der Verordnung (EU) 2016/679 (DSGVO).

Kann diese Meldung aus objektiven und nachvollziehbaren Gründen nicht innerhalb von 72 Stunden erfolgen, informiert KBINE den Kunden unverzüglich unter Angabe der Gründe der Verzögerung und des voraussichtlichen Datums der vollständigen Mitteilung. Der Meldung sind alle nützlichen Unterlagen beizufügen, die es dem Kunden ermöglichen, gegebenenfalls die zuständige Aufsichtsbehörde zu informieren.

8.8 – Verzeichnis der Verarbeitungstätigkeiten

KBINE erklärt, schriftlich ein Verzeichnis aller im Namen des Verantwortlichen durchgeführten Kategorien von Verarbeitungen gemäß DSGVO zu führen.

8.9 – Information und Unterstützung des Verantwortlichen

Auf schriftliche Anfrage des Kunden leistet KBINE angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und der Vorabkonsultation der zuständigen Aufsichtsbehörde gemäß DSGVO. KBINE stellt dem Verantwortlichen alle erforderlichen Informationen zu den übertragenen Verarbeitungen zur Verfügung, um ihn bei der Erfüllung seiner gesetzlichen Pflichten zu unterstützen.

Artikel 9 – Audits

Um die Einhaltung der Bestimmungen dieser Vereinbarung sicherzustellen, kann der Verantwortliche auf eigene Kosten organisatorische oder technische Audits durchführen oder durchführen lassen, unter Einhaltung der in diesem Artikel vorgesehenen Bedingungen und beschränkt auf ein (1) Audit pro Jahr und höchstens drei (3) Werktage; der Zeitaufwand des KBINE-Personals wird dem Verantwortlichen in Rechnung gestellt.

Das Audit ist gemäß den Regeln und Sicherheitsanforderungen von KBINE durchzuführen. Kein Audit ist aus welchem Grund auch immer ohne vorherige schriftliche Zustimmung von KBINE zulässig. KBINE kann einen Prüfer aufgrund mangelnder Unabhängigkeit oder Interessenkonflikten ablehnen. In diesem Fall teilt der Verantwortliche KBINE den Namen eines anderen Prüfers mit.

Jedes Audit erfordert eine vom Verantwortlichen schriftlich bereitgestellte und von KBINE mindestens dreißig (30) Tage vor Beginn des Audits förmlich genehmigte Audit-Vereinbarung. Diese muss den genauen Umfang, die Grenzen, Ausschlüsse, Ziele, Art der Tests und Methodik der Prüfer, Daten und Zeiten, den Eskalationsprozess bei Vorfällen während des Audits sowie die Kontaktdaten aller beteiligten Parteien enthalten.

Die im Audit gewonnenen Informationen sind vertrauliche Informationen und sind vom Verantwortlichen entsprechend zu behandeln. Wird das Audit von einem externen Prüfer durchgeführt, verpflichtet sich der Verantwortliche, dass dieser hinreichende Vertraulichkeitsgarantien angesichts der Art der Informationen bietet, auf die er im Rahmen des Audits zugreifen könnte.

Der Verantwortliche verpflichtet sich, KBINE den vollständigen Auditbericht unentgeltlich und systematisch zu übermitteln; KBINE kann dazu Stellung nehmen. Weist der Auditbericht auf Nichteinhaltung von Pflichten aus dieser Vereinbarung hin, bestimmt KBINE auf Grundlage seiner internen Richtlinien die Frist ab Erhalt der endgültigen Berichtsfassung zur Behebung der festgestellten Mängel oder Nichtkonformitäten.

Artikel 10 – Aufbewahrung, Löschung und Rückgabe personenbezogener Daten

KBINE verpflichtet sich, die für die Zwecke der Erhebung geltenden Aufbewahrungsfristen zu beachten und die personenbezogenen Daten zu löschen oder zu anonymisieren, sobald diese Zwecke entfallen, vorbehaltlich gesetzlicher Pflichten.

KBINE verpflichtet sich, dem Kunden während der gesamten Vertragslaufzeit eine Kopie der im Rahmen der Vertragserfüllung anvertrauten personenbezogenen Daten zur Verfügung zu halten.

Bei Beendigung der Dienste kann der Kunde die anvertrauten personenbezogenen Daten gemäß den im Vertrag vorgesehenen Bedingungen zurückholen. Diese Daten werden in einem Format bereitgestellt, das ihre Interoperabilität gewährleistet.

Bei Beendigung der Dienste und unter den im Vertrag vorgesehenen Bedingungen verpflichtet sich KBINE ferner, die personenbezogenen Daten zu vernichten, vorbehaltlich gesetzlicher Aufbewahrungspflichten, denen KBINE unterliegen kann.

Artikel 11 – Haftung

Gemäß Artikel 82 DSGVO haftet KBINE, auch für das Verhalten seiner Unterauftragsverarbeiter, für materielle oder immaterielle Schäden aus einer übertragenen Verarbeitung, wenn

(i) KBINE seinen Pflichten aus dieser Vereinbarung, der DSGVO oder anderen anwendbaren Datenschutzvorschriften nicht nachkommt oder

(ii) KBINE außerhalb oder im Widerspruch zu den rechtmäßigen und dokumentierten Weisungen des Verantwortlichen handelt;

in diesen Fällen und sofern der Verantwortliche einen direkten Kausalzusammenhang nachweist und nicht selbst zum Schaden beigetragen hat, erstattet KBINE dem Verantwortlichen den daraus resultierenden Verlust, etwaige Verurteilungen, verwaltungsrechtliche Sanktionen sowie angemessene Kosten, soweit dies nach anwendbarem Recht zulässig ist.

Artikel 12 – Gesamtvereinbarung

Diese Vereinbarung stellt die vollständige Vereinbarung zwischen den Parteien hinsichtlich ihres Gegenstands dar und ersetzt alle früheren oder gleichzeitigen Vereinbarungen zwischen den Parteien mit demselben Gegenstand, einschließlich jeder früheren Fassung einer Datenschutzvereinbarung, die zwischen dem Kunden und KBINE unterzeichnet wurde.

Artikel 13 – Kontakt

Bei Fragen zu den im Rahmen dieser Vereinbarung übertragenen Verarbeitungen kann der Kunde KBINE über das zu diesem Zweck auf der Website von KBINE bereitgestellte Kontaktformular oder über den Support kontaktieren.

KBINE SAS mit Sitz in Frankreich ist die Hauptniederlassung von Kabeen im Sinne von Artikel 4 der DSGVO. Die federführende Aufsichtsbehörde für grenzüberschreitende Verarbeitungen im Sinne von Artikel 56 der DSGVO für KBINE ist die CNIL.

Artikel 14 – Anwendbares Recht

DIE VEREINBARUNG UNTERLIEGT DEM FÜR DEN VERANTWORTLICHEN GELTENDEN NATIONALEN RECHT UND WIRD ENTSPRECHEND AUSGELEGT.