Vereinbarung zum Schutz personenbezogener Daten

Version 26.07.2022

Im Rahmen der Ausführung des LÖSUNGSVERTRAGS kann LENGOW zur Verarbeitung personenbezogener Daten von INTERNETNUTZERN und ANWENDERN im Auftrag des KUNDEN veranlasst sein. In diesem Zusammenhang erkennt LENGOW an, in der Eigenschaft eines Auftragsverarbeiters zu handeln, und der KUNDE erkennt an, in der Eigenschaft eines Verantwortlichen der Verarbeitung zu handeln, im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („DSGVO“).

Die PARTEIEN erkennen an, dass der Schutz personenbezogener Daten unerlässlich ist, und verpflichten sich daher zur Einhaltung der geltenden, einschlägigen Rechtsvorschriften.

Gemäß Artikel 28.3 der DSGVO unterliegt die Verarbeitung durch einen Auftragsverarbeiter einem Vertrag zur Definition des Gegenstands und der Dauer der Verarbeitung, der Art und des Zwecks der Verarbeitung sowie der Art der verarbeiteten personenbezogenen Daten, der Kategorien der betroffenen Personen und der Pflichten und Rechte des Verantwortlichen der Verarbeitung. In diesem Sinne haben sich die PARTEIEN zusammengeschlossen, um Folgendes zu vereinbaren.

ARTIKEL I. BEGRIFFSBESTIMMUNGEN

Die in dieser Vereinbarung („Vereinbarung“) in Großbuchstaben geschriebenen Begriffe und Bezeichnungen werden im LÖSUNGSVERTRAG definiert oder haben die in der Vereinbarung festgelegte Bedeutung.

Die Begriffe „personenbezogene Daten“, „Verantwortlicher der Verarbeitung“, „Auftragsverarbeiter“, „betroffene Person(en)“, „Verletzung personenbezogener Daten“, „Verarbeitung(en)“, „Aufsichtsbehörde“ und „Datenschutzbeauftragter“ haben die in der DSGVO vorgesehene Bedeutung, und die damit verbundenen Begriffe sind entsprechend auszulegen.

ARTIKEL II. ZWECK DER VEREINBARUNG

II.1 Der Zweck der Vereinbarung besteht in der Festlegung der Bedingungen, zu denen LENGOW die Verarbeitung personenbezogener Daten im Auftrag des KUNDEN durchführt, und der jeweiligen Verpflichtungen der PARTEIEN.

Die Verarbeitung personenbezogener Daten durch LENGOW im Auftrag des KUNDEN wird im Anhang der Vereinbarung („BESCHREIBUNG DER VERARBEITUNG“) erläutert.

II.2 Die PARTEIEN vereinbaren, dass sie einander alle Informationen, die zur Erfüllung der in der Vereinbarung festgelegten Verpflichtungen erforderlich sind, zur Verfügung stellen.

ARTIKEL III. DAUER DER DATENVERARBEITUNG

Die Dauer der Verarbeitung personenbezogener Daten entspricht der im Anhang festgelegten Dauer.

ARTIKEL IV. VERPFLICHTUNGEN DER PARTEIEN

IV.1. Verpflichtungen des Auftragsverarbeiters

LENGOW verpflichtet sich:

die personenbezogenen Daten ausschließlich zu den im LÖSUNGSVERTRAG und im Anhang dieser Vereinbarung vorgesehenen Zwecken zu verarbeiten.
die personenbezogenen Daten gemäß den vom KUNDEN dokumentierten und übermittelten Anweisungen zu verarbeiten. Alle Optionen, Anweisungen und Handlungen des KUNDEN im Zusammenhang mit der Nutzung der LENGOW-LÖSUNG durch ihn, die eine Verarbeitung personenbezogener Daten voraussetzen, um durch LENGOW ausgeführt werden zu können, gelten als Zustimmung des KUNDEN zur Verarbeitung dieser personenbezogenen Daten durch LENGOW in der Eigenschaft eines Auftragsverarbeiters. Sollte die Firma LENGOW der Auffassung sein, dass eine Anweisung einen Verstoß gegen die DSGVO oder gegen eine andere Bestimmung des EU-Rechts oder der einzelstaatlichen Gesetze zum Datenschutz darstellt, informiert sie den KUNDEN unverzüglich. Wenn die Firma LENGOW gemäß dem Unionsrecht oder dem Recht des Mitgliedstaats, dem sie untersteht, zur Übermittlung von Daten an ein Drittland oder an eine internationale Organisation verpflichtet ist, muss sie darüber hinaus den Verantwortlichen der Verarbeitung vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das einschlägige Recht verbietet solche Informationen aus triftigen Gründen des öffentlichen Interesses.
die Vertraulichkeit der personenbezogenen Daten, die im Rahmen dieser LÖSUNGSVEREINBARUNG verarbeitet werden, zu gewährleisten
dafür zu sorgen, dass Personen, die gemäß diesem LÖSUNGSVERTRAG zur Verarbeitung der personenbezogenen Daten befugt sind:
- sich zur Wahrung der Vertraulichkeit verpflichten oder an eine hinreichende Geheimhaltungspflicht gebunden sind.
- die erforderliche Schulung zum Schutz personenbezogener Daten erhalten.
den KUNDEN bei der Durchführung von Datenschutz-Folgenabschätzungen und vorausgehenden Rücksprachen mit der zuständigen Aufsichtsbehörde zu unterstützen.
über die von ihm für den KUNDEN durchgeführten Verarbeitungstätigkeiten gemäß den Bestimmungen der DSGVO Buch zu führen und diese Verarbeitungstätigkeiten gegenüber seinen anderen Kunden vertraulich zu behandeln.
alle erforderlichen Unterlagen zum Nachweis der Einhaltung seiner verschiedenen Verpflichtungen zu sammeln und dem KUNDEN zur Verfügung zu stellen.

IV.2 Verpflichten des Verantwortlichen der Verarbeitung

Der KUNDE verpflichtet sich, alle eventuellen, zusätzlichen Anweisungen zur Verarbeitung personenbezogener Daten durch LENGOW schriftlich zu übermitteln und zu dokumentieren.

Der KUNDE stellt LENGOW die folgenden erforderlichen Informationen zur Verfügung:

Name und Kontaktdaten des (der) für die Verarbeitung der personenbezogenen Daten des KUNDEN Verantwortlichen
Name und Kontaktdaten des Datenschutzbeauftragten des KUNDEN, sofern vorhanden, oder andernfalls des für die personenbezogenen Daten im Rahmen dieser Vereinbarung zuständigen Ansprechpartners des KUNDEN

DER KUNDE garantiert, dass die über die LENGOW-LÖSUNG verarbeiteten personenbezogenen Daten gemäß der DSGVO erhoben und verarbeitet werden.

In Übereinstimmung mit den europäischen und französischen Rechtsvorschriften zum Schutz personenbezogener Daten, insbesondere der DSGVO, garantiert der KUNDE vor jeglicher Nutzung der LENGOW-LÖSUNG durch den KUNDEN und während der gesamten VERTRAGSLAUFZEIT Folgendes:

Die personenbezogenen Daten wurden vom KUNDEN auf rechtmäßige Weise, nach Treu und Glauben und in einer nachvollziehbaren Weise erhoben und verarbeitet, zu festgelegten, eindeutigen und legitimen Zwecken, die sich der Kenntnis von LENGOW entziehen und bezüglich derer der KUNDE erklärt, dass er die betroffenen Personen vor der Erhebung ihrer personenbezogenen Daten in Übereinstimmung mit der DSGVO darüber informiert hat. Die eventuellen Verpflichtungen zu einer Voranmeldung in Verbindung mit der Verarbeitung personenbezogener Daten gegenüber einer Aufsichtsbehörde unterliegen der ausschließlichen Verantwortung des KUNDEN, der LENGOW garantiert, dass er diese Verpflichtungen erfüllt hat.
Der KUNDE ist allein verantwortlich für die Verarbeitung personenbezogener Daten, die er bei der Verwendung der LENGOW-LÖSUNG erhebt, erfasst oder verarbeitet und die LENGOW nicht für seinen eigenen Bedarf verarbeiten darf.
Allein der KUNDE bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten, die insbesondere durch die Nutzung der von LENGOW angebotenen LÖSUNG durchgeführt wird.

