Auftragsverarbeitungsvereinbarung
(AVV) – Personennotsignalanlage (PNA)
Zum Vertrag „Personennotsignalanlage" (PNA) nach DGUV 112 – 139 / 212 – 139 · MOTEC-DATA GmbH · Stand: 18.08.2023
Vertragsparteien & Präambel
Diese Auftragsverarbeitungsvereinbarung (AVV) wird zum Vertrag „Personennotsignalanlage" (PNA) nach DGUV 112 – 139 / 212 – 139 nach Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO) geschlossen.
motec-data GmbH
Odenwaldstraße 36
69239 Neckarsteinach, Deutschland
Zwischen dem PNA-Kunden (Auftraggeber) und der motec-data GmbH (Auftragnehmer) wird nachfolgender Vertrag geschlossen. Zwischen dem Auftraggeber und Auftragnehmer besteht ein Vertrag über die Nutzung des in Anhang 1 – Verarbeitungsdetails näher bezeichneten Servicemoduls PNA.
Gegenstand und Dauer der Auftragsverarbeitung
- Der Auftragnehmer darf personenbezogene Daten nur im Rahmen des Hauptvertrages und dieser AVV sowie nach Weisungen des Auftraggebers (siehe Ziffer 8 [10]) verarbeiten.
- Die Dauer der Auftragsverarbeitung richtet sich nach der Laufzeit des Hauptvertrages und/oder etwaiger auf einem Rahmenvertrag beruhender Einzelverträge oder -aufträge.
- Der Auftraggeber kann diese AVV einschließlich des Hauptvertrages mit sofortiger Wirkung außerordentlich kündigen, soweit der Auftragnehmer gegen gesetzliche Datenschutzbestimmungen und/oder gegen Verpflichtung aus dieser AVV verstößt.
Umfang, Art und Zweck der Datenverarbeitung
- Gegenstand der Datenverarbeitung, Zweck und Einzelheiten der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien der betroffenen Personen ergeben sich ausschließlich entweder aus dem zwischen den Parteien geschlossenen Hauptvertrag oder aus den in Anhang 1 (Details zur Verarbeitung) beschriebenen Verarbeitungstätigkeiten.
- Der Auftragnehmer erstellt keine Kopien und Duplikate der Daten ohne Kenntnis des Auftraggebers. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Technische und organisatorische Maßnahmen
Die technischen und organisatorischen Maßnahmen (TOMs) des Auftragnehmers sind im Anhang 2 zu dieser AVV niedergelegt. Die TOMs unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragnehmer ist verpflichtet, seine TOMs an die technische Entwicklung anzupassen.
Betroffenenrechte. Berichtigung, Sperrung und Löschung von Daten
- Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder zu sperren. Wendet sich ein Betroffener unmittelbar an den Auftragnehmer mit einem Auskunftsverlangen oder zwecks Berichtigung oder Löschung seiner Daten, hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren.
- Ist der Auftraggeber gesetzlich verpflichtet, Auskünfte zur Verarbeitung personenbezogener Daten an eine Einzelperson (Betroffenen) zu erteilen, wird der Auftragnehmer den Auftraggeber in angemessenem Umfang dabei unterstützen, diese Informationen bereitzustellen, wenn der Auftraggeber den Auftragnehmer hierzu in Textform auffordert.
- Der Auftragnehmer wird den Auftraggeber unter Berücksichtigung der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der EU-DSGVO genannten Rechte der betroffenen Person nachzukommen.
Mitwirkung bei Kontrollen und sonstige Pflichten des Auftragnehmers
- Der Auftragnehmer gewährleistet, dass alle Personen, die personenbezogene Daten des Auftraggebers verarbeiten (z. B. Zugriff, Speicherung, Veränderung, Löschung, Einsichtnahme, etc.), zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
- Der Auftragnehmer verpflichtet sich zur Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen (siehe auch Ziffer 3). Den Nachweis kann der Auftragnehmer durch Vorlage aktueller Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z. B. nach BSI-Grundschutz) erbringen.
- In Bezug auf die Verarbeitung der personenbezogenen Daten ist eine Kontrolle mittels regelmäßiger Prüfungen durch den Auftragnehmer im Hinblick auf die Vertragsausführung bzw. -erfüllung unabhängig von den Regelungen im Hauptvertrag durchzuführen. Insbesondere die Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen für die Datenverarbeitung ist hierbei zu überprüfen. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über im Rahmen der Prüfung bekannt gewordene Fehler und/oder Unregelmäßigkeiten.
- Der Auftragnehmer wird dem Auftraggeber die Kontaktdaten des Datenschutzverantwortlichen vor Beginn der Datenverarbeitung mitteilen.
- Der Auftragnehmer wird eine ausführliche schriftliche Dokumentation über Verarbeitung von personenbezogenen Daten, anhand derer der Auftraggeber jederzeit den Nachweis über die Ordnungsmäßigkeit der Datenverarbeitung führen kann, bereitstellen.
