Datenverarbeitungsvereinbarung
Anhang für die Datenverarbeitungsvereinbarung. Bezüglich der Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Verantwortlichen.
1.1 Der Verantwortliche ist damit einverstanden, den Datenverarbeiter mit der Bereitstellung von Software und Dienstleistungen an den Verantwortlichen, gemäß den Bestimmungen des Vertrags, zu beauftragen.
1.2 Im Rahmen der Ausführung der Software und der Dienstleistungen ist es erforderlich, dass der Datenverarbeiter personenbezogene Daten verarbeitet, die mit bestimmten natürlichen Personen in Verbindung gebracht werden können, wie in Anhang A beschrieben.
1.3 In der Datenverarbeitungsvereinbarung sind die Bedingungen festgelegt, die für die Verarbeitung personenbezogener Daten durch den Datenverarbeiter gelten.
2.1 Die folgenden Wörter und Ausdrücke haben die nachstehend in der Datenverarbeitungsvereinbarung angegebenen Bedeutungen, es sei denn, der Kontext verlangt etwas anderes.
Anhang/Anhänge | bedeutet Anhänge zu dieser Datenverarbeitungsvereinbarung. |
Werktag | ein anderer Tag als Samstag, Sonntag oder Feiertag |
Geschäftszeiten | 9:00 bis 17:00 Uhr an einem Werktag |
Vertrag | bezeichnet die Kundenvereinbarung zwischen dem Datenverarbeiter und dem Kunden über die Erbringung von Dienstleistungen und die Allgemeinen Geschäftsbedingungen des Datenverarbeiters, einschließlich aller Zeitpläne, Anhänge und Änderungen. |
Verantwortlicher | der Kunde im Sinne des Vertrages und in Übereinstimmung mit der Definition des anwendbaren Datenschutzgesetzes. |
Datenverarbeitungsvereinbarung | diese Vereinbarung nebst Anhängen. |
Datenverarbeitungsdienste | die Dienstleistung, die im Anhang A beschrieben wird. |
Datenschutzgesetz | die geänderten Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten desEinzelnen und insbesondere seines Rechts auf Privatsphäre in Bezug auf die Verarbeitung personenbezogener Daten, die für einen für die Verarbeitung Verantwortlichen in dem EWR-Land gelten, in dem der für die Verarbeitung Verantwortliche seinen Sitz hat, einschließlich der DSGVO, des britischen Datenschutzgesetzes 2018, der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG (in der durch die Richtlinie 2009/136/EG aktualisierten Fassung) sowie der Richtlinien für Datenschutz und elektronische Kommunikation 2003 (SI 2003/2426). Eine Bezugnahme auf das Datenschutzgesetz ist eine Bezugnahme auf dieses Gesetz in seiner jeweils geänderten, erweiterten oder neu erlassenen Fassung. |
Betroffene Person | eine identifizierte oder identifizierbare natürliche Person (eine identifizierbare Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Standortdaten, einen Online- Identifikator oder auf einen oder mehrere Faktoren, die spezifisch für die physische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person sind). |
Vernichtung/Löschung | bedeutet, dass personenbezogene Daten unwiderruflich von allen Speichermedien, auf denen sie gespeichert sind, gelöscht werden und dass die personenbezogenen Daten in keiner Weise wiederhergestellt werden können, auch nicht von Sub-Datenverarbeitern. Dies gilt für alle im Zusammenhang mit der Verarbeitung verwendeten Speichermedien und schließt alle vorhandenen Kopien ein. |
Vertriebspartner | bezeichnet [Name, CVR-Nr. (Unternehmens- /Steuernummer) und Adresse des jeweiligen Vertriebspartners einfügen]. |
EWR | der Europäische Wirtschaftsraum |
Endbenutzer-Lizenz | die Vereinbarung zwischen Planday und jedem Betroffenen, der auf die Personal-Dienstplan-Software „Planday” zugreift und/oder jede damit zusammenhängende Software. |
DSGVO | Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). |
Personenbezogene Daten | jedwede Information, in einer wie auch immer gearteten Form, die sich auf die betroffene Person bezieht und die im Datenschutzgesetz näher definiert ist. |
Verletzung des Schutzes personenbezogener Daten | eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unberechtigten Offenlegung oder zum unberechtigten Zugriff auf die übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten führt. |
Verarbeiten/Verarbeitung | jeder Vorgang oder jede Vorgangsreihe, die mit personenbezogenen Daten oder mit einer Reihe von personenbezogenen Daten durchgeführt wird. Unabhängig davon, ob sie automatisch durchgeführt wird oder nicht, wie z. B. das Sammeln, Aufzeichnen, Organisieren, Strukturieren, Speichern, Anpassen oder Ändern, Abrufen, Abfragen, Benutzen, Weiterleiten, Verbreiten oder anderweitiges Zurverfügungstellen, Ausrichten oder Kombinieren, Einschränken, Löschen oder Vernichten. |
Verarbeitungsvorgänge | Wie in Anhang A definiert |
Datenverarbeiter | bedeutet Planday im Sinne der Datenverarbeitungsvereinbarung und in Übereinstimmung mit der Definition des anwendbaren Datenschutzgesetzes. |
Rückgabe | bedeutet, dass alle personenbezogenen Daten physisch oder elektronisch an den Verantwortlichen zurückgesandt werden und alle Kopien davon etc., die sich im Besitz des Datenverarbeiters befinden oder über die der Datenverarbeiter verfügen kann, einschließlich der personenbezogenen Daten, die an Sub-Datenverarbeiter weitergegeben werden, der Vernichtung unterliegen. |
Unterauftragsverarbeiter | bezeichnet einen anderen Datenverarbeiter, der vom Datenverarbeiter beauftragt wurde, mit dem Ziel, im Namen des Verantwortlichen bestimmte durchzuführen. |
Planday System | alle informationstechnischen Systeme oder Systeme, auf denen die Datenverarbeitungsdienste gemäß dieser Datenverarbeitungsvereinbarung erbracht werden. |
2.2 Sofern der Kontext nichts anderes erfordert, schließen Wörter im Singular den Plural und im Plural den Singular mit ein.
