Diese Vereinbarung konkretisiert die Pflichten der Parteien nach Art. 28 DS-GVO, wenn top.legal personenbezogene Daten im Auftrag des Auftraggebers verarbeitet.
Präambel
Der Auftraggeber beauftragt den Auftragnehmer mit den in § 3 genannten Leistungen.
Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten.
Insbesondere Art. 28 DS-GVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung.
Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.
Begriffsbestimmungen
gem. Art. 4 Abs. 7 DS-GVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
gem. Art. 4 Abs. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
gem. Art. 4 Abs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (Art. 9 DS-GVO) und personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO).
gem. Art. 4 Abs. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
gem. Art. 4 Abs. 21 DS-GVO eine von einem Mitgliedstaat gem. Art. 51 DS-GVO eingerichtete unabhängige staatliche Stelle.
Angabe der zuständigen Datenschutz-Aufsichtsbehörde
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach
Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
Der Nutzer versichert mit der Anmeldung ausdrücklich, dass es sich bei ihm nicht um einen Verbraucher im Sinne des § 13 BGB handelt.
Vertragsgegenstand
Dieser Vertrag über die Auftragsverarbeitung (nachfolgend „Auftragsverarbeitung” oder „AVV”) konkretisiert für alle Verarbeitungen die datenschutzrechtlichen Rechte und Pflichten der Parteien, welche sich aus den zwischen den Parteien bereits bestehenden oder künftig abzuschließenden Verträgen (nachfolgend „Hauptvertrag”) ergeben, unter denen es zu einer Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber kommt.
Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung.
Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
Dauer der Verarbeitung
Die Verarbeitung erfolgt zeitlich unbefristet, sofern dies in den Leistungsbeschreibungen und den jeweiligen vertraglichen Vereinbarungen nicht anders vereinbart ist.
Die in den jeweiligen vertraglichen Vereinbarungen geregelten Kündigungsfristen bleiben unberührt.
Weisungsrecht
Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags der Leistungsbeschreibung und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation.
Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).
Mündliche Weisungen sind durch den Kunden unverzüglich schriftlich oder in einem hierfür vom Auftragnehmer angebotenen elektronischen Format zu bestätigen.
Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt.
Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.
Die weisungsberechtigten Personen sind die Geschäftsführer, Prokuristen, oder Partner des Auftraggebers.
Sind die Weisungen des Auftraggebers nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt.
Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben.
Ist der Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden.
Im Übrigen gelten die Leistungsbeschreibungen und jeweiligen vertraglichen Vereinbarungen.
Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.
Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
Art der personenbezogenen Daten und Kategorien betroffener Personen
Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers verarbeitet.
Hinsichtlich der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO ist der Auftraggeber verpflichtet, in eigener Verantwortung dafür Sorge zu tragen, dass die hierzu geltenden gesetzlichen Vorgaben eingehalten werden.
Im Rahmen der Durchführung der Leistungsbeschreibung erhält der Auftragnehmer Zugriff auf die in Appendix 1 „Beschreibung der verarbeiteten personenbezogenen Daten” näher spezifizierten personenbezogenen Daten.
Diese Daten umfassen die in Appendix 1 „Beschreibung der verarbeiteten personenbezogenen Daten” aufgeführten und als solche gekennzeichneten besonderen Kategorien personenbezogener Daten.
Der Kreis der von der Datenverarbeitung Betroffenen ist in Appendix 2 „Beschreibung der Betroffenen/Betroffenengruppen” dargestellt.
Schutzmaßnahmen des Auftragnehmers
Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen.
Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO, insbesondere mindestens die in Appendix 3 „Technische und organisatorische Maßnahmen des Auftragnehmers” aufgeführten Maßnahmen der
- a)Zutrittskontrolle
- b)Zugangskontrolle
- c)Zugriffskontrolle
- d)Weitergabekontrolle
- e)Eingabekontrolle
- f)Auftragskontrolle
- g)Verfügbarkeitskontrolle
- h)Trennungskontrolle
Datenschutzrechtliche Anfragen an den Auftragnehmer richten Sie bitte an die zuständige interne Stelle: top.legal GmbH, Klenzestraße 99, 81675 München, datenschutz@top.legal.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.
Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen.
Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben.
Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.
Die jeweils aktuell geltenden technischen und organisatorischen Maßnahmen kann der Auftraggeber über folgende Webseite einsehen: https://www.top.legal/toms.
