Rechtliches

Datenschutz

Vereinbarung zur Auftragsverarbeitung (AVV) gemäß Art. 28 DS-GVO

Zwischen

Fitness Nation GmbH

Bergstr. 18

59394 Nordkirchen, Deutschland

– im Folgenden „Auftragsverarbeiter" –

und

dem im Hauptvertrag bezeichneten Unternehmen

– im Folgenden „Verantwortlicher" –

Der Auftragsverarbeiter und der Verantwortliche werden im Folgenden auch einzeln als „Partei" oder gemeinsam als die „Parteien" bezeichnet.

§ 1 Vertragsgegenstand

(1) Diese Vereinbarung zur Auftragsverarbeitung („AVV") wird zwischen den Parteien im Hinblick auf die Verarbeitung personenbezogener Daten unter dem zwischen den Parteien bestehenden Hauptvertrag (im Folgenden „Hauptvertrag") abgeschlossen. Die Leistungserbringung unter dem Hauptvertrag („Services") erfordert die Verarbeitung von Daten. Wenn und soweit diese Daten personenbezogene Daten im Sinne der DS-GVO sind oder solche enthalten, agiert der Auftragsverarbeiter hinsichtlich dieser Daten als Auftragsverarbeiter im Sinne des Art. 28 DS-GVO, während der Verantwortliche Verantwortlicher im Sinne der DS-GVO bleibt.

(2) Die Services werden vom Auftragsverarbeiter in der Weise erbracht, dass der Verantwortliche seine eigenen Daten beibringt, deren Übermittlung an den Auftragsverarbeiter kontrolliert und – im Falle von Software-as-a-Service-Modellen – den Umgang mit solchen auf die Services hochgeladenen Daten steuert. Der Verantwortliche ist einverstanden und versteht, dass der Auftragsverarbeiter die Daten des Verantwortlichen oder den Umgang des Verantwortlichen mit diesen Daten nicht überwacht, sofern nicht der Verantwortliche ausdrücklich eine diesbezügliche Anfrage zum Zugriff auf diese Daten an den Auftragsverarbeiter richtet.

Daher ist es die alleinige Verantwortung und Obliegenheit des Verantwortlichen sicherzustellen, dass die personenbezogenen Daten in Übereinstimmung mit den anwendbaren Datenschutzgesetzen erhoben und an den Auftragsverarbeiter übermittelt werden und insbesondere, dass hierfür eine Rechtsgrundlage besteht und die betroffenen Personen über die Erhebung und Verarbeitung ihrer personenbezogenen Daten ordnungsgemäß informiert sind.

(3) Der Auftragsverarbeiter verarbeitet personenbezogene Daten des Verantwortlichen ausschließlich in Übereinstimmung mit den Bestimmungen dieser AVV und den dokumentierten Weisungen des Verantwortlichen.

Sofern der Auftragsverarbeiter durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zu einer Verarbeitung verpflichtet ist, die über die Weisungen des Verantwortlichen hinausgeht, wird der Auftragsverarbeiter den Verantwortlichen über diese rechtlichen Anforderungen vor der Verarbeitung informieren, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. In diesem Fall wird der Auftragsverarbeiter den Verantwortlichen über die Verarbeitung informieren, sobald dies rechtlich zulässig ist.

(4) Der Auftragsverarbeiter wird sicherstellen und regelmäßig selbst überprüfen, dass die Verarbeitung personenbezogener Daten im Verantwortungsbereich des Auftragsverarbeiters, einschließlich etwaig eingeschalteter Unterauftragsverarbeiter, in Übereinstimmung mit dieser AVV, den anwendbaren Datenschutzgesetzen und insbesondere der DS-GVO erfolgt.

§ 2 Einzelheiten der Verarbeitung (Art. 28 Abs. 3 DS-GVO)

(1) Gegenstand der Verarbeitung ist die Erbringung der im Hauptvertrag vereinbarten Services (insbesondere Bereitstellung/Hosting/Support von Software- und/oder Hardware-nahen Dienstleistungen), bei denen personenbezogene Daten im Auftrag verarbeitet werden.

(2) Dauer der Verarbeitung: Die Verarbeitung erfolgt grundsätzlich für die Laufzeit des Hauptvertrags sowie dieser AVV, soweit nicht schriftlich abweichend vereinbart. Nach Beendigung gelten die Regelungen in § 9.