- Der Auftragnehmer wird die für das Verfahrensverzeichnis des Auftraggebers erforderlichen Angaben und Informationen bereitstellen.
- Der Auftragnehmer wird den Auftraggeber über Kontrollhandlungen bzw. Maßnahmen der Datenschutzbehörde beim Auftragnehmer unverzüglich unterrichten.
- Der Auftragnehmer wird den Auftraggeber über eine Verletzung des Schutzes der vom Auftragnehmer im Rahmen dieser AVV verarbeiteten personenbezogenen Daten unverzüglich unterrichten.
- Der Auftragnehmer führt ein schriftliches Register der im Auftrag des Auftraggebers durchgeführten Verarbeitungstätigkeiten, einschließlich der Namen und Kontaktdaten des Auftragnehmers und des Datenschutzverantwortlichen, Aufzeichnungen über Übermittlungen von personenbezogenen Daten in ein Drittland inklusive den Angaben des betreffenden Drittlandes, sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
- Der Auftragnehmer unterstützt den Auftraggeber, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen, bei der Gewährleistung der Einhaltung von Auflagen, die sich aus einer Datenschutz-Folgenabschätzung oder einer damit verbundenen Abstimmung mit der Datenschutzbehörde ergeben.
- Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Ansprüchen eines Betroffenen hinsichtlich des Rechtes auf Datenübertragbarkeit dahingehend, dass der Auftragnehmer die durch den Betroffenen zur Verfügung gestellten Daten auf Weisung dem Auftraggeber in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellt bzw. nach Weisung durch den Auftraggeber und sofern technisch möglich einem anderen Auftraggeber direkt übermittelt.
Unterauftragsverhältnisse
- Der Auftragnehmer nimmt keinen weiteren Unterauftragnehmer ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch.
- Soweit bei der Verarbeitung personenbezogener Daten des Auftraggebers Unterauftragnehmer einbezogen werden sollen, sind folgende Anforderungen zu erfüllen:
- Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor Beauftragung zu prüfen, ob dieser die zwischen dem Auftraggeber und dem Auftragnehmer getroffenen Vereinbarungen entsprechend einhalten kann.
- Der Auftragnehmer hat die vertraglichen Vereinbarungen mit dem/den Unterauftragnehmer/n so zu gestalten, dass sie dem Unterauftragnehmer dieselben Datenschutzpflichten auferlegen, die in dieser AVV festgelegt sind. Hierbei müssen insbesondere hinreichende Garantien für die Einhaltung der geeigneten technischen und organisatorischen Maßnahmen geboten werden.
- Bei der Unterbeauftragung sind dem Auftraggeber umfassende Kontroll- und Überprüfungsrechte beim Unterauftragnehmer einzuräumen. Dies umfasst auch das Recht des Auftraggebers, vom Auftragnehmer auf schriftliche Anforderung – soweit erforderlich – Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrechtlich relevanten Verpflichtungen in einem Unterauftragsverhältnis, ggf. durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten. Die genannten Kontroll- und Überprüfungsrechte gelten auch zu Gunsten des betrieblichen Datenschutzbeauftragten des Auftraggebers.
- Sofern der Auftraggeber seine Zustimmung zum Einsatz von Unterauftragnehmern bereits erteilt hat, sind diese im Anhang 2 zu dieser AVV aufgeführt. Etwaige spätere Beauftragungen von Unterauftragnehmern mit Zustimmung des Auftraggebers sind zu dokumentieren.
- Der Auftraggeber kann die Zustimmung zum Einsatz eines Unterauftragnehmers aus wichtigem Grund jederzeit widerrufen. Ein wichtiger Grund besteht insbesondere, wenn Anhaltspunkte dafür vorliegen, dass der Unterauftragnehmer die Verarbeitung im Einklang mit den gesetzlichen Anforderungen und den Schutz der Rechte der betroffenen Personen nicht gewährleistet. Folge des Widerrufs ist, dass die Beauftragung des betroffenen Unterauftragnehmers unzulässig wird.
- Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung seines Geschäftsbetriebes in Anspruch nimmt, die jedoch nicht im Zusammenhang mit der Datenverarbeitung dieses Auftrags stehen. Dazu zählen z. B. Reinigungsarbeiten, Facilitymanagement, Bereitstellung von Telekommunikationshardware (Telefon) – oder IT-Hardware. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
Datenübertragungen (Drittlandtransfers)
- Der Auftragnehmer darf personenbezogene Daten im Rahmen dieser AVV nur in Staaten, die dem Europäischen Wirtschaftsraum angehören, oder in einem Drittland verarbeiten, das nach dem jeweiligen Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau bietet („Angemessenheitsbeschluss"). Eine Übermittlung in ein Drittland, für das kein Angemessenheitsbeschluss vorliegt, bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers.
