Anlage 1: Auftragsverarbeitungsvereinbarung zu den Allgemeinen Geschäftsbedingungen der billplease GmbH für billplease
zwischen Ihrem Unternehmen als „Auftraggeberin” und uns, der billplease GmbH, Alte Meierei 13, 23556 Lübeck als „Auftragnehmerin“ über die Verarbeitung von personenbezogenen Daten durch einen Auftragsverarbeiter gem. Artikel 28 Absatz 3 der Datenschutz-Grundverordnung (DSGVO). Auftraggeberin und Auftragnehmerin werden nachfolgend zusammen auch die „Parteien“ genannt.
Präambel
Diese Auftragsverarbeitungsvereinbarung (im Folgenden: „AVV”) konkretisiert die Verpflichtungen der Parteien zum Datenschutz bei der Auftragsverarbeitung, wie sie in den Allgemeinen Geschäftsbedingungen der billplease GmbH für billplease (im Folgenden: „Vertrag“) genauer beschrieben ist. Die AVV findet Anwendung auf alle Tätigkeiten, die im Zusammenhang mit dem Vertrag stehen und in dessen Anwendungsbereich die Auftragnehmerin sowie Arbeitnehmer oder sonstige Beauftragte der Auftragnehmerin personenbezogene Daten (im Folgenden „Daten“) der Auftraggeberin als Auftragsverarbeiter verarbeiten.
Gegenstand und Dauer des Auftrags sowie Art, Umfang und Zweck der Datenverarbeitung
- Der Gegenstand der Verarbeitung ergibt sich aus dem Vertrag.
-
Verarbeitet werden sollen insbesondere, nicht aber ausschließlich, die folgenden Daten auf sämtliche zur Erfüllung des Auftrags erforderlichen Art und Weise:
Zweck der Datenverarbeitung |
Datenkategorie |
Kategorien von Betroffenen |
Hosting und Darstellung der Website zur Anzeige des Rechnungsbetrages eines Kunden der Auftraggeberin |
Kommunikationsdaten (z. B. Logfiles, IP-Adressen, MAC-Adressen), für die Darstellung der Website relevante Daten |
Kunden des Auftraggebers |
Erstellung von Rechnungen bzw. Belegen für Kunden der Auftraggeberin |
- Kommunikationsdaten (z. B. Logfiles, IP-Adressen, MAC-Adressen), für die Darstellung der Website relevante Daten
- Bestelldaten aus dem Kassensystem
- Rechnungsdaten und TSE Informationen aus dem Kassensystem
- Informationen zu Erfolg oder Misserfolg durchgeführter Zahlungen
|
Kunden des Auftraggebers |
- Die Auftragnehmerin erhält über die Zahlungsdienstleister, wie bspw. Stripe Connect in Einzelfällen Zugriff auf personenbezogene Daten (bspw. die E-Mail Adresse) der Gäste der Auftraggeberin. Details dazu sind beim jeweiligen Zahlungsdienstleister , bspw. für Stripe Connect unter https://stripe.com/de/connect zu finden.
- Die Auftraggeberin gewährt der Auftragnehmerin Zugriff auf Daten aus ihrem Kassensystem über eine Software-Schnittstelle, damit die Auftragnehmerin ihre Leistung erbringen kann.
- Die Laufzeit der AVV richtet sich nach der Laufzeit des Vertrags, soweit in dieser AVV nicht etwas Abweichendes geregelt ist. Die Auftragsverarbeitung tritt gemeinsam mit dem Vertrag in Kraft. Ist der Vertrag bereits in Kraft getreten, so tritt die Auftragsverarbeitung mit dem Tag ihres Abschlusses in Kraft.
Anwendungsbereich und Verantwortlichkeit
- Die Auftragnehmerin verarbeitet personenbezogene Daten im Auftrag der Auftraggeberin. Dies umfasst Tätigkeiten, die im Vertrag und im Angebot konkretisiert sind. Die Auftraggeberin ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an die Auftragnehmerin sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich. Sie ist „Verantwortliche“ im Sinne des Artikel 4 Nr. 7 DSGVO.
