Prozessorvereinbarung

Einführung

Autosoft BV verarbeitet unter anderem personenbezogene Daten für und im Auftrag des Kunden. Autosoft BV und der Kunde sind daher gemäß der Datenschutz-Grundverordnung (DSGVO) verpflichtet, einen Auftragsverarbeitervertrag abzuschließen. Gemäß der DSGVO ist Autosoft BV ein „Auftragsverarbeiter“ und der Kunde ein „Verantwortlicher“. Diese Auftragsverarbeitervereinbarung beschreibt auch, wie Autosoft BV die Pflicht zur Benachrichtigung über Datenschutzverletzungen handhabt.

Prozessorvereinbarung

Bestehend aus:
Teil 1: Datenschutzerklärung
Teil 2: Standardverarbeitungsklauseln

Teil 1: Datenschutzerklärung

Allgemeine Informationen

1). Diese Datenschutzerklärung wurde von dem folgenden Auftragsverarbeiter (Auftragsverarbeiter) erstellt:

• Autosoft BV
  Hengelosestraat 547
  7521 AG Enschede

Bei Fragen zu dieser Datenschutzerklärung oder zum Datenschutz wenden Sie sich bitte an:
Arthur van der Lek: arthur@autosoft.eu / +31 (0)53 – 428 00 98

2). Diese Datenschutzerklärung gilt ab dem 1. August 2021
Wir passen diese Datenschutzerklärung und die darin beschriebenen Sicherheitsmaßnahmen regelmäßig an, um sicherzustellen, dass wir hinsichtlich des Datenschutzes stets auf dem neuesten Stand sind. Wir werden Sie über unsere normalen Kanäle über neue Versionen auf dem Laufenden halten.

3). Diese Datenschutzerklärung gilt für die folgenden Datenverarbeitungsprodukte und -dienste

• AutoWebsite
• AutoCommerce

4). Beschreibung Auto-Website
Autofirmen verwenden Autowebsite. Mit Autowebsite können sich Autofirmen im Internet präsentieren.

5). Verwendungszweck Auto-Website
Autowebsite ist so konzipiert und ausgestattet, dass sie die folgenden Arten von Daten verarbeitet:
Besucher von Webseiten, die von Autosoft mit Autowebsite entwickelt wurden, haben die Möglichkeit, dort ihre Kontaktdaten zu hinterlassen, damit das Autounternehmen die Möglichkeit hat, den Besucher für weitere Dienstleistungen anzusprechen. Diese Kontaktdaten werden nicht bei Autosoft gespeichert, sondern direkt per E-Mail an die E-Mail-Adresse des Autounternehmens weitergeleitet.

• Dieser Dienst berücksichtigt nicht die Verarbeitung besonderer personenbezogener Daten, Daten zu strafrechtlichen Verurteilungen und Straftaten oder behördlich vergebenen personenbezogenen Nummern.

6). Beschreibung Autocommerce
Autofirmen nutzen Autocommerce. Mit Autocommerce können Autounternehmen ihre Fahrzeuge auf der eigenen Website und Internet-Suchportalen Dritter verwalten und präsentieren.

7). Verwendungszweck Autocommerce
Autocommerce ist so konzipiert und ausgestattet, dass es die folgenden Arten von Daten verarbeitet:
Autofirmen können ihre registrierten Fahrzeuge über Autocommerce auf ihrer eigenen Auto-Website platzieren. Diese zugelassenen Fahrzeuge enthalten keine Daten, die in irgendeiner Form auf personenbezogene Daten zurückgeführt werden können. Besucher der Car-Website haben die Möglichkeit, dort ihre Kontaktdaten zu hinterlassen, damit das Autounternehmen die Möglichkeit hat, sich für weitere Dienstleistungen an den Besucher zu wenden. Die vom Besucher auf der eigenen Auto-Website hinterlassenen Kontaktdaten werden in Autocommerce gespeichert.

• Dieser Dienst berücksichtigt nicht die Verarbeitung besonderer personenbezogener Daten, Daten zu strafrechtlichen Verurteilungen und Straftaten oder behördlich vergebenen personenbezogenen Nummern.

8). Der Datenverarbeiter verwendet die Standardklauseln für die Verarbeitung für Autowebsite und Autocommerce, die als Anhang zum Vertrag zu finden sind.

9). Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten seiner Kunden innerhalb der EU/des EWR für Autowebsite und Autocommerce.

