Zwischen SuperOffice AS als Auftragsverarbeiter (nachfolgend “Auftragnehmer”) und einem Kunden als der für die Verarbeitung Verantwortliche ( nachfolgend “Auftraggeber”)
Diese Vereinbarung ist gültig ab dem 01.05.2023. Sie finden hier die vorherige Version.
Einen Vergleich der vorherigen und aktuellen Version sowie eine Übersicht über die Änderungen, finden Sie hier.
1. Zweck und Definitionen
Zweck dieses Datenverarbeitungsvertrages ist es, die Verarbeitung personenbezogener Daten durch den Auftraggeber im Rahmen der Bereitstellung des SuperOffice CRM Online Service ("der Service"), der im SuperOffice CRM Online Abonnementrahmenvertrag (SuperOffice CRM Online Master Subscription Agreement, "MSA") näher beschrieben wird.
Diese Datenverarbeitungsvereinbarung regelt die Rechte und Pflichten des Auftragnehmers, um sicherzustellen, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit den geltenden Datenschutzgesetzen erfolgt.
Die Verarbeitung personenbezogener Daten (wie unten definiert) unterliegt den Anforderungen und Verpflichtungen des geltenden Rechts. Wenn der Auftraggeber eine im Europäischen Wirtschaftsraum (EWR) ansässige juristische Person ist, wird das Deutsche Datenschutzgesetz und die aktuelle EU-Verordnung 2016/679 vom 27. April 2016 ("DS-GVO") gelten. Die Parteien kommen überein, diese Datenverarbeitungsvereinbarung in dem Maße zu ergänzen, wie es aufgrund der DS-GVO und der überarbeiteten Verordnung über elektronische Kommunikation ("ePrivacy") gemäß ihrer Deutsche Umsetzung erforderlich ist.
"Personenbezogene Daten" sind alle Informationen über eine identifizierte oder identifizierbare natürliche Person im Sinne des geltenden Rechts und der DS-GVO.
"Verarbeitung" personenbezogener Daten ist jede Nutzung und jeder Vorgang, die mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob diese automatisch erfasst, übertragen, gespeichert, geändert oder offengelegt werden, wie dies im anwendbaren Recht und der DS-GVO näher definiert ist.
"Drittländer" sind Länder außerhalb des EU/EWR-Raums, die nicht als Länder anerkannt sind, die einen angemessenen Schutz personenbezogener Daten bieten.
2. Verantwortlichkeit des Auftraggebers
Um auf den Dienst zugreifen zu können, muss der Auftraggeber dem Auftragnehmer bestimmte Daten zur Verfügung stellen, einschließlich des korrekten Namens, der Kontaktdaten und der E‑Mail-Adresse der Benutzer. Darüber hinaus müssen die Benutzer des Dienstes dem Auftragnehmer erlauben, Informationen über die Benutzung des Dienstes durch die Verwendung von "Cookies" zu speichern und abzurufen, die notwendig sind, um die im Rahmen des Dienstes verwendeten An- und Abmeldeverfahren zu ermöglichen und sicherzustellen, dass Unbefugte keinen Zugang zu dem Dienst erhalten.
Der Auftraggeber erkennt an und akzeptiert, dass alle persönlichen Daten, die der Auftraggeber im Rahmen der Benutzung des Dienstes hochlädt, wie zum Beispiel hochgeladene persönliche Daten seiner eigenen Kunden, an einen Dritten (Unterauftragnehmer) mit Sitz im Europäischen Wirtschaftsraum (EWR) übermittelt werden können, der für das Hosting des Dienstes, einschließlich der Bereitstellung aller Hardware, Infrastruktur, Datenspeicherung und Kommunikationsleitungen sorgt. Die Pflichten des Dritten in Bezug auf personenbezogene Daten werden in einem separaten Datenverarbeitungsvertrag zwischen dem Auftragnehmer und dem Dritten im Rahmen dieses Datenverarbeitungsvertrages geregelt. Alle Daten des Dienstes werden auf Servern in Europa gespeichert.
