Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag („Vertrag“) ist Bestandteil der Allgemeinen Geschäftsbedingungen und gilt, soweit Seviranta — ein Handelsname der 1Star BV, Zonnehorst 5, 7207 BT Zutphen, Niederlande, Handelskammer (KvK) 65195876 („Auftragsverarbeiter“) — personenbezogene Daten im Auftrag des Kunden („Verantwortlicher“) im Rahmen des kostenpflichtigen Dienstes verarbeitet. Begriffe haben die Bedeutung gemäß der Datenschutz-Grundverordnung („DSGVO“).

1. Gegenstand, Art und Dauer

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich zur Erbringung des vereinbarten Dienstes: das Prüfen und laufende Überwachen der Website(s) des Kunden auf Barrierefreiheit, das Aufbewahren der zugehörigen Berichte/des Dossiers sowie die Verwaltung des Kontos und der Abrechnung. Der Vertrag gilt, solange der Auftragsverarbeiter für den Kunden personenbezogene Daten verarbeitet.

2. Arten personenbezogener Daten und betroffene Personen

• Daten: Konto- und Kontaktdaten (Name, E-Mail-Adresse, Firmenname), Abrechnungsdaten (Rechnungsadresse, USt-IdNr.) und Nutzungs-/Abonnementdaten. Die gescannten Webseiten sind öffentlich und werden ausschließlich technisch auf Barrierefreiheit geprüft.
• Betroffene Personen: die Ansprechpartner und Nutzer des Kunden.
• Es werden keine besonderen Kategorien personenbezogener Daten verarbeitet.

3. Weisungen

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf der Grundlage dokumentierter Weisungen des Kunden — einschließlich dieses Vertrags und der Nutzung des Dienstes — sofern keine gesetzliche Verpflichtung etwas anderes bestimmt. Ist der Auftragsverarbeiter der Auffassung, dass eine Weisung gegen die DSGVO verstößt, teilt er dies mit.

4. Vertraulichkeit

Der Auftragsverarbeiter stellt sicher, dass Personen, die die personenbezogenen Daten verarbeiten, zur Vertraulichkeit verpflichtet sind.

5. Sicherheit

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen (DSGVO Art. 32), darunter Verschlüsselung während der Übertragung (TLS), verschlüsselte Speicherung von Passwörtern, Zugriff nach dem Need-to-know-Prinzip (Least Privilege), Zugriffskontrolle auf Zeilenebene in der Datenbank und Verarbeitung vorzugsweise innerhalb der EU.

6. Unterauftragsverarbeiter

Der Kunde erteilt die allgemeine Genehmigung zur Einschaltung von Unterauftragsverarbeitern. Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter mindestens dieselben Pflichten wie in diesem Vertrag auf und wählt vorrangig Partner mit EU-Datenspeicherung. Funktional umfasst dies u. a.: einen Datenbank-/Authentifizierungs-/Speicherpartner, Scan- und Überwachungsinfrastruktur, Website-Hosting, einen Zahlungsdienstleister, einen Anbieter für transaktionale E-Mails und einen Infrastruktur-/Sicherheitspartner.

Eine aktuelle Liste der konkreten Unterauftragsverarbeiter (mit Name, Funktion und Standort) ist dem Kunden auf Anfrage verfügbar. Bei einer beabsichtigten Änderung der Unterauftragsverarbeiter informiert der Auftragsverarbeiter den Kunden im Voraus, damit dieser Einspruch erheben kann.

7. Unterstützung

Der Auftragsverarbeiter leistet dem Kunden unter Berücksichtigung der Art der Verarbeitung angemessene Unterstützung bei der Beantwortung von Anfragen betroffener Personen (Auskunft, Berichtigung, Löschung usw.) und bei der Erfüllung der Pflichten aus DSGVO Art. 32–36 (Sicherheit, Datenschutzverletzungen, Datenschutz-Folgenabschätzung).

8. Datenschutzverletzungen

Der Auftragsverarbeiter informiert den Kunden ohne unangemessene Verzögerung, nachdem er von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, mit den verfügbaren relevanten Informationen, damit der Kunde seiner Meldepflicht nachkommen kann.

9. Rückgabe und Löschung

Nach Beendigung löscht der Auftragsverarbeiter die personenbezogenen Daten oder gibt sie zurück, nach Wahl des Kunden, mit Ausnahme von Daten, die der Auftragsverarbeiter gesetzlich aufbewahren muss (wie Rechnungen unter der steuerlichen Aufbewahrungspflicht). Der Kunde kann das Dossier vor Beendigung selbst exportieren.

10. Audits

Der Auftragsverarbeiter stellt dem Kunden die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses Vertrags nachzuweisen, und wirkt an angemessenen Audits mit, nach Vereinbarung und unter Wahrung der Vertraulichkeit und der Kontinuität des Dienstes.

11. Übermittlung außerhalb des EWR

Verarbeitet ein Unterauftragsverarbeiter Daten außerhalb des Europäischen Wirtschaftsraums, geschieht dies mit geeigneten Garantien, wie sie die DSGVO verlangt (zum Beispiel die Standardvertragsklauseln der Europäischen Kommission).

12. Anwendbares Datenschutzrecht (internationale Regime)

Dieser Vertrag ist mit der DSGVO als höchstem Standard erstellt. Soweit auf eine Verarbeitung anderes Datenschutzrecht anwendbar ist, gelten die Bestimmungen dieses Vertrags mutatis mutandis auch unter jenem Recht — darunter die UK GDPR (Vereinigtes Königreich), das Schweizer Gesetz (revDSG) und anwendbare US-Bundesstaatengesetze (wie der CCPA/CPRA). Für internationale Übermittlungen gelten die entsprechenden anerkannten Mechanismen, soweit anwendbar: die EU-Standardvertragsklauseln (SCCs), das UK International Data Transfer Addendum (IDTA) und das Schweizer Addendum. Der Auftragsverarbeiter bevorzugt EU-Datenspeicherung.

13. Kalifornien (CCPA/CPRA)

Soweit der Auftragsverarbeiter personenbezogene Daten verarbeitet, die unter den California Consumer Privacy Act (CCPA) in der durch den CPRA geänderten Fassung fallen, handelt der Auftragsverarbeiter als „service provider“. Der Auftragsverarbeiter: (a) verkauft oder teilt diese Daten nicht (kein „sale“ oder „share“ im Sinne des CCPA); (b) verarbeitet sie ausschließlich für die in diesem Vertrag beschriebenen Geschäftszwecke und nicht für eigene kommerzielle Zwecke; (c) bewahrt, nutzt oder gibt sie nicht außerhalb der direkten Geschäftsbeziehung mit dem Kunden weiter; und (d) leistet dem Kunden angemessene Unterstützung bei Anfragen betroffener Personen unter dem CCPA.

14. Schlussbestimmungen

Bei Widerspruch zwischen diesem Vertrag und den Allgemeinen Geschäftsbedingungen hat dieser Vertrag in Bezug auf die Verarbeitung personenbezogener Daten Vorrang. Auf diesen Vertrag ist niederländisches Recht anwendbar. Fragen oder ein unterzeichnetes Exemplar? info@seviranta.com.