Auftragsverarbeitungs-
vereinbarung

top.legal ist der juristische Marktplatz, der die Art und Weise verändert, wie interne Teams externe Rechtsberater finden, mandatieren und managen. Auf der folgenden Seiten erläutern wir, wie mit Ihren Daten in Ihrem Auftrag umgehen.

Auftragsverarbeitungs
vereinbarung

Stand: 28.11.2019

zwischen dem Dienstleister - nachfolgend auch “Auftraggeber“ oder “Kunde” genannt

e-profound GmbH
Grillparzerstrasse 37a
81675 München

als Auftragsverarbeiter (hier bezeichnet als „Auftragnehmer“)
- gemeinsam „Parteien“ genannt.

Präambel

Der Auftraggeber beauftragt den Auftragnehmer mit den in § 3 genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DS-GVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

1.

Begriffsbestimmungen

1.1

Verantwortlicher ist gem. Art. 4 Abs. 7 DS-GVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

1.2

Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

1.3

Personenbezogene Daten sind gem. Art. 4 Abs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

1.4

Besonders schutzbedürftige personenbezogene Daten sind personenbezogenen Daten gem. Art. 9 DS-GVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DS-GVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DS-GVO, biometrischen Daten gem. Art. 4 Abs. 14 DS-GVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DS-GVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

1.5

Verarbeitung ist gem. Art. 4 Abs. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

1.6

Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DS-GVO eine von einem Mitgliedstaat gem. Art. 51 DS-GVO eingerichtete unabhängige staatliche Stelle.

2.

Angabe der zuständigen Datenschutz-Aufsichtsbehörde

2.1

Die zuständige Aufsichtsbehörde für den Auftragnehmer ist Der Bayerische Landesbeauftragte für den Datenschutz, Dr. Thomas Petri, Postfach 22 12 19, 80502

2.2

Der Auftraggeber und der Auftragnehmer und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

2.3

Der Nutzer versichert mit der Anmeldung ausdrücklich, dass es sich bei ihm nicht um einen Verbraucher im Sinne des  § 13 BGB handelt. (Ein Verbraucher ist eine natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden können).  

3.

Vertragsgegenstand

3.1

Dieser Vertrag über die Auftragsverarbeitung (nachfolgend „Auftragsverarbeitung“ oder “AVV“) konkretisiert für alle Verarbeitungen die datenschutzrechtlichen Rechte und Pflichten der Parteien, welche sich aus den zwischen den Parteien bereits bestehenden oder künftig abzuschließenden Verträgen (nachfolgend „Hauptvertrag“) ergeben, unter denen es zu einer Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber kommt.

3.2

Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.

4.

Dauer der Verarbeitung

4.1

Die Verarbeitung erfolgt zeitlich unbefristet, sofern dies in den Leistungsbeschreibungen und den jeweiligen vertraglichen Vereinbarungen nicht anders vereinbart ist. Die in den jeweiligen vertraglichen Vereinbarungen geregelten Kündigungsfristen bleiben unberührt.

5.

Weisungsrecht

5.1

Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags der Leistungsbeschreibung und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.

5.2

Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Mündliche Weisungen sind durch den Kunden unverzüglich schriftlich oder in einem hierfür vom Auftragnehmer angebotenen elektronischen Format zu bestätigen.

5.3

Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Die weisungsberechtigten Personen sind die Geschäftsführer, Prokuristen, oder Partner des Auftraggebers.

5.4

Sind die Weisungen des Auftraggebers nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist der Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden. Im Übrigen gelten die Leistungsbeschreibungen und jeweiligen vertraglichen Vereinbarungen.

5.5

Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

6.

Art der personenbezogenen Daten und Kategorien betroffener Personen

6.1

Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftragnehmer verarbeitet. Hiervon umfasst sind auch besondere Kategorien personenbezogener Daten.

6.2

Hinsichtlich der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO ist der Auftraggeber verpflichtet, in eigener Verantwortung dafür Sorge zu tragen, dass die hierzu geltenden gesetzlichen Vorgaben eingehalten werden.