(3) Art und Zweck der Verarbeitung ergeben sich aus dem Hauptvertrag. Typischerweise umfasst die Verarbeitung insbesondere: Speichern, Organisieren, Strukturieren, Abfragen, Übermitteln, Löschen sowie sonstige Verarbeitungsvorgänge, die zur Vertragserfüllung erforderlich sind.

(4) Art der personenbezogenen Daten: Je nach Nutzung der Services können insbesondere folgende Daten verarbeitet werden:

  • Stammdaten (z. B. Name, Adresse)
  • Kontaktdaten (z. B. E-Mail, Telefonnummer)
  • Vertrags- und Nutzungsdaten
  • Kommunikationsinhalte, soweit vom Verantwortlichen in die Services eingebracht
  • technische Nutzungsdaten (z. B. Logdaten), soweit erforderlich

(5) Kategorien betroffener Personen: Je nach Nutzung der Services können insbesondere folgende Kategorien betroffen sein:

  • Kunden/Mitglieder/Interessenten des Verantwortlichen
  • Mitarbeiter/Beauftragte des Verantwortlichen
  • sonstige Personen, deren Daten der Verantwortliche im Rahmen der Services verarbeitet

(6) Pflichten und Rechte des Verantwortlichen: Der Verantwortliche ist insbesondere verantwortlich für:

  • die Rechtmäßigkeit der Datenverarbeitung, einschließlich Rechtsgrundlagen und Informationspflichten,
  • die Erteilung und Dokumentation von Weisungen,
  • die Wahrnehmung der Betroffenenrechte,
  • die Durchführung ggf. erforderlicher Datenschutz-Folgenabschätzungen,
  • die Einhaltung der Meldepflichten gegenüber Aufsichtsbehörden und Betroffenen.

§ 3 Ort der Datenverarbeitung; Übermittlung in Drittländer

(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten grundsätzlich in der Europäischen Union (EU) oder in einem anderen Staat, der Vertragspartei des Abkommens über den Europäischen Wirtschaftsraum (EWR) ist.

(2) Jede Verarbeitung personenbezogener Daten außerhalb von EU/EWR ist nur bei vorheriger Vereinbarung zwischen den Parteien und nur dann zulässig, wenn die Voraussetzungen der Art. 44 ff. DS-GVO eingehalten werden.

§ 4 Weisungen des Verantwortlichen

(1) Die Parteien sind darüber einig, dass diese AVV die generellen Weisungen des Verantwortlichen hinsichtlich der Verarbeitung personenbezogener Daten im Auftrag enthält.

(2) Der Verantwortliche ist berechtigt, spezielle Weisungen im Hinblick auf die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter zu erteilen. Spezielle Weisungen, die von dieser AVV abweichen oder dem Auftragsverarbeiter neue, zusätzliche Verpflichtungen auferlegen, bedürfen zu ihrer Wirksamkeit der Zustimmung des Auftragsverarbeiters. Für solche Weisungen werden die Parteien das ggf. im Hauptvertrag vereinbarte Change-Verfahren anwenden. Dies gilt nicht, sofern spezielle Weisungen erforderlich sind, um Rechtsverstöße im Zuständigkeitsbereich des Auftragsverarbeiters zu verhindern bzw. abzustellen.

(3) Der Verantwortliche stellt sicher, dass Weisungen im Einklang mit anwendbaren Datenschutzgesetzen stehen und vom Auftragsverarbeiter ohne Verstoß gegen anwendbare Gesetze umgesetzt werden können. Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, teilt er dies dem Verantwortlichen mit. Der Auftragsverarbeiter ist berechtigt, die Ausführung der Weisung bis zur Bestätigung oder Anpassung der Weisung auszusetzen.

(4) Spezielle Weisungen werden schriftlich oder zumindest in Textform erteilt. Mündliche Weisungen sind unverzüglich zumindest in Textform zu bestätigen. Sämtliche Weisungen sind zu dokumentieren.

§ 5 Zusicherungen des Auftragsverarbeiters

(1) Mitarbeiter des Auftragsverarbeiters, die zur Verarbeitung personenbezogener Daten befugt sind,

(i) sind zur Vertraulichkeit verpflichtet oder unterliegen einer angemessenen gesetzlichen Verschwiegenheitspflicht,

(ii) verarbeiten personenbezogene Daten ausschließlich gemäß dieser AVV und den Weisungen des Verantwortlichen, soweit keine gesetzliche Verpflichtung zu einer anderweitigen Verarbeitung besteht, und

(iii) werden regelmäßig über die sich aus dieser AVV sowie den anwendbaren Datenschutzgesetzen ergebenden Pflichten belehrt.