2.3 Alle Wörter, die den Begriffen „einschließlich”, „beinhalten”, „insbesondere”, „zum Beispiel” oder einer ähnlichen Phrase folgen, sind als illustrativ zu verstehen und schränken die Allgemeingültigkeit der verwandten allgemeinen Wörter nicht ein.
2.4 Jeglicher Haftungsausschluss oder jegliche Haftungsbeschränkung im Vertrag gilt auch für die Haftung des Datenverarbeiters im Rahmen dieser Datenverarbeitungsvereinbarung.
3.1 Die Datenverarbeitungsvereinbarung gilt für jede Verarbeitung personenbezogener Daten, die der Datenverarbeiter im Zusammenhang mit der Erbringung der Datenverarbeitungsdienste an den Verantwortlichen im Sinne des Anhangs A (Vertragsgegenstand) durchführt.
3.2 Der Kunde und Planday erkennen an, dass der Kunde der Verantwortliche und Planday der Datenverarbeiter in Bezug auf alle personenbezogenen Daten ist, die Planday von oder im Namen des Kunden, einschließlich der in Anhang A beschriebenen personenbezogenen Daten, im Zuge der Erbringung der Datenverarbeitungsdienste zur Verfügung gestellt werden.
3.3 Art und Zweck der Verarbeitung, die Art der Personendaten und die Kategorien der betroffenen Personen sind in Anhang A aufgeführt.
3.4 Diese Datenverarbeitungsvereinbarung lässt die in der Endbenutzerlizenz festgelegten Rechte und Pflichten von Planday unberührt.
4.1 Der Datenverarbeiter wird:
a) Personenbezogene Daten nur aufgrund von dokumentierten Anweisungen des Verantwortlichen, wie in dieser Datenverarbeitungsvereinbarung festgelegt, und zu den in Anhang A genannten Zwecken verarbeiten;
b) seine Tätigkeiten im Rahmen dieser Datenverarbeitungsvereinbarung mit der gebotenen Sachkenntnis, Sorgfalt und Gewissenhaftigkeit ausführen;
c) an seinem gewöhnlichen Geschäftssitz für jede Verarbeitung der personenbezogenen Daten, die im Rahmen der Datenverarbeitungsdienste durchgeführt wird, und über die Einhaltung der Pflichten, die in dieser Datenverarbeitungsvereinbarung („Aufzeichnungen”) festgelegt sind, Aufzeichnungen führen, wie in Art. 30 der DSGVO beschrieben;
d) sicherstellen, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen sich zur Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Geheimhaltungsverpflichtung unterliegen;
e) geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten gegen die zufällige oder unrechtmäßige Zerstörung oder gegen den zufälligen Verlust, die Veränderung, unberechtigte Offenlegung oder unberechtigten Zugriff sowie vor jedweder anderen Form unrechtmäßiger Verarbeitung zu schützen, einschließlich der Anforderungen in Bezug auf solche Maßnahmen gemäß dem Datenschutzgesetz, wie in Klausel 6 dargelegt;
f) Kopien der personenbezogenen Daten nur in dem Umfang anfertigen, der angemessen und notwendig ist, was unter anderem Sicherung, Spiegelung, Sicherheit, Notfall-Wiederherstellung und Überprüfung der personenbezogenen Daten umfassen kann;
g) nur Unterverträge mit Unterauftragsverarbeitern gemäß den Anforderungen der Klausel 7 eingehen;
h) den Verantwortlichen unverzüglich benachrichtigen, wenn eine Anweisung nach seiner Auffassung gegen das Datenschutzgesetz verstößt;
i) den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anträgen auf Ausübung der nicht ausschließlichen Rechte der betroffenen Person auf Zugang, Berichtigung, Löschung und Übertragbarkeit von Daten, wie sie im Datenschutzgesetz festgelegt sind, zu unterstützen;
j) nach Wahl des Verantwortlichen alle personenbezogenen Daten entweder während oder nach Ablauf der Laufzeit dieser Datenverarbeitungsvereinbarung an den Verantwortlichen zurücksenden oder vernichten, vgl. Klausel11;
k) dem Verantwortlichen alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung des Datenschutzgesetzes nachzuweisen, z. B. ein jährliches ISO27001 Compliance-Zertifikat, falls vorhanden;
l) im Zusammenhang mit Klausel 4.1(k)), sofern rechtlich und technisch möglich, Audits zulassen und zu diesen beitragen, einschließlich Überprüfungen, die vom Verantwortlichen oder einem anderen, vom Verantwortlichen Beauftragten durchgeführt werden, wie in Klausel 8 dargelegt;
m) die datenschutzrechtlichen Verpflichtungen, einschließlich der gegebenenfalls erforderlichen Ernennung eines Datenschutzbeauftragten, erfüllen.
