Auftragsverarbeitungsvertrag

Anwendungsbereich und Rollen der Parteien

Dieser Auftragsverarbeitungsvertrag (der „AVV“) ist Bestandteil des Vertrags zwischen dem Kunden (dem „Verantwortlichen“) und der Alpha Analytics s.r.o. (dem „Auftragsverarbeiter“) über die Nutzung der Dienste von Carsdata.com (die „Dienste“). Er regelt die Verarbeitung personenbezogener Daten, die der Auftragsverarbeiter im Auftrag des Verantwortlichen durchführt, und gilt immer dann, wenn eine solche Verarbeitung der Verordnung (EU) 2016/679 (der „DSGVO“) unterliegt.

Der Verantwortliche legt die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest und ist für die Rechtmäßigkeit dieser Verarbeitung verantwortlich. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf dokumentierte Weisung des Verantwortlichen. Sofern der Auftragsverarbeiter die Zwecke und Mittel der Verarbeitung für seine eigenen Tätigkeiten festlegt, handelt er als Verantwortlicher, und diese Verarbeitung unterliegt der Datenschutzerklärung und nicht diesem AVV.

Im Fall eines Widerspruchs zwischen diesem AVV und dem übrigen Vertrag zwischen den Parteien in Bezug auf die Verarbeitung personenbezogener Daten hat dieser AVV Vorrang.

Begriffsbestimmungen

Begriffe wie „personenbezogene Daten“, „Verarbeitung“, „Verantwortlicher“, „Auftragsverarbeiter“, „Unterauftragsverarbeiter“, „betroffene Person“, „Verletzung des Schutzes personenbezogener Daten“ und „Aufsichtsbehörde“ haben die ihnen in der DSGVO zugewiesene Bedeutung. „Geltendes Datenschutzrecht“ bezeichnet die DSGVO und alle sonstigen Datenschutz- oder Persönlichkeitsrechtsvorschriften, die auf die Verarbeitung personenbezogener Daten im Rahmen des Vertrags anwendbar sind.

Gegenstand, Dauer, Art und Zweck der Verarbeitung

Gegenstand der Verarbeitung ist die Erbringung der Dienste. Der Auftragsverarbeiter verarbeitet personenbezogene Daten für die Dauer des Vertrags und danach so lange, wie dies zur Erfüllung seiner gesetzlichen Pflichten erforderlich oder anderweitig in diesem AVV festgelegt ist.

Art und Zweck der Verarbeitung sind der Betrieb und die Erbringung der Dienste gegenüber dem Verantwortlichen, einschließlich Hosting, Speicherung, Analyse und der technischen Vorgänge, die erforderlich sind, um die Dienste bereitzustellen. Der Auftragsverarbeiter verarbeitet die Kategorien personenbezogener Daten und betroffener Personen, die der Verantwortliche über die Dienste übermittelt oder zugänglich macht – typischerweise die Identifikations- und Kontaktdaten der Vertreter und autorisierten Nutzer des Verantwortlichen sowie alle personenbezogenen Daten, die in den Datensätzen enthalten sind, die der Verantwortliche über die Dienste zu verarbeiten beschließt.

Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

• personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, einschließlich in Bezug auf Übermittlungen personenbezogener Daten in ein Drittland, es sei denn, er ist hierzu gesetzlich verpflichtet – in welchem Fall der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Anforderung in Kenntnis setzt, sofern das Gesetz eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses verbietet;
• den Verantwortlichen unverzüglich zu informieren, sofern eine Weisung nach seiner Auffassung gegen geltendes Datenschutzrecht verstößt;
• sicherzustellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
• die in diesem AVV beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen umzusetzen und aufrechtzuerhalten;
• die in diesem AVV festgelegten Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern einzuhalten;
• den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung bei der Beantwortung von Anträgen betroffener Personen zur Ausübung ihrer Rechte zu unterstützen;
• den Verantwortlichen bei der Sicherstellung der Einhaltung seiner Pflichten in Bezug auf die Sicherheit der Verarbeitung, die Meldung von Verletzungen, die Datenschutz-Folgenabschätzungen und die vorherige Konsultation zu unterstützen, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen;
• nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der Erbringung der Dienste zu löschen oder zurückzugeben und vorhandene Kopien zu löschen, es sei denn, die Aufbewahrung ist gesetzlich vorgeschrieben;
• dem Verantwortlichen die zum Nachweis der Einhaltung der Pflichten eines Auftragsverarbeiters erforderlichen Informationen zur Verfügung zu stellen sowie Überprüfungen, wie in diesem AVV festgelegt, zu ermöglichen und dazu beizutragen.

Pflichten des Verantwortlichen

Der Verantwortliche ist dafür verantwortlich, sicherzustellen, dass er über eine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten über die Dienste verfügt, dass er die erforderlichen Hinweise erteilt und die von betroffenen Personen erforderlichen Einwilligungen eingeholt hat und dass seine Weisungen an den Auftragsverarbeiter dem geltenden Datenschutzrecht entsprechen. Der Verantwortliche darf über die Dienste keine personenbezogenen Daten übermitteln, zu deren Verarbeitung er nicht berechtigt ist.

Vertraulichkeit

Der Auftragsverarbeiter behandelt alle personenbezogenen Daten vertraulich und stellt sicher, dass der Zugang auf das Personal beschränkt ist, das ihn zur Erbringung der Dienste benötigt. Dieses Personal ist durch schriftliche Vertraulichkeitspflichten gebunden und erhält angemessene Schulungen zum Datenschutz und zur Sicherheit.