- Die Weisungen werden anfänglich durch den Vertrag festgelegt und können von der Auftraggeberin danach in schriftlicher Form oder in einem elektronischen Format (Textform, z.B. via E-Mail) an die von der Auftragnehmerin bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
Pflichten der Auftragnehmerin
- Die Auftragnehmerin darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen der Auftraggeberin verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor. Die Auftragnehmerin informiert die Auftraggeberin unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Die Auftragnehmerin darf die Umsetzung der Weisung solange aussetzen, bis sie von der Auftraggeberin bestätigt oder abgeändert wurde.
- Die Auftragnehmerin wird in ihrem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Sie wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten der Auftraggeberin treffen, die den Anforderungen der DSGVO, insbesondere Artikel 32 DSGVO genügen. Die Auftragnehmerin hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Der Auftraggeberin sind die technischen und organisatorischen Maßnahmen der Auftragnehmerin zum Zeitpunkt des Vertragsschlusses bekannt. Es obliegt der Verantwortung der Auftraggeberin, dass die getroffenen Maßnahmen ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau gewährleisten. Die Auftragnehmerin ist dazu berechtigt, die vorgesehenen Maßnahmen zu ändern soweit hierdurch das in dieser AVV vereinbarte Schutzniveau nicht unterschritten wird.
- Die Auftragnehmerin unterstützt die Auftraggeberin im vernünftigen Umfang und im Rahmen ihrer Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.
- Die Auftragnehmerin gewährleistet, dass es den mit der Verarbeitung der Daten der Auftraggeberin befassten Mitarbeitern und anderen für die Auftragnehmerin tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet die Auftragnehmerin, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
- Die Auftragnehmerin unterrichtet die Auftraggeberin unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten der Auftraggeberin bekannt werden. Die Auftragnehmerin trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit der Auftraggeberin ab.
- Die Auftragnehmerin nennt der Auftraggeberin den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
- Die Auftragnehmerin berichtigt oder löscht die vertragsgegenständlichen Daten, wenn die Auftraggeberin dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt die Auftragnehmerin die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch die Auftraggeberin oder gibt diese Datenträger an die Auftraggeberin zurück, sofern nicht im Vertrag etwas Abweichendes vereinbart ist. In besonderen, von der Auftraggeberin zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Die hiermit verbundene Vergütung und zu erfüllende Schutzmaßnahmen sind ggf. Bestandteil einer eigenständigen Vereinbarung, soweit Sie nicht bereits im Vertrag geregelt sind.
- Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen der Auftraggeberin entweder herauszugeben oder zu löschen. Im Falle von Test- und Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich. Die Auftraggeberin trägt die Kosten einer von dieser Regelung abweichender Herausgabe oder Löschung.
- Im Falle einer Inanspruchnahme der Auftraggeberin durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich die Auftragnehmerin die Auftraggeberin bei der Abwehr des Anspruches im Rahmen ihrer Möglichkeiten zu unterstützen. Die Auftraggeberin wird der Auftragnehmerin die dabei entstehenden tatsächlichen Aufwendungen ersetzen.
Pflichten der Auftraggeberin
- Die Auftraggeberin hat die Auftragnehmerin unverzüglich und vollständig zu informieren, wenn sie in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
- Im Falle einer Inanspruchnahme der Auftragnehmerin durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt Ziffer 3.9 entsprechend.
- Die Auftraggeberin nennt der Auftragnehmerin den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
Anfragen von Betroffenen
Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an die Auftragnehmerin, wird die Auftragnehmerin die betroffene Person an die Auftraggeberin verweisen, sofern eine Zuordnung an die Auftraggeberin nach Angaben der betroffenen Person möglich ist. Die Auftragnehmerin leitet den Antrag der betroffenen Person unverzüglich an die Auftraggeberin weiter. Die Auftragnehmerin unterstützt die Auftraggeberin im Rahmen ihrer Möglichkeiten, auf die Anfrage zu antworten. Die Auftragnehmerin haftet nicht, wenn die Auftraggeberin eine Antwort unterlässt zu antworten, oder eine Beantwortung nicht in einer datenschutzrechtlich konformen Weise oder im erforderlichen Zeitrahmen erfolgt.
Nachweismöglichkeiten
- Die Auftragnehmerin weist der Auftraggeberin die Einhaltung der in dieser AVV niedergelegten Pflichten mit geeigneten Mitteln nach.
- Sollten im Einzelfall Inspektionen durch die Auftraggeberin oder einen von ihr beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Die Auftragnehmerin kann bestimmen, dass solche Prüfungen oder Inspektionen neben der vorherigen Ankündigung und angemessenen Vorlaufzeit den Abschluss einer gesonderten Vertraulichkeitsvereinbarung hinsichtlich der verarbeiteten personenbezogenen Daten und technischen und organisatorischen Maßnahmen erfordern. Die Auftragnehmerin hat das Recht solche Inspektoren und Prüfer zurückzuweisen, die zu ihr im Wettbewerb stehen. Sollte die Auftragnehmerin sich dazu entschließen selbst einen fachkundigen, unabhängigen externen Inspektor oder Prüfer zu beauftragen, stimmt die Auftraggeberin dieser Beauftragung unter der Bedingung zu, dass sie eine Kopie des Berichts erhält. Die Auftraggeberin wird der Auftragnehmerin die dabei entstehenden tatsächlichen Aufwendungen ersetzen. Vorbehaltlich einer abweichenden Regelung soll der zeitliche Aufwand einen Tag pro Kalenderjahr nicht überschreiten.
- Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde der Auftraggeberin eine Inspektion vornehmen, gilt grundsätzlich Ziffer 6.2 entsprechend. Eine Unterzeichnung einer gesonderten Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.
Subunternehmer (weitere Auftragsnehmer)
- Die Auftraggeberin stimmt der Nutzung von Subunternehmern bei der Verarbeitung personenbezogener Daten zu. Die Auftragnehmerin informiert die Auftraggeberin im Voraus über die Verwendung oder Ersetzung von Subunternehmern. Der Auftraggeberin steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Subunternehmers zu erheben. Ein Einspruch darf von der Auftraggeberin nur aus wichtigem, der Auftragnehmerin nachzuweisenden Grund erhoben werden. Soweit die Auftraggeberin nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt ihr Einspruchsrecht bezüglich der entsprechenden Beauftragung.
- Die Auftragnehmerin wird mit diesen Dritten im erforderlichen Umfang vertragliche Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen in Übereinstimmung mit Artikel 28 Absatz 4 DSGVO zu gewährleisten. Erteilt die Auftragnehmerin Aufträge an Subunternehmer, so obliegt es der Auftragnehmerin, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
- Die Parteien vereinbaren, dass die Auftragnehmerin nur auf dokumentierte Weisung und mit vorheriger Genehmigung berechtigt ist, personenbezogene Daten in ein Drittland zu übermitteln. Die Genehmigung kann auch darin liegen, dass die Auftragnehmerin nach Ziffer 1 ein Subunternehmen beauftragt oder ersetzt. Eine Übermittlung erfolgt nur, wenn sichergestellt ist, dass die Vorschriften des Kapitel 5 DSGVO eingehalten werden. Die Auftragnehmerin wird dem Auftraggeber auf dessen Verlangen alle erforderlichen Nachweise (einschließlich etwaiger erforderlicher zusätzlicher Maßnahmen zur Schaffung eines angemessenen Schutzniveaus) zur Verfügung stellen.
Informationspflichten, Schriftformklausel, Rechtswahl
- Sollten die Daten der Auftraggeberin bei der Auftragnehmerin durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat die Auftragnehmerin die Auftraggeberin unverzüglich darüber zu informieren. Die Auftragnehmerin wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei der Auftraggeberin als Verantwortliche im Sinne der Datenschutz-Grundverordnung liegen.
- Änderungen und Ergänzungen dieser AVV und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen der Auftragnehmerin – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
- Bei etwaigen Widersprüchen gehen Regelungen dieser AVV zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser AVV unwirksam sein, so berührt dies die Wirksamkeit der AVV im Übrigen nicht.
- Es gilt deutsches Recht.
Haftung und Schadensersatz
Es gelten die Haftungsregelungen des Vertrags, soweit nicht ausdrücklich etwas anderes in dieser AVV vereinbart ist.