Vereinbarung zur Datenverarbeitung

Vereinbarung zur Datenverarbeitung – Datatorq

Diese Datenverarbeitungsvereinbarung („Vereinbarung“) ist Teil des Vertrags für

Dienstleistungen („Hauptvertrag“) zwischen

_____________________

_____________________

_____________________

(das „Unternehmen“) und

Datatorq SAS

52 rue Monge

75005 Paris

Frankreich

(der „Datenverarbeiter“)

(zusammen als die „Parteien“ bezeichnet)

WENN

(A) Das Unternehmen handelt als Data Controller.

(B) Das Unternehmen möchte bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an den Datenverarbeiter untervergeben.

(C) Die Parteien streben die Umsetzung einer Datenverarbeitungsvereinbarung an, die den Anforderungen des derzeitigen Rechtsrahmens in Bezug auf die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) entspricht.

(D) Die Parteien möchten ihre Rechte und Pflichten festlegen.

WIRD WIE FOLGT VEREINBART:

1. Definitionen und Auslegung

1.1 Sofern hier nicht anders definiert, haben die in diesem Vertrag verwendeten Begriffe und Ausdrücke in Großbuchstaben die folgende Bedeutung:

1.1.1 „Vertrag“ bezeichnet diesen Datenverarbeitungsvertrag und alle Anhänge;

1.1.2 „Personenbezogene Daten des Unternehmens“ bezeichnet alle personenbezogenen Daten, die von einem Auftragsverarbeiter im Auftrag des Unternehmens gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden;

1.1.3 „Auftragsverarbeiter“ bedeutet ein Unterauftragsverarbeiter;

1.1.4 „Datenschutzgesetze“ bezeichnet die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze eines anderen Landes;

1.1.5 „EWR“ bezeichnet den Europäischen Wirtschaftsraum;

1.1.6 „EU-Datenschutzgesetze“ bezeichnet die EU-Richtlinie 95/46/EG in der in die nationale Gesetzgebung der einzelnen Mitgliedstaaten umgesetzten Fassung, die von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO;

1.1.7 „GDPR“ bezeichnet die EU-Datenschutzgrundverordnung 2016/679;

1.1.8 „Datenübertragung“ bedeutet:

1.1.8.1 eine Übertragung personenbezogener Unternehmensdaten vom Unternehmen an einen Auftragsverarbeiter; oder

1.1.8.2 eine Weitergabe von personenbezogenen Daten des Unternehmens von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines Auftragsverarbeiters, wenn eine solche Weitergabe durch Datenschutzgesetze (oder durch die Bedingungen von Datenübertragungsvereinbarungen, die eingerichtet wurden, um die Datenübertragungsbeschränkungen der Datenschutzgesetze zu umgehen) verboten wäre;

1.1.9 „Dienste“ bezeichnet die Analyse- und Datendienste, die das Unternehmen anbietet.

1.1.10 „Unterauftragsverarbeiter“ bezeichnet jede Person, die vom oder im Namen des Auftragsverarbeiters mit der Verarbeitung personenbezogener Daten im Auftrag des Unternehmens in Verbindung mit dem Vertrag beauftragt wird.

1.2 Die Begriffe „Kommission“, „für die Verarbeitung Verantwortlicher“, „betroffene Person“, „Mitgliedstaat“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“ und „Aufsichtsbehörde“ haben die gleiche Bedeutung wie in der DSGVO, und die entsprechenden Begriffe sind entsprechend auszulegen.

2. Verarbeitung von persönlichen Daten des Unternehmens

2.1 Der Prozessor muss:

2.1.1 alle geltenden Datenschutzgesetze bei der Verarbeitung personenbezogener Daten des Unternehmens einhalten; und

2.1.2 die personenbezogenen Daten des Unternehmens nur auf der Grundlage der dokumentierten Anweisungen des betreffenden Unternehmens verarbeiten.

2.2 Das Unternehmen weist den Auftragsverarbeiter an, die persönlichen Daten des Unternehmens zu verarbeiten.

3. Personal des Verarbeiters

Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Bevollmächtigten oder Auftragnehmer eines Auftragsverarbeiters, die Zugang zu den personenbezogenen Daten des Unternehmens haben, zu gewährleisten, wobei in jedem Fall sichergestellt wird, dass der Zugang strikt auf die Personen beschränkt ist, die die relevanten personenbezogenen Daten des Unternehmens kennen bzw. darauf zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags unbedingt erforderlich ist, und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Personen gegenüber dem Auftragsverarbeiter einzuhalten, wobei sichergestellt wird, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterliegen.

4. Sicherheit

4.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen setzt der Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Unternehmens geeignete technische und organisatorische Maßnahmen um, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32(1) der DSGVO genannten Maßnahmen.

4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt der Auftragsverarbeiter insbesondere die Risiken, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.

5. Unterverarbeitungen

5.1 Der Auftragsverarbeiter darf keinen Unterauftragsverarbeiter ernennen (oder personenbezogene Daten des Unternehmens an diesen weitergeben), es sei denn, dies wird vom Unternehmen verlangt oder genehmigt.

6. Rechte der betroffenen Person

6.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter das Unternehmen, indem er geeignete technische und organisatorische Maßnahmen ergreift, soweit dies möglich ist, um die Verpflichtungen des Unternehmens zu erfüllen, wie sie vom Unternehmen vernünftigerweise verstanden werden, um auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu reagieren.

