...
Franke und Bornberg Research GmbH
Prinzenstraße 16, 30159 Hannover
als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, im Folgenden "Franke und Bornberg" genannt
- gemeinsam "Parteien" genannt
1. Gegenstand der Verarbeitung
Diese Vereinbarung zur Auftragsverarbeitung regelt ausschließlich die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten, soweit Franke und Bornberg personenbezogene Daten im Auftrag des Kunden gemäß Art. 28 DSGVO (Auftragsverarbeitung) verarbeitet, die von dem Kunden an Franke und Bornberg weitergegeben werden, z.B. durch Eingabe in ein Franke und Bornberg-Produkt. Dies umfasst alle Tätigkeiten, die Franke und Bornberg gemäß der Leistungsbeschreibungen der fb>tools (unter https://wiki.fb-portal.de/display/FBR einsehbar) und den jeweiligen vertraglichen Vereinbarungen mit dem Kunden (Verträge über die Zurverfügungstellung von Standardprodukten oder individuellen Leistungen) für den Kunden erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern die Leistungsbeschreibungen der fb>tools (unter https://wiki.fb-portal.de/display/FBR einsehbar) und die jeweiligen vertraglichen Vereinbarungen nicht ausdrücklich Bezug nehmen auf diese Vereinbarung zur Auftragsverarbeitung. Dieser Vertrag gilt deshalb für sämtliche jeweils zwischen dem Kunden und Franke und Bornberg bestehenden separaten Vereinbarungen, die sich insbesondere auf Software von Franke und Bornberg, Regelung einer Kooperation, Einbindung von Tarifrechenkernen/Web Services in die Programmumgebung von Franke und Bornberg, etc. erstrecken können. Die vorstehend erwähnten vertraglichen Regelungen werden jeweils einheitlich nachfolgend „Hauptvertrag“ genannt.
...
2. Dauer der Verarbeitung
Die Verarbeitung personenbezogener Daten erfolgt zeitlich unbefristet, sofern dies in dem Hauptvertrag nicht anders vereinbart ist.
3. Art und Zweck der Verarbeitung
Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne von Art. 4 Nr. 2 DSGVO.
Die Zwecke der Verarbeitung sind im Hauptvertrag sowie der jeweiligen Leistungsbeschreibungen der fb>tools (unter https://wiki.fb-portal.de/display/FBR einsehbar) enthalten und dienen zur Erbringung der vereinbarten Leistungen.
4. Art der personenbezogenen Daten und Kategorien betroffener Personen
Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die Franke und Bornberg im Auftrag des Kunden verarbeitet. Hiervon umfasst sind auch besondere Kategorien personenbezogener Daten. Insbesondere können, soweit sich dies aus der Leistungsbeschreibung des Hauptvertrages ergibt, folgende Arten personenbezogener Daten verarbeitet werden:
...
Weitere Pflichten und Rechte des Kunden ergeben sich aus den nachfolgenden Regelungen dieser Vereinbarung zur Auftragsverarbeitung und der DSGVO sowie den dazugehörigen gesetzlichen Bestimmungen.
6. Verarbeitung auf dokumentierte Weisung
Franke und Bornberg - und jede ihr unterstellte Person - darf die personenbezogenen Daten nur im Rahmen des Hauptvertrags und der Weisungen des Kunden verarbeiten, sofern keine gesetzliche Pflicht zur Verarbeitung besteht. Franke und Bornberg nimmt Weisungen des Kunden in schriftlicher Form entgegen. Mündliche Weisungen sind durch den Kunden unverzüglich schriftlich zu bestätigen.
...
Die Parteien vereinbaren, dass Franke und Bornberg berechtigt ist, die personenbezogenen Daten - unter Beachtung der zwingend anwendbaren Vorschriften - an Unterauftragsverarbeiter in einem Drittland zu übermitteln. Die Information, an welche Dienstleister in welchem Drittland die Daten für welche Zwecke übermittelt werden, kann der Kunde aus den Leistungsbeschreibungen entnehmen. Für diesen Fall verpflichtet sich Franke und Bornberg sicherzustellen, dass das durch die DSGVO gewährleistete Datenschutzniveau auch bei dem Unterauftragsverarbeiter gewährleistet ist. Der Kunde stellt sicher, dass die betroffenen Personen über diesen Umstand ordnungsgemäß informiert werden.