10). Der Datenverarbeiter verwendet die folgenden Unterauftragsverarbeiter für Autocommerce:
In einigen Fällen sendet Autosoft seine registrierten Fahrzeuge über Autocommerce an die Internetsuchportale von Dritten oder Unterauftragsverarbeitern im Auftrag des Autounternehmens. Eine Liste der Unterauftragsverarbeiter ist auf Anfrage unter support@autosoft.eu erhältlich.

11). Nach Beendigung des Vertrages mit einem Kunden wird der Auftragsverarbeiter die personenbezogenen Daten, die er für den Kunden verarbeitet, grundsätzlich innerhalb von 3 Monaten so entfernen, dass sie nicht mehr verwendet werden können und nicht mehr zugänglich sind (unzugänglich machen).

Sicherheitsrichtlinie

Fassen Sie die folgenden Sicherheitsmaßnahmen zusammen, die der Datenverarbeiter zum Schutz seines Produkts oder seiner Dienstleistung getroffen hat:

Vorfallmanagement- und Reaktionsrichtlinie
Incident Management und Response Policies im Bereich Informationssicherheit umfassen die Überwachung und Erkennung von Sicherheitsvorfällen auf einem Computer oder einer IT-Infrastruktur, aber auch die Beobachtung verdächtiger Aktivitäten des Personals und die Umsetzung der richtigen Reaktionen auf diese Ereignisse.

Das Hauptziel dieser Richtlinie besteht darin, eine gut verstandene und vorhersehbare Reaktion auf bösartige Ereignisse und Computereinbrüche im weitesten Sinne des Wortes zu entwickeln.

Die Incident Management and Response Policy ist der Prozess der Verwaltung und des Schutzes von Computern, Netzwerken und Informationssystemen und der darin gespeicherten Informationen. Autosoft ist sich seiner Verantwortung beim Schutz dieser Informationen zum Nutzen seiner Kunden und Lieferkettenpartner bewusst. Diese Verantwortung erstreckt sich auf ein Vorfallverfahren. Incident Management ist eine Reihe von Aktivitäten, die einen Prozess definieren und implementieren, mit dem eine Organisation ihr eigenes Wohlergehen und die Sicherheit der Öffentlichkeit fördern kann.

IT und Sicherheit
Die ICT-Struktur von Autosoft BV ist mit einer Firewall ausreichend abgesichert und die Virenscan-Software wird auf dem neuesten Stand gehalten. Jeder Mitarbeiter hat ein Login-Profil. Beim Hochfahren eines Computers müssen die Mitarbeiter einen Login-Namen und ein Passwort eingeben und wenn möglich mit 2-Schritt-Authentifizierung.

Bestimmte Software fragt auch nach einem Login-Namen und Passwort und wenn möglich mit 2-Schritt-Authentifizierung. Das Bewusstsein der Mitarbeiter für sicheres Arbeiten wird gefördert, indem beispielsweise darauf hingewiesen wird, verdächtige E-Mails nicht zu öffnen, verdächtige Links nicht anzuklicken, sich bei längerem Verlassen des Arbeitsplatzes abzumelden und so weiter.

Die Dateien werden tagsüber und jede Nacht gesichert. Der weitere Speichervorgang rund um das Backup ist aus Sicherheitsgründen vertraulich. Dazu hat Autosoft BV mit Computerlieferanten und Internet-Hosting-Providern Dienstleistungsverträge abgeschlossen.

Datenschutzrichtlinie
Autosoft BV ergreift geeignete technische und organisatorische Maßnahmen, um die personenbezogenen Daten des Kunden vor Verlust oder jeglicher Form unrechtmäßiger Verarbeitung zu schützen. Diese technischen und organisatorischen Maßnahmen gelten als angemessenes Sicherheitsniveau im Sinne von Artikel 1 der DSGVO und werden als Dokumente im zentralen Basecamp (Projekt: Organisation/Datenschutzrichtlinie) der Autosoft BV gespeichert

Technisch und organisatorisch

1. Maßnahmen, um sicherzustellen, dass nur autorisiertes Personal Zugriff auf die im Rahmen des Auftragsverarbeitervertrags verarbeiteten personenbezogenen Daten hat;
2. Maßnahmen zum Schutz der personenbezogenen Daten insbesondere gegen zufällige oder rechtswidrige Zerstörung, Verlust, zufällige Veränderung, unbefugte oder rechtswidrige Speicherung, Zugriff oder Offenlegung;
3. Maßnahmen zum Schutz der personenbezogenen Daten insbesondere gegen zufällige oder rechtswidrige Zerstörung, Verlust, zufällige Veränderung, unbefugte oder rechtswidrige Speicherung, Zugriff oder Offenlegung während des Datenaustauschs/Transports;
4. Maßnahmen zur Sicherstellung der Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Redaktionssysteme und Dienste laufend sicherzustellen;
5. Maßnahmen zur zeitnahen Wiederherstellung der Verfügbarkeit und des Zugriffs auf die personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls;
6. Maßnahmen zur Identifizierung von Schwachstellen in Bezug auf die Verarbeitung personenbezogener Daten in den Systemen, die zur Erbringung der vertragsgemäßen Dienstleistungen verwendet werden;