Die Garantien, die der KUNDE LENGOW gemäß diesem Artikel gewährt, stellen ausnahmslos wesentliche Bedingungen des LÖSUNGSVERTRAGS dar, ohne die LENGOW keinen Vertrag abgeschlossen hätte.

ARTIKEL V. NACHTRÄGLICHE VERGABE VON UNTERAUFTRÄGEN

LENGOW ist berechtigt, die Dienste eines anderen Auftragsverarbeiters (nachfolgend als „LENGOW-Auftragsverarbeiter“ bezeichnet) zur Durchführung spezifischer Verarbeitungstätigkeiten in Anspruch zu nehmen.

Der KUNDE erkennt an und akzeptiert, dass LENGOW für die Zwecke des LÖSUNGSVERTRAGS regelmäßig andere technische Anbieter einsetzt, welche die Eigenschaft eines Subunternehmers von LENGOW haben können und personenbezogene Daten im Auftrag von LENGOW verarbeiten können. Der KUNDE kann auf die aktuelle Liste der Subunternehmer von LENGOW zugreifen, indem er hier klickt. Der KUNDE hat nach dem Datum des Erhalts dieser Informationen fünfzehn (15) Kalendertage Zeit, um seine Einwände geltend zu machen, wobei diese auf objektiven und angemessenen Gründen beruhen müssen.

Die LENGOW-Subunternehmer sind verpflichtet, die Verpflichtungen aus dieser Vereinbarung im Auftrag und auf Anweisung des KUNDEN zu erfüllen. Es ist Aufgabe von LENGOW, dafür zu sorgen, dass die LENGOW-Subunternehmer dieselben hinreichenden Garantien hinsichtlich der Umsetzung geeigneter, technischer und organisatorischer Maßnahmen bieten, damit die Verarbeitung den Anforderungen der DSGVO entspricht.

Wenn der LENGOW-Subunternehmer seinen Datenschutzverpflichtungen nicht nachkommt, haftet LENGOW dem KUNDEN gegenüber vollumfänglich für die Erfüllung seiner Verpflichtungen durch den LENGOW-Subunternehmer.

ARTIKEL VI. AUSÜBUNG DER RECHTE BETROFFENER PERSONEN

Alle Rechte, die betroffene Personen an ihren personenbezogenen Daten haben, namentlich das Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit, das Recht, nicht Gegenstand einer automatisierten Entscheidung im Einzelfall zu werden (einschließlich Profiling), müssen von eben diesen betroffenen Personen direkt und ausschließlich beim KUNDEN ausgeübt werden, wobei sich LENGOW, verpflichtet, diesbezüglich jegliche schriftlichen und rechtmäßigen Anweisungen des KUNDEN zu befolgen.

Wenn sich die betroffenen Personen mit einem Antrag auf Ausübung ihrer Rechte hinsichtlich ihrer personenbezogenen Daten an LENGOW wenden, leitet LENGOW diese Anfragen unverzüglich per E-Mail an den KUNDEN weiter, sofern keine anderslautende Bestimmung schriftlich von LENGOW akzeptiert wurde.

ARTIKEL VII. MELDUNG VON VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN

LENGOW verpflichtet sich, den KUNDEN unverzüglich nach Bekanntwerden über jegliche Verletzung personenbezogener Daten in Kenntnis zu setzen, wenn diese Verletzung unbeabsichtigt oder unrechtmäßig zu einem unbefugten Zugriff oder einer unbefugten Offenlegung, zur Änderung, zum Verlust oder zur Vernichtung personenbezogener Daten führt. Daraufhin ist es Aufgabe des KUNDEN, gegebenenfalls i) die Aufsichtsbehörde, der er untersteht, und ii) die betroffenen Personen darüber in Kenntnis zu setzen.

