Logo Indusource

Prozessorvereinbarung

Einführung

Diese Prozessorvereinbarung ist Teil der Kooperationsvereinbarung zwischen Triple I Sourcing Group B.V. und seine Tochtergesellschaften Inbak B.V., Indusource B.V. und Indupay B.V. (nachfolgend: „TISG“ oder „Auftragsverarbeiter“) und die natürliche oder juristische Person, mit der TISG einen Vertrag über die Bereitstellung und Nutzung der TISG-Dienste abschließt (nachfolgend: „Kunde“ oder „Verantwortlicher“). Der Verantwortliche und der Auftragsverarbeiter werden gemeinsam als die „Parteien“ bezeichnet.

Für die Nutzung der Dienste der TISG haben die Parteien einen Vertrag geschlossen, für den ergänzend die Allgemeinen Geschäftsbedingungen der TISG gelten (gemeinsam: „Kooperationsvertrag“).

Zur Durchführung des Kooperationsvertrages verarbeitet die TISG personenbezogene Daten im Auftrag des Verantwortlichen. In Übereinstimmung mit dem geltenden Recht schließen die Parteien diese Vereinbarung ab, die ihre jeweiligen Rechte und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten festlegt (die „Verarbeitungsvereinbarung“). Der Kooperationsvertrag und der Verarbeitungsvertrag legen gemeinsam Gegenstand und Dauer der Verarbeitung personenbezogener Daten fest.

Definitionen

Die folgenden Begriffe haben die unten angegebene Bedeutung:

  • Betroffene Person: die identifizierbare natürliche Person, deren personenbezogene Daten verarbeitet werden.
  • Datenschutzverletzung: eine Verletzung der Sicherheit personenbezogener Daten, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten Weitergabe von bzw. zum unbefugten Zugriff auf übermittelte, gespeicherte oder auf sonstige Weise verarbeitete personenbezogene Daten führt.
  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, die die TISG im Rahmen des Kooperationsvertrages im Auftrag des Verantwortlichen verarbeitet.
  • Mitarbeiter: die Personen, die von den Parteien zur Durchführung dieses Verarbeitungsvertrags ermächtigt wurden und unter ihrer Verantwortung arbeiten.
  • Unterauftragsverarbeiter: jeder Dritte, der vom Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Auftrag des Auftragsverarbeiters beauftragt wird, ohne der direkten Weisungsbefugnis des Auftragsverarbeiters zu unterliegen.
  • Geltendes Recht: Gesetze oder andere (lokale) Vorschriften, Verordnungen, Richtlinien oder Grundsätze, Anweisungen oder Empfehlungen von Regierungsbehörden, die für die Verarbeitung der personenbezogenen Daten gelten, einschließlich aller Änderungen, Ersetzungen, Aktualisierungen oder sonstigen Folgeversionen davon;
  • Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Erlaubte Verarbeitung

  • TISG verpflichtet sich, personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen im Rahmen der in der Kooperationsvereinbarung beschriebenen Tätigkeiten zu verarbeiten. Gegenstand und Dauer der Auftragsverarbeitung werden im Kooperationsvertrag und im Auftragsverarbeitungsvertrag gemeinsam festgelegt.
  • Zur Durchführung des Kooperationsvertrages, der kontinuierlichen Weiterentwicklung der IDIL-Anwendung und zur Unterstützung des Verantwortlichen kann die TISG die personenbezogenen Daten für die gesamte Dauer des Vertrages folgenden Verarbeitungsvorgängen unterziehen: Speichern, Aktualisieren oder Ändern, Einsehen, Verwenden, Schützen, Löschen oder Vernichten von Daten.
  • TISG verarbeitet folgende Arten personenbezogener Daten:
    Namen, Adressen, Wohn-/Geschäftsorte, E-Mail, Telefonnummern, IP-Adressen, Standortdaten, Gerätetypen, GLN/Umsatzsteuer-Identifikationsnummer, Kontaktpersonen. Diese personenbezogenen Daten beziehen sich auf folgende Kategorien betroffener Personen:
  • Kundenbeziehungen des Datenverantwortlichen.

Rechte und Pflichten des Verantwortlichen

  • Der Verantwortliche stellt die personenbezogenen Daten der TISG zur Verfügung. Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung. Der Verantwortliche garantiert, dass die Verarbeitung der personenbezogenen Daten, einschließlich der Erhebung, in Übereinstimmung mit den jeweils geltenden Gesetzen erfolgt.
  • Sofern Mitarbeiter des Verantwortlichen selbst personenbezogene Daten verarbeiten, ist dieser für die Einhaltung der geltenden Gesetze verantwortlich.

