Datenverarbeitungsvertrag

HINTERGRUND DES DATENVERARBEITUNGSVERTRAGES  

Dieser Datenverarbeitungsvertrag ist Teil des jederzeit geltenden Handelsabkommens/Vertrages/Liefervertrages der Parteien (nachstehend „Liefervertrag“ genannt) sowie von späteren Zusatzabkommen. Die Bestimmungen des Liefervertrages gelten somit als Teil des Datenverarbeitungsvertrages.  

Im Falle eines Konfliktes zwischen den Bestimmungen des Liefervertrages und des Datenverarbeitungsvertrages, hat der Datenverarbeitungsvertrag Vorrang.

Der Zweck des Datenverarbeitungsvertrages ist es sicherzustellen, dass die jederzeit geltende Datenschutzverordnung bei der Verarbeitung von Personendaten durch Valeur im Namen des Kunden eingehalten wird, vor allem das Bundesdatenschutzgesetz (BDSG-neu), sowie die EU Datenschutz-Grundverordnung 2016/679 (DS-GVO) vom 25. Mai 2018. Alle Begriffe des Datenverarbeitungsvertrages müssen in Übereinstimmung mit den Definitionen dieser Gesetze verstanden werden.

 

ANWENDUNGSBEREICH UND UMFANG

Valeur erhält mit Abschluß des Datenverarbeitungsvertrages das Recht Personendaten im Namen des Kunden zu verarbeiten, als Teil der vereinbarten Leistungen im Rahmen des Liefervertrages. Die Verarbeitung wird anhand der Bestimmungen des Datenverarbeitungsvertrages, einschl. Anhang 3 und des Liefervertrages (Anweisungen) durchgeführt.  

Valeur darf darüber hinaus nur Personendaten nach schriftlicher oder anderweitig dokumentierter Vereinbarung vom Kunden verarbeiten.

Valeur darf außerdem Personendaten verarbeiten, wenn dies gemäß EU-Recht oder der Gesetzgebung der Mitgliedsstaaten erforderlich ist. Wenn Valeur solch eine Verarbeitung durchführt, verpflichtet sich Valeur dazu den Kunden vor Verarbeitung darüber zu informieren. Valeur ist allerdings nicht verpflichtet den Kunden zu informieren, wenn dies gegen EU-Recht oder der Gesetzgebung der Mitgliedsstaaten verstößt.

Valeur darf die übertragenen Personendaten nicht zu anderen Zwecken als Erfüllung der Leistungen im Rahmen des Liefervertrages verarbeiten, es sei denn der Kunde gibt andere Zwecke an und nur wenn Valeur zu solch einer Verarbeitung Anweisungen erhält.  

 

PERSONENDATEN ZUR VERARBEITUNGN

Die Personendaten, die mit Inkrafttreten des Datenverarbeitungsvertrages an Valeur übertragen werden, werden vom Kunden in Anhang 1 angegeben, zusammen mit den Kategorien der registrierten Personen. Im Falle von veränderten Personendaten oder Kategorien von registrierten Personen, müssen solche Änderungen in Übereinstimmung mit der Vorgehensweise im Liefervertrag zu Änderungen und als Anlage zum Datenverarbeitungsvertrag erstellt werden.

 

DAUER

Der Datenverarbeitungsvertrag tritt in Kraft mit Beitritt des Kunden zum Liefervertrag.

Der Datenverarbeitungsvertrag gilt bis Valeurs Pflichten gemäß dem Liefervertrag erfüllt sind.

Valeur wird nach Wunsch des Kunden entweder alle Personendaten an den Kunden zurückgeben oder löschen, nachdem die Verarbeitungsleistung erfüllt ist und Valeur wird alle existierenden Kopien löschen, es sei denn, Valeur eine rechtliche Verpflichtung hat die Personendaten aufzubewahren. Löschen oder Rückgabe der Personendaten muss in Übereinstimmung mit den Bestimmungen im Liefervertrag erfolgen, oder unverzüglich nach den Anweisungen des Kunden. Die Informationen des Kunden, die Teil eines Backup-Verfahrens sind, müssen von Valeur gemäß der vereinbarten Aufbewahrungsfrist des jeweiligen Systems gelöscht werden.  