Organisatorisches wie:

• Beschränkung des Kreises der Beamten, die Zugang zu bestimmten personenbezogenen Daten haben, auf diejenigen Personen, die die Daten zur Erfüllung ihrer Aufgaben benötigen;
• diesen Personen nur Zugang zu personenbezogenen Daten zu gewähren, die sie zur Erfüllung ihrer Aufgaben benötigen;
• Vereinbarung einer Vertraulichkeitsklausel mit Strafklausel mit allen Personen, denen Zugang zu personenbezogenen Daten gewährt wird;
• Speicherung personenbezogener Daten auf Servern in einem geschlossenen Raum;
• Aufbewahrung von Papierakten in abschließbaren Schränken;
• Schaffung eines Bewusstseins für Informationssicherheit bei den Mitarbeitern;
• Festlegung klarer Protokolle und Verfahren für den rechtzeitigen und wirksamen Umgang mit Informationssicherheitsvorfällen und Sicherheitslücken;

Der Datenverarbeiter verwendet seine eigenen Methoden und Verfahren für das Management, die in die Arbeitsmethode der Organisation passen:

• Innerhalb von Basecamp werden relevante Dokumente verwaltet und periodisch ausgewertet.

Protokoll für Datenschutzverletzungen

Für den Fall, dass etwas schief geht, verwendet der Datenverarbeiter das folgende Datenleckprotokoll, um sicherzustellen, dass der Kunde über Vorfälle informiert ist:

Autosoft BV – Datenschutzverletzungsverfahren

Was ist eine Datenschutzverletzung und wann muss ich sie dem AP melden?
Eine Datenschutzverletzung ist ein Informationssicherheitsvorfall, bei dem die Sicherheit personenbezogener Daten durch Verlust oder unrechtmäßige Verarbeitung verletzt wird, wie (jedoch nicht erschöpfend):

• Anpassung und/oder Änderung personenbezogener Daten und unbefugter Zugriff auf diese personenbezogenen Daten;
• Bei einem Einbruch durch einen Hacker;
• Verlust eines USB-Sticks, Diebstahl eines Laptops;
• Senden sensibler Daten an eine falsche E-Mail-Adresse;

Laut Gesetz muss eine „schwerwiegende“ Datenschutzverletzung der niederländischen Datenschutzbehörde unverzüglich und möglichst spätestens 72 Stunden nach der Entdeckung gemeldet werden.

Autosoft BV muss sich nicht bei der niederländischen Datenschutzbehörde melden, wenn eine tatsächliche Identifizierung einzelner natürlicher Personen vernünftigerweise ausgeschlossen ist.
Jeder Verdacht auf einen Informationssicherheitsvorfall wird in erster Instanz bearbeitet support@autosoft.eu gemeldet und registriert. Der Support meldet den Vorfall an das Management-Team und legt fest, welche Folgemaßnahmen ergriffen werden sollten.

Folgeverfahren

Wann muss ich die betroffenen Personen benachrichtigen?
Eine Datenschutzverletzung muss der betroffenen Person gemeldet werden, wenn im Falle einer Verletzung ein hohes Risiko besteht, dass die Verletzung negative Folgen für ihr Privatleben hat. Ungünstige Folgen für die betroffene Person sind: Ruf- und Rufschädigung, Identitätsbetrug oder Diskriminierung. Wenn Autosoft BV geeignete technische Schutzmaßnahmen getroffen hat, wodurch die betroffenen personenbezogenen Daten unverständlich oder unzugänglich gemacht werden, ist eine Benachrichtigung der betroffenen Person nicht erforderlich. Die Mitteilung an die betroffene Person enthält eine klare und einfache Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten und mindestens:

• Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, bei der weitere Informationen erhältlich sind;
• die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
• die vom für die Verarbeitung Verantwortlichen vorgeschlagenen oder ergriffenen Maßnahmen zur Bekämpfung der Verletzung des Schutzes personenbezogener Daten, einschließlich gegebenenfalls Maßnahmen zur Abmilderung nachteiliger Auswirkungen. Die Beurteilung, ob eine Datenschutzverletzung der niederländischen Datenschutzbehörde und/oder den betroffenen Personen gemeldet werden muss, liegt immer bei Autosoft BV. Um festzustellen, ob ein Vorfall gemeldet werden muss, hat die niederländische Datenschutzbehörde Richtlinienregeln erstellt (https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/thematic-beleidsreglement/beleidsreglement-meldspraak-datareken-2015) und die Arbeitsgruppe 29 der Leitlinien der europäischen Aufsichtsbehörden zur Meldepflicht in der DSGVO veröffentlicht. Wenn Autosoft BV die Datenschutzverletzung nicht gemeldet hat, kann die niederländische Datenschutzbehörde verlangen, dass Autosoft BV dennoch eine Meldung macht. Die Unterlassung der Meldung kann mit einem Bußgeld geahndet werden.

Wie melde ich eine Datenschutzverletzung?
Die niederländische Datenschutzbehörde stellt ein Webformular zur Verfügung, das für die Meldung von Datenschutzverletzungen verwendet werden muss (https://dataleks.autoriteitpersoonsgegevens.nl/). Die niederländische Datenschutzbehörde führt ein Verzeichnis der eingegangenen Meldungen über Datenschutzverletzungen. Dieses Register ist nicht öffentlich. Wenn aufgrund der Datenschutzverletzung eine Geldstrafe von der niederländischen Datenschutzbehörde verhängt wird, wird diese Entscheidung veröffentlicht. Eine Datenschutzverletzung wird auch dann öffentlich gemacht, wenn betroffene Personen über die Datenschutzverletzung informiert werden müssen. Die Mitteilung an die betroffene Person muss in jedem Fall die Art des Verstoßes und die Behörden angeben, bei denen die betroffene Person weitere Informationen über den Verstoß erhalten kann. Es muss auch angegeben werden, was die betroffene Person selbst tun kann, um die negativen Folgen der Datenschutzverletzung zu begrenzen. Zum Beispiel das Ändern von Benutzernamen und Passwörtern, wenn diese möglicherweise durch die Sicherheitsverletzung kompromittiert wurden.

Was soll ich melden?
Eine Meldung an die niederländische Datenschutzbehörde umfasst:

• Der Berichterstatter der Datenschutzverletzung.
• Die Person, an die sich die niederländische Datenschutzbehörde wenden kann, um weitere Informationen zu der Meldung zu erhalten.
• Eine Zusammenfassung des Vorfalls, bei dem die Datenschutzverletzung aufgetreten ist.
• Zeitpunkt des Verstoßes.
• Die Art des Verstoßes.
• Die Art der betroffenen personenbezogenen Daten.
• Welche Folgen die Verletzung für die Privatsphäre der Beteiligten haben kann.
• Die technischen und organisatorischen Maßnahmen, die Autosoft BV ergriffen hat, um den Verstoß zu bekämpfen und weitere Verstöße zu verhindern.
• Ob Autosoft BV den betroffenen Personen die Datenschutzverletzung gemeldet hat und wenn nicht, ob Autosoft BV dies beabsichtigt:
• Wenn ja, der Inhalt der Mitteilung an die betroffenen Personen.
• Wenn nicht, der Grund, warum Autosoft BV es unterlässt, den betroffenen Personen die Datenschutzverletzung zu melden.
• Wurden die personenbezogenen Daten verschlüsselt, gehasht oder anderweitig unverständlich oder für Unbefugte unzugänglich gemacht?

Teil 2: Standardverarbeitungsklauseln

Stand: September 2019
Bildet zusammen mit der Data Pro-Erklärung die Verarbeitungsvereinbarung und ist eine Anlage zur Vereinbarung und den begleitenden Anhängen wie den geltenden Allgemeinen Geschäftsbedingungen.

Artikel 1. Definitionen

Die nachstehenden Begriffe haben in diesen Standardklauseln für die Verarbeitung, in der Data Pro-Erklärung und in der Vereinbarung die folgenden Bedeutungen:

