Vereinbarung zur Datenverarbeitung
Diese Vereinbarung zur Datenverarbeitung („Vereinbarung“) ist Teil der Allgemeinen Geschäftsbedingungen
(„Hauptvereinbarung“) zwischen:
- dem Kunden („Verantwortlicher“)
- Textintel FZE („Auftragsverarbeiter“)
(gemeinsam „Parteien“).
1. Hintergrund
1.1 Der Kunde handelt als Verantwortlicher und möchte bestimmte Dienstleistungen, die die
Verarbeitung personenbezogener Daten umfassen, an den Auftragsverarbeiter vergeben.
1.2 Die Parteien beabsichtigen, eine Vereinbarung zur Datenverarbeitung abzuschließen, die den
geltenden Datenschutzgesetzen entspricht, einschließlich:
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung,
DSGVO).
- Alle anderen anwendbaren Datenschutz- oder Privatsphäregesetze, die die Verarbeitung personenbezogener Daten
regeln.
1.3 Diese Vereinbarung legt die Rechte und Pflichten der Parteien in Bezug auf Datenschutz und
Privatsphäre fest.
2. Begriffsbestimmungen & Auslegung
2.1 Sofern nicht anders definiert, haben Begriffe, die in dieser Vereinbarung großgeschrieben sind,
folgende Bedeutungen:
- „Vereinbarung“ – Diese Vereinbarung zur Datenverarbeitung, einschließlich aller Anhänge und
Anhänge.
- „Kunden-Personendaten“ – Alle personenbezogenen Daten, die der Auftragsverarbeiter im Namen des
Kunden gemäß der Hauptvereinbarung verarbeitet.
- „Datenschutzgesetze“ – Alle anwendbaren Gesetze zum Schutz der Privatsphäre und
personenbezogener Daten, einschließlich der DSGVO und aller nationalen Gesetze, die die DSGVO ergänzen oder
umsetzen.
- „Verarbeitung“ – Jede operationelle Tätigkeit an personenbezogenen Daten, wie das Sammeln,
Speichern, Übermitteln oder Löschen.
- „Sub-Auftragsverarbeiter“ – Jede dritte Partei, die vom Auftragsverarbeiter autorisiert ist,
personenbezogene Daten im Auftrag des Kunden zu verarbeiten.
2.2 Nicht definierte Begriffe in dieser Vereinbarung haben die in der DSGVO festgelegte Bedeutung.
3. Umfang der Datenverarbeitung
3.1 Der Kunde beauftragt den Auftragsverarbeiter, die Kunden-Personendaten ausschließlich in
Übereinstimmung mit:
- den dokumentierten Anweisungen des Kunden,
- der Hauptvereinbarung und dieser Vereinbarung zur Datenverarbeitung,
- den anwendbaren Datenschutzgesetzen
3.2 Der Auftragsverarbeiter darf die Kunden-Personendaten nicht für andere als die in dieser
Vereinbarung und der Hauptvereinbarung genannten Zwecke verarbeiten.
4. Pflichten des Auftragsverarbeiters
4.1 Der Auftragsverarbeiter wird:
- die Einhaltung der anwendbaren Datenschutzgesetze sicherstellen,
- Daten sicher gemäß den besten Praktiken der Branche verarbeiten,
- den Zugriff auf autorisiertes Personal beschränken,
- sicherstellen, dass alle Personen, die mit Kunden-Personendaten arbeiten, zur Vertraulichkeit verpflichtet sind.
5. Sicherheitsmaßnahmen
5.1 Der Auftragsverarbeiter wird angemessene technische und organisatorische Maßnahmen
implementieren, um die Sicherheit der Kunden-Personendaten zu gewährleisten, unter Berücksichtigung von:
- dem Stand der Technik bei Sicherheitstechnologien,
- der Art, dem Umfang und dem Kontext der Datenverarbeitung,
- möglichen Risiken, einschließlich unbefugtem Zugriff, Datenschutzverletzungen und Datenverlust.
5.2 Soweit anwendbar, umfassen Sicherheitsmaßnahmen:
- Verschlüsselung der Daten bei Übertragung und Speicherung,
- Zugriffskontrollen und Authentifizierungsmechanismen,
- regelmäßige Sicherheitsüberprüfungen und Risikobewertungen.
6. Sub-Auftragsverarbeitung
6.1 Der Auftragsverarbeiter darf keine Sub-Auftragsverarbeiter ohne vorherige schriftliche
Zustimmung des Kunden beauftragen.
6.2 Der Kunde erkennt an und genehmigt, dass der Auftragsverarbeiter die folgenden genehmigten
Sub-Auftragsverarbeiter einsetzt:
- Amazon Web Services
- Meta
- Google
- Amplitude
- Firebase Analytics
- Stripe
6.3 Der Auftragsverarbeiter stellt sicher, dass jeder Sub-Auftragsverarbeiter die gleichen
Verpflichtungen aus dieser Vereinbarung einhält.
7. Betroffenenrechte
7.1 Der Auftragsverarbeiter unterstützt den Kunden bei der Erfüllung der Betroffenenrechte,
einschließlich:
- Zugriff auf personenbezogene Daten,
- Berichtigung oder Löschung unrichtiger Daten,
- Anfragen zur Datenübertragbarkeit.
7.2 Erhält der Auftragsverarbeiter eine Anfrage von einer betroffenen Person, wird er:
- den Kunden unverzüglich benachrichtigen,
- nicht antworten, es sei denn, der Kunde hat dazu autorisiert.
8. Meldung von Datenschutzverletzungen
8.1 Im Falle einer Verletzung personenbezogener Daten wird der Auftragsverarbeiter:
- den Kunden unverzüglich informieren,
- alle erforderlichen Informationen bereitstellen, damit der Kunde seinen gesetzlichen Meldepflichten nachkommen
kann,
- angemessene Maßnahmen zur Eindämmung und Behebung der Verletzung ergreifen.
9. Datenübermittlungen
9.1 Der Auftragsverarbeiter darf Kunden-Personendaten nicht außerhalb der EU/EEA übertragen, es sei
denn:
- der Kunde hat zuvor schriftlich zugestimmt,
- geeignete Garantien wie Standardvertragsklauseln (SCC) sind vorhanden.
10. Datenaufbewahrung & Löschung
10.1 Nach Beendigung der Hauptvereinbarung kann der Kunde verlangen:
- die Löschung aller Kunden-Personendaten innerhalb von 10 Arbeitstagen,
- eines Löschungszertifikats als Nachweis der Einhaltung.
11. Prüfungsrechte
11.1 Der Kunde hat das Recht:
- Informationen zur Nachweisführung der Einhaltung anzufordern,
- Prüfungen und Inspektionen beim Auftragsverarbeiter durchzuführen.
12. Vertraulichkeit
12.1 Jede Partei verpflichtet sich, alle im Rahmen dieser Vereinbarung ausgetauschten Informationen
vertraulich zu behandeln und nicht ohne schriftliche Zustimmung der anderen Partei offenzulegen, es sei denn:
- die Offenlegung ist gesetzlich vorgeschrieben,
- die Informationen sind bereits öffentlich zugänglich.
13. Anwendbares Recht & Gerichtsbarkeit
13.1 Diese Vereinbarung unterliegt dem Recht von Dubai, Vereinigte Arabische Emirate.
13.2 Alle Streitigkeiten aus dieser Vereinbarung werden vor den Gerichten in Dubai entschieden.