Der Auftraggeber bestätigt, dass er:
- über eine ausreichende Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügt;
- das Recht hat, den Auftragnehmer mit der Verarbeitung der persönlichen Daten zu beauftragen;
- die Verantwortung für die Richtigkeit, die Integrität, den Inhalt, die Zuverlässigkeit und die Rechtmäßigkeit der persönlichen Daten hat;
- im Hinblick auf die Benachrichtigung und Genehmigung der zuständigen Behörden das geltende Recht einhält;
- die betroffene Person gemäß geltendem Recht informiert hat
Der Auftraggeber muss:
- auf Anfragen der Betroffenen antworten bezüglich der Verarbeitung personenbezogener Daten gemäß dieser Datenverarbeitungsvereinbarung;
- die Notwendigkeit spezifischer Maßnahmen gemäß diesem Datenverarbeitungsvertrag gemäß Art. 3.3.2 und Art. 3.3.4 beurteilen und diese Maßnahmen beim Auftragnehmer einfordern.
Der Auftraggeber trifft ausreichende technische und organisatorische Maßnahmen, um die Einhaltung der DS-GVO ab dem Zeitpunkt ihres Inkrafttretens in Norwegen sicherzustellen und nachzuweisen.
Der Auftraggeber ist verpflichtet, Verstöße gegen personenbezogene Daten den zuständigen Behörden und, falls erforderlich, den Betroffenen gemäß geltendem Recht unverzüglich mitzuteilen.
3. Verantwortlichkeit des Auftragnehmers
3.1 Compliance
Der Auftragnehmer hält sich an alle Bestimmungen zum Schutz personenbezogener Daten, die in diesem Vertrag über die Verarbeitung personenbezogener Daten und in den geltenden Datenschutzgesetzen mit Relevanz für die Verarbeitung personenbezogener Daten festgelegt sind. Der Auftragnehmer unterstützt den Auftraggeber dabei sicherzustellen und zu zu dokumentieren, dass der Auftraggeber seine Anforderungen gemäß den geltenden Datenschutzbestimmungen erfüllt.
Der Auftragnehmer hat die Weisungen und Abläufe der Auftraggebers in Bezug auf die Verarbeitung personenbezogener Daten einzuhalten.
3.2 Beschränkungen der Nutzung
Der Auftragnehmer verarbeitet personenbezogene Daten nur auf Weisung des Auftraggebers. Der Auftragnehmer darf personenbezogene Daten nicht ohne vorherige schriftliche Zustimmung des Auftraggebers oder ohne schriftliche Weisungen des Auftraggebers verarbeiten, die über das hinausgehen, was zur Erfüllung seiner Verpflichtungen gegenüber dem Auftraggeber im Rahmen der Vereinbarung erforderlich ist.
3.3 Informationssicherheit
3.3.1 Pflicht zur Informationssicherung
Der Auftragnehmer gewährleistet durch geplante, systematische, organisatorische und technische Maßnahmen eine angemessene Informationssicherheit in Bezug auf Vertraulichkeit, Integrität und Zugänglichkeit im Zusammenhang mit der Verarbeitung personenbezogener Daten gemäß den Bestimmungen der geltenden Datenschutzgesetze.
Die Maßnahmen und die Dokumentation, die der internen Kontrolle des Auftragnehmers dienen, sind dem Auftraggeber auf Verlangen zur Verfügung zu stellen.
3.3.2 Bewertung von Maßnahmen
Bei der Entscheidung, welche technischen und organisatorischen Maßnahmen durchgeführt werden sollen, berücksichtigt der Auftragnehmer in Absprache mit dem Auftraggeber:
- Den Stand der Technik
- Die Kosten der Implementierung
- Art und Umfang der Verarbeitung
- Kontext und Zweck der Verarbeitung,
- Die Schwere der Risiken, die die Verarbeitung personenbezogener Daten für die Rechte und Freiheiten der betroffenen Person mit sich bringt.
Der Auftragnehmer prüft in Absprache mit dem Auftraggeber:
- Die Implementierung der Pseudonymisierung und Verschlüsselung von personenbezogenen Daten;
- die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten kontinuierlich zu gewährleisten;
- die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Ereignisses rechtzeitig wiederherzustellen;
- ein Verfahren zur laufenden regelmäßigen Überprüfung, Kontrolle, Bewertung und Beurteilung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
3.3.3 Anfragen der Betroffenen
In Anbetracht der Art der Verarbeitung trifft der Auftragnehmer geeignete technische und organisatorische Maßnahmen, um den Auftraggeber bei seiner Pflicht zu unterstützen, auf Anfragen bezüglich der Ausübung der Rechte der betroffenen Personen zu reagieren.