(2) Der Auftragsverarbeiter darf ohne vorherige Zustimmung des Verantwortlichen keine Kopien oder Duplikate der im Auftrag verarbeiteten personenbezogenen Daten anfertigen. Hiervon ausgenommen sind Kopien, soweit sie zur ordnungsgemäßen Datenverarbeitung und Leistungserbringung (einschließlich Datensicherung) erforderlich sind, sowie Kopien zur Einhaltung gesetzlicher Aufbewahrungspflichten.

(3) Der Auftragsverarbeiter bestellt einen Datenschutzbeauftragten, wenn und solange die gesetzlichen Voraussetzungen hierfür bestehen, und teilt dem Verantwortlichen dessen Kontaktdaten auf Anfrage mit.

§ 6 Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau im Sinne des Art. 32 DS-GVO zu gewährleisten, insbesondere zur Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme.

(2) Der Auftragsverarbeiter ist berechtigt, technische und organisatorische Maßnahmen an den Stand der Technik anzupassen, sofern hierdurch das Sicherheitsniveau nicht unterschritten wird.

§ 7 Einschaltung von Unterauftragsverarbeitern

(1) Der Auftragsverarbeiter darf Unterauftragsverarbeiter nur mit vorheriger Zustimmung des Verantwortlichen einschalten. Der Verantwortliche erteilt seine Zustimmung zu den zum Zeitpunkt des Vertragsschlusses eingesetzten Unterauftragsverarbeitern durch gesonderte Mitteilung oder Regelung im Hauptvertrag.

(2) Der Auftragsverarbeiter verpflichtet Unterauftragsverarbeiter vertraglich zu Datenschutz-, Vertraulichkeits- und Datensicherheitsverpflichtungen, die mindestens den in dieser AVV geregelten Verpflichtungen entsprechen.

(3) Der Auftragsverarbeiter wird dem Verantwortlichen den beabsichtigten Einsatz oder Wechsel eines Unterauftragsverarbeiters vorab in Textform mitteilen. Der Verantwortliche kann binnen dreißig (30) Tagen ab Zugang der Mitteilung aus sachlichem Grund widersprechen. Die Parteien werden in diesem Fall nach einer einvernehmlichen Lösung suchen. Wird binnen zwei (2) Monaten keine Lösung erzielt, ist der Verantwortliche berechtigt, den Hauptvertrag im Hinblick auf die Services zu kündigen, für die der Einsatz des Unterauftragsverarbeiters erforderlich ist.

(4) Erbringer bloßer Hilfsdienstleistungen gelten nicht als Unterauftragsverarbeiter im Sinne der Datenschutzgesetze (z. B. Post-/Kurierdienste, Telekommunikationsdienste, Bewachungs- und Reinigungsdienste). Unbeschadet dessen trifft der Auftragsverarbeiter branchenübliche Vertraulichkeitsvereinbarungen.

§ 8 Unterstützungspflichten gegenüber dem Verantwortlichen

(1) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in dieser AVV niedergelegten Pflichten zur Verfügung. Auf Anfrage unterstützt der Auftragsverarbeiter den Verantwortlichen im angemessenen Umfang bei Anfragen oder Untersuchungen durch Datenschutzaufsichtsbehörden, soweit diese die Services betreffen.

(2) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung unter dieser AVV feststellt. Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessenem Umfang bei dessen Meldepflichten gemäß Art. 33 und 34 DS-GVO.

Sofern den Auftragsverarbeiter an einem meldepflichtigen Datenschutzvorfall kein Verschulden trifft, ist der Auftragsverarbeiter berechtigt, den Aufwand für Unterstützungsleistungen nach den im Hauptvertrag vereinbarten Vergütungssätzen zu berechnen.

(3) Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen in angemessenem Umfang bei der Durchführung von Datenschutzfolgenabschätzungen und ggf. Konsultationen gemäß Art. 35 und 36 DS-GVO. Der Auftragsverarbeiter ist berechtigt, den Aufwand entsprechend den im Hauptvertrag vereinbarten Vergütungssätzen zu berechnen.

(4) Wendet sich eine betroffene Person mit einem Verlangen zur Ausübung ihrer Rechte direkt an den Auftragsverarbeiter, informiert der Auftragsverarbeiter den Verantwortlichen unverzüglich. Der Auftragsverarbeiter beantwortet solche Anfragen nicht selbst, es sei denn, der Verantwortliche hat ihn hierzu ausdrücklich angewiesen. Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessenem Umfang bei der Erfüllung der Betroffenenrechte.