6.2 Der Prozessor muss:

6.2.1 das Unternehmen unverzüglich zu benachrichtigen, wenn es eine Anfrage einer betroffenen Person gemäß einem Datenschutzgesetz in Bezug auf die personenbezogenen Daten des Unternehmens erhält; und

6.2.2 sicherstellen, dass er auf diese Anfrage nicht antwortet, es sei denn, dies geschieht auf dokumentierte Anweisung des Unternehmens oder gemäß den geltenden Gesetzen, denen der Auftragsverarbeiter unterliegt; in diesem Fall muss der Auftragsverarbeiter das Unternehmen in dem nach den geltenden Gesetzen zulässigen Umfang über diese gesetzliche Anforderung informieren, bevor er auf die Anfrage antwortet.

7. Verletzung des Schutzes personenbezogener Daten

7.1 Der Auftragsverarbeiter muss das Unternehmen unverzüglich benachrichtigen, wenn er von einer Verletzung des Schutzes personenbezogener Daten erfährt, die personenbezogene Daten des Unternehmens betrifft, und dem Unternehmen ausreichende Informationen zur Verfügung stellen, damit das Unternehmen seinen Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen kann.

7.2 Der Auftragsverarbeiter arbeitet mit dem Unternehmen zusammen und unternimmt auf Anweisung des Unternehmens angemessene kommerzielle Schritte, um bei der Untersuchung, Abschwächung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.

8. Datenschutz-Folgenabschätzung und vorherige Konsultation Der Auftragsverarbeiter unterstützt das Unternehmen in angemessener Weise bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die das Unternehmen nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich hält, und zwar jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten des Unternehmens durch die Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den Auftragsverarbeitern vorliegenden Informationen.

9. Löschung oder Rückgabe von persönlichen Daten des Unternehmens

9.1 Vorbehaltlich dieses Abschnitts 9 hat der Auftragsverarbeiter unverzüglich und in jedem Fall innerhalb von

10 Werktage nach dem Datum der Beendigung von Dienstleistungen, die die Verarbeitung personenbezogener Daten des Unternehmens beinhalten (das „Beendigungsdatum“), alle Kopien dieser personenbezogenen Daten des Unternehmens zu löschen und zu veranlassen, dass sie gelöscht werden.

10. Audit-Rechte

10.1 Vorbehaltlich dieses Abschnitts 10 stellt der Auftragsverarbeiter dem Unternehmen auf Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses Vertrags nachzuweisen, und er gestattet Audits, einschließlich Inspektionen, durch das Unternehmen oder einen vom Unternehmen beauftragten Prüfer in Bezug auf die Verarbeitung der personenbezogenen Daten des Unternehmens durch die Auftragsverarbeiter und trägt dazu bei.

10.2 Auskunfts- und Prüfungsrechte des Unternehmens ergeben sich aus Abschnitt 10.1 nur insoweit, als der Vertrag ihnen nicht anderweitig Auskunfts- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen des Datenschutzrechts entsprechen.

11. Datenübertragung

11.1 Der Auftragsverarbeiter darf ohne die vorherige schriftliche Zustimmung des Unternehmens keine Daten in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übertragen oder deren Übertragung genehmigen. Wenn personenbezogene Daten, die im Rahmen dieser Vereinbarung verarbeitet werden, aus einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übertragen werden, stellen die Parteien sicher, dass die personenbezogenen Daten angemessen geschützt sind. Um dies zu erreichen, stützen sich die Parteien, sofern nicht anders vereinbart, auf von der EU genehmigte Standardvertragsklauseln für die Übermittlung personenbezogener Daten.

12. Allgemeine Begriffe

12.1 Vertraulichkeit. Jede Partei muss diesen Vertrag und die Informationen, die sie über die andere Partei und deren Geschäfte im Zusammenhang mit diesem Vertrag erhält („vertrauliche Informationen“), vertraulich behandeln und darf diese vertraulichen Informationen nicht ohne die vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, es sei denn, dass:

(a) die Offenlegung gesetzlich vorgeschrieben ist;

(b) die relevanten Informationen sind bereits öffentlich zugänglich.

12.2 Benachrichtigungen. Alle Mitteilungen im Rahmen dieses Vertrages bedürfen der Schriftform und werden persönlich, per Post oder per E-Mail an die in der Überschrift dieses Vertrages angegebene Adresse oder E-Mail-Adresse sowie an eine andere, von den Parteien von Zeit zu Zeit mitgeteilte Adresse zugestellt.

13. Geltendes Recht und Gerichtsstand

13.1 Diese Vereinbarung unterliegt dem Recht von _______________.

13.2 Alle Streitigkeiten, die sich im Zusammenhang mit dieser Vereinbarung ergeben und die die Parteien nicht gütlich beilegen können, unterliegen der ausschließlichen Zuständigkeit der Gerichte von _________________, vorbehaltlich einer möglichen Berufung an __________________________________.

ZU URKUND DESSEN wird dieser Vertrag mit Wirkung ab dem ersten unten aufgeführten Datum geschlossen.

Datatorq

Signature ______________________________

Name: Anton Golche

Titel: Präsident

Datum der Unterzeichnung: 21/03/2024

Verarbeiter Unternehmen

Signature ______________________________

Name _________________________________

Title __________________________________

Datum Unterzeichnet ____________________________