4.2 Erhält der Datenverarbeiter Beschwerden, Meldungen oder Mitteilungen, die sich direkt oder indirekt auf die Verarbeitung personenbezogener Daten oder auf die Einhaltung des Datenschutzgesetzes durch eine der Parteien beziehen, so teilt er dies dem Verantwortlichen unverzüglich mit und leistet dem Verantwortlichen bei der Bearbeitung solcher Beschwerden, Meldungen oder Mitteilungen uneingeschränkte Mitwirkung und Unterstützung.
4.3 Die Haftung des Datenverarbeiters im Rahmen des Vertrages, einschließlich der Datenverarbeitungsvereinbarung, ist begrenzt und wird gemäß den Bestimmungen des Vertrages ausgeschlossen.
4.4 Der Datenverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn der Datenverarbeiter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt.
4.5 Der Datenverarbeiter ist berechtigt, dem Verantwortlichen alle Kosten (einschließlich interner Ressourcen zu den Standardsätzen des Datenverarbeiters), die im Zusammenhang mit der Unterstützung im Sinne der Klausel 4.1(a)-(m) entstehen, gesondert in Rechnung zu stellen.
5.1 Der Verantwortliche ist allein verantwortlich und haftbar für die Einhaltung des anwendbaren Rechts als Verantwortlicher.Der Verantwortliche wird vor der Nutzung der Software und dem Erhalt der Dienstleistungen gemäß desVertrages sicherstellen, dass die Verarbeitung personenbezogener Daten in einer Weise erfolgt, welche die Einhaltung aller datenschutzrechtlichen Bestimmungen gewährleistet, z. B. in Bezug auf die Bereitstellung der erforderlichen Informationen/Benachrichtigungen an und/oder Genehmigungen von betroffenen Personen und/oder Regulierungsbehörden im Zusammenhang mit der Verarbeitung.
5.2 Der Verantwortliche wird den Datenverarbeiter unverzüglich benachrichtigen, wenn er feststellt, dass die Verarbeitung der personenbezogenen Daten des Verantwortlichen möglicherweise gegen das Datenschutzgesetz verstößt.
5.3 Der Verantwortliche gewährleistet, dass die strikte Befolgung der Anweisungen des Verantwortlichen in Bezug auf die Verarbeitung personenbezogener Daten durch den Datenverarbeiter nicht zu einem Verstoß gegen das geltende Datenschutzgesetz führt.
5.4 Der Verantwortliche wird den Datenverarbeiter von jeglichem Nachteil freistellen, der sich aus der Nichterfüllung der Verpflichtungen des Verantwortlichen aus diesem Vertrag ergibt.
6.1 Der Datenverarbeiter ist verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein den Risiken angemessenes Maß an Sicherheit zu gewährleisten, die sich aus der Verarbeitung ergeben, insbesondere aus zufälliger oder unrechtmäßiger Vernichtung, dem Verlust, der Veränderung, der unbefugten Offenlegung oder dem Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten, unter Berücksichtigung des Stands der Technik, der Kosten der Durchführung und der Art, des Umfangs, des Kontextes und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen, einschließlich unter anderem, wie folgt:
a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
b) die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen;
c) die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen;
d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
6.2 Der Datenverarbeiter hat Maßnahmen zu ergreifen, um sicherzustellen, dass jede natürliche Person, die unter der Zuständigkeit des Datenverarbeiters handelt und Zugang zu den personenbezogenen Daten hat, die personenbezogenen Daten nur auf Anweisung des Verantwortlichen verarbeitet, es sei denn, er oder sie ist nach dem Datenschutzgesetz dazu verpflichtet.
6.3 Die spezifischen technischen und organisatorischen Sicherheitsmaßnahmen des Datenverarbeiters sind in Anhang B (Sicherheitsmaßnahmen) aufgeführt.
7.1 Der Verantwortliche ermächtigt hiermit den Datenverarbeiter, Unterauftragsverarbeiter, einschließlich, jedoch nicht beschränkt auf die Unterauftragsverarbeiter gemäß Anhang A, mit der Verarbeitung personenbezogener Daten zu beauftragen, sofern der Datenverarbeiter mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung abschließt, die dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt, die dem Datenverarbeiter im Rahmen dieser Datenverarbeitungsvereinbarung obliegen. Der Verantwortliche ist jederzeit berechtigt, nach angemessener schriftlicher Vorankündigung, eine Kopie der Datenverarbeitungsvereinbarung des Datenverarbeiters mit jedem Unterauftragsverarbeiter zu erhalten.
7.2 Der Datenverarbeiter wird den Verantwortlichen per E-Mail über jedes beabsichtigte Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters im Voraus informieren, so dass der Verantwortliche/die betroffene Person die Möglichkeit hat, Widerspruch einzulegen und/oder seine Einwilligung nach entsprechender Aufklärung zu erteilen, die nicht ohne angemessenen Grund verweigert werden darf. Der Verantwortliche kann nicht ohne einen redlichen und objektiven Grund Einwände erheben, es sei denn, dies ist nach zwingendem Recht erforderlich. Widerspricht der Verantwortliche einem Hinzufügen oder Ersetzen eines Unterauftragsverarbeiters und vorausgesetzt, dass der Widerspruch auf einem redlichen und objektiven Grund beruht, so ist der Datenverarbeiter berechtigt, den Vertrag über die Datenverarbeitung mit sofortiger Wirkung durch schriftliche Mitteilung zu kündigen.