6.3

Im Rahmen der Durchführung der Leistungsbeschreibung erhält der Auftragnehmer Zugriff auf die in Appendix 1 “Beschreibung der verarbeiteten personenbezogenen Daten” näher spezifizierten personenbezogenen Daten.

6.4

Diese Daten umfassen die in Appendix 1 “Beschreibung der verarbeiteten personenbezogenen Daten” aufgeführten und als solche gekennzeichneten besonderen Kategorien personenbezogener Daten.

6.5

Der Kreis der von der Datenverarbeitung Betroffenen ist in Appendix 2 “Beschreibung der Betroffenen/Betroffenengruppen” dargestellt.

7.

Schutzmaßnahmen des Auftragnehmers

7.1

Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

7.2

Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO, insbesondere mindestens die in Appendix 3 “Technische und organisatorische Maßnahmen des Auftragnehmers“ aufgeführten Maßnahmen der

a)

Zutrittskontrolle

b)

Zugangskontrolle

c)

Zugriffskontrolle

d)

Weitergabekontrolle

e)

Eingabekontrolle

f)

Auftragskontrolle

g)

Verfügbarkeitskontrolle

h)

Trennungskontrolle

7.3

Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

7.4

Beim Auftragnehmer ist als als Ansprechpartner für den Datenschutz bestellt:

Alexander Baron
Email: support@top.legal
Tel: +4989416105735
Grillparzerstrasse 37a
81675 München

7.5

Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

7.6

Die jeweils aktuell geltenden technischen und organisatorischen Maßnahmen kann der Auftraggeber über folgende Webseite einsehen: https://www.top.legal/de/tom. Der Auftraggeber informiert sich vor Abschluss der Vereinbarung zur Auftragsverarbeitung und anschließend in regelmäßigen Abständen über diese technischen und organisatorischen Maßnahmen. Der Auftraggeber trägt die Verantwortung dafür, dass die jeweils aktuell geltenden, vertraglich vereinbarten technischen und organisatorischen Maßnahmen für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

8.

Informationspflichten des Auftragnehmers

8.1

Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:

a)

eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;

b)

eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

8.2

Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.

8.3

Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.

8.4

Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DS-GVO liegen.

8.5

Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 6 Abs. 2 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.

8.6

Ein Wechsel in der Person des des Ansprechpartners für den Datenschutz für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.

8.7

Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DS-GVO enthält. Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen.

8.8

An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.

9.

Kontrollrechte des Auftraggebers

9.1

Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann einmal im Jahr von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.

9.2

Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.

9.3

Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

9.4

Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung.

9.5

Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach Absatz 6 dieser Vereinbarung “Art der personenbezogenen Daten und Kategorien betroffener Personen“ auf Verlangen nach.

10.

Verarbeitung auf dokumentierte Weisung

10.1

Der Auftragnehmer und jede ihr unterstellte Person - darf die personenbezogenen Daten nur im Rahmen der Leistungsbeschreibung und den jeweiligen vertraglichen Vereinbarungen zwischen Auftragnehmer und dem Auftraggeber und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 Satz 2 lit.a DS-GVO vor. Der Auftragnehmer nimmt Weisungen des Auftragnehmers in schriftlicher Form sowie über die hierfür vom Auftragnehmer angebotenen elektronischen Formate entgegen. Mündliche Weisungen sind durch den Auftraggeber unverzüglich schriftlich oder in einem hierfür vom Auftragnehmer angebotenen elektronischen Format zu bestätigen.

10.2

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftraggeber darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

10.3

Sind die Weisungen des Auftraggebers nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt der Auftragnehmer dem Auftraggeber mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist der Auftragnehmer die Umsetzung der Weisung nicht zumutbar, so ist der Auftragnehmer berechtigt, die Verarbeitung zu beenden. Im Übrigen gelten die Leistungsbeschreibungen und jeweiligen vertraglichen Vereinbarungen.

11.