PFLICHTEN DES KUNDEN

Der Kunde ist als Datenverantwortlicher verpflichtet die jederzeit geltende Datenschutzverordnung für die Personendaten, die an Valeur zur Verarbeitung überlassen werden, einzuhalten. Der Kunde muss vor allem dafür sorgen, dass:

  • die Angaben in Anhang 1 vollständig sind und dass Valeur danach handeln kann, u. a. in der Erstellung der erforderlichen Sicherheitsmaßnahmen;

  • der Kunde die erforderliche Rechtsgrundlage hat, um die Personendaten zu verarbeiten und diese an Valeur zur Verarbeitung im Rahmen des Datenverarbeitungsvertrages übertragen zu können;

  • die Anweisungen nachdem Valeur die Personendaten im Namen des Kunden verarbeitet, rechtsgemäß sind;

  • die Anweisungen des Kunden schriftlich sind, oder umgehend mit schriftlicher Dokumentation folgen;

  • der Kunde unverzüglich Valeur über durchgeführte Konsequenzanalysen informiert, die für die übertragenen Verarbeitungsaktivitäten relevant sind und dass der Kunde gleichzeitig Valeur die erforderliche Einsicht in die Analyse gewährt bez. Valeurs Durchführung der Verarbeitungsaktivitäten im Rahmen des Datenverarbeitungsvertrages;

  • der Kunde unverzüglich schriftlich Valeur über Verhältnisse auf der Kundenseite informiert, die für Valeurs Bewertung des Risikos der Durchführung der übertragenen Verarbeitungsaktivitäten von Bedeutung sind, u. a. Bewertung der angemessenen Sicherheitsmaßnahmen zum Schutz der Daten.

 

TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMAßNAHMEN

Die Parteien sind sich einig, dass die technischen und organisatorischen Sicherheitsmaßnahmen, die von Valeur im Rahmen vom Liefervertrag vereinbart oder gefordert werden, einschl. dass die tatsächlich durchgeführten Maßnahmen im Rahmen des Lieferverhältnisses angemessen sind, um ein Sicherheitsniveau zu gewährleisten, dass dem mit den Verarbeitungsaktivitäten im Namen des Kunden im Rahmen des Datenverarbeitungsvertrages verbundenen Risiko entspricht. Der Kunde verpflichtet sich dazu sicherzustellen, dass die verwendete Ausrüstung, Leistung etc. dem Risiko für registrierte Personen bei der Durchführung der Verarbeitungsaktivitäten angepasst ist.

Valeur wird allerdings laufend das Sicherheitsniveau bewerten und dafür Sorge tragen, dass angemessene (a) technische und (b) organisatorische Maßnahmen getroffen werden, um sicherzustellen dass das Sicherheitsniveau zu dem Risiko passt, verbunden mit den Verarbeitungsaktivitäten, die Valeur im Namen des Kunden durchführt. Diese Maßnahmen müssen unter Rücksichtnahme auf das aktuelle technische Niveau, den Implementierungskosten und dem jeweiligen Verarbeitungscharakter, Umfang, Zusammensetzung und Zweck durchgeführt werden und unter Rücksichtnahme auf die Risiken der variierenden Wahrscheinlichkeit und der Schwere für die Rechte und Freiheitsrechte physischer Personen. Valeur muss diesbezüglich bei der Festlegung dieser Maßnahmen u. a. auf die Personendaten, die in Anhang 1 beschrieben sind, Rücksicht nehmen.

Sollten Änderungen der technischen und organisatorischen Maßnahmen nach Valeurs Beurteilung erforderlich sein, wird Valeur den Kunden darüber informieren. Änderungen müssen danach in Übereinstimmung mit dem vereinbarten Änderungsverfahren im Liefervertrag erfolgen und wenn kein Änderungsverfahren vereinbart ist, erfolgen solche Änderungen als Ad hoc-Vereinbarung, die gleichzeitig die Implementierungskosten und Valeurs Vergütung für Durchführung der Änderungen berücksichtigt. Wenn es unmittelbar nicht möglich ist eine Vereinbarung über die technischen und organisatorischen Maßnahmen zu treffen, hat Valeur das Recht weitere Verarbeitung der übertragenen Daten einzustellen, ohne Haftung im Rahmen des Liefervertrages zu übernehmen, bis der Kunde Durchführung der erforderlichen Änderungen der Sicherheitsmaßnahmen ermöglicht.