7.3 Falls ein Unterauftragsverarbeiter seinen Datenschutzverpflichtungen aus der in Klausel 7.1 genannten Datenverarbeitungsvereinbarung nicht nachkommt, bleibt der Datenverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Datenschutzverpflichtungen des Unterauftragsverarbeiters im Allgemeinen uneingeschränkt verantwortlich.
8.1 Zum Zwecke der Überprüfung der Einhaltung der Verpflichtungen des Datenverarbeiters im Rahmen dieser Datenverarbeitungsvereinbarung, hat der Datenverarbeiter dem Verantwortlichen mit angemessener schriftlicher Ankündigung von nicht weniger als dreißig (30) Tagen während der Geschäftszeiten, jedoch ohne Ankündigung im Falle eines begründeten Verdachts einer Verletzung dieser Datenverarbeitungsvereinbarung durch den Datenverarbeiter, die Durchführung eines Audits zu gestatten, einschließlich, aber nicht beschränkt auf:
a) Zugang zu den Aufzeichnungen und anderen Informationen, die sich in den Räumlichkeiten des Datenverarbeiters oder auf dem mit den Datenverarbeitungsdiensten verbundenen Verarbeitungssystem befinden, um diese zu prüfen und Kopien davon anzufertigen sowie
b) Zugang zur Überprüfung des Systems des Datenverarbeiters.
8.2 Die schriftliche Mitteilung muss einen Vorschlag für einen Auditplan enthalten. Wenn ein Teil des angeforderten Auditumfangs innerhalb der letzten 12 Monate durch den Umfang eines Prüfungsberichts eines qualifizierten externen Prüfers abgedeckt ist, kann der Datenverarbeiter den Verantwortlichen auffordern, zu prüfen, ob dieser sich auf diesen Bericht, statt auf ein Audit stützen könnte. Der Datenverarbeiter ist berechtigt, das Datum sowie die Uhrzeit des Audits vorzuschlagen, um Betriebsstörungen zu minimieren und er kann vorschlagen, dass das Audit mit Audits anderer Verantwortlicher kombiniert wird. Der Verantwortliche kann solche Vorschläge vom Datenverarbeiter nicht ablehnen, es sei denn, er hat einen redlichen und objektiven Grund dafür.
8.3 Auf schriftliches Ersuchen des Verantwortlichen, gemäß der Klauseln 8.1 und 8.2, ist der Verantwortliche (oder eine Kontrollstelle, die sich aus unabhängigen Mitgliedern zusammensetzt, die im Besitz der erforderlichen beruflichen Qualifikationen und an eine vom Verantwortlichen oder der Regulierungsbehörde auferlegte Schweigepflicht gebunden sind) berechtigt, Audits der Einrichtungen und Sicherheitspraktiken des Datenverarbeiters durchzuführen, die unmittelbar mit der Verarbeitung personenbezogener Daten im Rahmen des Vertrages in Zusammenhang stehen, um die Einhaltung dieser Datenverarbeitungsvereinbarung zu überwachen. Sofern nicht ein begründeter Verdacht auf einen Verstoß gegen diese Datenverarbeitungsvereinbarung besteht oder dies anderweitig durch zwingendes Recht erlaubt ist, ist ein solches Audit auf 1 Audit für einen Zeitraum von jeweils 12 Monaten beschränkt.
8.4 Der Verantwortliche trägt die im Zusammenhang mit Audits entstehenden Kosten und der Datenverarbeiter ist berechtigt, dem Verantwortlichen alle angemessenen Kosten (einschließlich interner Ressourcen zu den Standardsätzen des Datenverarbeiters), die dem Datenverarbeiter im Zusammenhang mit seiner Unterstützung bei solchen Audits möglicherweise entstehen, gesondert in Rechnung zu stellen.
8.5 Jedes Audit ist in Übereinstimmung mit den internen Richtlinien des Datenverarbeiters durchzuführen und alle Teilnehmer unterliegen angemessenen schriftlichen Geheimhaltungsverpflichtungen. Soweit nach geltendem Recht zulässig, hat der Verantwortliche dem Datenverarbeiter eine Kopie des Audit-Berichts zu übergeben und der Datenverarbeiter ist vorbehaltlich der Entfernung etwaiger vertraulicher Informationen berechtigt, diesen Bericht in Verbindung mit anderen Verantwortlichen unentgeltlich zu verwenden.
8.6 Der Verantwortliche darf die während eines Audits erhaltenen Informationen, einschließlich der Audit-Berichte, nur zum Zwecke der Erfüllung seiner datenschutzrechtlichen Prüfungspflichten verwenden. Zur Klarstellung sei darauf hingewiesen, dass es dem Verantwortlichen nicht gestattet ist, Teile des Audit-Berichts ohne vorherige schriftliche Zustimmung des Datenverarbeiters der Öffentlichkeit zugänglich zu machen, es sei denn, dies ist gesetzlich vorgeschrieben.
