Thank you! Your submission has been received!
We look forward to seeing you at the first limbiq power user day!
Oops! Something went wrong while submitting the form.
(Auftragsdatenverarbeitungsvertrag)
zugleich: „Anlage zu den limbiq SCM - Allgemeine Geschäftsbedingungen“
[Kunde]
- im Folgenden „Auftraggeber“ -
und
limbiq system GmbH, Philosophenweg 31-33,47051 Duisburg
- im Folgenden „Auftragnehmer“ -
- jeweils eine „Partei“, zusammen die „Parteien“ -
schließen nachfolgenden Vertrag („Vertrag“) über die Verarbeitung von personenbezogenen Daten des Auftraggebers durch den Auftragnehmer:
1) Vertragsgegenstand, Definitionen
1.1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und auf dokumentierte Weisung des Auftraggebers in Zusammenhang mit der Nutzung von limbiq SCM gemäß den jeweils anwendbaren Nutzungsbedingungen (der „Hauptvertrag“).
1.2) Der Auftraggeber wählte den Auftragnehmer im Rahmen seiner Sorgfaltspflichten aufgrund des anwendbaren Datenschutzrechts als Dienstanbieter aus. Dieser Vertrag enthält nach dem Willen der Parteien den schriftlichen Auftrag zur Auftragsverarbeitung im Sinne des anwendbaren Datenschutzrechts und gewährt den Parteien Rechte und Pflichten im Zusammenhang mit der Datenverarbeitung.
1.3) „Personenbezogene Daten“ oder „Daten“ bedeutet jede Information, die sich auf eine bestimmte oder bestimmbare natürliche Person („Betroffener“) bezieht, die der Auftragnehmer nach Weisung des Auftraggebers verarbeitet.
1.4) „Verarbeiten“, „Datenverarbeitung“ oder „Verarbeitung“ bedeutet jeder mit oder ohne Hilfe automatischer Verfahren ausgeführte Vorgang oder jede Vorgangsreihe in Zusammenhang mit personenbezogenen Daten, wie etwa Erhebung, Aufzeichnung, Organisation, Speicherung, Anpassung oder Veränderung, Empfang, Abfrage, Offenlegung durch Übersendung, Verbreitung oder jede andere Form der Bereitstellung, Abgleich oder Kombination, Sperrung, Löschung, Zerstörung oder jede andere Nutzung.
1.5) „Anweisung“ bedeutet eine vom Auftraggeber an den Auftragnehmer erteilte Anordnung, die den Auftragnehmer zur Verarbeitung personenbezogener Daten anweist. Weisungen können schriftlich, in Textform (z. B. per E-Mail) erfolgen.
2) Rechte und Pflichten des Auftraggebers
2.1) Der Auftraggeber ist rechtlich verantwortlich für die Datenverarbeitung durch den Auftragnehmer. Die Beurteilung der Zulässigkeit der Datenverarbeitung und die Einholung eventuell notwendiger Einwilligungen obliegen dem Auftraggeber.
2.2) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen bezüglich Zweck, Art und Umfang der Verarbeitung von Daten an den Auftragnehmer zu erteilen. Der Auftraggeber trägt hierdurch anfallende Mehrkosten; der Auftragnehmer kann einen Vorschuss verlangen. Der Auftragnehmer darf die Ausführung zusätzlicher oder geänderter Datenverarbeitungen verweigern, wenn sie zu einer erheblichen Änderung des Arbeitsaufwands führen würden oder wenn der Auftraggeber die Erstattung der Mehrkosten oder den Vorschuss verweigert.
2.3) Dem Auftraggeber obliegt es, dem Auftragnehmer die Daten zur Leistungserbringung in der erforderlichen Qualität zur Verfügung zu stellen.
2.4) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Sollten Dritte gegen den Auftragnehmer aufgrund von angeblich unrechtmäßigen Datenverarbeitungen Ansprüche geltend machen, wird der Auftraggeber, soweit diese angeblich unrechtmäßigen Verarbeitungen auf Vorsatz oder Fahrlässigkeit des Auftraggebers beruhen, den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen. Soweit der Auftragnehmer den Auftraggeber bei der Erfüllung der Ansprüche Betroffener unterstützt (insbesondere hinsichtlich Berichtigung, Löschung und Sperrung von Daten), erstattet der Auftraggeber dem Auftragnehmer Kosten und Aufwand. Die Parteien verständigen sich über den erwarteten Umfang von Kosten und Aufwand.
2.5) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der Daten durch den Auftragnehmer feststellt.
3) Rechte und Pflichten des Auftragnehmers
3.1) Der Auftragnehmer verarbeitet die Daten nur im Rahmen der getroffenen Vereinbarungen, sofern er nicht durch Recht der EU oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich nach den Weisungen des Auftraggebers.
3.2) Im Rahmen des Möglichen und Erforderlichen unterstützt der Auftragnehmer den Auftraggeber bei der Durchführung von Kontrollen durch die zuständige Datenschutzaufsichtsbehörde, bei der Erfüllung gesetzlicher Informationspflichten gegenüber Betroffenen und Datenschutzaufsichtsbehörden, bei Datenschutz-Folgenabschätzung und vorherigen Konsultationen der Datenschutzaufsichtsbehörde, sowie bei der Pflicht des Auftraggebers zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten.
3.3) Der Auftragnehmer wird den Auftraggeber darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen des anwendbaren Datenschutzrechts verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber in eine gesetzmäßige Weisung geändert wird.
