Vertrag zur Auftragsverarbeitung nach Art. 28 Abs. 3 DSGVO

Veröffentlichung am 16.06.2023

1. Geltungsbereich und Vertragsgegenstand

1.1 Dieser Vertrag zur Auftragsverarbeitung gilt, sofern die Bloofusion Germany GmbH – Elbersstr. 8, 48282 Emsdetten (im Folgenden „Auftragnehmer“) im Rahmen von Verträgen mit dem Kunden (im Folgenden „Auftraggeber“), die die Nutzung der Software SEA Safeguard (im Folgenden auch „Softwareprodukt“ oder „SEA Safeguard”) betreffen, personenbezogene Daten verarbeitet, die in den datenschutzrechtlichen Verantwortungsbereich des Auftraggebers fallen.

1.2 Die dem Auftragnehmer vom Auftraggeber überlassenen personenbezogenen Daten unterliegen den Bestimmungen der DSGVO und den sonstigen datenschutzrechtlichen Vorschriften (z. B. BDSG). Diese Vereinbarung legt die Rahmenbedingungen zur Gewährleistung der Einhaltung der datenschutzrechtlichen Regelungen fest.

1.3 Der Vertrag tritt mit der Einbeziehung der AGB in die Leistungsvereinbarung in Kraft und behält Gültigkeit, bis die vereinbarte Datenverarbeitung abgeschlossen ist.

2. Inhalt der Auftragsverarbeitung

2.1 Der Auftragnehmer ist zur Erfüllung der vereinbarten Leistungen unter Einhaltung der Bestimmungen dieses Vertrages zur Durchführung aller erforderlichen Verarbeitungsschritte der vom Auftraggeber überlassenen sowie der ggf. für ihn erhobenen Daten berechtigt, soweit dies nicht zu einer inhaltlichen Umgestaltung führt.

2.2 Umfang, Art und Zweck der Auftragsverarbeitung beschränkt sich auf die im Rahmen der Nutzung von SEA Safeguard erforderlichen Verarbeitungsvorgänge. Die Daten werden durch den Auftragnehmer nur so weit verarbeitet, wie es für die Bereitstellung des Softwareprodukts und der damit verbundenen Dienstleistungen notwendig ist. Dazu gehören insbesondere die Unterstützung bei der Optimierung von Werbekonten sowie damit zusammenhängende Dienste wie Prüfung, Überwachung und Auswertung. Personenbezogene Daten werden dabei nur in Ausnahmefällen verarbeitet, wenn Konten auf mögliche Probleme geprüft werden. Darunter fallen ungewöhnliche oder potenziell problematische Aktivitäten, Fälle, bei denen in Google Analytics vermeintlich unbeabsichtigt personenbezogene Daten erfasst wurden (z. B. E-Mail-Adressen in URLs) und ggf. weitere Fälle. Eine Speicherung personenbezogener Daten findet nur dann statt, wenn mögliche Probleme gefunden wurden. Sie dient dann dazu, besagte Probleme dem Auftraggeber zu präsentieren. Nach Behebung des Problems werden die entsprechenden Meldungen samt der zugehörigen personenbezogenen Daten gelöscht. Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen Nutzer der angeschlossenen Dienste und Website-Besucher.

2.3 Die verarbeiteten Datenkategorien und der Kreis der Betroffenen richtet sich darüber hinaus nach der individuellen Nutzung des Softwareprodukts durch den Auftraggeber.

2.4 Die angeschlossenen Dienste des Auftraggebers werden regelmäßig oder auf Aufforderung geprüft. Dabei kann der SEA Safeguard auch auf personenbezogene Daten zugreifen, sofern sie über die angeschlossenen Dienste verfügbar sind. Dazu zählen insbesondere Nutzeraktivitäten innerhalb der angeschlossenen Dienste (z. B. im Änderungsverlauf), E-Mail-Adressen der Nutzer aus angeschlossenen Diensten (z. B. Google-Konten in Form von E-Mail-Adressen), Daten zu Website-Nutzern aus Google Analytics und ggf. weitere Daten.

2.5 Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Einhaltung von Informationspflichten und die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich. Als datenschutzrechtlich verantwortliche Stelle ist der Auftraggeber dafür verantwortlich, dass eine geeignete Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten vorliegt und ggf. weitere einschlägige rechtliche Voraussetzungen erfüllt werden.

3. Technische und organisatorische Maßnahmen

3.1 Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Soweit die Verarbeitung außerhalb der Betriebsräumlichkeiten des Auftragnehmers zulässig ist, wird das gleiche Schutzniveau sichergestellt.

3.2 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. Einzelheiten zu den technischen und organisatorischen Maßnahmen werden auf Anfrage zur Verfügung gestellt.

3.3 Die Erbringung der vereinbarten Datenverarbeitung findet grundsätzlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DSGVO erfüllt sind.

4. Pflichten des Auftragnehmers

4.1 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.

4.2 Der Auftragnehmer hat einen Datenschutzbeauftragten benannt, der seine Tätigkeit gemäß Artt. 38 und 39 DSGVO ausübt.

4.3 Der Auftragnehmer gewährleistet die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers einschließlich der in diesem Vertrag eingeräumten Befugnisse verarbeiten, es sei denn, dass der Auftragnehmer nach dem Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

4.4 Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

4.5 Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

4.6 Der Auftragnehmer unterstützt den Auftraggeber im erforderlichen Umfang, falls dieser einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im konkreten Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist.

4.7 Der Auftragnehmer unterstützt den Auftraggeber in seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von geltend gemachten Rechten durch betroffene Personen in angemessenem Umfang.

5. Unterauftragsverhältnisse

5.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

5.2 Es ist nicht vorgesehen, dass für die Erbringung der Leistungen Unterauftragnehmer eingesetzt werden. Der Auftragnehmer besitzt die allgemeine Genehmigung des Auftraggebers für die zukünftige Beauftragung von Unterauftragnehmern, die in einer Liste aufgeführt werden. Der Auftragnehmer unterrichtet den Auftraggeber im Voraus ausdrücklich in Textform über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragnehmern und räumt dem Auftraggeber ausreichend Zeit ein, um vor der Beauftragung Einwände gegen diese Änderungen erheben zu können.

5.3 Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

5.4 Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU / des EWR, stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen – insbesondere durch Abschluss von Verträgen nach den aktuellen Standardvertragsklauseln der EU-Kommission – sicher. Sämtliche vertraglichen Regelungen zur Auftragsverarbeitung sind auch weiteren Unterauftragnehmern aufzuerlegen.

6. Kontrollrechte des Auftraggebers

6.1 Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dass er dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der vereinbarten Pflichten zur Verfügung stellt.

6.2 Der Auftraggeber ermöglicht Überprüfungen, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, soweit die Erforderlichkeit durch den Auftraggeber nachgewiesen wird.

7. Mitteilung bei Verstößen und Informationspflichten des Auftragnehmers

7.1 Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorheriger Konsultationen.

7.2 Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

8. Löschung und Rückgabe von Daten

8.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

8.2 Nach Abschluss der Erbringung der Verarbeitungsleistungen hat der Auftragnehmer alle personenbezogenen Daten und vorhandene Kopien nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

8.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.