Vereinbarung mit dem Datenverarbeiter
in Übereinstimmung mit GDPR Artikel 28
Von und zwischen
“Kunde”
Data Controller
und
Kultur ausbeuten AS
Datenverarbeiter
Culture Exploit AS, Gaustadalléen 21, 0349 Oslo, Norwegen, Org.-Nr. 918 415 823, im Folgenden “CE” genannt, und die mit CE verbundenen Unternehmen sind sich der Bedeutung der Sicherung und des Schutzes aller Daten bewusst, die von Personen über unsere Plattform und die damit verbundenen Produkte, Dienstleistungen und sonstigen Funktionen auf www.xientia.com (zusammen die “Plattform”) erhoben werden.
1. Gegenstand und Dauer der Verarbeitung
Diese Vereinbarung gilt für die Verarbeitung personenbezogener Daten durch Culture Exploit AS als Auftragsverarbeiter (im Folgenden “der Auftragsverarbeiter”) im Auftrag des Kunden (im Folgenden “der für die Verarbeitung Verantwortliche”) im Zusammenhang mit dem Dienstleistungsvertrag zwischen den beiden Parteien vom xx.xx.xxxx.
Der Zweck dieser Datenverarbeitungsvereinbarung (die Vereinbarung) ist es, die Einhaltung der Anforderungen der DSGVO zu gewährleisten und die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen zu regeln, einschließlich der Erhebung, der Aufzeichnung, des Abgleichs, der Speicherung und der Weitergabe oder einer Kombination davon.
Der Auftragsverarbeiter darf personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen so lange verarbeiten, wie der Dienstleistungsvertrag zwischen den Parteien gültig ist. Im Falle eines Verstoßes gegen diese Vereinbarung oder die DSGVO kann der für die Verarbeitung Verantwortliche den Auftragsverarbeiter anweisen, die weitere Verarbeitung der personenbezogenen Daten mit sofortiger Wirkung einzustellen.
2. Die Art und der Zweck der Verarbeitung
Der für die Verarbeitung Verantwortliche hat mit dem Auftragsverarbeiter einen Dienstleistungsvertrag vom xx.xx.xxxx abgeschlossen, der die kulturelle Bewertung in Culture Exploit umfasst.
Der Dienstleistungsvertrag beinhaltet die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen. Der Zweck der Verarbeitung personenbezogener Daten, die unter diese Vereinbarung fällt, ist die Entwicklung der Mitarbeiter in der Organisation.
3. Tie Art der personenbezogenen Daten und die Kategorien der betroffenen Personen
Bei der Erbringung der im Dienstleistungsvertrag vereinbarten Dienstleistungen kann der Auftragsverarbeiter personenbezogene Daten wie Namen und E-Mail-Adressen verarbeiten
Die folgenden Arten von personenbezogenen Daten können im Rahmen dieses Abkommens verarbeitet werden;
HINWEIS: DIESE LISTE IST NICHT ERSCHÖPFEND UND MUSS ENTSPRECHEND AUSGEFÜLLT WERDEN. AUSSERDEM TREFFEN EINIGE DER ARTEN VON PERSONENBEZOGENEN DATEN MÖGLICHERWEISE NICHT AUF DIESEN VERTRAG ZU UND MÜSSEN DAHER AUS DER LISTE GESTRICHEN WERDEN.
- Name
- Kontaktinformationen (E-Mail)
- Geboren (Jahr)
- Dienstalter (seit einem Jahr für den Kunden tätig)
4. Pflichten und Rechte des für die Verarbeitung Verantwortlichen
Der Auftragsverarbeiter darf personenbezogene Daten nicht auf andere Weise als in dieser Vereinbarung geregelt verarbeiten. Der Auftragsverarbeiter darf personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, er ist aufgrund von Rechtsvorschriften der Union oder eines Mitgliedstaats, denen er unterliegt, dazu verpflichtet. In einem solchen Fall unterrichtet der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung, es sei denn, das Gesetz verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses.
Der Auftragsverarbeiter ist verpflichtet, dem für die Verarbeitung Verantwortlichen Zugang zu den schriftlichen technischen und organisatorischen Sicherheitsmaßnahmen zu gewähren und Unterstützung zu leisten, damit der für die Verarbeitung Verantwortliche seine Pflichten gemäß der DSGVO erfüllen kann.
Sofern nicht anders vereinbart oder gesetzlich vorgeschrieben, hat der für die Verarbeitung Verantwortliche das Recht auf Zugang zu allen personenbezogenen Daten, die vom Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet werden, sowie zu den zu diesem Zweck verwendeten Systemen. Der Auftragsverarbeiter stellt hierfür die erforderliche Unterstützung zur Verfügung.
Der Auftragsverarbeiter ist zur Wahrung des Berufsgeheimnisses in Bezug auf die Dokumentation und die personenbezogenen Daten verpflichtet, zu denen er im Rahmen dieser Vereinbarung Zugang hat. Diese Bestimmung gilt auch nach Beendigung der Vereinbarung.
Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtung des für die Verarbeitung Verantwortlichen, auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß der DSGVO zu reagieren. Alle Anträge auf Auskunft, Löschung und/oder Berichtigung, die beim Auftragsverarbeiter eingehen, werden unverzüglich an den für die Verarbeitung Verantwortlichen weitergeleitet.
Personenbezogene Daten dürfen nicht länger gespeichert werden, als es für den Zweck der Verarbeitung erforderlich ist. Jeder Mitarbeiter hat die Möglichkeit, alle persönlichen Daten zu löschen, wann immer er dies wünscht.
Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten unverzüglich und, soweit möglich, spätestens 24 Stunden, nachdem er davon Kenntnis erlangt hat, an den für die Verarbeitung Verantwortlichen. Der für die Verarbeitung Verantwortliche ist für die Meldung des Verstoßes an die zuständige nationale Datenaufsichtsbehörde verantwortlich.
5. Inanspruchnahme eines Subunternehmers
Löschen Sie den nicht relevanten Abschnitt:
*Der für die Verarbeitung Verantwortliche erteilt dem Auftragsverarbeiter eine allgemeine Vollmacht zur Beauftragung eines anderen Auftragsverarbeiters unter der Bedingung, dass der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen über alle beabsichtigten Änderungen in Bezug auf die Hinzufügung oder den Austausch anderer Auftragsverarbeiter informiert und dem für die Verarbeitung Verantwortlichen die Möglichkeit gibt, gegen diese Änderungen Einspruch zu erheben.
Jeder, der im Auftrag des Auftragsverarbeiters Aufträge ausführt, die eine Weiterverarbeitung der betreffenden personenbezogenen Daten beinhalten, die unter diese Vereinbarung fallen, muss mit den vertraglichen und gesetzlichen Verpflichtungen des Auftragsverarbeiters vertraut sein und die diesbezüglichen Anforderungen erfüllen.
6. Sicherheit der Verarbeitung
Der Auftragsverarbeiter muss die in Artikel 32 der DSGVO festgelegten Anforderungen an die Sicherheit der Verarbeitung erfüllen. Die Dokumentation muss auf Anfrage des für die Verarbeitung Verantwortlichen verfügbar sein.
Der Auftragsverarbeiter ergreift geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, unter anderem:
HINWEIS: DIESE LISTE IST NICHT ERSCHÖPFEND UND MUSS ENTSPRECHEND AUSGEFÜLLT WERDEN.
- Die Pseudonymisierung und Verschlüsselung von persönlichen Daten;
- Die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten zu gewährleisten
- Die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen;
- Ein Verfahren zur regelmäßigen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Der Auftragsverarbeiter sorgt für physische Sicherheit, um unbefugten Zugang zu den Bereichen zu verhindern, in denen personenbezogene Daten gespeichert sind. Der Auftragsverarbeiter muss außerdem sicherstellen, dass die notwendigen Zugangskontrollen zu allen personenbezogenen Daten und den relevanten IT-Systemen eingerichtet werden. Der Zugang muss sich nach der Notwendigkeit des Zugangs für die Mitarbeiter richten, wobei die jeweiligen Arbeitsaufgaben zu berücksichtigen sind. Die Nutzung von IT-Systemen, die unter diese Vereinbarung fallen, muss protokolliert werden. Elektronisch gespeicherte Informationen, die personenbezogene Daten enthalten, müssen mit Passwörtern und anderen ähnlichen technischen Sicherheitsmaßnahmen geschützt werden, um sicherzustellen, dass elektronisch gespeicherte Informationen weder für unbefugtes Personal zugänglich sind noch das Risiko einer unerwünschten Änderung/Löschung von Daten besteht. Die Sicherheit muss allgemein anerkannten Methoden oder besser entsprechen.
7. Sicherheitsprüfungen
Der Auftragsverarbeiter führt jedes Jahr Sicherheitsaudits für die unter diese Vereinbarung fallenden Systeme usw. durch. Der für die Verarbeitung Verantwortliche erhält auf Anfrage eine Dokumentation dieser Sicherheitsaudits.
Die Prüfung kann eine Überprüfung von Routinen und Richtlinien, Stichproben, umfangreichere Inspektionen vor Ort und andere geeignete Kontrollmaßnahmen umfassen. Der für die Verarbeitung Verantwortliche hat das Recht auf Zugang zu den Unterlagen, die sich im Besitz des Auftragsverarbeiters befinden und die für diese Vereinbarung relevant sind. Der Auftragsverarbeiter ist daher verpflichtet, dem für die Verarbeitung Verantwortlichen diese Unterlagen nach angemessener Vorankündigung zur Verfügung zu stellen.
In Fällen, in denen der für die Verarbeitung Verantwortliche eine Vor-Ort-Inspektion oder Stichprobenkontrollen durchführen möchte, wird der Auftragsverarbeiter schriftlich benachrichtigt, und zwar mit einer angemessenen Frist vor der Vor-Ort-Inspektion.
Die Vereinbarung gilt so lange, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Im Falle eines Verstoßes gegen diese Vereinbarung oder das Gesetz über personenbezogene Daten kann der für die Verarbeitung Verantwortliche den Auftragsverarbeiter anweisen, die weitere Verarbeitung der Daten mit sofortiger Wirkung einzustellen.
9. Beendigung
Bei Beendigung dieser Vereinbarung ist der Auftragsverarbeiter verpflichtet, alle personenbezogenen Daten, die er im Auftrag des für die Verarbeitung Verantwortlichen erhalten hat und die unter diese Vereinbarung fallen, innerhalb eines Werktages zu löschen. Dies gilt auch für alle Sicherungskopien. Der Auftragsverarbeiter muss schriftlich dokumentieren, dass die Löschung gemäß der Vereinbarung erfolgt ist.
10. Benachrichtigungen
Mitteilungen im Rahmen dieser Vereinbarung sind schriftlich einzureichen an:
Controller:
Verarbeiter: Kulturausbeutung durch CEO
11. Rechtswahl und Gerichtsstand
Der Vertrag unterliegt der norwegischen Gerichtsbarkeit und die Parteien vereinbaren als Gerichtsstand das Amtsgericht Oslo. Dies gilt auch nach Beendigung des Vertrages.
***
Dieser Vertrag wurde in 2 – zwei Exemplaren abgefasst, von denen die Parteien jeweils ein Exemplar behalten.
Oslo, Monat xx. – 20xx
Controller Prozessor
Xxxx Xxxx per prokura
CEO
Kultur ausbeuten AS
Culture Exploit AS Gaustadalléen 21, Startup Lab – 0349 Oslo – Norwegen