3.4) Der Auftragnehmer informiert den Auftraggeber zeitnah, wenn er feststellt, dass er bei der Verarbeitung von Daten des Auftraggebers gegen wesentliche datenschutzrechtliche Vorschriften oder gegen substantielle Festlegungen aus diesem Vertrag verstoßen hat, sofern die Gefahr besteht, dass Dritte unrechtmäßig Kenntnis von Daten erlangt haben, so dass der Auftraggeber nach dem anwendbaren Datenschutzrecht Informationspflichten unterliegt.
3.5) Der Auftragnehmer gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
3.6) Der Auftragnehmer stellt dem Auftraggeber auf Verlangen die notwendigen Informationen zur Benachrichtigung über die Datenverarbeitungsvorgänge zur Verfügung.
3.7) Der Auftragnehmer hat den Auftraggeber unverzüglich über etwaige Maßnahmen der zuständigen Aufsichtsbehörde zu unterrichten, sofern diese Maßnahmen die Datenverarbeitung des Auftragnehmers für den Auftraggeber betreffen.
3.8) Nach Beendigung dieses Vertrags löscht der Auftragnehmer die Daten, die er vom Auftraggeber erhalten hat und die personenbezogene Daten enthalten innerhalb von drei (3) Monaten. Der Auftragnehmer ist berechtigt, Daten und Dokumentation zu behalten, die nötig sind, um zwingenden Vorschriften nachzukommen und um der Verpflichtung, Aufzeichnungen aufzubewahren, zu genügen (z. B. nach Steuer- oder Handelsrecht).
3.9) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Vertrag geregelten Pflichten zur Verfügung. Er ermöglicht und trägt bei zu Überprüfungen – einschließlich Inspektionen –, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden.
4) Weitere Auftragsverarbeiter, Datentransfer
4.1) Der Auftragnehmer ist vor der Beauftragung von Unterauftragsverarbeitern verpflichtet, den Auftragnehmer hierüber zu informieren. Soweit der Auftraggeber nicht innerhalb von 14 Tagen der Unterbeauftragung widerspricht, gilt seine Einwilligung als erteilt. Für den Fall, dass der Auftraggeber seine Einwilligung verweigert, steht dem Auftragnehmer ein Sonderkündigungsrecht zu.
4.2) Der Auftragnehmer wird Unterauftragsverarbeitern vertraglich dieselben Pflichten wie nach diesem Vertrag auferlegen, einschließlich hinreichender Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den gesetzlichen Anforderungen erfolgt.
4.3) Die Parteien sind sich bewusst, dass der Auftragnehmer Subunternehmer außerhalb des Europäischen Wirtschaftsraums einsetzt. Diese Ziffer 0 gilt auch für solche Subunternehmer.
4.4) Der Auftraggeber stimmt zu, dass der Auftragnehmer Subunternehmer zur Erbringung der Leistungen nach dem Hauptvertrag einschaltet und die Daten an sie übermittelt, insbesondere:
Amazon Web Services EMEA SARL, 5 Rue Plaetis, L-2338 Luxemburg, http://aws.amazon.com, Funktion: Hosting-Anbieter, Rechenzentrumsdiensleistungen;
Pipedrive OÜ, Mustamäe tee 3a, 10615 Tallinn, Estland, E-Mail: support@pipedrive.com, https://www.pipedrive.com/en/privacy, Funktion: Kunden- und Interessentenbetreuung, Customer Relationship Management;
Auth0 Inc. 3rd Floor Union House 182-194 Union Street London, SE1 0LH, UK, Funktion: Authentication und Authorization Services;
Hotjar Limited, Level 2, St Julian’s Business Centre, 3, Elia Zammit Street, St Julian’s STJ 1000, Malta, Funktion: Webanalyse und Heatmaps;
Mailgun Technologies, San Antonio, TX, United States, 112 E Pecan St #1135, Funktion: E-Mail-Automatisierungsdienst;
Sendinblue GmbH, Köpenicker Straße 126, 10179 Berlin, Germany, Funktion: E-Mail-Marketing und Newsletter.
4.5) Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit Subunternehmern Verträge – etwa (Unter-) Auftragsverarbeitungsverträge und EU-Standardvertragsklauseln – abzuschließen, die erforderlich sind, um hinsichtlich des Datentransfers ein angemessenes Datenschutzniveau zu gewährleisten. Der Auftragnehmer darf Subunternehmern Untervollmachten erteilen. Der Auftraggeber erklärt sich bereit, an der Erfüllung der rechtlichen Voraussetzungen für den Datentransfer mitzuwirken.
5) Technische und organisatorische Maßnahmen
5.1) Der Auftragnehmer verpflichtet sich, die geeigneten und gesetzlich erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
5.2) Da technische und organisatorische Maßnahmen der technologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative Maßnahmen umzusetzen, sofern dabei das durch anwendbares Datenschutzrecht vorgeschriebene Sicherheitsniveau nicht unterschritten wird.
6) Kontrollrecht (Nachweis der technischen und organisatorischen Maßnahmen)
Auf Verlangen hat der Auftragnehmer dem Auftraggeber die eingesetzten technischen und organisatorischen Maßnahmen nachzuweisen. Dieser Nachweis kann durch die Vorlage einer aktuellen Zertifizierung, eines geeigneten Prüfberichts oder von Berichten oder Auszügen von Berichten einer unabhängigen Stelle (z. B. Rechnungsprüfer, Controller, interner oder externer Datenschutzbeauftragter, IT-Sicherheits-Abteilung, Datenschutzprüfer, Qualitätsprüfer) oder einer passenden Zertifizierung durch ein IT-Sicherheits- oder Datenschutz-Audit (z. B. ISO 27001) („Prüfbericht“) erfolgen.
7) Vertragsdauer
Die Dauer dieses Vertrags richtet sich nach dem Hauptvertrag. Er kann nicht separat gekündigt werden.
Stand: 22. März 2021