• 1.1 Niederländische Datenschutzbehörde (AP): Aufsichtsbehörde im Sinne von Art. 4 Ziff. 21 Avg.
• 1.2 AVG: die Datenschutz-Grundverordnung.
• 1.3 Datenverarbeiter: Partei, die als ICT-Anbieter personenbezogene Daten zugunsten ihres Kunden im Rahmen der Vertragsabwicklung verarbeitet.
• 1.4 Datenschutzerklärung: Erklärung des Datenverarbeiters, in der er Informationen über die beabsichtigte Verwendung seines Produkts oder seiner Dienstleistung, ergriffene Sicherheitsmaßnahmen, Unterauftragsverarbeiter, Datenlecks, Zertifizierungen und den Umgang mit den Rechten der betroffenen Personen bereitstellt.
• 1.5 Betroffene Person (betroffene Person): eine identifizierte oder identifizierbare natürliche Person.
• 1.6 Kunde: Partei, in deren Auftrag der Datenverarbeiter personenbezogene Daten verarbeitet. Der Kunde kann entweder ein Verantwortlicher („Verantwortlicher“) oder ein anderer Auftragsverarbeiter sein.
• 1.7 Vereinbarung: die Vereinbarung zwischen dem Kunden und dem Datenverarbeiter, auf deren Grundlage der ICT-Anbieter dem Kunden Dienstleistungen und/oder Produkte liefert, zu der die Prozessorvereinbarung gehört.
• 1.8 Personenbezogene Daten: alle Informationen über eine identifizierte oder identifizierbare natürliche Person, wie in Artikel 4 Absatz 1 AVG beschrieben, die der Auftragsverarbeiter im Rahmen der Erfüllung seiner Verpflichtungen aus dem Vertrag verarbeitet.
• 1.9 Verarbeitungsvertrag: Diese Standardklauseln für die Verarbeitung, die zusammen mit der Datenschutzerklärung (oder vergleichbaren Informationen) des Auftragsverarbeiters den Verarbeitungsvertrag im Sinne von Artikel 28 Absatz 3 der DSGVO bilden.

Artikel 2. Allgemeines

• 2.1 Diese Standardverarbeitungsklauseln gelten für die gesamte Verarbeitung personenbezogener Daten, die der Datenverarbeiter im Rahmen der Lieferung seiner Produkte und Dienstleistungen vornimmt, sowie für alle Vereinbarungen und Angebote. Der Anwendbarkeit von Verarbeitungsverträgen des Auftraggebers wird ausdrücklich widersprochen.
• 2.2 Die Datenschutzerklärung und insbesondere die darin enthaltenen Sicherheitsmaßnahmen können vom Datenverarbeiter von Zeit zu Zeit geändert werden, um sich ändernden Umständen Rechnung zu tragen. Der Datenverarbeiter wird den Kunden über wesentliche Änderungen informieren. Kann der Kunde den Anpassungen nicht zustimmen, ist der Kunde berechtigt, den Verarbeitungsvertrag innerhalb von 30 Tagen nach Bekanntgabe der Anpassungen schriftlich zu kündigen.
• 2.3 Der Datenverarbeiter verarbeitet die personenbezogenen Daten im Auftrag und im Auftrag des Kunden gemäß den schriftlichen Anweisungen des Kunden, die mit dem Datenverarbeiter vereinbart wurden.
• 2.4 Der Kunde oder sein Kunde ist der Verantwortliche im Sinne der DSGVO, hat die Kontrolle über die Verarbeitung der personenbezogenen Daten und hat den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten festgelegt.
• 2.5 Der Auftragsverarbeiter ist ein Auftragsverarbeiter im Sinne der DSGVO und hat daher keine Kontrolle über den Zweck und die Mittel der Verarbeitung der personenbezogenen Daten und trifft daher unter anderem keine Entscheidungen über die Verwendung der personenbezogenen Daten.
• 2.6 Der Datenverarbeiter setzt die DSGVO gemäß diesen Standardklauseln für die Verarbeitung, der Datenschutzerklärung und der Vereinbarung um. Es obliegt dem Kunden, auf Grundlage dieser Informationen zu beurteilen, ob der Auftragsverarbeiter ausreichende Garantien in Bezug auf die Anwendung geeigneter technischer und organisatorischer Maßnahmen bietet, damit die Verarbeitung den Anforderungen der DSGVO und dem Schutz der Rechte der betroffenen Personen entspricht ist ausreichend, garantiert.
• 2.7 Der Kunde garantiert dem Auftragsverarbeiter, dass er in Übereinstimmung mit der DSGVO handelt, seine Systeme und Infrastruktur jederzeit angemessen schützt und dass der Inhalt, die Verwendung und/oder Verarbeitung der personenbezogenen Daten nicht rechtswidrig sind und keine Rechte verletzen eines Dritten.
• 2.8 Eine dem Kunden vom AP auferlegte Verwaltungsstrafe kann nicht vom Datenverarbeiter eingezogen werden.

