Unter Berücksichtigung der Vorschriften zum Schutz personenbezogener Daten, einschließlich Artikel 28 der DSGVO, schließen die Parteien folgende Vereinbarung:
1. DEFINITIONEN
Im Sinne dieser Vereinbarung haben die folgenden Begriffe die folgenden Bedeutungen:
1.1. Personenbezogene Daten – Administratordaten jeder Art, die mit einer identifizierten oder identifizierbaren natürlichen Person im Zusammenhang stehen, in dem Umfang, in dem solche Informationen als personenbezogene Daten entsprechend der anwendbaren Regelungen geschützt sind;
1.2. NOZBE – Anwendung, die im Zusammenhang mit dieser Betrauungsvereinbarung vom Administrator genutzt wird und vom Verarbeiter zur Verfügung gestellt wurde, in der personenbezogene Daten, die vom Administrator dem Verarbeiter anvertraut wurden, verarbeitet werden;
1.3. Verordnungen – Gesetze zum Schutz personenbezogener Daten, die in Polen in Kraft sind, vor allem: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (OJ L 119 vom 2016, S. 1) (im Folgenden „DSGVO“) und Gesetz vom 10. Mai 2018 zum Schutz personenbezogener Daten (Amtsblätter von 2018, Nr. 1000) (im Folgenden „Gesetz“);
1.4. Nutzungsbedingungen – Nutzungsbedingungen für die Nutzung von NOZBE, abrufbar unter nozbe.com/terms;
1.5. Betrauungsvereinbarung – diese Vereinbarung einschließlich aller Änderungen, Beilagen und Anhänge, vorausgesetzt, sie liegen schriftlich vor und wurden von beiden Parteien unterzeichnet.
2. ERKLÄRUNGEN DER PARTEIEN
2.1. Der Administrator erklärt, er ist Administrator der personenbezogenen Daten, die er dem Verarbeiter für die Verarbeitung anvertraute, und dass er personenbezogene Daten gemäß den Bestimmungen sammelt und verarbeitet.
2.2. Die Parteien erklären, dass die Betrauungsvereinbarung geschlossen wurde, um die Verpflichtungen zu erfüllen, die in den Verordnungen im Zusammenhang mit der Nutzung von NOZBE durch den Administrator festgelegt wurden, und dass der Administrator die Nutzungsbedingungen akzeptiert.
2.3. Jede Partei dieser Vereinbarung, die personenbezogene Daten verwaltet, die sie aufgrund dieser Vereinbarung erhält, verpflichtet sich keine personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftsraums zu übermitteln, außer:
2.3.1. die Übermittlung erfolgt in ein Land, das für die Europäische Kommission einen angemessenen Schutz gemäß Art. 45 der DSGVO bietet;
2.3.2. es bestehen geeignete Sicherheitsmaßnahmen entsprechend Art. 46 der DSGVO; oder
2.3.3. eine der in Art. 49 der DSGVO aufgeführten Ausnahmen für bestimmte Situationen trifft für die Übermittlung der Daten zu.
3. GEGENSTAND DER VEREINBARUNG
3.1. Der Administrator beauftragt den Verarbeiter mit der Verarbeitung personenbezogener Daten und der Verarbeiter verarbeitet diese Daten in Übereinstimmung mit den Verordnungen und mit dieser Vereinbarung, für den einzigen Zweck, dass NOZBE vom Administrator genutzt wird.
3.2. Der Verarbeiter verarbeitet personenbezogene Daten nur in dem Umfang und für den Zweck, der in dieser Betrauungsvereinbarung, in den Verordnungen und in den dokumentierten Anordnungen des Administrators festgelegt ist.
3.3. Diese Vereinbarung ist eine dokumentierte Anordnung des Administrators, wie der Verarbeiter personenbezogene Daten, die ihm vom Administrator in Erfüllung der Vereinbarung zur Verfügung gestellt wurden, zu verarbeiten sind, einschließlich einer Anleitung, personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums zu übertragen.
4. ZIEL, UMFANG UND NATUR DER VERARBEITUNG
4.1. Der Verarbeiter verarbeitet in NOZBE personenbezogene Daten, die in der Definition der personenbezogenen Daten festgelegt sind. Der Verarbeiter soll diese Daten nutzen, um im Besonderen die folgenden Handlungen vorzunehmen: diese Daten zu speichern oder diese nach der Aufforderung vom Administrator zu löschen. Ziel der Verarbeitung personenbezogener Daten ist es, den Administrator zu befähigen, NOZBE zu nutzen.