3.3.4 Unterstützung des Auftraggebers
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung des anwendbaren Rechts, einschließlich der Unterstützung des Auftraggebers bei:
- Der Durchführung der oben genannten technischen und organisatorischen Maßnahmen;
- der Einhaltung der Meldepflicht gegenüber Aufsichtsbehörden und Betroffenen im Falle eines Verstoßes gegen personenbezogene Daten;
- der Durchführung von Datenschutzfolgenabschätzungen;
- der Durchführung vorheriger Konsultationen mit den Aufsichtsbehörden, wenn eine Folgenabschätzung zum Schutz der Privatsphäre dies erforderlich macht;
- der Mitteilung an den Auftraggeber, wenn der Auftragnehmer der Meinung ist, dass eine Anweisung des Auftraggebers nicht den geltenden Datenschutzbestimmungen entspricht.
Die vorstehenden Unterstützungshandlungen durch den Auftragnehmer sind unter Berücksichtigung ihrer Notwendigkeit auszuführen. Dabei sind die Bedürfnisse des Auftraggebers, die Art der Verarbeitung und die dem Auftragnehmer zur Verfügung stehenden Informationen zu berücksichtigen.
3.3.5 Vergütung
Die Unterstützung durch den Auftragnehmer, wie sie in diesem Datenverarbeitungsvertrag festgelegt ist, sowie die Unterstützung in Bezug auf spezifische Abläufe und Weisungen des Auftraggebers werden vom Auftragnehmer gemäß den regulären Bedingungen und Preisen des Auftraggebers vergütet.
3.4 Meldung von Verletzungen des Schutzes personenbezogener Daten und sonstiger Abweichungen
Jegliche Nutzung der Informationssysteme und der persönlichen Daten, die nicht mit den festgelegten Abläufen und Weisungen des Auftraggebers oder den geltenden Datenschutzgesetzen übereinstimmen, sowie jegliche Sicherheitsverletzungen werden als Abweichung behandelt.
Der Auftragnehmer muss über Abläufe und systematische Verfahren zur Nachvollziehung von Abweichungen verfügen, die die Wiederherstellung des normalen Zustands, die Beseitigung der Ursache der Abweichung und die Verhinderung ihres Wiederauftretens umfassen.
Der Auftragnehmer wird den Auftraggeber unverzüglich über jeden Verstoß gegen diese Datenverarbeitungsvertrag oder über versehentlichen, unrechtmäßigen oder unbefugten Zugriff auf personenbezogene Daten, deren Verwendung oder Offenlegung oder darüber informieren, dass die personenbezogenen Daten möglicherweise gefährdet sind oder die Integrität der personenbezogenen Daten verletzt wurde. Der Auftraggeber stellt dem Auftragnehmer alle erforderlichen Informationen zur Verfügung, damit dieser die geltenden Datenschutzvorschriften einhalten und alle Anfragen der zuständigen Datenschutzbehörden beantworten kann. Es liegt in der Verantwortung des Auftraggebers, die zuständige Datenschutzbehörde über die Verletzung des Schutzes personenbezogener Daten und sonstiger Abweichungen in Übereinstimmung mit dem geltenden Recht zu informieren.
3.5 Vertraulichkeit
Der Auftragnehmer ist verpflichtet, alle persönlichen Daten und andere vertrauliche Informationen vertraulich zu behandeln. Der Auftragnehmer stellt sicher, dass jeder Mitarbeiter des Auftragnehmers, unabhängig davon, ob er Angestellter oder Leiharbeiter ist, Zugang zu oder an der Verarbeitung personenbezogener Daten im Rahmen der MSA beteiligt ist, (i) sich zur Vertraulichkeit verpflichtet hat und (ii) über die Verpflichtungen aus dieser Datenverarbeitungsvereinbarung informiert wird und diese einhält. Die Geheimhaltungspflicht gilt auch nach Beendigung des MSA oder dieses Vertrages über die Datenverarbeitung.
3.6 Sicherheitskontrollen
Der Auftragnehmer führt regelmäßig Sicherheitsaudits für Systeme und ähnliches durch, die für die Verarbeitung personenbezogener Daten, die unter diese Datenverarbeitungsvereinbarung fallen, relevant sind. Berichte, die die Sicherheitsaudits dokumentieren, müssen dem Auftraggeber zur Verfügung stehen.
Der Auftraggeber hat das Recht, Sicherheitsaudits durch einen unabhängigen Dritten zu verlangen gewählt von dem Auftragnehmer. Der Dritte stellt dem Auftraggeber auf Anfrage einen Bericht zur Verfügung. Der Auftraggeber akzeptiert, dass der Auftragnehmer eine Entschädigung für die Durchführung der Prüfung verlangen kann.