 

MITARBEITERVERHÄLTNISSE 

Valeur muss sicherstellen, dass Personen, die von Valeur zur Verarbeitung der übertragenen Personendaten autorisiert sind, eine angemessene Vertraulichkeitserklärung unterschrieben haben, oder einer angemessenen gesetzlichen Geheimhaltungspflicht unterliegen.  

Valeur muss sicherstellen, dass Personen, die von Valeur zur Verarbeitung der übertragenen Personendaten autorisiert sind, wissen dass die Personendaten nur in Übereinstimmung mit den Anweisungen des Kunden verarbeitet werden dürfen.  

 

VERLETZUNG DER SICHERHEIT

Valeur muss unverzüglich den Kunden benachrichtigen, wenn eine Verletzung der Datenschutzsicherheit festgestellt wird.

Eine solche Benachrichtigung muss die tatsächlichen Umstände der Verletzung der Datenschutzsicherheit, die Folgen und geplanten Abhilfemaßnahmen enthalten.   

HILFE ZUR ERFÜLLUNG DER DATENSCHUTZPFLICHTEN DES KUNDEN

Nach ausdrücklichem Wunsch des Kunden und unter Rücksichtnahme auf das vereinbarte technische Niveau, hilft Valeur unter Rücksichtnahme auf den Charakter der Verarbeitung soweit es technisch möglich ist, dem Kunden bei der Festlegung von angemessenen technischen und organisatorischen Maßnahmen zur Erfüllung  der Datenschutzpflichten des Kunden im Rahmen der jederzeit geltenden Datenschutzverordnung.  

Nach ausdrücklichem Wunsch des Kunden und unter Rücksichtnahme auf das vereinbarte technische Niveau, hilft Valeur unter Rücksichtnahme auf den Charakter der Verarbeitung und der Valeur zur Verfügung stehenden Informationen, dem Kunden bei der Erfüllung der Datenschutzpflichten des Kunden im Rahmen dieses Datenverarbeitungsvertrages, einschl. bei:

  • Durchführung der angemessenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines Sicherheitsniveaus, dass zu den Risiken mit der Verarbeitung von Personendaten passt;

  • Benachrichtigung der Aufsichtsbehörde im Falle von Verletzung der Datenschutzsicherheit;

  • Benachrichtigung der registrierten Personen im Falle von Verletzung der Datenschutzsicherheit;

  • Durchführung von Konsequenzanalysen bez. Datenschutz und vorheriger Anhörung der Aufsichtsbehörde.

 

NACHWEIS VON ÜBEREINSTIMMUNG UND PRÜFUNG

Valeur stellt dem Kunden alle Informationen zur Verfügung, die für den Nachweis von Übereinstimmung mit den Anforderungen in diesem Datenverarbeitungsvertrages erforderlich sind.  

Valeur ermöglicht und unterstützt Prüfungen, einschl. Inspektionen, die vom Kunden oder anderen vom Kunden beauftragten Prüfern durchgeführt werden. Der Prüfer muss generell für Inspektionen und Prüfungen geeignet sein und die Prüferwahl des Kunden muss Valeur zur Genehmigung vorgelegt werden. Prüfungen und Inspektionen können nur nach einer vorherigen Ankündigungsfrist von mindestens 4 Wochen durchgeführt werden und sollten so durchgeführt werden, dass die übrigen Geschäfte Valeurs weitestgehend unberührt bleiben.

Wird ein anderer Prüfer als der Kunde verwendet, muss dieser Prüfer unabhängig und nicht-kompetitiv gegenüber Valeur sein und im übrigen einer Vertraulichkeits- und Geheimhaltungspflicht unterliegen, entweder gesetzlich oder im Rahmen einer rechtskräftigen Vertraulichkeitsvereinbarung.

Valeur kann außerdem verlangen, dass der auserwählte Prüfer eine Erklärung zur Einhaltung der Sicherheitsvorschriften von Valeur unterschreibt, bevor die Prüfung durchgeführt wird.  