4.2. Der Verarbeiter verarbeitet personenbezogene Dateien in NOZBE dauerhaft.
4.3. Der Administrator erklärt, dass die Art der personenbezogenen Daten, die gemäß dieser Vereinbarung anvertraut werden, nicht die besonderen Kategorien der personenbezogenen Daten im Sinne von Art. 9.1 der DSGVO sowie Daten über strafrechtliche Verurteilungen und Vergehen im Sinne von Art. 10 der DSGVO beinhalten.
4.4. Personenbezogene Daten werden vom Auftragsverarbeiter in elektronischer Form in NOZBE verarbeitet.
4.5. Der Verarbeiter erhält personenbezogene Daten vom Administrator.
4.6. Der Administrator wird vor allem personenbezogene Daten der folgenden Kategorien von Personen anvertrauen: Administrator, Mitarbeiter des Administrators, Vertragspartner des Administrators.
5. REGELN ZUM VERARBEITEN VON ANVERTRAUTEN DATEN
5.1. Verarbeitet der Verarbeiter personenbezogene Daten, die ihm anvertraut wurden, sichert der Verarbeiter diese durch passende technische und organisatorische Maßnahmen, um einen adäquaten Sicherheitsgrad sicherzustellen, das den Risiken entspricht, die mit der Verarbeitung der personenbezogenen Daten in Verbindung stehen, wie in Artikel 32 der DSGVO genannt. Der Bearbeiter erklärt im Besonderen, dass die Server-Infrastruktur auf Amazon AWS und Heroku basiert. Die Server und deren Kopien befinden sich in Irland, Deutschland und Frankreich. Sowohl Amazon AWS als auch Heroku bieten ihre Dienstleistungen mit einem hohen Sicherheitsgrad an – Details finden Sie in den Dokumenten, veröffentlicht unter https://aws.amazon.com/compliance/gdpr-center/ und https://www.heroku.com/policy/security.
5.2. Gemäß Artikel 28(3)(b) der DSGVO ist der Verarbeiter zur Verschwiegenheit bzgl. der personenbezogenen Daten, die ihm vom Administrator anvertraut wurden, verpflichtet.
5.3. Der Verarbeiter gewährleistet, dass die Personen, die auf die personenbezogenen Daten zugreifen können, diese und die Methoden ihres Schutzes geheim halten. Die Verpflichtung zur Wahrung der Geheimhaltung, gilt auch nach Beendigung der Betrauungsvereinbarung und Beendigung der Anstellung bei dem Verarbeiter weiter.
5.4. Der Verarbeiter erklärt, dass gemäß der Verpflichtung, die anvertrauten personenbezogenen Daten geheim zu halten, diese ohne die schriftliche Zustimmung des Administrators weder genutzt noch veröffentlicht noch Dritten verfügbar gemacht werden dürfen für andere Zwecke als für die Umsetzung der Kooperationsvereinbarung oder für die Verpflichtungen, die sich aus dem Gesetz ergeben.
5.5. Die Vertragsparteien unternehmen alle Anstrengungen, um sicherzustellen, dass die Kommunikationsmittel, die sie für den Empfang, die Übermittlung und die Speicherung personenbezogener Daten verwenden, den Schutz vor dem unbefugten Zugriff Dritter gewährleisten, die nicht befugt sind, den Inhalt der Daten offenzulegen, zugänglich zu machen und kennen zu lernen. Insbesondere teilt der Auftragsverarbeiter mit, dass zur Gewährleistung der maximalen Sicherheit der personenbezogenen Daten die Festplatten mit der Datenbank und die an NOZBE gesendeten Dateien mit AES-256 verschlüsselt sind. Um die Sicherheit von Dateien und sensiblen Dokumenten zu erhöhen, wird außerdem jede Datei, die separat zu NOZBE hochgeladen wird (als Kommentar oder sonstiger Anhang), mit einem individuellen Verschlüsselungscode verschlüsselt.
5.6. Der Auftragsverarbeiter verpflichtet sich, regelmäßig Sicherheitstests durchzuführen – intern und bevollmächtigt durch spezialisierte externe Unternehmen.
5.7. Die Person, die in Angelegenheiten bezüglich der Erfüllung dieses Vertrags zu kontaktieren ist, ist Tomasz Kapelak, tom@nozbe.com. Ein Wechsel des Ansprechpartners erfordert keinen Anhang, sondern lediglich eine Benachrichtigung des Verwalters per E-Mail.
6. WEITERE VERPFLICHTUNGEN DES VERARBEITERS
6.1. Der Verarbeiter unterstützt den Administrator dabei, seine Verpflichtungen gemäß den Artikeln 32–36 der DSGVO zu erfüllen. Der Verarbeiter unterstützt den Administrator im Besonderen darin, auf Anfragen betroffener Personen zu antworten, einschließlich: dem Recht auf Information, den Zugriff auf Daten und diese zu kopieren, der Korrektur, dem Recht auf Löschung, dem Recht, die Verarbeitung zu begrenzen, dem Recht, Daten zu übertragen, dem Recht, der Datenverarbeitung zu widersprechen, dem Recht, keiner automatischen Entscheidungsfindung zu unterliegen, einschließlich Profiling.