Auf erstes Verlangen des KUNDEN liefert die Firma LENGOW schriftlich alle in ihrem Besitz befindlichen Angaben, die zur Meldung der Verletzung des Schutzes personenbezogener Daten bei der zuständigen Aufsichtsbehörde durch den KUNDEN erforderlich sind, nämlich:

die Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, sowie der Kategorien und der ungefähren Zahl der betroffenen, personenbezogenen Datensätze
Name und Kontaktdaten des LENGOW-Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
die von Lengow ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls die ergriffenen Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Wenn und soweit LENGOW dem KUNDEN nicht alle diese Informationen gleichzeitig zur Verfügung stellen kann, verpflichtet sich LENGOW, diese Informationen ohne unangemessene weitere Verzögerung schrittweise zur Verfügung stellen.

ARTIKEL VIII. ZUSAMMENARBEIT

Im Falle von Melde- und Mitteilungspflichten gegenüber den zuständigen Aufsichtsbehörden und/oder betroffenen Personen aufgrund einer Verletzung des Schutzes personenbezogener Daten unterstützen die PARTEIEN die jeweils andere PARTEI auf Anfrage durch Beistand und Übermittlung von Informationen.

Bei der Durchführung von Datenschutz-Folgenabschätzungen und vorausgehenden Rücksprachen mit der zuständigen Aufsichtsbehörde kooperieren die PARTEIEN soweit erforderlich. Wenn eine Aufsichtsbehörde mit einer PARTEI über die Verarbeitung der personenbezogenen Daten des KUNDEN im Rahmen der Vereinbarung oder des vorliegenden Vertrags durch eine der PARTEIEN kommuniziert, setzt die PARTEI, die mit der Aufsichtsbehörde kommuniziert hat, die andere PARTEI unverzüglich darüber in Kenntnis. Die PARTEIEN kooperieren in dem Umfang, der nach vernünftigem Ermessen erforderlich ist, um ihren Verpflichtungen zur Beantwortung der Anfragen der Aufsichtsbehörde nachzukommen. Jede Partei übernimmt die jeweiligen, zumutbaren Kosten, die mit der Erfüllung dieser Verpflichtungen verbunden sind, wobei darauf hingewiesen wird, dass die Vertragsparteien im Falle einer verstärkten Unterstützung durch eine der PARTEIEN in redlicher Absicht die Aufteilung der damit verbundenen Kosten erörtern.

ARTIKEL X. ZUKÜNFTIGER UMGANG MIT DEN DATEN

X.1-Daten der INTERNETNUTZER

Während der Ausführung des LÖSUNGSVERTRAGS werden alle im Besitz von LENGOW befindlichen, personenbezogenen Daten der INTERNETNUTZER spätestens sechs (6) Monate nach ihrer Erhebung über die LENGOW-LÖSUNG gelöscht oder zumindest anonymisiert.

Nach Beendigung des LÖSUNGSVERTRAGS verpflichtet sich LENGOW, alle in seinem Besitz verbleibenden, personenbezogenen Daten von INTERNETNUTZERN innerhalb von zwei (2) Monaten nach VERTRAGSENDE zu vernichten oder zumindest zu anonymisieren, es sei denn, das Unionsrecht oder das Recht des Mitgliedstaats schreibt die Vorratsspeicherung personenbezogener Daten vor.

X.2-ANWENDERDATEN

Nach Beendigung des LÖSUNGSVERTRAGS werden die personenbezogenen Daten der ANWENDER seiner Informationssysteme innerhalb von 30 Tagen nach Vertragsende von LENGOW gelöscht, vorbehaltlich anderslautender behördlicher oder rechtlicher Verpflichtungen.

ARTIKEL XI. AUDIT

LENGOW stellt dem KUNDEN die erforderlichen Unterlagen zur Verfügung, um die Einhaltung aller seiner Verpflichtungen nachzuweisen und die Durchführung von Audits im Rahmen einer Prüfung pro Vertragsjahr zu ermöglichen und daran mitzuwirken. Diese Audits werden durch den KUNDEN selbst vorgenommen oder durch einen von ihm beauftragten, unabhängigen Prüfer, der eine vorausgehende, schriftliche Genehmigung durch LENGOW benötigt. Dabei handelt es sich um Remote Audits auf der Grundlage der vom KUNDEN bei LENGOW angeforderten Informationen, mit dem Ziel, die von LENGOW eingerichteten Verfahren und Unterlagen zur Einhaltung der DSGVO nachzuweisen. Alle Kosten, die dem KUNDEN im Zusammenhang mit diesem Audit entstehen, sind ausschließlich vom KUNDEN zu übernehmen.