Der Auftragsverarbeiter ist berechtigt, den Aufwand für Unterstützungsleistungen entsprechend den im Hauptvertrag vereinbarten Vergütungssätzen zu berechnen.

§ 9 Rückgabe oder Löschung personenbezogener Daten

(1) Nach Weisung des Verantwortlichen während der Laufzeit dieser AVV oder nach deren Kündigung oder nach Beendigung der Verarbeitung personenbezogener Daten unter dem Hauptvertrag wird der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten entweder löschen/vernichten oder an den Verantwortlichen zurückgeben.

Sofern anwendbare Gesetze dem Auftragsverarbeiter eine Löschung, Vernichtung oder Rückgabe verbieten, wird der Auftragsverarbeiter die Daten nicht mehr aktiv verarbeiten, sondern lediglich zur Einhaltung gesetzlicher Bestimmungen, insbesondere Aufbewahrungspflichten, speichern und nach Wegfall des Hindernisses entsprechend der ursprünglichen Weisung löschen/vernichten oder zurückgeben.

(2) Der Auftragsverarbeiter erstellt ein Protokoll über erfolgte Löschungen oder Vernichtungen und stellt dieses dem Verantwortlichen auf Verlangen zur Verfügung.

§ 10 Auditrechte

(1) Der Verantwortliche ist berechtigt, während der üblichen Geschäftszeiten (montags bis freitags von 9:00 bis 17:00 Uhr) auf eigene Kosten und ohne unnötige Störung des Betriebsablaufs die Geschäftsräume des Auftragsverarbeiters, in denen Daten des Verantwortlichen verarbeitet werden, zu betreten, um sich von der Einhaltung dieser AVV zu überzeugen. Der Verantwortliche kündigt eine Vor-Ort-Inspektion in der Regel mindestens zwei Wochen vorher an.

(2) In der Regel ist der Verantwortliche zu einer Vor-Ort-Kontrolle pro Kalenderjahr berechtigt. Das Recht zur Durchführung weiterer Kontrollen bei besonderen Vorkommnissen bleibt unberührt.

(3) Beauftragt der Verantwortliche einen Dritten, verpflichtet er diesen schriftlich zu mindestens denselben Vertraulichkeits- und Datenschutzpflichten wie nach dieser AVV. Der Verantwortliche darf keinen unmittelbaren Konkurrenten des Auftragsverarbeiters mit der Kontrolle beauftragen.

(4) Zum Nachweis der Einhaltung dieser AVV können auch genehmigte Verhaltensregeln (Art. 40 DS-GVO), Zertifizierungen (Art. 42 DS-GVO) oder geeignete, aktuelle Prüfberichte unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) herangezogen werden, sofern diese dem Verantwortlichen in angemessener Weise eine Überprüfung ermöglichen.

(5) Wenn und soweit eine Vor-Ort-Inspektion nicht durch ein Fehlverhalten des Auftragsverarbeiters notwendig geworden ist, ist der Auftragsverarbeiter berechtigt, den Aufwand für die Begleitung der Vor-Ort-Inspektion entsprechend den im Hauptvertrag vereinbarten Vergütungssätzen zu berechnen.

§ 11 Sonstige Bestimmungen

(1) Diese AVV unterliegt demselben Recht wie der Hauptvertrag. Für alle Streitigkeiten aus und im Zusammenhang mit dieser AVV sind ausschließlich diejenigen Gerichte zuständig, auf welche sich die Parteien im Hauptvertrag verständigt haben.

(2) Änderungen oder Ergänzungen dieser AVV sind nur wirksam, wenn sie schriftlich abgefasst wurden.

(3) Sollte eine Bestimmung dieser AVV unwirksam oder nicht durchsetzbar sein oder werden, bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien werden die unwirksame Bestimmung durch eine wirksame ersetzen, die dem wirtschaftlichen Zweck am nächsten kommt.

(4) Diese AVV tritt mit Abschluss des Hauptvertrags als dessen integraler Bestandteil in Kraft. Sie gilt ungeachtet des Endes der Vertragslaufzeit des Hauptvertrags solange, bis sämtliche personenbezogenen Daten, die unter dieser AVV verarbeitet wurden, vom Auftragsverarbeiter und etwaig eingesetzten Unterauftragsverarbeitern gelöscht bzw. zurückgegeben wurden.