- Sämtliche Übermittlungen personenbezogener Daten, die im Rahmen dieser AVV verarbeitet werden, aus dem Europäischen Wirtschaftsraum (oder aus Ländern, für die ein Angemessenheitsbeschluss vorliegt, z. B. Großbritannien, Israel und die Schweiz) unterliegen den EU-Standardvertragsklauseln (Anlage 3).
- Alle Übermittlungen personenbezogener Daten in ein Drittland oder an eine internationale Organisation unterliegen angemessenen Garantien, wie in Artikel 46 der EU-DSGVO beschrieben, und solche Übermittlungen und Garantien sind gemäß Artikel 30(2) der EU-DSGVO zu dokumentieren.
- Sobald die Europäische Kommission neue EU-Standardvertragsklauseln verabschiedet, ersetzen diese die Bestimmungen in Anhang 3, wobei die spezifischen Bestimmungen für die Übermittlung zwischen Verantwortlichen und Auftragsverarbeitern (Modul zwei) gelten. Auf Verlangen einer der Parteien werden die Parteien diese AVV ändern, um die vorstehende Änderung der Anlage 3 zu dokumentieren. Darüber hinaus wird sich der Auftragnehmer bemühen, die neuen EU-Standardvertragsklauseln mit Unterauftragnehmern zu vereinbaren, die für diese AVV relevante Daten in Drittländern ohne Angemessenheitsbeschluss verarbeiten.
- In Anbetracht der Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020 (Rechtssache C-311/18, Schrems II) treffen die Parteien in Bezug auf personenbezogene Daten, deren Verarbeitung Gegenstand dieses Vertrags oder zu dessen Erfüllung notwendig ist, folgende zusätzliche Regelungen:
- a) Sollte die zuständige Aufsichtsbehörde den Auftraggeber nach Artikel 58 Absatz 2 d) EU-DSGVO anweisen, Verarbeitungsvorgänge auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen, wird der Auftragnehmer die zur Umsetzung der Anweisung notwendigen Maßnahmen treffen und die Umsetzung entsprechend dokumentieren. Dies betrifft insbesondere Datentransfers in ein Drittland ohne angemessenes Datenschutzniveau im Sinne des Art. 45 EU-DSGVO.
- b) Erbringt der Auftragnehmer innerhalb angemessener Zeit (im Zweifel unverzüglich oder innerhalb des von der Aufsichtsbehörde vorgegebenen Zeitraums) keinen Nachweis über die Umsetzung der nach a) notwendigen Maßnahmen, ist der Auftraggeber berechtigt, den Vertrag außerordentlich zu kündigen.
- c) Der Auftraggeber ist ferner zur außerordentlichen Kündigung berechtigt, wenn die Aufsichtsbehörde nach Artikel 58 Absatz 2 f) EU-DSGVO eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots verhängt oder die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland anordnet.
- d) Im Falle einer Kündigung bzw. Vertragsbeendigung nach b) und/oder c) steht dem Auftragnehmer über den Zeitpunkt des vorzeitigen Vertragsendes hinaus keine Vergütung zu. Die gegebenenfalls im Voraus entrichtete Vergütung hat der Auftragnehmer auf der pro-rata-Basis (d. h. anteilig entsprechend dem Verhältnis der tatsächlichen Laufzeit zu der ursprünglich vereinbarten Gesamtlaufzeit) innerhalb von 14 Tagen nach Vertragsbeendigung zurückzuerstatten.
Kontrollrechte des Auftraggebers
- Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme. Er hat das Recht, sich durch Stichprobenkontrollen von der Einhaltung dieser AVV durch den Auftragnehmer in seinem Geschäftsbetrieb zu überzeugen. Dies umfasst das Recht, das Grundstück, die Geschäftsräume und DV-Anlagen des Auftragnehmers zu betreten und dort Besichtigungen und Prüfungen vorzunehmen oder vornehmen zu lassen sowie geschäftliche Unterlagen und gespeicherte Daten und Datenverarbeitungsprogramme einzusehen, soweit dies im Rahmen der Kontrollrechte im Zusammenhang mit der Ausführung des Auftrags erforderlich ist.
- Der Auftragnehmer ist verpflichtet, dem Verantwortlichen auf Anforderung alle zum Nachweis der Einhaltung seiner Verpflichtungen aus dieser AVV erforderlichen Informationen zur Verfügung zu stellen.
- Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der festgelegten technischen und organisatorischen Maßnahmen bei den eingesetzten Unterauftragnehmern überzeugen kann. Der Nachweis kann durch Vorlage aktueller Testate, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) erfolgen.
Mitteilung von Datenschutzverstößen
- Wird dem Auftragnehmer eine Verletzung des Schutzes personenbezogener Daten bekannt, meldet er diese dem Auftraggeber unverzüglich.