6.2. Der Auftragsverarbeiter ist verpflichtet, den Administrator innerhalb von 48 Stunden nach Auftreten oder vermutetem Auftreten eines Vorfalls im Zusammenhang mit der Verletzung der Vorschriften für die Verarbeitung personenbezogener Daten zu informieren. Der Auftragsverarbeiter meldet den Verstoß nicht ohne Rücksprache mit dem Verwalter an die Aufsichtsbehörde.
6.3. Im Falle eines Vorfalls (Verstoßes) verpflichtet sich der Auftragsverarbeiter, im erforderlichen Umfang mit dem Verwalter zusammenzuarbeiten und auch die Auswirkungen des Verstoßes auf den Schutz personenbezogener Daten darzustellen.
6.4. Der Verarbeiter ist verpflichtet, im Namen des Administrators ein Verzeichnis von Kategorien mit Datenverarbeitungsaktivitäten zu führen.
6.5. Der Auftragsverarbeiter ist verpflichtet, den Verwalter über jeden Fall zu informieren, in dem die Verarbeitung personenbezogener Daten durch das EU-Recht oder das Recht eines Mitgliedstaates vorgeschrieben ist, und zwar in Bezug auf die Verarbeitung personenbezogener Daten, die nicht in Übereinstimmung mit der dokumentierten Anweisung des Verwalters erfolgt, es sei denn, das Gesetz verbietet die Bereitstellung solcher Informationen aufgrund eines wichtigen öffentlichen Interesses.
6.6. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie des Risikos einer Verletzung der Rechte oder der Freiheit natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere ist der Auftragsverarbeiter verpflichtet, alle geeigneten technischen und organisatorischen Maßnahmen zu ergreifen, um das diesem Risiko entsprechende Sicherheitsniveau zu gewährleisten, insbesondere: Pseudonymisierung und Verschlüsselung personenbezogener Daten; die Fähigkeit, die ständige Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten; die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Zwischenfalls schnell wiederherzustellen; regelmäßige Prüfung, Messung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Bei der Beurteilung, ob das Sicherheitsniveau angemessen ist, wird das mit der Verarbeitung verbundene Risiko berücksichtigt, das sich insbesondere aus der zufälligen oder unrechtmäßigen Zerstörung, dem Verlust, der Veränderung, der unbefugten Weitergabe oder dem unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten ergibt.
7. SUB-BETRAUUNG DER VERARBEITUNG
7.1. Der Verarbeiter kann personenbezogene Daten, die unter die Betrauungsvereinbarung fallen, für die weitere Verarbeitung Subunternehmen anvertrauen, um die Betrauungsvereinbarung zu erfüllen, z.B. um die Sicherheit der personenbezogenen Daten und/oder von NOZBE sicherzustellen. Eine Teilverarbeitung erfolgt nur auf Basis eines Untervertrags zur Verarbeitung personenbezogener Daten. Der Verarbeiter ist verpflichtet, den Administrator über die Teilverarbeitung von personenbezogenen Daten zu informieren. Da die Sicherheit von personenbezogenen Daten (Back-up) sichergestellt werden muss, benötigt die Sub-Betrauung nicht die vorherige Zustimmung des Administrators.
7.2. Die Verarbeitung der anvertrauten personenbezogenen Daten soll in Übereinstimmung mit den Geschäftsbedingungen vorgenommen werden, die in der Betrauungsvereinbarung der Daten und in den Nutzungsbedingungen festgelegt sind.
7.3. Das Subunternehmen, auf das in § 7 Absatz 1 dieser Vereinbarung Bezug genommen wird, soll dieselben Zusicherungen bieten und dieselben Verpflichtungen erfüllen, wie diejenigen, die dem Verarbeiter in der Betrauungsvereinbarung aufgegeben sind, im Besonderen soll das Subunternehmen die Umsetzung von passenden technischen und organisatorischen Maßnahmen entsprechend der DSGVO und den Schutz der Rechte von betroffenen Personen sicherstellen.
7.4. Der Verarbeiter haftet gegenüber dem Administrator für das Versagen, den Verpflichtungen zum Datenschutz nachzukommen, die dem Subunternehmer auferlegt wurden und in der Betrauungsvereinbarung niedergeschrieben wurden.
8. HAFTUNG
8.1. Jede Partei haftet für den Schaden, der der anderen Partei sowie Dritten im Zusammenhang mit der Umsetzung der Betrauungsvereinbarung entstanden ist.