8.7 Der Datenverarbeiter leistet während der Laufzeit dieser Datenverarbeitungsvereinbarung jede erforderliche Unterstützung bei der Durchführung solcher Audits (wie in Klausel 11 festgelegt).
8.8 Der Verantwortliche oder seine Vertreter in Form von Dritten im Sinne der Klausel 8.3 dürfen Audits mit den Unterauftragsverarbeitern des Datenverarbeiters durchführen, soweit dies nach Maßgabe der Bedingungen in der jeweils gültigen und anwendbaren Fassung der Geschäftsbedingungen des Unterauftragsverarbeiters möglich ist.
9.1 Der Datenverarbeiter darf die personenbezogenen Daten in Ländern außerhalb des EWR nur nach dokumentierten Anweisungen des Verantwortlichen, wie in Anhang A angegeben, verarbeiten.
9.2 Wenn der Datenverarbeiter personenbezogene Daten in einem Drittland (d. h. in einem Land außerhalb des EWR) verarbeitet, wird der Datenverarbeiter den Verantwortlichen im Voraus über die beabsichtigte Übermittlung informieren, um ihm die Möglichkeit des Einspruchs zu gewähren und er wird sicherstellen, dass die nachfolgend genannten Bedingungen erfüllt sind:
a) Der Datenverarbeiter hat in Bezug auf die Übermittlung geeignete Sicherheitsvorkehrungen getroffen (einschließlich geeigneter rechtlicher Mechanismen);
b) die betroffene Person hat durchsetzbare Rechte und wirksame Rechtsbehelfe;
c) der Datenverarbeiter gewährleistet ein angemessenes Schutzniveau für alle übermittelten personenbezogenen Daten; und
d) der Datenverarbeiter befolgt die angemessenen Anweisungen, die ihm im Voraus von dem Verantwortlichen in Bezug auf die Verarbeitung personenbezogener Daten mitgeteilt wurden.
10.1 Der Datenverarbeiter erkennt an, dass die zur Verarbeitung der personenbezogenen Daten berechtigten Personen zur Vertraulichkeit verpflichtet sind; diese Verpflichtung umfasst alle Informationen, die sich auf den Vertrag und die Geschäftstätigkeiten der Parteien beziehen.
10.2 Die Vertraulichkeitsbestimmungen gelten auch nach der Beendigung dieser Datenverarbeitungsvereinbarung fort.
11.1 Diese Datenverarbeitungsvereinbarung tritt mit dem im Vertrag festgelegten Wirksamkeitsdatum oder mit dem Datum der Unterschrift des Verantwortlichen auf der Unterschriftenseite in Kraft, je nachdem, welcher Zeitpunkt der frühere ist, und bleibt während der im Vertrag festgelegten Laufzeit in Kraft.
11.2 Mit Beendigung des Vertrages endet auch diese Datenverarbeitungsvereinbarung.
11.3 Ungeachtet der vorstehenden Klausel 11.2, erlischt diese Datenverarbeitungsvereinbarung erst dann, wenn der Verantwortliche die in Klausel 11.6 (b) beschriebene Dokumentation über die Löschung erhalten und akzeptiert hat. Es sei denn, der Verantwortliche erteilt anderweitig seine ausdrückliche Zustimmung.
11.4 Jede Bestimmung dieser Datenverarbeitungsvereinbarung, die ausdrücklich oder stillschweigend dazu dient, in Kraft zu treten oder auch nach Beendigung dieser Datenverarbeitungsvereinbarung weiterhin in Kraft zu bleiben, bleibt in vollem Umfang in Kraft und wirksam.
11.5 Die Beendigung dieser Datenverarbeitungsvereinbarung aus welchem Grund auch immer hat keine Auswirkungen auf die bei der Kündigung bestehenden Rechte, Rechtsmittel, Verpflichtungen oder Verbindlichkeiten der Parteien.
11.6 Bei Beendigung dieser Datenverarbeitungsvereinbarung aus welchem Grund auch immer:
a) wird der Datenverarbeiter alle personenbezogenen Daten und alle Informationen und sonstigen Materialien, die ihm von oder im Namen des Verantwortlichen im Zusammenhang mit dieser Datenverarbeitungsvereinbarung zur Verfügung gestellt werden, so bald wie möglich zurückgeben oder vernichten (wie vom Verantwortlichen schriftlich angeordnet);
b) wenn der Verantwortliche sich für die Vernichtung und nicht für die Rückgabe der Materialien gemäß Abschnitt 11.6 (a)) entscheidet, muss der Datenverarbeiter so bald wie möglich sicherstellen, dass diese vernichtet werden und dass alle personenbezogenen Daten aus der Software und dem Planday-System gelöscht werden.
Ungeachtet dessen darf die Vernichtung erst erfolgen, wenn der Datenverarbeiter den Verantwortlichen über die beabsichtigte Methode informiert hat und die Bestätigung des Verantwortlichen erhalten hat, dass die Vernichtung gemäß dieser Methode erfolgen soll. Sollte der Verantwortliche die beabsichtigte Zerstörungsmethode nicht ausreichend wirksam finden, wird er den Datenverarbeiter darüber informieren, welche Methode als ausreichend wirksam angesehen wird.