- Die Meldung gemäß 9.1 muss zumindest folgende Informationen enthalten:
- a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- b) den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- c) eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten.
Der Auftragnehmer hat in Abstimmung mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber Meldepflichten gegenüber den Aufsichtsbehörden treffen, hat der Auftragnehmer den Auftraggeber hierbei zu unterstützen.
Weisungsbefugnisse des Auftraggebers
- Der Auftragnehmer verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Auftraggebers. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach schriftlich oder in Textform erklärter Zustimmung durch den Auftraggeber erteilen.
- Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber beim Auftragnehmer bestätigt oder geändert wird.
Herausgabe, Löschung von Daten / Rückgabe von Datenträgern
- Vorbehaltlich anderweitiger dokumentierter Weisungen des Auftraggebers wird der Auftragnehmer nach Abschluss der Verarbeitung sämtliche in seinen Besitz gelangten Unterlagen, überlassenen Datenträger, erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen oder im Rahmen der Durchführung des Hauptvertrags und/oder dieser AVV entstanden sind, an den Auftraggeber oder an einen vom Auftraggeber benannten Dritten herausgeben. Die Herausgabepflicht umfasst auch Kopien und/oder Reproduktionen von Datenträgern und/oder Datenbeständen. Ein Zurückbehaltungsrecht besteht insoweit nicht. Sofern im Hauptvertrag nicht abweichend geregelt, hat die Herausgabe unentgeltlich zu erfolgen. Etwaige Übermittlungskosten sowie sonstige mit der Herausgabe im Zusammenhang stehende Aufwendungen sind vom Auftragnehmer zu tragen.
- Nach Herausgabe der Daten gem. Ziffer 11.1 oder bei Verzicht des Auftraggebers auf eine Herausgabe sind die auf den Datenträgern des Auftragnehmers ggf. noch vorhandenen Daten zu löschen bzw. zu vernichten. Der Auftragnehmer hat dem Auftraggeber auf Verlangen die Vernichtung durch geeignete Dokumente nachzuweisen und/oder zu bestätigen. Der Auftraggeber kann eine Löschung der beim Auftragnehmer gespeicherten Daten nicht verlangen, soweit der Auftragnehmer gesetzlichen Aufbewahrungspflichten unterliegt. Statt der Löschung kann, soweit dies aufgrund lokaler/länderspezifischer Umsetzungsgesetze zum Datenschutz zulässig ist, die Verarbeitung der Daten eingeschränkt werden. Dies gilt insbesondere, wenn die Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.
- Die Regelungen der Ziffern 11.1 und 11.2 gelten für Test- und Ausschussmaterial entsprechend.
Pflichten des Auftraggebers
- Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer verantwortlich.
- Der Auftraggeber wird den Auftragnehmer unverzüglich und vollständig informieren, wenn er bei Prüfung der Verarbeitungsergebnisse datenschutzrechtlich relevante Fehler oder Unregelmäßigkeiten feststellt.
Haftung
- Die in dieser AVV aufgeführten Verpflichtungen zum Datenschutz stellen für den Auftragnehmer wesentliche Vertragspflichten (Hauptpflichten) des mit dem Auftraggeber geschlossenen Hauptvertrages dar. Insoweit erfolgt hiermit ausdrücklich eine Ergänzung des Hauptvertrags.
- Der Auftragnehmer haftet dem Auftraggeber gegenüber nach Maßgabe des Hauptvertrags. Jedoch bleiben die Regelungen des Art. 82 Absätze 2 bis 5 EU-DSGVO im Verhältnis zwischen den Parteien von den Haftungsregelungen des Hauptvertrags unberührt.
Verhältnis zum Hauptvertrag, Sonstige Pflichten und Bestimmungen
- Die Bestimmungen dieser AVV einschließlich deren Anhänge gehen den Regelungen des Hauptvertrages vor und ergänzen diesen, soweit in dieser AVV nichts Abweichendes festgelegt ist.
- Sollten Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren.
- Änderungen und/oder Ergänzungen dieser AVV bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für die Aufhebung des Schriftformerfordernisses. Für diese AVV gilt das Recht des Mitgliedstaats, in dem der Auftraggeber niedergelassen ist. Der Gerichtsstand richtet sich nach den Regelungen im Hauptvertrag.
Anhang 1 – Verarbeitungsdetails
1.1 Gegenstand des Auftrags
Der Auftrag umfasst Folgendes: Bereitstellung und Betrieb einer Personennotsignalanlage.
Die Personennotsignalanlage (PNA) ist eine technische Hilfsmaßnahme zur Notfallbehandlung, die für Werksmitarbeiter auf Einzelarbeitsplätzen im Notfall innerhalb von 15 Minuten Rettungsmaßnahmen einleiten soll. Gefährdete, allein arbeitende Mitarbeiter führen hierfür ein mit Sensoren ausgerüstetes DGUV 212 – 139 konformes mobiles Endgerät (PNG) mit einer „Notfall-App" mit sich.