Sicherheit der Verarbeitung

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos für die Rechte und Freiheiten betroffener Personen setzt der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, im Einklang mit Artikel 32 der DSGVO. Diese Maßnahmen sind in der Sicherheitsübersicht beschrieben und umfassen, soweit angemessen, die Verschlüsselung personenbezogener Daten, die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme zu gewährleisten, die Fähigkeit, die Verfügbarkeit und den Zugang nach einem Vorfall zeitnah wiederherzustellen, sowie ein Verfahren zur regelmäßigen Überprüfung und Bewertung der Wirksamkeit dieser Maßnahmen.

Unterauftragsverarbeiter

Der Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Genehmigung zur Inanspruchnahme von Unterauftragsverarbeitern zur Unterstützung der Erbringung der Dienste (beispielsweise Anbieter von Cloud-Infrastruktur und -Speicher). Der Auftragsverarbeiter führt eine aktuelle Liste der Unterauftragsverarbeiter und informiert den Verantwortlichen über alle beabsichtigten Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern, wobei er dem Verantwortlichen die Möglichkeit zum Widerspruch aus angemessenen Datenschutzgründen einräumt.

Der Auftragsverarbeiter erlegt jedem Unterauftragsverarbeiter im Wege eines Vertrags Datenschutzpflichten auf, die nicht weniger schützend sind als die in diesem AVV festgelegten, und bleibt dem Verantwortlichen für die Erfüllung der Pflichten jedes Unterauftragsverarbeiters in vollem Umfang haftbar.

Unterstützung bei den Rechten betroffener Personen

Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Pflicht des Verantwortlichen, Anträge betroffener Personen zur Ausübung ihrer Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch zu beantworten. Erhält der Auftragsverarbeiter einen Antrag unmittelbar von einer betroffenen Person, leitet er den Antrag unverzüglich an den Verantwortlichen weiter und beantwortet ihn nicht selbst, es sei denn, er wird vom Verantwortlichen dazu angewiesen.

Meldung von Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter benachrichtigt den Verantwortlichen unverzüglich, nachdem ihm eine Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, die im Auftrag des Verantwortlichen verarbeitete personenbezogene Daten betrifft. Die Benachrichtigung umfasst, soweit verfügbar, eine Beschreibung der Art der Verletzung, die voraussichtlichen Folgen, die zu ihrer Behebung ergriffenen oder vorgeschlagenen Maßnahmen sowie eine Kontaktstelle für weitere Informationen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner eigenen Pflichten zur Meldung von Verletzungen und zur Kommunikation gegenüber Aufsichtsbehörden und betroffenen Personen.

Datenschutz-Folgenabschätzungen

Der Auftragsverarbeiter leistet dem Verantwortlichen angemessene Unterstützung bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden, die der Verantwortliche nach Artikel 35 oder 36 der DSGVO vernünftigerweise als erforderlich erachtet, jeweils ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen und unter Berücksichtigung der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.

Internationale Datenübermittlungen

Der Auftragsverarbeiter verarbeitet und speichert personenbezogene Daten vorrangig innerhalb der Europäischen Union / des Europäischen Wirtschaftsraums. Der Auftragsverarbeiter übermittelt personenbezogene Daten nicht in ein Land außerhalb des EWR, das nicht von einem Angemessenheitsbeschluss profitiert, es sei denn, er hat einen geeigneten, nach der DSGVO anerkannten Übermittlungsmechanismus eingerichtet, wie etwa die Standardvertragsklauseln der Europäischen Kommission, zusammen mit allen ergänzenden Maßnahmen, die zur Gewährleistung eines angemessenen Schutzniveaus erforderlich sind.

Überprüfungen und Inspektionen

Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung dieses AVV vernünftigerweise erforderlichen Informationen zur Verfügung und ermöglicht und unterstützt Überprüfungen, einschließlich Inspektionen, die vom Verantwortlichen oder einem von ihm beauftragten Prüfer durchgeführt werden. Überprüfungen werden nach angemessener vorheriger Ankündigung, während der üblichen Geschäftszeiten, höchstens einmal jährlich (außer sofern dies von einer Aufsichtsbehörde verlangt wird oder im Anschluss an eine Verletzung des Schutzes personenbezogener Daten) und in einer Weise durchgeführt, die den Betrieb des Auftragsverarbeiters nicht stört oder die Vertraulichkeit der Daten anderer Kunden beeinträchtigt. Der Auftragsverarbeiter kann Überprüfungsanträgen nachkommen, indem er, sofern verfügbar, einschlägige Prüfberichte oder Zertifizierungen Dritter bereitstellt.

Rückgabe und Löschung von Daten

Bei Beendigung oder Ablauf der Dienste wird der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten löschen oder zurückgeben und vorhandene Kopien löschen, es sei denn, das geltende Recht verlangt eine fortgesetzte Speicherung. Standardmäßige System-Backups werden im Einklang mit dem dokumentierten Aufbewahrungszyklus des Auftragsverarbeiters gelöscht.

Haftung, Laufzeit und anwendbares Recht

Die Haftung jeder Partei nach diesem AVV unterliegt den im Vertrag zwischen den Parteien festgelegten Haftungsbeschränkungen und -ausschlüssen. Dieser AVV tritt zum Datum des Wirksamwerdens des Vertrags in Kraft und bleibt so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dieser AVV unterliegt dem Recht der Tschechischen Republik, sofern der Vertrag zwischen den Parteien nichts anderes bestimmt, und unbeschadet der zwingenden Bestimmungen der DSGVO.

Um eine gegengezeichnete Kopie dieses AVV anzufordern oder um besondere Datenschutzvereinbarungen zu besprechen, kontaktieren Sie uns unter info@carsdata.com.