Einsatz von Subunternehmern

11.1

Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der in Appendix 4 “Genehmigte Subunternehmer“ genannten Subunternehmer durchgeführt.

11.2

Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt. Er setzt den Auftraggeber hiervon unverzüglich in Kenntnis. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.

11.3

Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.

12.

Anfragen und Rechte Betroffener

12.1

Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DS-GVO. Der Auftraggeber ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Auftragnehmer zu verlangen.

12.2

Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.

13.

Haftung

13.1

Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.

13.2

Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

14.

Umgang mit den Daten nach Abschluss der Erbringung der Verarbeitungsleistungen

14.1

Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind nach DIN 66399 zu vernichten.

14.2

Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.

15.

Anonymisierungsvereinbarung

15.1

Der Auftragnehmer hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und vorher die für die Anonymisierung erforderlichen Verarbeitungsschritte durchzuführen. Unter Wahrung der Anonymität kann der Auftragnehmer alle so entstandenen Daten für eigene Zwecke wie die Erstellung von Betriebs- oder Branchenvergleichen oder sonstige Zwecke mit volks- bzw. betriebswirtschaftlichem Informationscharakter, statistische Auswertungen, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke verarbeiten und nutzen. Dies umfasst auch eine anonymisierte Weitergabe an Anwender und Dritte, insbesondere an Verbände, Organisationen oder Forschungseinrichtungen sowie für Publikationen.

16.

Schlussbestimmungen

16.1

Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.

16.2

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

16.3

Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.

16.4

Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist München.

Appendix 1 - Beschreibung der verarbeiteten personenbezogenen Daten

Personenstammdaten: Anrede, Name, Vorname, Anschrift, Titel

Kommunikationsdaten: Telefon, E-MailProfildaten: Ausbildung, Berufliche Entwicklung, berufliche
Qualifikationen, Projekterfahrungen, akademische Titel und Qualifikationen, Firmenzugehörigkeiten

Vertragsstammdaten: Vertragsbeziehung, Produkt- bzw. Vertragsinteresse

Kundenhistorie: Login, Produktnutzung, gekaufte Produkte, ZeitdatenTechnische Daten: IP-Adresse, Gerät, Browser, Standort, Mac-Adresse, Produktversion

Appendix 2 - Beschreibung der Betroffenen/Betroffenengruppen

Mitarbeiter des Auftraggebers, die gemeinsam mit dem Auftraggeber die Software kollaborativ nutzen und deren Daten in der Software erfasst und verwaltet werden.

Mandanten und Unternehmenskunden des Auftraggebers, die vom Auftraggeber in der Software erfasst und verwaltet werden.

Appendix 3 - Technische und organisatorische Maßnahmen des Auftragnehmers

Unsere TOMs sind über folgenden Link abrufbar

Appendix 4 - Genehmigte Subunternehmer

Die nachfolgenden Unternehmen sind genehmigte Subunternehmer im Sinne des Absatz 11 dieser Vereinbarung:

Amazon Web Services, Inc.
410 Terry Avenue North
Seattle WA 98109
United States

Funktion: Betrieb und Verwaltung der Software app.top.legal, Versand automatisierter Mails rund um das Vertragsverhältnis, Speicherung von Verwaltung von personenbezogenen Daten rund um das Vertragsverhältnis

HubSpot, Inc.
25 First Street, Cambridge, MA 02141
USA

Funktion: CRM Verwaltungstool für die Nutzer der Applikation app.top.legal

Google LLC
Unter den Linden 14
10117 Berlin
Deutschland

Funktion: Speicherung von Dateien und Versand von Mails im Rahmen der Bearbeitung von Supportanfragen

Functional Software Inc.
Sentry
132 Hawthorne Street
San Francisco, California 94107
USA

Funktion: Bearbeitung von Störungsmeldungen und Supportanfragen

Stripe, Inc.
510 Townsend Street
San Francisco, CA 94103
USA

Funktion: Abrechnung von Projekten im Rahmen von app.top.legal