Datenverarbeitung

  • TISG darf nur personenbezogene Daten verarbeiten, die für die Durchführung des Kooperationsvertrages unbedingt erforderlich sind. Auf die Zwecke der Verarbeitung personenbezogener Daten hat TISG keinen Einfluss.
  • TISG gibt die personenbezogenen Daten nur an Mitarbeiter und/oder Unterauftragsverarbeiter weiter. Die (notwendigerweise) Zugriff auf die personenbezogenen Daten haben, um die Verpflichtungen aus dem Kooperationsvertrag erfüllen zu können, sofern das geltende Recht nichts anderes vorschreibt.
  • TISG verarbeitet keine personenbezogenen Daten an einem Standort außerhalb des Europäischen Wirtschaftsraumes mit Ausnahme möglicher Dienste von Google, iCloud, DropBox, WeTransfer, The Next Ad, Loomly, Facebook, LinkedIn und Twitter.
  • Die personenbezogenen Daten in Sicherungskopien genießen den gleichen Schutz wie die ursprünglichen personenbezogenen Daten.
  • TISG gewährleistet, dass ihre Mitarbeiter nur insoweit Zugriff auf die personenbezogenen Daten haben, als dies zur Erfüllung ihrer Aufgaben im Rahmen der Auftragsverarbeitung erforderlich ist. TISG wird seine Mitarbeiter über die Pflichten aus dieser Auftragsverarbeitungsvereinbarung informieren.

Unterauftragsverarbeiter

  • TISG ist berechtigt, bei der Erbringung der Leistungen Unterauftragsverarbeiter einzusetzen. Informationen zu Unterauftragsverarbeitern erhält der Verantwortliche auf Anfrage. Eine Ablehnung durch den Verantwortlichen ist nur aus berechtigten Gründen möglich. Die TISG bleibt für den Verantwortlichen stets Ansprechpartner.
  • TISG gewährleistet, dass mit den ggf. eingesetzten Unterauftragsverarbeitern ein Vertrag geschlossen wird, in dem die gleichen Datenschutzgarantien wie in diesem Vertrag vereinbart werden. Der Auftragsverarbeiter bleibt gegenüber dem Verantwortlichen voll verantwortlich für die Einhaltung der Verpflichtungen des Unterauftragsverarbeiters.
  • Darüber hinaus können personenbezogene Daten nach ausdrücklicher Erlaubnis des Verantwortlichen an Unterauftragsverarbeiter weitergegeben werden, wenn zusätzliche Dienste in Anspruch genommen werden.

Vertraulichkeit

  • TISG unterliegt hinsichtlich der im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten einer Geheimhaltungspflicht. Diese Vertraulichkeitsverpflichtung gilt in vollem Umfang für Mitarbeiter und etwaige Unterauftragsverarbeiter von TISG. Auch nach Beendigung des Auftragsverarbeitungsvertrages bleibt die Verpflichtung zur Vertraulichkeit bestehen.
  • Diese Geheimhaltungspflicht gilt nicht, wenn der Auftragsverarbeiter zur Weitergabe dieser personenbezogenen Daten aufgrund einer Aufsichtsbehörde, einer gesetzlichen Vorschrift oder eines Gerichtsbeschlusses verpflichtet ist, wenn die Informationen öffentlich bekannt sind oder wenn die Daten im Auftrag des Verantwortlichen bereitgestellt werden.

Sicherheitsmaßnahmen

  • TISG trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, sodass die Verarbeitung im Einklang mit den geltenden Rechtsvorschriften erfolgt und die Rechte der betroffenen Personen geschützt werden.
  • TISG wendet unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein angemessenes Schutzniveau an. Die TISG obliegt der Anwendung und/oder Änderung des Schutzniveaus, wenn dies als notwendig erachtet wird oder gesetzlich vorgeschrieben ist.
  • TISG ist dafür verantwortlich, das Schutzniveau anzuwenden und/oder zu ändern, wenn dies nach geltendem Recht als notwendig erachtet wird oder vom Kunden gewünscht wird. Etwaige Mehrkosten gehen zu Lasten des Auftraggebers, sofern nichts anderes vereinbart ist.

Meldung einer Datenschutzverletzung

  • Stellt die TISG eine Datenschutzverletzung fest, meldet sie diese unverzüglich, spätestens jedoch innerhalb von 48 Stunden nach Entdeckung, dem Verantwortlichen. In dieser Mitteilung ist mindestens Folgendes zu beschreiben bzw. mitzuteilen:
    Die Art der Verletzung des Schutzes personenbezogener Daten, einschließlich (soweit möglich) der Kategorien betroffener Personen und der betroffenen personenbezogenen Daten;
  • Die wahrscheinlichen Folgen der Datenschutzverletzung in Bezug auf personenbezogene Daten;
  • Die von TISG ergriffenen Maßnahmen zur Behebung der Datenschutzverletzung, einschließlich, sofern angemessen, Maßnahmen zur Begrenzung der negativen Folgen.
  • TISG informiert den Verantwortlichen auch über Entwicklungen im Zusammenhang mit der festgestellten Datenschutzverletzung nach einer Meldung auf Grundlage des vorherigen Artikels.
    Der Verantwortliche muss beurteilen, ob er die Aufsichtsbehörde und/oder die betroffenen Personen darüber informiert.
    Die im Zusammenhang mit einer Meldung an die Aufsichtsbehörde bzw. den Betroffenen entstehenden Kosten tragen beide Parteien jeweils selbst.