Artikel 3. Sicherheit

• 3.1 Der Datenverarbeiter trifft die technischen und organisatorischen Sicherheitsmaßnahmen, wie in seiner Datenschutzerklärung beschrieben. Bei der Ergreifung der technischen und organisatorischen Sicherheitsmaßnahmen hat der Auftragsverarbeiter den Stand der Technik, die Implementierungskosten der Sicherheitsmaßnahmen, die Art, den Umfang und den Kontext der Verarbeitung, die Zwecke und die beabsichtigte Verwendung seiner Produkte und Dienstleistungen berücksichtigt , die Verarbeitungsrisiken und die in ihrer Wahrscheinlichkeit und Schwere unterschiedlichen Risiken für die Rechte und Freiheiten der betroffenen Personen, die dieser im Hinblick auf die beabsichtigte Verwendung seiner Produkte und Dienstleistungen erwarten könnte.
• 3.2 Sofern in der Datenschutzerklärung nicht ausdrücklich anders angegeben, ist das Produkt oder die Dienstleistung des Datenverarbeiters nicht darauf ausgelegt, besondere Kategorien personenbezogener Daten oder Daten im Zusammenhang mit strafrechtlichen Verurteilungen oder Straftaten oder von der Regierung herausgegebenen personenbezogenen Nummern zu verarbeiten.
• 3.3 Der Datenverarbeiter bemüht sich sicherzustellen, dass die von ihm zu ergreifenden Sicherheitsmaßnahmen für die beabsichtigte Verwendung des Produkts oder der Dienstleistung durch den Datenverarbeiter angemessen sind.
• 3.4 Nach Ansicht des Kunden bieten die beschriebenen Sicherheitsmaßnahmen ein Sicherheitsniveau, das auf das Risiko der Verarbeitung der vom Kunden verwendeten oder bereitgestellten personenbezogenen Daten unter Berücksichtigung der in Artikel 3.1 genannten Faktoren zugeschnitten ist.
• 3.5 Der Datenverarbeiter kann die getroffenen Sicherheitsmaßnahmen ändern, wenn dies seiner Meinung nach erforderlich ist, um weiterhin ein angemessenes Sicherheitsniveau zu gewährleisten. Der Datenverarbeiter zeichnet wichtige Änderungen auf, beispielsweise in einer geänderten Datenschutzerklärung, und informiert den Kunden gegebenenfalls über diese Änderungen.
• 3.6 Der Kunde kann den Datenverarbeiter auffordern, weitere Sicherheitsmaßnahmen zu ergreifen. Der Datenverarbeiter ist nicht verpflichtet, auf eine solche Anfrage hin Änderungen an seinen Sicherheitsmaßnahmen vorzunehmen. Der Datenverarbeiter kann die Kosten im Zusammenhang mit den auf Wunsch des Kunden vorgenommenen Änderungen dem Kunden in Rechnung stellen. Erst nachdem die vom Kunden gewünschten geänderten Sicherheitsmaßnahmen schriftlich vereinbart und von den Parteien unterzeichnet wurden, ist der Datenverarbeiter verpflichtet, diese Sicherheitsmaßnahmen tatsächlich umzusetzen.

Artikel 4. Verletzung des Schutzes personenbezogener Daten

• 4.1 Der Datenverarbeiter garantiert nicht, dass die Sicherheitsmaßnahmen unter allen Umständen wirksam sind. Wenn der Datenverarbeiter eine Verletzung im Zusammenhang mit personenbezogenen Daten (gemäß Artikel 4 Absatz 12 Avg) feststellt, wird er den Kunden unverzüglich informieren. Die Data Pro-Erklärung (im Rahmen des Datenleckprotokolls) legt dar, wie der Datenverarbeiter den Kunden über Verstöße im Zusammenhang mit personenbezogenen Daten informiert.
• 4.2 Es obliegt dem Verantwortlichen (Kunde oder dessen Kunde), zu beurteilen, ob die Verletzung des Schutzes personenbezogener Daten, über die der Datenverarbeiter informiert hat, dem AP oder der betroffenen Person gemeldet werden muss. Die Meldung von Verstößen im Zusammenhang mit personenbezogenen Daten, die gemäß Artikel 33 und 34 DSGVO an den AP und/oder die betroffenen Personen gemeldet werden müssen, liegt jederzeit in der Verantwortung des Verantwortlichen (Auftraggeber oder dessen Kunde). Der Datenverarbeiter ist nicht verpflichtet, dem AP und/oder der betroffenen Person Verletzungen des Schutzes personenbezogener Daten zu melden.
• 4.3 Der Datenverarbeiter wird, falls erforderlich, weitere Informationen über die Verletzung im Zusammenhang mit personenbezogenen Daten bereitstellen und bei der erforderlichen Bereitstellung von Informationen an den Kunden zum Zwecke einer Benachrichtigung gemäß den Artikeln 33 und 34 avg.
• 4.4 Der Datenverarbeiter kann dem Kunden die angemessenen Kosten, die ihm in diesem Zusammenhang entstehen, zu den dann geltenden Sätzen in Rechnung stellen.