Über diese Personennotsignalgeräte (PNG) werden GSM-Daten vom Auftraggeber und den entsprechenden Gebäuden erhoben und zur vertraglich definierten Verarbeitung an den Auftragnehmer weitergeleitet. Sollte ein Mitarbeiter verunglücken, werden die letzten benötigten Standortdaten auf einer möglichen Werkskarte über eine digitale Kartenansicht auf einem Portal sichtbar gemacht. Damit kann der Mitarbeiter im Falle eines Notfalls lokalisiert und Rettungsmaßnahmen durch Werksmitarbeiter zeitnah eingeleitet werden.
In Gebäuden kann der Mitarbeiter nicht aufgefunden werden, da innerhalb von Gebäuden kein GPS-Signal anliegt. Um ein schnelles Auffinden des Verletzten zu gewährleisten, wird Indoor-Bluetooth-Ortung installiert.
1.2 Art und Zweck der Datenverarbeitung
Mitarbeiter entnehmen ein PNG einer Ladestation und loggen sich mit persönlichem oder mit einem arbeitstypbezogenen Gemeinschafts-PIN in das PNG ein. Das PNG (Sendeeinheit) zieht dann von der PNA (Empfangseinheit) das Bewegungsprofil des Nutzers bzw. des Arbeitstyps (z. B. Staplerfahrer). Der Nutzer führt nun das PNG am Körper mit sich.
Das PNG erfasst dabei die Qualität der eigenen operativen Gesundheit des PNG. Dabei werden die Betriebszustände Akkuladezustand, GSM-Netzqualität und GPS-Empfangsqualität ermittelt und an die PNA gesendet. Das PNG erfasst die während der Bewegung des Nutzers auftretenden Geschwindigkeiten und Veränderungen der Lage im Raum des PNG. Daraus ermittelt das PNG die Natürlichkeit der aktuellen Bewegung des Nutzers.
Bei einer unnatürlichen Bewegung informiert das PNG den Nutzer über die Erkennung und fordert den Nutzer auf, innerhalb von 45 Sekunden eine Willenserklärung, dass keine Notfallmaßnahmen benötigt werden, abzugeben. Wird eine Willenserklärung durch den Nutzer abgegeben, tritt das PNG wieder in den normalen Arbeitsmodus ein. Wird vom Nutzer nicht innerhalb der gesetzlich vorgegebenen Zeitdauer eine Willenserklärung abgegeben, löst das PNG einen Notruf zur PNA aus. Neben der automatisierten Erkennung der Unnatürlichkeit der Bewegung (Sturzerkennung) erlaubt das PNG dem Nutzer das Übermitteln eines willentlichen Alarms. Dabei drückt der Nutzer einen Knopf am PNG für einen festgelegten Zeitraum. Nach Ablauf der definierten Zeitspanne übermittelt das PNG den willentlichen Notruf an die PNA.
Bei der Übermittlung eines Notrufes überträgt das PNG neben der eigenen operativen Gesundheit den Status der im PNG verbauten Sensoren, welche zum Auslösen eines Alarms geführt haben. Dabei werden neben den Beschleunigungsdaten des PNG in alle Richtungen im Raum ebenso die Winkel der Lageveränderungen sowie die Amplitude der PNG-Bewegung nach einer sturzerkennenden Beschleunigung übermittelt. Damit Rettungskräfte alarmiert und zum Verunfallten geführt werden können, ermittelt das PNG die GPS-Koordinaten des Nutzers.
Um bei Unfällen auch die Position des Nutzers innerhalb von Gebäuden an Rettungskräfte melden zu können, können PNA-Anlagen mit BTU-Geräten (Indoor-Ortung) ausgestattet werden. BTU-Geräte erlauben dem PNG auch innerhalb von geschlossenen Räumen, wo keine GPS-Daten empfangen werden können, eine Positionsangabe an die PNA zu übergeben. Jegliche Positionsdaten werden jedoch ausschließlich nach Erkennung einer unnatürlichen Bewegung UND ausbleibender Willenserklärung, keine Notfallmaßnahmen einleiten zu sollen, an die PNA übermittelt.
In der PNA kann ein Portaluser während des Regelbetriebs erkennen, welche PNGs aktuell im Einsatz befindlich sind, das Betriebsgelände sowie den Zustand der PNG in Ampelform (Grün = Alles OK; Gelb = Voralarm; Rot = Notfall; Blau = Technischer Alarm). Sobald ein PNG einen Notfall meldet, wird im Portal die Position des verunfallten Nutzers sichtbar.