Anfragen von betroffenen Personen oder Behörden

  • TISG wird den Verantwortlichen bei Anfragen betroffener Personen im Rahmen des Möglichen unterstützen. Stellt eine betroffene Person eine derartige Anfrage an die TISG, leitet die TISG die Anfrage an den Verantwortlichen weiter und dieser kümmert sich, sofern nicht ausdrücklich etwas anderes vereinbart wurde, um die weitere Bearbeitung der Anfrage.
  • Die TISG unterstützt den Verantwortlichen im Rahmen des Möglichen bei der Beantwortung von Anfragen staatlicher Stellen.
  • Für die Umsetzung der Artikel 9.1 und 9.2 entstehende Kosten werden der TISG vom Verantwortlichen erstattet, sofern nichts anderes vereinbart ist.

Informationspflicht und Prüfung

  • TISG wird alle erforderlichen Informationen zum Nachweis der Erfüllung der Verpflichtungen aus diesem Verarbeitungsvertrag bereitstellen.
  • Der Verantwortliche hat die Möglichkeit, höchstens einmal jährlich auf eigene Kosten eine Prüfung bzw. Datenschutz-Folgenabschätzung durchzuführen. TISG wird bei Prüfungen des für die Verarbeitung Verantwortlichen die erforderliche Kooperation gewährleisten.

Geistiges Eigentumsrecht

  • Alle Rechte am geistigen Eigentum an den personenbezogenen Daten und an den Datenbanken, die diese personenbezogenen Daten enthalten, liegen beim Verantwortlichen. Zu diesen geistigen Eigentumsrechten gehören das Urheberrecht und Sui-generis. TISG erhält hieran lediglich ein beschränktes Nutzungsrecht, soweit es für die Durchführung der vereinbarten Bearbeitung erforderlich ist.

Dauer und Kündigung des Vertrages

  • Der Auftragsverarbeitungsvertrag tritt mit Abschluss des Kooperationsvertrages zwischen den Parteien in Kraft und wird für die Dauer des Kooperationsvertrages geschlossen.
  • Eine vorzeitige Kündigung des Verarbeitungsvertrages ist durch die Parteien nicht möglich.
  • Der Auftragsverarbeitungsvertrag endet, nachdem und soweit TISG sämtliche personenbezogenen Daten gemäß Artikel 12.4 gelöscht hat. TISG löscht Backups und Kopien, sofern keine anders lautenden gesetzlichen Verpflichtungen bestehen.
  • Nach Beendigung der Kooperationsvereinbarung bleiben alle verarbeiteten personenbezogenen Daten noch drei (3) Monate lang verfügbar. Für den rechtzeitigen Export der personenbezogenen Daten ist der Verantwortliche verantwortlich.

Allgemeine Geschäftsbedingungen

  • Diese Auftragsverarbeitervereinbarung ist Bestandteil der Kooperationsvereinbarung. Die sich aus dem Kooperationsvertrag sowie den Allgemeinen Geschäftsbedingungen der TISG ergebenden Rechte und Pflichten gelten daher auch für den Auftragsverarbeitungsvertrag.
  • Im Falle von Widersprüchen zwischen den Regelungen des Auftragsverarbeitungsvertrages und des Kooperationsvertrages gelten die Regelungen dieses Auftragsverarbeitungsvertrages, soweit sich diese speziell auf die Verarbeitung personenbezogener Daten beziehen.
  • Diese Vereinbarung ersetzt alle vorherigen oder bestehenden Vereinbarungen zwischen den Parteien bezüglich der Verarbeitung personenbezogener Daten. Änderungen dieser Vereinbarung können nur schriftlich und nach gemeinsamer Unterzeichnung durch beide Parteien vorgenommen werden.
  • Gemäß den Allgemeinen Geschäftsbedingungen des TISG gilt für den Verarbeitungsvertrag ebenfalls niederländisches Recht und Streitigkeiten werden vor dem zuständigen Gericht in Amsterdam ausgetragen; oder nach Wahl von TISG vor dem zuständigen Gericht am Wohnsitz des Verantwortlichen.