11.7 Der Datenverarbeiter hat die Einhaltung von Klausel 11 (a)) spätestens 14 Tage nach Beendigung dieses Datenverarbeitungsvertrages schriftlich zu bestätigen.
12.1 Bei Änderungen des zwingenden Datenschutzgesetzes ist der Datenverarbeiter berechtigt, diese Datenverarbeitungsvereinbarung entsprechend zu ändern.
13.1 Diese Datenverarbeitungsvereinbarung unterliegt dänischem Recht und wird dementsprechend ausgelegt. Die Kollisionsnormen müssen jedoch außer Acht gelassen werden, soweit sie nicht zwingend vorgeschrieben sind.
13.2 Sämtliche Streitigkeiten, die sich aus dieser Datenverarbeitungsvereinbarung ergeben, einschließlich sämtlicher Streitigkeiten in Bezug auf das Bestehen oder die Gültigkeit dieser Datenverarbeitungsvereinbarung, werden bei dänischen Gerichten anhängig gemacht.
Anhang A zur Datenverarbeitungsvereinbarung
Im Zusammenhang mit der Bereitstellung von Diensten des Datenverarbeiters und dem Hosting der personenbezogenen Daten im Auftrag des Verantwortlichen, erteilt der Verantwortliche dem Datenverarbeiter die Anweisung und die Zustimmung zur Verarbeitung der folgenden personenbezogenen Daten zu den nachfolgend genannten Zwecken:
1. Allgemeine Beschreibung und Zweck der Verarbeitungsvorgänge Verarbeitungsvorgänge
Der Datenverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen zum Zwecke der Erbringung von Personaleinsatzplanungsdienstleistungen.
2. Kategorien von betroffenen Personen
Die Kategorien der betroffenen Personen können von Zeit zu Zeit angepasst werden, soweit die Verarbeitung personenbezogener Daten und deren Zwecke weiterhin unter die allgemeine Beschreibung fallen.
(i) Mitarbeiter
(ii) Potenzielle Mitarbeiter
(iii) Ehemalige Mitarbeiter
3. Arten von personenbezogenen Daten
Beschreibung der Arten von personenbezogenen Daten für jede Kategorie von betroffenen Personen
Vollständiger Name & Initialen, Adresse, E-Mail-Adresse, Telefonnummer, Geschlecht, Steuernummer, Bankverbindung, Geburtsdatum, direkter Verwandter oder nächster Verwandter mit vollständigem Namen &Telefonnummer, Lohn- und Gehaltsabrechnungsdaten, Foto, Mitarbeiter-Vertragsdaten, Gehaltsabrechnungsdaten des Mitarbeiters, Daten, die vom Kunden in benutzerdefinierte Felder eingegeben wurden, die sensible persönliche Daten einschließlich medizinischer Daten enthalten können.
4. Wer hat beim Datenverarbeiter Zugriff auf personenbezogene Daten?
Nur Personen, die mit den Zwecken beschäftigt sind, für die die personenbezogenen Daten verarbeitet werden, sind berechtigt, auf die personenbezogenen Daten zuzugreifen und diese zu verarbeiten, einschließlich der Mitarbeiter, die sie zur Verfügung stellen:
• Supportleistungen,
• Wartung und Sicherung,
• Betriebssystem/Supportpersonal
5. Welche externen Parteien (außerhalb des Datenverarbeiters) haben Zugang zu allen oder einem Teil der personenbezogenen Daten (Unterauftragsverarbeiter), zu welchem Zweck und an welchem geographischen Standort (auch außerhalb des EWR)?
Unterauftragsverar-beiter | Beschreibung | Physische Adresse | Handelsregister-nummer | Kontakt |
Netgroup | Infrastruktur-Hosting-Dienstleistungen | Netgroup A/S Hørskætten 52630 Taastrup Dänemark | 26 09 35 03 | info@netgroup.dk |
Salesforce | Datenverarbeiter für die verwaltungsbezogene Verarbeitung von Kundendaten, erforderlich für Verkaufs- und Support-Tätigkeiten | Floor 26 Salesforce Tower 110 Bishopsgate London Vereinigtes Königreich EC2N 4AY | 05 09 40 83 | privacy@salesforce.com |
Intercom | Echtzeit-Chat-Support im Rahmen von kundenbezogenen und produktinternen Benachrichtigungen | 3rd Floor, Stephens Ct.18-21 St. Stephen’s Green Dublin 2, Ireland | 538158 | compliance@intercom.com |
Amazon Web Services | Infrastruktur-Hosting- Dienstleistungen – innerhalb der EU/des EWR gespeicherte Daten | One Burlington Plaza, Burlington Road, Dublin 4 Ireland | 566018 | https://aws.amazon.com/contact-us/ |
Microsoft Azure | Infrastruktur-Hosting-Dienstleistungen -innerhalb der EU/des EWR gespeicherte Daten | One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland | 256796 | https://azure.microsoft.com/en-gb/support/options/ |
Anhang B zur Datenverarbeitungsvereinbarung
Sicherheitsmaßnahmen
Der Datenverarbeiter wird geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko der Verarbeitung angemessenes Sicherheitsniveau zu gewährleisten. Zu diesen Maßnahmen gehören unter anderem:
1. Zutrittskontrolle von Räumlichkeiten und Einrichtungen (physisch)
1.1 Der Datenverarbeiter wird bei sämtlichen Unterauftragsverarbeitern oder gehosteten Datenzentren und Verwaltungsstandorten, die zur Verarbeitung personenbezogener Daten genutzt werden, eine vertragliche Verpflichtung zu wirtschaftlich sinnvollen physischen Sicherheitssystemen gewährleisten;