8.2. Der Verarbeiter haftet für das Zurverfügungstellen personenbezogener Daten oder für die Nutzung personenbezogenen Daten entgegen der Betrauungsvereinbarung und vor allem dafür, nicht autorisierten Personen Zugriff auf die personenbezogenen Daten, die ihm zum Verarbeiten anvertraut wurden, zu gewähren.
9. PRÜFUNG DES VERARBEITERS
9.1. Gemäß Artikel 28(3)(h) der DSGVO hat der Administrator der Daten das Recht eingehend zu prüfen, ob die Maßnahmen, die vom Verarbeiter für die Verarbeitung und das Sichern der anvertrauten personenbezogenen Daten angewendet werden, mit den Bestimmungen der Betrauungsvereinbarung übereinstimmen.
9.2. Der Verarbeiter stellt dem Administrator alle Informationen zur Verfügung die nötig sind, um die Übereinstimmung mit den Verpflichtungen, die in Artikel 28 der DSGVO genannt sind, nachzuweisen.
9.3. Der Verarbeiter informiert den Administrator sofort, wenn er glaubt, dass eine Anweisung, die er vom Administrator erhalten hat, die Verordnungen verletzt.
9.4. Bezüglich dem Prüfungsumfang und der Kosten, die mit der Prüfung zusammenhängen, kann der Verarbeiter den Administrator ein vernünftiges und berechtigtes Honorar im Zusammenhang mit der Prüfung in Rechnung stellen.
9.5. Der Verarbeiter gibt dem Administrator alle nötigen Informationen, um die Übereinstimmung mit den Verpflichtungen, die in Art. 28 DSGVO festgelegt sind, nachzuweisen und er befähigt den Administrator oder einen vom Administrator autorisierten Wirtschaftsprüfer, Buchprüfungen vorzunehmen, einschließlich Inspektionen; der Verarbeiter wirkt bei diesen Prüfungen mit.
10. VERARBEITUNG DER ANVERTRAUTEN DATEN BEENDEN
10.1. Nach dem Ende der Bereitstellung der Dienstleistungen, die mit dem Verarbeiten der personenbezogenen Daten zusammenhängen, entfernt der Verarbeiter alle personenbezogenen Daten oder gibt sie zurück, abhängig von der Entscheidung des Administrators. Der Verarbeiter entfernt auch alle existierenden Kopien auf allen Speichermedien. Das Entfernen hat keine Auswirkung auf die Rechtmäßigkeit der Verarbeitung, die der Verarbeiter während der Dauer der Betrauungsvereinbarung vornahm.
11. ABSCHLUSSBESTIMMUNGEN
11.1. Die Betrauungsvereinbarung wird für eine unbegrenzte Zeit geschlossen und tritt am 25. Mai 2018 in Kraft.
11.2. Wird die Nutzung von NOZBE durch Löschen des NOZBE-Kontos beendet, endet der Betrauungsvertrag und die personenbezogenen Daten werden gelöscht.
11.3. Ist eine der Bestimmungen der Vereinbarung ungültig oder nicht durchsetzbar, hat eine solche teilweise Ungültigkeit, Gesetzeswidrigkeit oder Undurchsetzbarkeit einer Bestimmung keine Auswirkung auf die Gültigkeit der restlichen Bestimmungen der Vereinbarung. Die Parteien treten in Verhandlungen, um die ungültigen oder nicht durchsetzbaren Bestimmungen der Vereinbarung durch neue Bestimmungen zu ersetzen.
11.4. Alle Änderungen und Ergänzungen des Inhalts und der Bestimmungen der Betrauungsvereinbarung müssen schriftlich erfolgen, um gültig zu sein.
11.5. Die Parteien sollen jede Mühe auf sich nehmen um zu gewährleisten, dass die Kommunikationsmittel, die sie nutzen, um vertrauliche Informationen zu erhalten, zu übertragen und zu speichern, den Schutz der vertraulichen Informationen garantieren, einschließlich, vor allem aber der personenbezogenen Daten, die für die Verarbeitung anvertraut wurden, gegen den nicht autorisierten Zugriff von Dritten, die nicht autorisiert sind, sich mit deren Inhalt vertraut zu machen.
11.6. Die Parteien sind gemeinsame Administratoren der Daten, spezifiziert in der Einleitung (Präambel) der Betrauungsvereinbarung.
11.7. In Angelegenheiten, die nicht von der Vereinbarung erfasst werden, gelten grundsätzlich die entsprechenden Vorschriften des polnischen Rechts, einschließlich der Bestimmungen des Bürgerlichen Gesetzbuches.
11.8. Diese Betrauungsvereinbarung wurde in 2 identischen Kopien ausgestellt, eine für jede Partei.