Der Auftraggeber informiert sich vor Abschluss der Vereinbarung zur Auftragsverarbeitung und anschließend in regelmäßigen Abständen über diese technischen und organisatorischen Maßnahmen.
Der Auftraggeber trägt die Verantwortung dafür, dass die jeweils aktuell geltenden, vertraglich vereinbarten technischen und organisatorischen Maßnahmen für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
Informationspflichten des Auftragnehmers
Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren.
Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde.
Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
- a)eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
- b)eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist.
Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem” im Sinne der DS-GVO liegen.
Über wesentliche Änderungen der Sicherheitsmaßnahmen nach § 6 Abs. 2 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.
Ein Wechsel in der Person des Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.
Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DS-GVO enthält.
Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
Kontrollrechte des Auftraggebers
Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann einmal im Jahr von den technischen und organisatorischen Maßnahmen des Auftragnehmers.
Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.
Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit.
Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren.
Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung.
Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach Absatz 6 dieser Vereinbarung „Art der personenbezogenen Daten und Kategorien betroffener Personen” auf Verlangen nach.
Verarbeitung auf dokumentierte Weisung
Der Auftragnehmer und jede ihr unterstellte Person darf die personenbezogenen Daten nur im Rahmen der Leistungsbeschreibung und den jeweiligen vertraglichen Vereinbarungen zwischen Auftragnehmer und dem Auftraggeber und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 Satz 2 lit.a DS-GVO vor.
Der Auftragnehmer nimmt Weisungen des Auftraggebers in schriftlicher Form sowie über die hierfür vom Auftragnehmer angebotenen elektronischen Formate entgegen.
Mündliche Weisungen sind durch den Kunden unverzüglich schriftlich oder in einem hierfür vom Auftragnehmer angebotenen elektronischen Format zu bestätigen.
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt.
Der Auftraggeber darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
Sind die Weisungen des Auftraggebers nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt.
Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben.
Ist der Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden.
Im Übrigen gelten die Leistungsbeschreibungen und jeweiligen vertraglichen Vereinbarungen.
Einsatz von Subunternehmern
Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der in Appendix 4 „Genehmigte Subunternehmer” genannten Subunternehmer durchgeführt.
Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis”) befugt.
Er setzt den Auftraggeber hiervon unverzüglich in Kenntnis.
Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen.
Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann.
Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmen ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln).
Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind.
Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste.
Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
Anfragen und Rechte Betroffener
Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DS-GVO.
Der Auftraggeber ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftragnehmer zu verlangen.
Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
Haftung
Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.
Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
Umgang mit den Daten nach Abschluss der Erbringung der Verarbeitungsleistungen
Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen.
Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer.
Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen.
Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind nach DIN 66399 zu vernichten.
Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.
Anonymisierungsvereinbarung
Der Auftragnehmer hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und vorher die für die Anonymisierung erforderlichen Verarbeitungsschritte durchzuführen.
Unter Wahrung der Anonymität kann der Auftragnehmer alle so entstandenen Daten für eigene Zwecke wie die Erstellung von Betriebs- oder Branchenvergleichen oder sonstige Zwecke mit volks- bzw. betriebswirtschaftlichem Informationscharakter, statistische Auswertungen, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke verarbeiten und nutzen.
Dies umfasst auch eine anonymisierte Weitergabe an Anwender und Dritte, insbesondere an Verbände, Organisationen oder Forschungseinrichtungen sowie für Publikationen.
Schlussbestimmungen
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist München.