Zu diesem Punkt informiert Valeur den Kunden unverzüglich, wenn eine Anweisung nach Valeurs Meinung gegen die geltende Datenschutzverordnung verstößt. 

 

UNTERDATENVERARBEITER

Der Kunde stimmt mit dem Datenverarbeitungsvertrages zu, dass Valeur einen anderen Datenverarbeiter (Unterdatenverarbeiter) verwenden kann zur Durchführung von bestimmten Verarbeitungsaktivitäten, mit denen der Kunde Valeur beauftragt hat. Anhang 2 enthält eine Übersicht der Unterdatenverarbeiter, die beim Eingehen des Datenverarbeitungsvertrages verwendet werden. Valeur informiert den Kunden über eventuell geplante Änderungen bez. neue oder ersetzte Unterdatenverarbeiter.   

Valeur muss eine schriftliche Vereinbarung mit dem verwendeten Unterdatenverarbeiter eingehen, um sicherzustellen, dass der Unterdatenverarbeiter die gleichen Datenschutzpflichten hat wie Valeur.

Wenn Valeur einen Unterdatenverarbeiter verwendet, dessen Leistungsbestimmungen unveränderlich sind, gelten die Bestimmungen des Unterdatenverarbeiters für die Verarbeitungsaktivitäten, die an einen solchen Unterdatenverarbeiter übertragen werden. Wenn die Verarbeitung gemäß den Bestimmungen des Unterdatenverarbeiters erfolgt, wird dies in Anhang 2 vermerkt sein.

Valeur ist direkt verantwortlich für die Verarbeitung von Personendaten durch den Unterdatenverarbeiter, als würde Valeur die Verarbeitung selbst durchführen.

 

ÜBERTRAGUNG VON PERSONENDATEN AN DRITTLÄNDER

Übertragung von Personendaten an Drittländer (außerhalb der EU) erfordert die vorherige Genehmigung des Kunden.

Jegliche Übertragung von Personendaten zur Verarbeitung oder geplanter Verarbeitung nach Übertragung an Drittländer oder einer internationalen Organisation, darf außerdem nur stattfinden, wenn die Bedingungen in der jeder Zeit geltenden Datenschutzverordnung vom Kunden und Valeur erfüllt werden.

Valeur muss eine gültige Übertragungsgrundlage für die Übertragung an Drittländer nachweisen können. Sofern die gültige Übertragungsgrundlage Teil einer Vereinbarung zwischen dem Kunden und einem Empfänger in einem Drittland ist, hilft der Kunde Valeur beim Abschluß einer solchen Vereinbarung, oder der Kunde erteilt Valeur schriftliche Erlaubnis eine solche Vereinbarung im Namen des Kunden abzuschließen. Dies gilt sowohl für Standardvereinbarungen, die von der EU-Kommission genehmigt sind, als auch für Vereinbarungen, die vom Datenschutzbeauftragten oder anderen kompetenten Aufsichtsbehörden genehmigt sind.  

 

KOMMERZIELLE VERHÄLTNISSE

Valeur hat Recht auf Zahlung nach aufgewandter Zeit für die Leistungen im Rahmen der Punkte des Datenverarbeitungsvertrages „HILFE ZUR ERFÜLLUNG DER DATENSCHUTZPFLICHTEN DES KUNDEN” und „NACHWEIS VON ÜBEREINSTIMMUNG UND PRÜFUNG”. Die Vergütung wird auf Grundlage der vereinbarten Stundensätze im Liefervertrag berechnet. Wenn im Liefervertrag keine Stundensätze vereinbart sind, werden die geltenden Stundensätze von Valeur verwendet.

 

HAFTUNG UND HAFTUNGSBESCHRÄNKUNG

Die Parteien haften gemäß den Bestimmungen im Liefervertrag. Bei Haftung gegenüber Dritte gilt allerdings Artikel 82 der Datenschutzverordnung.

Die Parteien haften jeweils nur für ihre eigenen Verbindlichkeiten. Die Parteien können solche Verbindlichkeiten nicht von der anderen Partei einfordern.