Dem Portaluser werden bei einem Alarm die vom PNG übermittelten Daten zugänglich gemacht. Folgende Daten werden dabei dem Portaluser angezeigt:
- die Position außerhalb von geschlossenen Räumen
- die Laufrichtung des PNG unmittelbar vor Eintritt des Notrufes
- ggf. die Position innerhalb von geschlossenen Räumen
- die Daten der Sensorwerte, welche zum Auslösen des Notrufs geführt haben
- der Notruftyp (willentlich oder unwillentlich)
- definierte organisatorische Maßnahmen zur Einleitung von Rettungsmaßnahmen
1.3 Kategorien von Datensubjekten
Im Hauptvertrag bzw. Anhang 1 angekreuzte Kategorien betroffener Personen, deren Daten im Rahmen dieses Auftrags verarbeitet werden:
Weitere, im Vertrag nicht aufgeführte Kategorien können auf gesonderte schriftliche Vereinbarung der Parteien ergänzt werden.
1.4 Art der personenbezogenen Daten (Datenarten)
Allgemeine Daten / Private Kontaktinformationen
Vertragsdaten
Berufliche Daten
Dienste- und IT-(Nutzungs-)Daten
Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
Anhang 2 – Technische und organisatorische Maßnahmen der Auftragsverarbeitung
Nachfolgende technische und organisatorische Maßnahmen sind für die im Vertrag genannte Verarbeitung von personenbezogenen Daten durch den Auftragnehmer implementiert:
2.1 Zutrittskontrolle
Verwehrung des Zutritts/Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (z. B. durch physikalische Objektsicherung: Zaun, Pförtner, Personenschleuse, Drehkreuz, mit Ausweisleser geschützte Tür, Kameraüberwachung; organisatorische Objektsicherung, Regelung der Zutrittsberechtigungen, Registrierung der Zutritte):
2.2 Zugangskontrolle / Benutzerkontrolle
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (z. B. Bildschirmschoner mit Passwort):
2.3 Zugriffskontrolle / Datenträgerkontrolle / Speicherkontrolle
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle); Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle); Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben (Zugriffskontrolle):
2.4 Weitergabekontrolle / Transportkontrolle
Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt wird (z. B. durch starke Verschlüsselung bei Datenübertragung, verschlossener Umschlag bei (Haus-)Postversendung, verschlüsselte Speicherung auf Datenträgern):
2.5 Eingabekontrolle / Übertragungskontrolle
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle), sowie – je nach System – Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle):
2.6 Verfügbarkeitskontrolle / Wiederherstellung / Zuverlässigkeit / Datenintegrität
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit), alle Funktionen zur Verfügung stehen und Fehlfunktionen gemeldet werden (Zuverlässigkeit), gespeicherte Daten nicht durch Fehlfunktionen beschädigt werden (Datenintegrität) und Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), z. B. durch Backup- und Desaster-Recovery-Konzepte:
2.7 Trennungsgebot / Trennbarkeit
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (z. B. durch logische Trennung von Kundendaten, spezielle Zugriffskontrollen (Berechtigungskonzept), Trennung von Test- und Produktionsdaten):
2.8 Liste der Unterauftragnehmer
Im Falle des Einsatzes von Unterauftragnehmern (z. B. für das Hosting, Bereitstellung von Rechenzentrumsfläche, Betriebssoftware zur Verarbeitung personenbezogener Daten) für die genannte Verarbeitung von personenbezogenen Daten ist über entsprechende Vereinbarungen zur Auftragsverarbeitung die Umsetzung der technischen und organisatorischen Maßnahmen beim jeweiligen Unterauftragnehmer geregelt.
Folgende Unterauftragnehmer sind beauftragt:
| Unternehmen (Bezeichnung, Gesellschaftsform, Sitz) | Einsatzzweck | Ort der Datenverarbeitung | Schutzniveau (AVV, Standardvertragsklauseln, BCR, Zertifikate etc.) |
|---|---|---|---|
| ecotel communication AG | Auto-Call | Prinzenallee 11, 40549 Düsseldorf | Rechenzentrum (ISO 27001-zertifiziert) |
| IONOS SE | Hosting (ausschließlich Deutschland) | Elgendorfer Str. 57, 56410 Montabaur | Rechenzentrum (ISO 27001, ISO 50001-zertifiziert) |
Anhang 3 – Standardvertragsklauseln (Auftragsverarbeiter)
Für Nicht-EU-Auftragnehmer, angepasst an Schrems II. Verweise auf verschiedene Artikel der Richtlinie 95/46/EG in den nachstehenden Standardvertragsklauseln werden als Verweise auf die relevanten und entsprechenden Artikel in der DSGVO behandelt.
Gemäß Artikel 26 Absatz 2 der Richtlinie 95/46/EG für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist, haben der Auftraggeber (als Datenexporteur) und Auftragnehmer (als Datenimporteur), einzeln als „Partei" und gemeinsam als „Parteien" bezeichnet, folgende Vertragsklauseln (die „Klauseln" oder „Standardvertragsklauseln") vereinbart, um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in Annex 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den Datenimporteur zu bieten.