Artikel 5. Vertraulichkeit

• 5.1 Der Datenverarbeiter garantiert, dass die Personen, die personenbezogene Daten unter seiner Verantwortung verarbeiten, zur Vertraulichkeit verpflichtet sind.
• 5.2 Der Auftragsverarbeiter ist berechtigt, die personenbezogenen Daten an Dritte weiterzugeben, wenn und soweit die Bereitstellung aufgrund einer gerichtlichen Entscheidung, einer Rechtsvorschrift oder aufgrund einer autorisierten Anordnung einer Regierungsbehörde erforderlich ist.
• 5.3 Alle Zugangs- und/oder Identifikationscodes, Zertifikate, Informationen zu Zugangs- und/oder Passwortrichtlinien, die der Datenverarbeiter dem Kunden zur Verfügung stellt, und alle Informationen, die der Datenverarbeiter dem Kunden zur Verfügung stellt, die die in der Data Pro-Erklärung enthaltenen technischen und organisatorischen Sicherheitsmaßnahmen umsetzen, sind vertraulich. und werden vom Auftraggeber als solche behandelt und nur autorisierten Mitarbeitern des Auftraggebers bekannt gegeben. Der Kunde stellt sicher, dass seine Mitarbeiter die Verpflichtungen aus diesem Artikel erfüllen.

Artikel 6. Laufzeit und Kündigung

• 6.1 Dieser Verarbeitungsvertrag ist Bestandteil des Vertrages und jeder sich daraus ergebenden neuen oder weiteren Vereinbarung, tritt mit Abschluss des Vertrages in Kraft und wird auf unbestimmte Zeit geschlossen.
• 6.2 Dieser Verarbeitungsvertrag endet kraft Gesetzes mit Beendigung des Vertrages oder einer neuen oder weiteren Vereinbarung zwischen den Parteien.
• 6.3 Im Falle des Endes der Verarbeitungsvereinbarung löscht der Datenverarbeiter alle personenbezogenen Daten, die sich in seinem Besitz befinden und vom Kunden innerhalb der in der Datenpro-Erklärung angegebenen Frist erhalten wurden, so dass sie nicht mehr verwendet werden können und nicht mehr verwendet werden zugänglich machen (unzugänglich machen). , oder, falls vereinbart, in maschinenlesbarer Form an den Kunden zurückgeben.
• 6.4 Der Datenverarbeiter kann dem Kunden alle Kosten in Rechnung stellen, die ihm im Rahmen der Bestimmungen von Artikel 6.3 entstehen. Weitere Vereinbarungen hierzu können in der Datenschutzerklärung geregelt werden.
• 6.5 Die Bestimmungen von Artikel 6.3 gelten nicht, wenn eine gesetzliche Regelung dem Datenverarbeiter die vollständige oder teilweise Entfernung oder Rückgabe der personenbezogenen Daten verbietet. In einem solchen Fall wird der Datenverarbeiter die personenbezogenen Daten nur in dem Umfang verarbeiten, der gemäß seinen gesetzlichen Verpflichtungen erforderlich ist. Die Bestimmungen von Artikel 6.3 gelten auch nicht, wenn der Auftragsverarbeiter der Verantwortliche im Sinne der DSGVO in Bezug auf die personenbezogenen Daten ist.

Artikel 7. Betroffenenrechte, Datenschutz-Folgenabschätzung (DSFA) und Prüfungsrechte