3.7 Subunternehmer (Unterauftragnehmer)
Der Auftragnehmer ist berechtigt, Unterauftragnehmer einzusetzen und der Auftraggeber akzeptiert den Einsatz von Unterauftragnehmern. Eine Liste der vorab genehmigten Unterauftragnehmer ist im SuperOffice Trust Center verfügbar. Der Auftragnehmer stellt durch schriftliche Vereinbarung mit einem Unterauftragnehmer sicher, dass die Verarbeitung personenbezogener Daten durch den Unterauftragnehmer denselben Verpflichtungen und Beschränkungen unterliegt, die dem Auftragnehmer gemäß dieser Datenverarbeitungsvereinbarung auferlegt werden.
Beabsichtigt der Auftragnehmer, Unterauftragnehmer auszuwechseln oder einen neuen Unterauftragnehmer einzusetzen, so hat der Auftragnehmer dies dem Auftraggeber 4 Monate vor jeder Verarbeitung durch den neuen Unterauftragnehmer schriftlich mitzuteilen, und der Auftraggeber kann innerhalb eines Monats nach der Benachrichtigung über den Wechsel der Unterauftragnehmer widersprechen. Widerspricht der Auftraggeber dem Wechsel, kann er den Vertrag mit einer Frist von 3 Monaten kündigen. Soweit der Auftraggeber den Vertrag nicht kündigt, gilt der Wechsel des Unterauftragnehmers als akzeptiert.
3.8 Übermittlung von persönlichen Daten an Drittländer
Wenn der Auftragnehmer Unterauftragnehmer außerhalb des EU/EWR-Raums für die Verarbeitung personenbezogener Daten einsetzt, muss diese Verarbeitung im Einklang mit dem EU-Standard-Vertragsklauseln für die Übermittlung in Drittländer oder einer anderen ausdrücklich genannten gesetzlichen Grundlage für die Übermittlung personenbezogener Daten in ein Drittland stehen. Im Zweifel gilt das Gleiche, wenn die Daten in der EU/EWR gespeichert sind, aber von Orten außerhalb der EU/EWR abgerufen werden können.
Sollte der Auftraggeber einer solchen Übermittlung personenbezogener Daten zustimmen, ist er verpflichtet, mit dem Auftragnehmer zusammenzuarbeiten, um eine konforme Übermittlung zu gewährleisten. Beruht die Übertragung auf den EU-Standardvertragsklauseln für Auftragsverarbeiter, so ermächtigt der für die Verarbeitung Verantwortliche den Datenverarbeiter, im Auftrag des für die Verarbeitung Verantwortlichen in solche EU-Standardvertragsklauseln mit dem Unterauftragnehmer einzutreten.
4. Haftung, Verstöße
Im Falle eines Verstoßes gegen diese Datenschutzvereinbarung oder eines Verstoßes gegen die Verpflichtungen nach dem anwendbaren Recht über die Verarbeitung personenbezogener Daten gelten die einschlägigen Bestimmungen zum Vertragsbruch des MSA.
Ansprüche der einen Partei wegen Nichteinhaltung des Datenverarbeitungsvertrages durch die andere Partei unterliegen den gleichen Beschränkungen wie im MSA. Bei der Beurteilung, ob die Haftungsbeschränkung im MSA erreicht ist, sind die Ansprüche wegen Vertragsbruchs aus diesem Datenverarbeitungsvertrag und dem MSA gemeinsam zu berücksichtigen, wobei die Begrenzung im MSA als Gesamtbegrenzung anzusehen ist.
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er Grund zu der Annahme hat, dass er seinen Verpflichtungen aus dieser Datenschutzvereinbarung nicht nachkommen kann.
5. Laufzeit und Kündigung der Datenschutzvereinbarung, Änderungen
Diese Datenverarbeitungsvereinbarung gilt ab dem Datum ihrer Unterzeichnung durch beide Parteien und bis zur Beendigung der Verpflichtungen des Auftragnehmers in Bezug auf die Erbringung von Dienstleistungen in Übereinstimmung mit dem MSA, mit Ausnahme der Bestimmungen des MSA und der Datenverarbeitungsvereinbarung, die auch nach einer solchen Beendigung weiterhin gelten.