Der KUNDE übermittelt LENGOW mindestens zwei (2) Monate im Voraus jeglichen Auditantrag, das Datum der Prüfung sowie die Namen und Kontaktdaten der für die Prüfung zuständigen Personen. Diese Frist kann im Falle einer Verletzung des Schutzes personenbezogener Daten auf fünfzehn (15) Tage verkürzt werden.

Da die Prüfung in Form eines Remote Audits durchgeführt wird, arbeitet LENGOW in redlicher Absicht mit dem Prüfer zusammen und übermittelt ihm alle Informationen, Unterlagen oder Erklärungen, die für die Durchführung des Audits im Zusammenhang mit den im Rahmen der VERTRAGSAUSFÜHRUNG erfolgten Verarbeitungstätigkeiten erforderlich sind. Unter keinen Umständen dürfen die Prüfmaßnahmen in irgendeiner Weise direkt oder indirekt eine Störung der Tätigkeiten von LENGOW oder den Zugriff auf die im Eigentum von LENGOW befindlichen Inhalte, die als geistiges Eigentum oder Geschäftsgeheimnis geschützt sind, bzw. deren Beschädigung bezwecken oder bewirken.

ARTIKEL XII. INTERNATIONALE DATENÜBERMITTLUNGEN

DER KUNDE nimmt zur Kenntnis und erklärt sich damit einverstanden, dass LENGOW unter der Voraussetzung, dass eine der in Kapitel V der DSGVO vorgesehenen, angemessenen Schutzmaßnahmen wirksam angewandt wird, personenbezogene Daten möglicherweise außerhalb des EWR oder an eine internationale Organisation übermittelt.

Diese Maßnahmen umfassen:

die Übermittlung von Daten an ein Drittland, das Gegenstand eines aktuell geltenden Angemessenheitsbeschlusses der Europäischen Kommission war
die Absicherung der Datenübermittlung durch Unterzeichnung des entsprechenden Moduls der von der Europäischen Kommission verabschiedeten Standardvertragsklauseln (aktuelle Version: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&eliuri=eli%3Adec_impl%3A2021%3A914%3Aoj&locale=de) und gegebenenfalls die Einführung ergänzender Maßnahmen zur Gewährleistung eines Datenschutzniveaus, das im Wesentlichen mit dem in der DSGVO vorgesehenen Niveau gleichwertig ist
die Inanspruchnahme einer der in Artikel 49 der DSGVO vorgesehenen, besonderen Ausnahmen, wenn die Übermittlung die spezifischen Anwendungsbedingungen der gewählten Ausnahme streng erfüllt

ARTIKEL XIII. SONSTIGE BESTIMMUNGEN

Diese Vereinbarung und alle zugrundeliegenden Handlungen stellen die gesamte Absprache zwischen den PARTEIEN in Bezug auf den Gegenstand dieser Vereinbarung dar und ersetzen alle früheren mündlichen oder schriftlichen Vereinbarungen oder Erklärungen in Bezug auf diesen Gegenstand.

Bei Abweichungen zwischen der Vereinbarung, dem LÖSUNGSVERTRAG und jeglicher sonstigen zwischen den PARTEIEN getroffenen Absprache haben die Bestimmungen der Vereinbarung Vorrang, sofern sie sich auf die Verarbeitung personenbezogener Daten beziehen.

Die Vereinbarung und alle Streitigkeiten, die sich daraus ergeben oder darauf beziehen, werden gemäß französischem Recht ausgelegt, geregelt und ausgeführt. Die ausschließliche Zuständigkeit der Gerichte von Nantes (44200) für alle Streitigkeiten und Beschwerden im Rahmen der Vereinbarung und alle Klagen zur Geltendmachung solcher Beschwerden oder zur Durchsetzung von Schadensersatzansprüchen oder anderen Ausgleichsleistungen im Zusammenhang mit solchen Beschwerden wird von jeder PARTEI unwiderruflich anerkannt, vorbehaltlich anderslautender Bestimmungen in den geltenden Datenschutzvorschriften.