Appendix 1 — Beschreibung der verarbeiteten personenbezogenen Daten
Anrede, Name, Vorname, Anschrift, Titel
Telefon, E-Mail
Vertragsbeziehung, Produkt- bzw. Vertragsinteresse
Login-Zeitpunkt, IP-Adresse, Gerät, Browser, Standort, Mac-Adresse, Produktversion
Appendix 2 — Beschreibung der Betroffenen/Betroffenengruppen
- ·Mitarbeiter des Auftraggebers, die die Software gemeinsam nutzen und deren Daten in der Software erfasst und verwaltet werden
- ·Mandanten und Firmenkunden des Auftraggebers, die in der Software erfasst und verwaltet werden
Appendix 3 — Technische und organisatorische Maßnahmen des Auftragnehmers
Unsere TOMs sind über folgenden Link abrufbar: https://www.top.legal/toms
Appendix 4 — Genehmigte Subunternehmer
| Unternehmen | Adresse | Zweck |
|---|---|---|
| Amazon Web Services EMEA SARL | 38 Avenue John F. Kennedy, L-1855, Luxembourg | Webhosting — Betrieb und Verwaltung der Software app.top.legal, Versand automatisierter Mails rund um das Vertragsverhältnis, Speicherung und Verwaltung von personenbezogenen Daten rund um das Vertragsverhältnis. Sämtliche Daten werden ausschließlich in AWS-Rechenzentren in Frankfurt (Region eu-central-1) verarbeitet und gespeichert; eine Übermittlung in Drittländer außerhalb des EWR findet nicht statt. |
| HubSpot Ireland Limited | 2nd Floor 30 North Wall Quay, Dublin 1, Ireland | Service und Verwaltung — Verwaltung der Nutzerdaten für Support-Anfragen. Nutzerdaten der Endkunden werden nicht an HubSpot übertragen; sämtliche Daten verbleiben innerhalb der Europäischen Union. |
| Google Germany GmbH | ABC-Straße 19, 20354 Hamburg, Germany | Transaktionale E-Mails — Versand von transaktionalen E-Mails zur Benachrichtigung der Nutzer über Vorgänge innerhalb der Applikation. Sämtliche Daten verbleiben innerhalb der Europäischen Union. |
| PostHog GmbH | Oskar-von-Miller-Ring 20, 80333 München, Germany (hosting region EU, AWS region eu-central-1, Frankfurt) | Behandlung von Störungs- und Fehlermeldungen — automatisierte Erkennung, Erfassung und Analyse technischer Fehler innerhalb der top.legal-Software (zum Beispiel Stacktraces, Error-Logs, Browsertyp). Sämtliche Daten werden in der PostHog Cloud EU-Instanz verarbeitet und verbleiben innerhalb der Europäischen Union. |
| Crisp IM SAS | 2 Boulevard de Launay, 44100 Nantes, France | Kunden-Support — Echtzeit-Supportservice für Kunden der top.legal-Software, eingesetzt als Live-Chat- und Support-Tool innerhalb der Anwendung. Sämtliche Daten verbleiben innerhalb der Europäischen Union. |
| Product Fruits s.r.o. | Rozdělovská 1999/7, 169 00 Praha 6, Czech Republic | Kunden-Support — Unterstützung beim User-Onboarding und Durchführung weiterer webbasierter Funktionen innerhalb der Anwendung sowie gegebenenfalls Versand transaktionaler E-Mails. Daten werden standardmäßig innerhalb der EU-Region (zum Beispiel in Irland) unter Nutzung von Amazon Web Services gespeichert. |
| SatisMeter s.r.o. | Česká 1113/1, Prague 5, 158 00, Czech Republic | Kundenfeedback — Einsammeln von Nutzerfeedback und Bewertung von Funktionen durch Nutzer über die Applikation. Die Verarbeitung erfolgt ausschließlich innerhalb der Europäischen Union. |
| Amazon Web Services EMEA SARL (AWS Bedrock) | 38 Avenue John F. Kennedy, L-1855, Luxembourg | Vertragsanalyse — automatische Analyse von Verträgen durch Künstliche Intelligenz (AWS Bedrock) zur Überprüfung auf das Vorhandensein bestimmter Klauseln, Übereinstimmung mit vordefiniertem Wording und wesentliche Abweichungen. Sämtliche Daten werden ausschließlich in AWS-Rechenzentren in Frankfurt (Region eu-central-1) verarbeitet und gespeichert; eine Übermittlung in Drittländer außerhalb des EWR findet nicht statt. |
| PostHog GmbH (PostHog Cloud EU) | Oskar-von-Miller-Ring 20, 80333 München, Germany (hosting region EU, AWS region eu-central-1, Frankfurt) | Produktanalyse — Analyse von Nutzungsverhalten, Produktmetriken und Interaktionen innerhalb der top.legal-Anwendung anhand technischer und nutzungsbezogener Daten (zum Beispiel Event-Daten, Session-Informationen und pseudonymisierte Identifikatoren). Bei Nutzung der PostHog Cloud EU-Option verbleiben alle erfassten Daten innerhalb der Europäischen Union (gehostet in Frankfurt am Main). |