1.2 Der Datenverarbeiter wird eine vertragliche Verpflichtung gewährleisten, auf deren Grundlage eine physische Zugangskontrolle für sämtliche Unterauftragsverarbeiter oder gehosteten Datenzentren erfolgt (einschließlich, um nur ein Beispiel zu nennen, durch Überprüfen der Zugangskontrolle zu den Datenzentren mit dem Unterauftragsverarbeiter, beispielsweise ob unbefugter Zutritt zu Datenzentren durch Personal vor Ort verhindert wird oder dass biometrisches Scannen oder Überwachung durch Sicherheitskameras erfolgt, wie dies erforderlich ist, oder dass Drehkreuze mit Lesegeräten für die Zugangskontrolle installiert sind, um an sämtlichen Standorten jederzeit den physischen Zutritt zu kontrollieren, indem vom Personal vor dem Betreten des jeweiligen Standorts die Vorlage eines Lichtbildausweises verlangt wird);
1.3 Der Datenverarbeiter wird überprüfen, ob Unterauftragsverarbeiter oder gehostete Datenzentren Verfahren zur Ausgabe von Ausweisen an befugte Mitarbeiter und zur Kontrolle des physischen Zugangs zu den von ihm kontrollierten Systemen unterhalten;
1.4 Der Datenverarbeiter wird mit dem Unterauftragsverarbeiter oder dem gehosteten Datenzentrum überprüfen, ob Besucher vor dem Betreten der Standorte des Datenverarbeiters, die zur Verarbeitung personenbezogener Daten genutzt werden, eine Vorabgenehmigung erhalten, sich identifizieren und/oder ein Besucherprotokoll unterzeichnen und jederzeit begleitet werden, wenn sie auf dem Gelände der jeweiligen Standorte unterwegs sind.
2. Zugriffskontrolle von Systemen (virtuell)
2.1.1 Der Zugang wird dem Personal auf der Grundlage der geringst möglichen Privilegien und spezifischer Rollen durch dokumentierte Verfahren zur Beantragung des Zugangs gewährt;
2.1.2 Zugriffskontrollen werden auf Betriebssystem-, Datenbank- oder Anwendungsebene aktiviert;
2.1.3 der administrative Zugriff wird eingeschränkt, um Änderungen an Systemen oder Anwendungen zu verhindern;
2.1.4 Nutzern wird, wo dies möglich ist, ein einziges Konto mit Multi-Faktor-Authentifizierung zugewiesen und es wird ihnen untersagt, Konten gemeinsam zu nutzen.
3. Zugriffskontrolle von Geräten und Laptops
3.1 Der Datenverarbeiter wird wirtschaftlich angemessene Sicherheitsmaßnahmen in Bezug auf mobile Geräte und Laptops, die zur Verarbeitung personenbezogener Daten verwendet werden, einführen und aufrechterhalten.
4. Zugriffskontrolle von personenbezogenen Daten
4.1 Der Zugang wird erst nach erfolgreichem Abschluss eines genehmigten Verfahrens, d. h. einer LAN-Logon-ID, einer Anwendungszugangs-ID oder einer ähnlichen Identifikation, gewährt.
4.2 Es werden eindeutige Benutzer-IDs und Passwörter an die Benutzer vergeben.
4.3 Einmal authentifizierte Benutzer werden auf der Grundlage ihrer spezifischen Rolle und auf der Grundlage der geringst möglichen Privilegien für Zugriffsebenen autorisiert.
5. Übermittlungs- und Offenlegungskontrolle
5.1 Der Datenverarbeiter wird wirtschaftlich angemessene Maßnahmen ergreifen und aufrechterhalten, um zu verhindern, dass personenbezogene Daten während der elektronischen Übertragung oder des Transports unbefugt gelesen, kopiert, geändert oder gelöscht werden und um es dem Datenverarbeiter zu ermöglichen, zu überprüfen und festzustellen, an welche Stellen die Übertragung personenbezogener Daten mittels Datenübertragungseinrichtungen vorgesehen ist.
5.2 Der Datenverarbeiter wird Technologien und Verfahren unterhalten, die darauf ausgerichtet sind, den Zugang für eine unrechtmäßige Verarbeitung zu minimieren, einschließlich der Technologien zur Verschlüsselung personenbezogener Daten.
6. Eingabekontrolle
6.1 Der Datenverarbeiter wird System- und Datenbankprotokolle für den Zugriff auf alle personenbezogenen Daten unter seiner Kontrolle führen;
6.2 Alle Systeme des Datenverarbeiters müssen so konfiguriert sein, dass sie eine Ereignisprotokollierung ermöglichen, um eine Systembeeinträchtigung, unberechtigten Zugriff oder eine andere Sicherheitsverletzung zu erkennen. Die Protokolle müssen vor unbefugtem Zugriff oder Veränderung geschützt werden;
6.3 Der Kunde/Datenverarbeiter wird die Eingabekontrollen für seine Systeme beibehalten.
7. Tätigkeitskontrolle
7.1 Der Datenverarbeiter wird vor Aufnahme eines Arbeitsverhältnisses Verfahren einführen, um die Zuverlässigkeit seiner Mitarbeiter und aller anderen unter seiner Aufsicht handelnden Personen zu gewährleisten, die mit personenbezogenen Daten in Kontakt kommen oder anderweitig Zugang zu diesen haben und diese verarbeiten können, darunter beispielsweise die Durchführung von Hintergrundüberprüfungen.