Klausel 1 · Begriffsbestimmungen
Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:
- (a) Die Ausdrücke „personenbezogene Daten", „besondere Kategorien personenbezogener Daten", „Verarbeitung", „für die Verarbeitung Verantwortlicher", „Auftragsverarbeiter", „betroffene Person" und „Kontrollstelle" entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.
- (b) Der „Datenexporteur" ist der für die Verarbeitung Verantwortliche, der die personenbezogenen Daten übermittelt.
- (c) Der „Datenimporteur" ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet.
- (d) Der „Unterauftragsverarbeiter" ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, von diesem personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten.
- (e) Der Begriff „anwendbares Datenschutzrecht" bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind.
- (f) Die „technischen und organisatorischen Sicherheitsmaßnahmen" sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang – insbesondere, wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst – und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.
Klausel 2 · Einzelheiten der Übermittlung
Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Annex 1 erläutert, der Bestandteil dieser Klauseln ist.
Klausel 3 · Drittbegünstigtenklausel
- Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.
- Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger geltend machen.
- Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat sämtliche rechtlichen Pflichten übernommen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.
- Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.
Klausel 4 · Pflichten des Datenexporteurs
Der Datenexporteur erklärt sich bereit und garantiert, dass:
- (a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;
- (b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;
- (c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Annex 2 zu diesem Vertrag beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;
- (d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der Kosten ihrer Durchführung, der von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor Zerstörung, Verlust, Änderung, unberechtigter Weitergabe oder unberechtigtem Zugang geschützt sind;
- (e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;
- (f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder so bald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau bietet;
- (g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;
- (h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln (mit Ausnahme von Annex 2) sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt, einschließlich gegebenenfalls der Kopie des Vertrags über Datenverarbeitungsdienste mit Unterauftragsverarbeitern, wobei Geschäftsinformationen herausgenommen werden können;
- (i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und
- (j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.
Klausel 5 · Pflichten des Datenimporteurs
Der Datenimporteur erklärt sich bereit und garantiert, dass:
- (a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; sollte er dies aus irgendwelchen Gründen nicht einhalten können, erklärt er sich bereit, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der dann berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
- (b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs unmöglich machen, und eine nachteilige Gesetzesänderung dem Datenexporteur mitteilen wird, sobald er davon Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;
- (c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Annex 2 beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;
- (d) er den Datenexporteur unverzüglich informiert über (i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt; (ii) jeden zufälligen oder unberechtigten Zugang; und (iii) alle Anfragen, die direkt von betroffenen Personen an ihn gerichtet werden, ohne diese zu beantworten, es sei denn, er wäre dazu berechtigt;
- (e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle befolgt;
- (f) er auf Verlangen des Datenexporteurs seine Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt, durchgeführt von einem unabhängigen, qualifizierten und zur Vertraulichkeit verpflichteten Prüfgremium;
- (g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls eines bestehenden Untervertrags zur Verfügung stellt, wobei Geschäftsinformationen herausgenommen werden können; Annex 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine Kopie erhalten kann;
- (h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den Datenexporteur vorher benachrichtigt und dessen vorherige schriftliche Einwilligung eingeholt hat;
- (i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11 erbringt; und
- (j) er dem Datenexporteur unverzüglich eine Kopie des nach den Klauseln geschlossenen Unterauftrags über die Datenverarbeitung zuschickt.
Klausel 5a · Mitteilungspflichten
Der Datenimporteur verpflichtet sich, den Datenexporteur und, soweit möglich, die betroffene Person unverzüglich zu benachrichtigen, wenn er (a) ein rechtsverbindliches Ersuchen einer Behörde nach dem Recht des Bestimmungslandes um Offenlegung der übermittelten personenbezogenen Daten erhält – mit Angaben zu den angeforderten Daten, der ersuchenden Behörde, der Rechtsgrundlage und der erteilten Antwort – oder (b) von einem direkten Zugriff öffentlicher Stellen auf die übermittelten Daten Kenntnis erlangt.
Ist dem Datenimporteur die Benachrichtigung untersagt, bemüht er sich nach besten Kräften um eine Aufhebung des Verbots und dokumentiert seine Bemühungen. Soweit zulässig, übermittelt er dem Datenexporteur regelmäßig Informationen über eingegangene Anfragen (Anzahl, Art der angefragten Daten, anfragende Behörde(n), Anfechtungen und deren Ergebnis). Diese Informationen sind für die Vertragsdauer aufzubewahren und der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen – unbeschadet der Pflicht des Datenimporteurs nach Klausel 5 Buchstabe a, den Datenexporteur unverzüglich zu informieren, wenn er die Klauseln nicht einhalten kann.