7. Verpflichtung zur Vertraulichkeit
Franke und Bornberg gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflichtunterliegen.
8. Maßnahmen zur Sicherheit der Verarbeitung
Franke und Bornberg gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Franke und Bornberg ergreift in ihrem Verantwortungsbereich alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen.
...
Eine Änderung der getroffenen Technisch Organisatorische Maßnahmen bleibt Franke und Bornberg vorbehalten, sofern das Schutzniveau nach DSGVO nicht unterschritten wird.
9. Weitere Auftragsverarbeiter
Der Kunde erteilt Franke und Bornberg die allgemeine Genehmigung, weitere Auftragsverarbeiter („Unterauftragsverarbeiter“) im Sinne des Art. 28 DSGVO in Anspruch zu nehmen. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die Franke und Bornberg z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Franke und Bornberg ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Kunden auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
...
Franke und Bornberg ist berechtigt, für Inspektionen eine angemessene Vergütung vom Kunden zu verlangen.
14. Gegenseitige Unterstützung in Haftungsfällen
Im Fall des Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
15. Berechtigung zur Verarbeitung anonymisierter Daten für Analysezwecke
Franke und Bornberg hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und vorher die für die Anonymisierung erforderlichen Verarbeitungsschritte durchzuführen. Unter Wahrung der Anonymität kann Franke und Bornberg alle so entstandenen anonymisierten Daten für eigene Zwecke wie die Erstellung von Betriebs- oder Branchenvergleichen oder sonstige Zwecke mit volks- bzw. betriebswirtschaftlichem Informationscharakter, statistische Auswertungen, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke auch über die Dauer dieser Vereinbarung hinaus verarbeiten und nutzen. Dies umfasst auch eine anonymisierte Weitergabe an Franke und Bornberg-Anwender und Dritte, insbesondere an Verbände, Organisationen oder Forschungseinrichtungen sowie für Publikationen. Der ursprüngliche Datenbestand ist von dieser Anonymisierung nicht betroffen.
16. Vereinbarung weiterer Vertragszwecke
Franke und Bornberg ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Fehlerbehebung in dem Franke und Bornberg-Produkt, in dem die Daten gespeichert sind, zu verarbeiten.
...
Dies umfasst insbesondere auch, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern ("Denial of service"-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.
17. Salvatorische Klausel
Sollten sich einzelne Bestimmungen dieser Vereinbarung als ungültig erweisen, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ungültige Bestimmung ist durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Ungültigkeit des jeweiligen Punktes gedacht. Soweit diese Vereinbarung eine unbewusste Regelungslücke enthält, ist diese durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Regelungsbedürftigkeit des jeweiligen Punktes gedacht.
18. Formerfordernis
Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - sind gemäß DSGVO schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann, und bedürfen des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt.
Dies gilt auch für den Verzicht auf dieses Formerfordernis.
19. Beginn der Vereinbarung, Auswirkung von Kündigungen
Diese Vereinbarung beginnt mit Bestätigung des Vertragsschlusses des Hauptvertrages durch Franke und Bornberg, frühestens jedoch am 25.05.2018.
...
Diese Vereinbarung endet nicht automatisch mit der Kündigung des Hauptvertrages, sondern bedarf des ausdrücklichen Hinweises darauf in der Kündigung, dass der Kunde auch diese Vereinbarung zur Auftragsverarbeitung kündigt.
20. Aufhebung bisheriger Vereinbarungen
...
Die Parteien vereinbaren, dass zeitgleich mit Beginn dieser Vereinbarung zur Auftragsverarbeitung die zwischen den Parteien bestehende Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (alt) sowie etwaige weitere Vereinbarungen zur Auftragsdatenverarbeitung einvernehmlich aufgehoben und durch diese neue Vereinbarung zur Auftragsverarbeitung vollumfänglich ersetzt werden.
21. Verweise auf die DSGVO
Alle in dieser Vereinbarung enthaltenen Verweise auf die DSGVO gelten für die DSGVO in ihrer jeweils aktuellen Fassung bzw. etwaige Nachfolgeregelungen.
| View file | ||||
|---|---|---|---|---|
|