Nach Beendigung dieser Datenverarbeitungsvereinbarung werden die personenbezogenen Daten/Daten in einem standardisierten Format und Medium zusammen mit den notwendigen Anweisungen zurückgegeben, um die weitere Verwendung der personenbezogenen Daten/Daten durch den Auftraggeber zu erleichtern. Der Auftragnehmer wird zunächst alle personenbezogenen Daten und andere Daten zurückgeben und anschließend löschen. Der Auftragnehmer (und seine Unterauftragnehmer) werden die Verarbeitung personenbezogener Daten ab dem von dem Auftraggeber festgelegten Datum unverzüglich einstellen.
Als Alternative zur Rückgabe der personenbezogenen Daten (oder anderer Daten) kann der Auftraggeber nach eigenem Ermessen den Auftragnehmer schriftlich anweisen, dass die personenbezogenen Daten (oder andere Daten) ganz oder teilweise vom Auftragnehmer gelöscht werden, es sei denn, der Auftragnehmer ist durch zwingende Rechtsvorschriften daran gehindert, die personenbezogenen Daten zu löschen.
Der Auftragnehmer hat kein Recht, eine Kopie der von dem Auftraggeber im Zusammenhang mit der MSA oder dieser Datenschutzvereinbarung bereitgestellten Daten in irgendeinem Format aufzubewahren, und alle physischen und logischen Zugriffe auf diese personenbezogenen Daten oder andere Daten werden gelöscht.
Der Auftragnehmer stellt dem Auftraggeber eine schriftliche Erklärung zur Verfügung, in der er garantiert, dass alle oben genannten personenbezogenen Daten oder andere Daten gemäß den Anweisungen des Auftraggebers zurückgegeben oder gelöscht wurden und dass der Auftragnehmer keine Kopie, keinen Ausdruck oder Speicherung der Daten auf einem Datenträger vorgenommen hat.
Die Verpflichtungen nach Ziffer 3.5 und 4 gelten auch nach der Kündigung fort. Ferner gelten die Bestimmungen des Datenverarbeitungsvertrages in vollem Umfang für alle personenbezogenen Daten, die vom Auftragnehmer unter Verstoß gegen diesen Abschnitt 5 aufbewahrt werden.
Die Parteien werden diese Datenschutzvereinbarung bei relevanten Änderungen des anwendbaren Rechts anpassen.
6. Gerichtsstand und anwendbares Recht
Dieser Vertrag über die Datenverarbeitung unterliegt den anwendbaren Gesetzen des jeweiligen Landes des SuperOffices, mit dem der Kunde einen Vertrag abschließt:
Wohnort |
Vertragspartner |
Mitteilungen sind zu richten an: |
Anwendbares Recht ist: |
Die ausschließliche Gerichtszuständigkeit liegt in: |
Dänemark |
SuperOffice Danmark A/S |
Islands Brygge 41, 3.sal, DK-2300 København, Danmark |
Dänisch |
Kopenhagen, Dänemark |
Finnland und Schweden |
SuperOffice Sweden AB |
Sveavägen 159, SE-113 46 Stockholm, Sverige |
Schwedisch |
Stockholm, Schweden |
Norwegen |
SuperOffice Norge AS |
Wergelandsveien 27 |
Norwegisch |
Oslo, Norwegen |
Deutschland |
SuperOffice GmbH |
Phoenixseestr. 17, |
Deutsch |
Dortmund, Deutschland |
Großbritannien und Irland |
SuperOffice Norge AS |
Wergelandsveine 27, NO-0167 Oslo, Norge |
UK |
Milton Keynes, Großbritannien |
Schweitz |
SuperOffice AG |
Uferstrasse 90, 4057 Basel, Switzerland |
Schweitzerisch |
Basel, Schweitz |
Niederlande, Belgien undLuxemburg |
SuperOffice Benelux B.V. |
Emmasingel 29.41, 5611 AZ Netherlands |
Niederländisch |
Oost-Brabant, locatie Eindhoven, Niederlande |
Die in der obigen Tabelle genannten Rechtsordnungen stellen keine Ausnahme von den Bestimmungen über den territorialen Geltungsbereich des Artikels 3 des BIPR oder anderer anwendbarer Rechtsvorschriften dar und ist auch nicht dazu bestimmt.
Lister der vorab genehmigten Subunternehmer (Unter-Auftragnehmer)
Gemäß Klausel 3.7 dieser Vereinbarung wird SuperOffice eine Liste der vorab genehmigten Unternauftragnehmer bereit halten-. Diese Liste ist im SuperOffice Trust Center verfügbar.