Regelungen für die Auftragsdatenverarbeitung
i.S.d. Art.28 Abs.3 DS-GVO im Rahmen der Nutzung von manage4ALL™
Es wird hiermit auf die AGB zur Nutzung der unter der Marke manage4ALL™ angebotenen Leistungen Bezug genommen (nachfolgend „AGB“ genannt). Die in den AGB genannte buildingclouds GmbH, Campus Fichtenhain 70, D-47807 Krefeld ist bei der Datenverarbei-tung Auftragnehmer i.S.d. DS-GVO und wird auch in den nachfolgenden Regelungen buildingclouds genannt. Der Verantwortliche im Sinne der Nutzungs-AGB für manage4ALL™ ist Verantwortlicher im Sinne der DS-GVO und wird auch in den nachfolgenden Regelungen Verantwortlicher genannt.
1. Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
Die nachfolgenden Regelungen finden Anwendung auf alle Tätigkeiten, die mit dem gemäß den AGB geschlossenem Nutzungsvertrag (nachfolgend „Nutzungsvertrag“) in Zusammenhang stehen und bei denen Beschäftigte der oder von buildingclouds Beauftragte personenbezogene Daten („Daten“) des Verantwortlichen verarbeiten.
Aus den AGB ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung.
2. Anwendungsbereich und Verantwortlichkeit
buildingclouds verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Dies umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Verantwortliche ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an buildingclouds sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich und wird die gesetzlich vorgeschriebenen Informationen und Einwilligungen im Verhältnis zu den betroffenen Endnutzern sicherstellen („Verantwortlicher“ im Sinne des Art.4 Nr. 7 DS-GVO).
3. Pflichten von buildingclouds
3.1 buildingclouds darf Daten von betroffenen Personen nur im Rahmen des Nutzungsvertrages und der gesetzlichen Bestimmungen verarbeiten. Außerdem gestattet der Verantwortliche die Nutzung der Daten durch buildingclouds in anonymisierter Form zu statistischen, insbesondere entwicklungs- und wartungstechnischen Zwecken.
3.2 buildingclouds wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DS-GVO) genügen. buildingclouds hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
Dem Verantwortlichen werden diese technischen und organisatorischen Maßnahmen auf Nachfrage bekannt gegeben und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt buildingclouds vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
3.3 buildingclouds gewährleistet, dass es den mit der Verarbeitung der Daten des Verantwortlichen befassten Mitarbeiter und andere für den buildingclouds tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet buildingclouds, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Nutzungsvertrages fort.
3.4 buildingclouds unterrichtet den Verantwortlichen unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Verantwortlichen bekannt werden. buildingclouds trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hier-zu unverzüglich mit dem Verantwortlichen ab.
3.5 buildingclouds nennt dem Verantwortlichen auf Nachfrage den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
3.6 buildingclouds gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
3.7 buildingclouds berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Verantwortliche dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt buildingclouds gegen angemessene Vergütung die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Verantwortlichen. Über etwaige gesetzliche Pflichten oder behördliche Anordnungen, die der Löschung entgegenstehen, wird der Verantwortliche die betroffenen Personen jeweils datenschutzkonform informieren.
3.8 Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Verantwortlichen entweder herauszugeben oder zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Verantwortliche.
3.9 Im Falle einer Inanspruchnahme des Verantwortlichen durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich buildingclouds, den Verantwortlichen gegen angemessene Vergütung bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten fachlich zu unterstützen.
4. Pflichten des Verantwortlichen
4.1 Der Verantwortliche hat buildingclouds unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutz-rechtlicher Bestimmungen feststellt.
4.2 Der Verantwortliche nennt buildingclouds den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
5. Anfragen betroffener Personen
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an buildingclouds, wird buildingclouds die betroffene Person an den Verantwortlichen verweisen, sofern eine Zuordnung an den Verantwortlichen nach Angaben der betroffenen Person möglich ist. buildingclouds leitet den Antrag der betroffenen Person unverzüglich an den Verantwortlichen weiter. buildingclouds haftet nicht, wenn das Ersuchen der betroffenen Person vom Verantwortlichen nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
6. Nachweismöglichkeiten
6.1 buildingclouds weist dem Verantwortlichen auf Verlangen die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.
6.2 Sollten im Einzelfall Inspektionen durch den Verantwortlichen oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Buildingclouds darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Verantwortlichen beauftragte Prüfer in einem Wettbewerbsverhältnis zu buildingclouds stehen, hat buildingclouds gegen diesen ein Einspruchsrecht.
6.3 Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Verantwortlichen eine Inspektion vornehmen, gilt grundsätzlich Absatz 6.2. entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
7. Subunternehmer (weitere Auftragsverarbeiter)
7.1 Der Einsatz von Subunternehmern als weiteren Auftragsverarbeiter ist zulässig, wenn diese ihren Sitz in der Europäischen Union haben und nicht ausdrücklich etwas anderes vereinbart ist. buildingclouds wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.
7.2 Erteilt buildingclouds Aufträge an Subunternehmer, so obliegt es dem buildingclouds, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
8. Informationspflichten, Schriftformklause, Rechtswahl
8.1 Sollten die Daten des Verantwortlichen bei buildingclouds durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat buildingclouds den Verantwortlichen unverzüglich darüber zu informieren. buildingclouds wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Verantwortlichen als »Verantwortlicher « im Sinne der Datenschutz-Grundverordnung liegen.
8.2 Änderungen und Ergänzungen dieser Regelungen und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen von buildingclouds – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
8.3 Sollten einzelne Teile dieser Regelungen unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
8.4 Es gilt deutsches Recht unter Ausschluss des UN-Kaufrechts.
9. Haftung und Schadenersatz
Eine zwischen den Parteien im Nutzungsvertrag vereinbarte Haftungsregelung gilt auch für die Auftragsverarbeitung, wenn nicht ausdrücklich etwas anderes vereinbart ist.
Stand Juni 2021
© 2022 | All Rights Reserved