• 7.1 Der Datenverarbeiter wird, soweit möglich, mit angemessenen Anfragen des Kunden kooperieren, die sich auf die Rechte der betroffenen Personen beziehen, die von den betroffenen Personen beim Kunden geltend gemacht werden. Wenn sich eine betroffene Person direkt an den Auftragsverarbeiter wendet, wird er diese Person nach Möglichkeit an den Kunden verweisen.
• 7.2 Wenn der Kunde dazu verpflichtet ist, wird der Auftragsverarbeiter bei einer Datenschutz-Folgenabschätzung (DSFA) oder einer anschließenden vorherigen Konsultation gemäß den Artikeln 35 und 36 Durchschn.
• 7.3 Der Datenverarbeiter wird bei Anfragen des Kunden zur Entfernung personenbezogener Daten kooperieren, sofern der Kunde dies nicht selbst durchführen kann.
• 7.4 Auf Anfrage des Kunden stellt der Datenverarbeiter auch alle weiteren Informationen zur Verfügung, die vernünftigerweise erforderlich sind, um die Einhaltung der in diesem Verarbeitungsvertrag getroffenen Vereinbarungen nachzuweisen. Wenn der Kunde dennoch Grund zu der Annahme hat, dass die Verarbeitung personenbezogener Daten nicht in Übereinstimmung mit dem Verarbeitungsvertrag erfolgt, kann er höchstens einmal im Jahr von einem unabhängigen, zertifizierten, externen Experten mit nachweislicher Erfahrung mit der Art der Verarbeitung, die auf Grundlage des Vertrages erfolgt, eine Prüfung auf Kosten des Auftraggebers durchführen lassen. Die Prüfung beschränkt sich auf die Überprüfung der Einhaltung der Vereinbarungen über die Verarbeitung personenbezogener Daten, wie in dieser Auftragsverarbeitervereinbarung festgelegt. Der Experte ist hinsichtlich seiner Feststellungen zur Vertraulichkeit verpflichtet und wird dem Kunden nur das melden, was zu einem Mangel bei der Erfüllung der Verpflichtungen des Auftragsverarbeiters aus diesem Auftragsverarbeitervertrag führt. Der Experte stellt dem Datenverarbeiter eine Kopie seines Berichts zur Verfügung. Der Auftragsverarbeiter kann eine Prüfung oder Weisung des Sachverständigen verweigern, wenn dies seiner Meinung nach gegen die DSGVO oder andere Rechtsvorschriften verstößt oder eine unzulässige Verletzung der von ihm getroffenen Sicherheitsmaßnahmen darstellt.
• 7.5 Die Parteien werden sich so bald wie möglich über die Ergebnisse des Berichts beraten. Die Parteien werden die im Bericht vorgesehenen Verbesserungsmaßnahmen befolgen, soweit dies für sie zumutbar ist. Der Datenverarbeiter wird die vorgeschlagenen Verbesserungsmaßnahmen in dem Maße umsetzen, wie es seiner Meinung nach angemessen ist, unter Berücksichtigung der Verarbeitungsrisiken im Zusammenhang mit seinem Produkt oder seiner Dienstleistung, dem Stand der Technik, den Implementierungskosten, dem Markt, auf dem er tätig ist, und die beabsichtigte Verwendung des Produkts oder der Dienstleistung.
• 7.6 Der Datenverarbeiter hat das Recht, dem Kunden die ihm im Rahmen der Bestimmungen dieses Artikels entstehenden Kosten in Rechnung zu stellen.

Artikel 8. Unterauftragsverarbeiter

• 8.1 Der Datenverarbeiter hat in der Datenschutzerklärung angegeben, ob und wenn ja welche Dritten (Unterauftragsverarbeiter oder Unterauftragsverarbeiter) der Datenverarbeiter an der Verarbeitung der personenbezogenen Daten beteiligt ist.
• 8.2 Der Kunde erteilt dem Datenverarbeiter die Erlaubnis, andere Unterauftragsverarbeiter mit der Erfüllung seiner Verpflichtungen aus dem Vertrag zu beauftragen.
• 8.3 Der Auftragsverarbeiter informiert den Kunden über eine Änderung der vom Auftragsverarbeiter beauftragten Dritten, beispielsweise durch eine geänderte Datenschutzerklärung. Der Kunde hat das Recht, der oben genannten Änderung durch den Datenverarbeiter zu widersprechen. Der Datenverarbeiter stellt sicher, dass sich die von ihm beauftragten Dritten hinsichtlich des Schutzes personenbezogener Daten zu demselben Sicherheitsniveau verpflichten wie das Sicherheitsniveau, an das der Datenverarbeiter gegenüber dem Kunden aufgrund der Datenschutzerklärung gebunden ist.

Artikel 9. Sonstiges

Diese Standardverarbeitungsklauseln bilden zusammen mit der Data Pro-Erklärung einen integralen Bestandteil der Vereinbarung. Alle Rechte und Pflichten aus dem Vertrag einschließlich der geltenden Allgemeinen Geschäftsbedingungen und/oder Haftungsbeschränkungen gelten daher auch für den Verarbeitungsvertrag.