7.2 Der Datenverarbeiter wird Verfahren einführen, die sicherstellen, dass sein Personal sich seiner Verantwortung im Rahmen der Vereinbarung bewusst ist. Der Datenverarbeiter hat alle Personen, denen er Zugang zu den personenbezogenen Daten gewährt, über die Datenschutzgesetzgebung sowie über alle relevanten Sicherheitsstandards zu instruieren und zu schulen und sie schriftlich zur Einhaltung des Datengeheimnisses, der Datenschutzgesetzgebung und anderer relevanter Sicherheitsstandards zu verpflichten.
7.3 Der Datenverarbeiter wird unverzüglich handeln, um den Zugang zu den personenbezogenen Daten des Kunden/Datenverarbeiters aufgrund einer Kündigung, einer Änderung der Arbeitsfunktion, bei Inaktivität oder längerer Abwesenheit des Benutzers zu widerrufen.
7.4 Der Datenverarbeiter muss über eine Datenschutzrichtlinie und eine Richtlinie zur Aufbewahrung von Dokumenten verfügen, die sein Personal einhalten muss.
8 Vorfallmanagement
8.1 Der Datenverarbeiter wird ein Vorfallmanagementverfahren implementieren und aufrechterhalten, das es dem Datenverarbeiter ermöglicht, den Verantwortlichen innerhalb des erforderlichen Zeitrahmens über jeden relevanten Vorfall zu informieren.
8.2. Sollte eine Vorfall (potenziell) personenbezogene Daten betreffen, hat der Datenverarbeiter den Verantwortlichen gemäß Ziffer 4 der Datenverarbeitungsvereinbarung zu benachrichtigen.
8.3 Das Vorfallmanagementverfahren beinhaltet die regelmäßige Bewertung von wiederkehrenden Problemen, die auf einen Sicherheitsverstoß hindeuten könnten.
8.4 Der Datenverarbeiter wird regelmäßig alle früheren Vorfälle überprüfen, um daraus einen Erkenntnisgewinn abzuleiten.
9. Verfügbarkeitskontrolle
9.1 Der Datenverarbeiter schützt personenbezogene Daten vor zufälliger Zerstörung oder Verlust, indem er sicherstellt, dass:
9.1.1 Die Arbeitsplätze durch kommerzielle Antiviren- und Malware-Schutzsoftware geschützt sind, welche regelmäßig aktualisiert werden;
9.1.2 Nach dem Erkennen eines Virus oder einer Malware wird der Datenverarbeiter unverzüglich Maßnahmen ergreifen, um die Verbreitung und Beschädigung durch den Virus oder die Malware zu stoppen und den Virus oder die Malware zu beseitigen.
9.1.3 Server werden durch kommerzielle Firewalls und Intrusion-Prevention-Systeme geschützt.
10. Geschäftskontinuitäts- und Veränderungsmanagement
10.1 Der Datenverarbeiter wird einen Geschäftskontinuitätsplan und einen Notfallwiederherstellungsplan implementieren, aufrechterhalten und regelmäßig überprüfen, die es ihm unter anderem ermöglichen, die Verfügbarkeit und den Zugang zu den personenbezogenen Daten im Falle eines physischen oder technischen Ereignisses innerhalb eines von den Parteien zu vereinbarenden Zeitrahmens fristgerecht wiederherzustellen.
10.2 Der Datenverarbeiter wird ein Veränderungsmanagement implementieren, um die Organisation, die Geschäftsprozesse, die Systeme und die Beziehungen zwischen den Unterauftragsverarbeitern, welche die Informationssicherheit betreffen, zu steuern.
10.3 Im Rahmen des Veränderungsmanagement-Verfahrens überprüft der Datenverarbeiter mögliche Auswirkungen auf die Sicherheit personenbezogener Daten, um daraus einen Erkenntnisgewinn abzuleiten.
11. Überprüfung der Anweisungen
11.1 Der Datenverarbeiter wird Verfahren einführen und aufrechterhalten, die sicherstellen, dass personenbezogene Daten nur in Übereinstimmung mit den Anweisungen des Verantwortlichen verarbeitet werden.
12. Trennungssteuerung
12.1 Der Datenverarbeiter wird Verfahren einführen und aufrechterhalten, um sicherzustellen, dass personenbezogene Daten nur in Übereinstimmung mit den Anweisungen des Verantwortlichen verarbeitet werden.
13. Regelmäßige Überprüfung der Sicherheitsmaßnahmen
13.1 Der Datenverarbeiter wird Verfahren einführen und aufrechterhalten, um sicherzustellen, dass personenbezogene Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden, sofern der Datenverarbeiter ausdrücklich über diese unterschiedlichen Zwecke informiert und dazu aufgefordert wurde und unter der Bedingung, dass der Datenverarbeiter seine Zeit und Kosten für die Erfüllung dieser Anforderung in Rechnung stellen kann.