Klausel 5b · Überprüfung der Rechtmäßigkeit und Datenminimierung
Der Datenimporteur erklärt sich bereit, die Rechtmäßigkeit eines Offenlegungsersuchens nach dem Recht des Bestimmungslandes zu überprüfen und alle verfügbaren Rechtsmittel auszuschöpfen, um das Ersuchen anzufechten, wenn er nach sorgfältiger Prüfung Gründe dafür sieht – einschließlich der Beantragung einstweiliger Maßnahmen zur Aussetzung der Wirkungen bis zur gerichtlichen Entscheidung. Er gibt angeforderte Daten erst weiter, wenn er hierzu rechtlich verpflichtet ist. Er dokumentiert seine rechtliche Beurteilung und Anfechtung und stellt sie, soweit zulässig, dem Datenexporteur sowie auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung. Bei der Beantwortung eines Auskunftsersuchens stellt er das nach angemessener Auslegung zulässige Mindestmaß an Informationen zur Verfügung.
Klausel 6 · Haftung
- Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur oder Datenimporteur Schadenersatz für den erlittenen Schaden zu erlangen.
- Ist die betroffene Person nicht in der Lage, gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm geltend macht – es sei denn, ein Rechtsnachfolger hat sämtliche Pflichten übernommen. Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters beruft.
- Ist die betroffene Person auch gegenüber dem Datenimporteur nicht in der Lage, Ansprüche wegen Verstoßes des Unterauftragsverarbeiters geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person ihre Ansprüche im Zusammenhang mit dessen Datenverarbeitungstätigkeiten gegenüber ihm geltend machen kann. Eine solche Haftung ist auf seine Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.
- Der Datenimporteur stellt die betroffene Person auf Grundlage verschuldensunabhängiger Haftung von allen Schäden frei, die durch den Zugriff von Behörden des Staates, in dem der Datenimporteur seinen Sitz hat, auf die Daten der betroffenen Person entstehen.
Klausel 7 · Schlichtungsverfahren und Gerichtsstand
- Macht eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, die Angelegenheit entweder a) in einem Schlichtungsverfahren durch eine unabhängige Person oder die Kontrollstelle beizulegen, oder b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu befassen.
- Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht ihre materiellen Rechte oder Verfahrensrechte berührt, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen.
Klausel 8 · Zusammenarbeit mit Kontrollstellen
- Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen, wenn diese es verlangt oder das anwendbare Datenschutzrecht es vorsieht.
- Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen zu prüfen, wie sie auch den Datenexporteur prüfen müsste.
- Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder Unterauftragsverarbeiter gelten und eine Prüfung gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.
Klausel 9 · Anwendbares Recht
Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
Klausel 10 · Änderung des Vertrags
Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zur Klausel stehen.
Klausel 11 · Vergabe eines Unterauftrags
- Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, ist dies nur im Wege einer schriftlichen Vereinbarung möglich, die dem Unterauftragsverarbeiter dieselben Pflichten auferlegt wie dem Datenimporteur. Kommt der Unterauftragsverarbeiter seinen Pflichten nicht nach, bleibt der Datenimporteur gegenüber dem Datenexporteur uneingeschränkt verantwortlich.
- Die vorherige schriftliche Vereinbarung zwischen Datenimporteur und Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person ihre Ansprüche weder gegenüber dem Datenexporteur noch dem Datenimporteur geltend machen kann, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger sämtliche Pflichten übernommen hat. Eine solche Haftpflicht ist auf die Verarbeitungstätigkeiten des Unterauftragsverarbeiters nach den Klauseln beschränkt.
- Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.
- Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern geschlossenen Vereinbarungen, die ihm vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.
Klausel 12 · Pflichten nach Beendigung der Datenverarbeitungsdienste
- Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste – je nach Wunsch des Datenexporteurs – alle übermittelten personenbezogenen Daten und deren Kopien zurückschicken oder zerstören und dies bescheinigen, sofern die für den Datenimporteur geltende Gesetzgebung die Rückübermittlung oder Zerstörung nicht untersagt. In diesem Fall garantiert der Datenimporteur die Vertraulichkeit der übermittelten Daten und verarbeitet diese nicht mehr aktiv weiter.
- Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.
Annex 1 & Annex 2 zu den Standardvertragsklauseln
Annex 1: Sofern nicht anders zwischen den Parteien vereinbart, sind die Einzelheiten der Datenübermittlung in Anhang 1 der AVV (Verarbeitungsdetails) aufgeführt.
Annex 2: Sofern zwischen den Parteien keine zusätzlichen technischen und organisatorischen Maßnahmen für Datenübermittlungen gemäß Anlage 3 zur AVV vereinbart werden, gelten die in Anlage 2 zur AVV (Technische und organisatorische Maßnahmen) dargestellten Maßnahmen.
Download
Dieses Dokument steht auch als PDF zum Download zur Verfügung:

