Auftragsverarbeitungsvertrag

Vereinbarung über die Verarbeitung von (besonderen) personenbezogenen Daten
Diese Vereinbarung zur Auftragsverarbeitung („Verarbeitungsvereinbarung“) ist integraler und untrennbarer Bestandteil der zwischen den Parteien vereinbarten und im Anmeldeformular niedergelegten Vereinbarung (im Folgenden „die Vereinbarung“).

ZWISCHEN
Der Lizenznehmer
Firmenname: [Name Unternehmen]
im Folgenden „der Verantwortliche“ genannt, einerseits

UND
BenFit, De Meerheuvel 6a, 5221EA ’s‑Hertogenbosch,
eingetragen im Handelsregister der Kamer van Koophandel unter der Nummer 82578168,
vertreten durch Ton van der Heijden,
im Folgenden „der AuftragProcessor“ genannt, andererseits,

zusammen „die Parteien“ oder jeweils „Partei“ genannt,

in Anbetracht dessen, dass:

  • der Verantwortliche die Dienste des AuftragProcessors nutzen möchte;
  • Verantwortlicher und AuftragProcessor zu diesem Zweck die Vereinbarung geschlossen haben;
  • der AuftragProcessor im Rahmen der Durchführung der Vereinbarung in bestimmten Fällen im Sinne von Art. 4 Nr. 8 DSGVO als „Auftragsverarbeiter“ gilt;
  • der Verantwortliche nach Art. 4 Nr. 7 DSGVO als „Verantwortlicher“ gilt;
  • in dieser Vereinbarung personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO verstanden werden;
  • der AuftragProcessor bereit ist, die datenschutzrechtlichen Anforderungen, insbesondere die technischen und organisatorischen Maßnahmen, im Rahmen seiner Möglichkeiten einzuhalten;
  • die DSGVO den Verantwortlichen verpflichtet, sicherzustellen, dass der AuftragProcessor angemessene Garantien hinsichtlich technischer und organisatorischer Maßnahmen bietet;
  • die DSGVO den Verantwortlichen verpflichtet, die Einhaltung dieser Maßnahmen zu überwachen;
  • die Parteien im Hinblick auf Art. 28 DSGVO ihre jeweiligen Rechte und Pflichten schriftlich in dieser Verarbeitungsvereinbarung festhalten möchten.

 

sind wie folgt vereinbart:

  1. Verarbeitungszwecke

1.1. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten im Rahmen dieser Verarbeitungsvereinbarung im Auftrag des Verantwortlichen zu verarbeiten. Die Verarbeitung erfolgt ausschließlich zur Durchführung der Hauptvereinbarung sowie im Rahmen vernünftigerweise damit verbundener Tätigkeiten oder solcher, die mit weitergehender Zustimmung festgelegt werden. In Anlage 1 dieser Verarbeitungsvereinbarung sind die betroffenen Personenkategorien und Datenarten dokumentiert.

1.2. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nicht zu anderen Zwecken als den vom Verantwortlichen festgelegten. Der Verantwortliche teilt dem Auftragsverarbeiter die Verarbeitungszwecke mit, sofern diese nicht bereits aus der Hauptvereinbarung bzw. dieser Verarbeitungsvereinbarung hervorgehen.

1.3. Der Auftragsverarbeiter hat keine Entscheidungsbefugnis hinsichtlich der Zwecke und Mittel der Datenverarbeitung. Er trifft keine eigenen Entscheidungen über den Umfang der Datenverarbeitung, die Datenweitergabe an Dritte oder die Dauer der Speicherung. Sofern nichts anderes vereinbart ist, gelten die im Datenschutzleitfaden festgelegten Aufbewahrungsfristen.

1.4. Der Verantwortliche stellt sicher, ab dem 25. Mai 2018, dem Stichtag des Inkrafttretens der DSGVO, ein Verzeichnis der unter dieser Vereinbarung geregelten Verarbeitungstätigkeiten zu führen. Der Verantwortliche hält den Auftragsverarbeiter schad- und klaglos von allen Ansprüchen frei, die aus einer fehlerhaften Führung dieses Verzeichnisses resultieren.

  1. Pflichten des Auftragsverarbeiters

2.1. Für die in Artikel 1 genannten Verarbeitungstätigkeiten stellt der Auftragsverarbeiter sicher, dass er sämtliche Anforderungen der DSGVO hinsichtlich Datenverarbeitung aus seiner Rolle erfüllt.

2.2. Auf Anfrage informiert der Auftragsverarbeiter den Verantwortlichen über getroffene technische und organisatorische Maßnahmen zur Einhaltung seiner Verpflichtungen aus dieser Vereinbarung.

2.3. Die Pflichten des Auftragsverarbeiters aus dieser Vereinbarung gelten auch für alle Personen, die von ihm datenverarbeitungstechnisch eingesetzt werden.

2.4. Der Auftragsverarbeiter informiert den Verantwortlichen, wenn eine Weisung des Verantwortlichen seiner Ansicht nach gegen geltendes Datenschutzrecht verstößt.

2.5. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung oder bei einer erforderlichen Konsultation der Aufsichtsbehörden im Rahmen der Datenverarbeitung

 

  1. Übermittlung personenbezogener Daten
    3.1. Der Auftragsverarbeiter darf personenbezogene Daten innerhalb der Europäischen Union verarbeiten. Darüber hinaus ist eine Übermittlung in Länder außerhalb der EU zulässig, sofern der Auftragsverarbeiter die in dieser Verarbeitungsvereinbarung sowie relevanter Gesetzgebung festgelegten Verpflichtungen vollständig einhält.
    3.2. Auf Anfrage informiert der Auftragsverarbeiter den Verantwortlichen über das oder die Länder, in denen die Verarbeitung personenbezogener Daten erfolgt.
  2. Verteilung der Verantwortlichkeiten
    4.1. Die zulässigen Verarbeitungen erfolgen in einer (semi‑)automatisierten Umgebung unter Kontrolle des Auftragsverarbeiters.
    4.2. Der Auftragsverarbeiter ist ausschließlich für die Datenverarbeitung im Rahmen dieser Verarbeitungsvereinbarung verantwortlich und handelt gemäß der Weisung des Verantwortlichen sowie unter dessen ausdrücklicher letztlicher Verantwortung. Für alle weiteren Verarbeitungen personenbezogener Daten – z. B. Datenerhebung durch den Verantwortlichen, Verarbeitung für nicht vom Verantwortlichen angegebene Zwecke, Verarbeitung durch Dritte oder zu anderen Zwecken – trägt der Auftragsverarbeiter ausdrücklich keine Verantwortung.
    4.3. Der Verantwortliche gewährleistet, dass Inhalt, Nutzung und Auftrag zur Verarbeitung der personenbezogenen Daten gemäß dieser Verarbeitungsvereinbarung rechtmäßig sind und keine Rechte Dritter verletzen. Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen und Forderungen Dritter frei, die im Zusammenhang mit der Rechtmäßigkeit der Verarbeitung gemäß dieser Vereinbarung stehen.
  3. Einschaltung von Dritten oder Unterauftragnehmern
    5.1. Der Verantwortliche erteilt hiermit dem Auftragsverarbeiter die Erlaubnis, im Rahmen dieser Verarbeitungsvereinbarung Dritte (nachfolgend „Unterauftragnehmer“) einzusetzen, wobei der Verantwortliche berechtigt ist, Einspruch zu erheben, wenn triftige Gründe dafür vorliegen. Im Falle eines berechtigten Einspruchs suchen die Parteien in Absprache gemeinsam nach einer Lösung.
    5.2. Der Auftragsverarbeiter stellt sicher, dass diese Dritten schriftlich dieselben Verpflichtungen hinsichtlich der Verarbeitung personenbezogener Daten übernehmen, wie sie zwischen dem Verantwortlichen und dem Auftragsverarbeiter vereinbart sind

 

  1. Sicherheit
    6.1. Der Auftragsverarbeiter wird angemessene technische und organisatorische Maßnahmen (TOMs) im Sinne von Art. 32 DSGVO treffen, um die verarbeiteten personenbezogenen Daten vor Verlust sowie unrechtmäßiger Verarbeitung – z. B. unbefugter Kenntnisnahme, Änderung oder Weitergabe – zu schützen.
    6.2. Der Auftragsverarbeiter verpflichtet sich, die Maßnahmen entsprechend dem Stand der Technik, der Sensibilität der Daten sowie Aufwand und Kosten, nicht unzumutbar, zu gestalten. Eine Garantie für vollständige Wirksamkeit unter allen Umständen wird nicht gegeben.
    6.3. Der Verantwortliche stellt dem Auftragsverarbeiter personenbezogene Daten nur dann zur Verfügung, wenn er sich vergewissert hat, dass die erforderlichen Sicherheitsmaßnahmen bestehen. Die Einhaltung der vereinbarten Maßnahmen obliegt dem Verantwortlichen.
  2. Vertraulichkeit
    7.1. Für alle personenbezogenen Daten, die der Auftragsverarbeiter im Rahmen dieser Vereinbarung erhält, besteht gegenüber Dritten eine Verschwiegenheitspflicht.
    7.2. Diese Pflicht entfällt nur, wenn der Verantwortliche ausdrücklich zustimmt, die Weitergabe an Dritte sachlich erforderlich ist für die Auftragsausführung, oder eine gesetzliche Offenbarungspflicht besteht.
  3. Bearbeitung von Anfragen betroffener Personen
    8.1. Erhält der Auftragsverarbeiter eine Anfrage zur Ausübung von Betroffenenrechten (z. B. Auskunft, Löschung), wird er diese unverzüglich an den Verantwortlichen weiterleiten, und dieser übernimmt die Bearbeitung. Der Auftragsverarbeiter darf die betroffene Person darüber informieren.
    Kommt der Verantwortliche zur Erkenntnis, dass er Unterstützung benötigt, wird der Auftragsverarbeiter entsprechend mitwirken – zu unter Umständen gesondert berechneten Kosten.

 

  1. Meldepflicht

9.1. Im Falle einer Datenschutzverletzung (ausschließlich im Sinne von Art. 33 DSGVO, d. h. eine Verletzung der Sicherheit personenbezogener Daten, die voraussichtlich zu einem hohen Risiko für die Betroffenen führt) bezüglich personenbezogener Daten des Verantwortlichen, wird der Auftragsverarbeiter den Verantwortlichen nach bestem Wissen und Gewissen unverzüglich informieren. Der Auftragsverarbeiter bemüht sich, die bereitgestellten Informationen so vollständig, korrekt und präzise wie möglich zu halten.

9.2. Falls gesetzliche Vorschriften dies erfordern, unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Benachrichtigung der zuständigen Aufsichtsbehörde sowie ggf. der betroffenen Personen.

9.3. Die Meldepflicht umfasst mindestens folgende Angaben:

  • Art des (vermuteten) Vorfalls;
  • (Voraussichtliche) Folgen;
  • Kontaktdaten für Rückfragen.

 

  1. Audit / Prüfung

10.1. Der Verantwortliche hat das Recht, durch einen unabhängigen und zur Verschwiegenheit verpflichteten Register-EDP-Auditor eine Prüfung zur Einhaltung dieser Vereinbarungen durchführen zu lassen.

10.2. Eine solche Prüfung darf nur erfolgen bei einem konkreten und begründeten Verdacht auf Missbrauch personenbezogener Daten, und erst, nachdem der Verantwortliche zunächst die ihm vorliegenden Prüfberichte vom Auftragsverarbeiter eingeholt und bewertet und nachvollziehbare Gründe für eine zusätzliche Prüfung dargelegt hat. Eine solche Audit wird gerechtfertigt, wenn die Berichte keine ausreichende Klarheit über die Einhaltung dieser Vereinbarung bieten. Der Verantwortliche kündigt das Audit mindestens zwei Wochen im Voraus schriftlich an.

10.3. Die Ergebnisse des Audits werden von beiden Parteien gemeinsam besprochen und gegebenenfalls umgesetzt.

10.4. Die Kosten für das Audit trägt der Verantwortliche.

  1. Dauer und Beendigung
    11.1. Diese Verarbeitungsvereinbarung tritt mit Unterzeichnung durch beide Parteien in Kraft und gilt für die Dauer der Hauptvereinbarung bzw. bei Fehlen einer solchen für die Dauer der weiteren Zusammenarbeit.
    11.2. Änderungen und Ergänzungen dieser Vereinbarung bedürfen stets der Schriftform und der beiderseitigen Zustimmung.
    11.3. Die Parteien verpflichten sich, diese Vereinbarung bei neuen Datenschutzvorschriften anzupassen.
    11.4. Nach Beendigung dieser Vereinbarung – gleich aus welchem Grund – wird der Auftragsverarbeiter alle personenbezogenen Daten in ursprünglicher oder kopierter Form an den Verantwortlichen zurückgeben und anschließend sämtliche Daten und Kopien löschen oder vernichten.
  2. Sonstige Bestimmungen (Schlussbestimmungen)
    12.1. Anwendbares Recht
    Diese Verarbeitungsvereinbarung unterliegt dem Recht der Niederlande.

12.2. Gerichtsstand
Alle Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung werden dem zuständigen Gericht im Bezirk des Sitzes des Auftragsverarbeiters (BenFit) vorgelegt.

12.3. Beweiskraft von Logs und Messdaten
Logs und aufgezeichnete Messdaten des Auftragsverarbeiters gelten als beweiskräftig, sofern der Verantwortliche nicht das Gegenteil nachweist („gegenbeweislich“).

Hinweis zur Formulierung:

  • Für niederländisches Recht orientiert sich die Regelung an den Entsprechungen in § 12 des Musters gesundheitsdatenschutz.orgtechprax.de.
  • Die Klausel zur Beweiskraft (12.3) entspricht dem niederländischen Modell und ist üblich bei Datenverarbeitungsvereinbarungen.

  

Anlage 1 – Spezifikation der personenbezogenen Daten und Betroffenenkategorien

Der Auftragsverarbeiter verarbeitet im Rahmen der Vereinbarung folgende (besonderen) personenbezogenen Daten im Auftrag des Verantwortlichen:

Allgemeine Daten der Teilnehmenden:

  • Name, Adresse, Wohnort, Postleitzahl, Telefon, E-Mail-Adresse

Besondere personenbezogene Daten:

  • Geburtsdatum
  • Geschlecht
  • Körpergröße
  • Körpergewicht
  • Körperfettanteil
  • BMI
  • Fettmasse
  • Berufs- und Sportzuschlag
  • Anthropometrische Messungen
  • Zielgewicht, angestrebter Körperfettanteil
  • Körperliche Beschwerden
  • Name der betreuenden Coach

Betroffenenkategorien:

  • Lizenznehmer
  • Kunden der Lizenznehmer

Der Verantwortliche versichert, dass die in dieser Anlage 1 genannten personenbezogenen Daten und Betroffenengruppen vollständig und korrekt erhoben wurden. Er stellt den Auftragsverarbeiter von jeglichen Ansprüchen und Schäden frei, die auf unrichtige Angaben des Verantwortlichen zurückzuführen sind.