Versions Compared

Old Version 8

changes.mady.by.user Wiki Autor

Saved on

compared with

New Version 9

changes.mady.by.user Wiki Autor

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Vereinbarung zur Auftragsverarbeitung
nach EU-Datenschutz-Grundverordnung (DSGVO/GDPR)

zwischen dem Kunden als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO, im Folgenden "Kunde" genannt


und


Franke und Bornberg Research fb research GmbH
Prinzenstraße 16, 30159 Hannover
als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO, im Folgenden "Franke und Bornbergfb research" genannt

- gemeinsam "Parteien" genannt

1.         Gegenstand der Verarbeitung

a.   Diese Vereinbarung zur Auftragsverarbeitung regelt ausschließlich die datenschutzrechtlichen Pflichten der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten, soweit Franke und Bornberg die fb research personenbezogene Daten im Auftrag des Kunden gemäß Art. 28 DSGVO (Auftragsverarbeitung) verarbeitet, die von dem Kunden an Franke und Bornberg die fb research weitergegeben werden, z.B. durch Eingabe in ein Franke und Bornbergfb research-Produkt. Dies umfasst alle Tätigkeiten, die Franke und Bornberg von der fb research gemäß der Leistungsbeschreibungen der fb>tools fb>tools (unter https://wiki.fb-portal.de/display/FBR einsehbar einsehbar)  und und den jeweiligen vertraglichen Vereinbarungen mit dem Kunden (Verträge über die Zurverfügungstellung von Standardprodukten oder individuellen Leistungen) für den Kunden erbringt erbracht werden und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern die Leistungsbeschreibungen der fb>tools (unter unter https://wiki.fb-portal.de/display/FBR einsehbar einsehbar)  und und die jeweiligen vertraglichen Vereinbarungen nicht ausdrücklich Bezug nehmen auf diese Vereinbarung zur Auftragsverarbeitung. Dieser Vertrag gilt deshalb für sämtliche jeweils zwischen dem Kunden und Franke und Bornberg der fb research bestehenden separaten Vereinbarungen, die sich insbesondere auf Software von Franke und Bornbergder fb research, Regelung einer Kooperation, Einbindung von Tarifrechenkernen/Web Services in die Programmumgebung von Franke und Bornbergder fb research, etc. erstrecken können. Die vorstehend erwähnten vertraglichen Regelungen werden jeweils einheitlich nachfolgend „Hauptvertrag“ genannt.

b.   Diese Vereinbarung zur Auftragsverarbeitung enthält in Ziffern 15 und 16 Regelungen und Vereinbarungen zu weiteren Vertragszwecken. Die jeweilige Leistungsbeschreibungen der fb>tools fb>tools (unter unter https://wiki.fb-portal.de/display/FBR einsehbar einsehbar)  enthält enthält Vereinbarungen zu weiteren Vertragszwecken. Der Kunde stimmt diesen weiteren Vertragszwecken mit Annahme dieser Vereinbarung zur Auftragsverarbeitung zu.

c.   Bei Widersprüchen zwischen der Leistungsbeschreibung   des Hauptvertrags und dieser Vereinbarung zur Auftragsverarbeitung geht die Leistungsbeschreibung des Hauptvertrags als speziellere Regelung vor.

d.   Diese Vereinbarung zur Auftragsverarbeitung gilt für alle künftigen und bereits erfolgenden Auftragsverarbeitungen von Franke und Bornberg der fb research für den Kunden, soweit die Parteien keinen individuellen Auftragsverarbeitungsvertrag geschlossen haben, der auf diese Vereinbarung zur Auftragsvereinbarung ausdrücklich Bezug nimmt und ausdrücklich für vorrangig erklärt wird.

2.         Dauer der Verarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zeitlich unbefristet, sofern dies in dem Hauptvertrag nicht anders vereinbart ist.3. für die Dauer der Laufzeit des Hauptvertrages.

3.         Art und Zweck der Verarbeitung

a.   Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne von Art. 4 Nr. 2 DSGVO.

Die Zwecke der Verarbeitung sind b.   Die Verarbeitung erfolgt zu dem Zweck der Erfüllung der im Hauptvertrag sowie der jeweiligen Leistungsbeschreibungen der fb>tools  fb>tools (unter unter https://wiki.fb-portal.de/display/FBR einsehbar einsehbar)  enthalten enthaltenen Pflichten und dienen zur Erbringung der vereinbarten Leistungen.

4.         Art der personenbezogenen Daten und Kategorien betroffener Personen

Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die Franke und Bornberg von der fb research im Auftrag des Kunden im Rahmen der Erfüllung der vertraglichen Pflichten des Hauptvertrages verarbeitet werden. Hiervon umfasst sind auch besondere Kategorien personenbezogener Daten. Insbesondere können, soweit sich dies aus der Leistungsbeschreibung des Hauptvertrages ergibt, folgende Arten personenbezogener Daten verarbeitet werden:

  1. Name, Vorname, Adressdaten, Kontaktdaten für Kommunikation (Telefon, E-Mail, Fax),

  2. versicherungsbezogene Angaben (Versicherungs- und Vertragsart, Deckungssumme etc.),

  3. gesundheitsbezogene Angaben (insbesondere Vorerkrankungen, aktuelle Erkrankungen).

Kategorien betroffener Personen sind insbesondere

  1. Beschäftigte und Geschäftspartner/Mandanten des Kunden,

  2. Familienangehörige des Geschäftspartners/Mandanten,

  3. Versicherungsinteressenten des Kunden,

...

  1. weitere Personen, sofern deren personenbezogene Daten zur Erfüllung eines mit

...

  1. fb research geschlossenen Vertrages erforderlich sind.

5.         Pflichten und Rechte des Kunden

a.   Der Kunde hat das Recht, Weisungen in Bezug auf Verarbeitung personenbezogener Daten zu erteilen. Alle Weisungen werden schriftlich oder per E-Mail erteilt.

b.   Für die Beurteilung der rechtlichen Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der betroffenen Personen ist allein der Kunde verantwortlich. Der Kunde ist im Rahmen dieser Vereinbarung zur Auftragsverarbeitung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung als solche sowie die Datenweitergabe an Franke und Bornberg die fb research sowie für die Rechtmäßigkeit der Verarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung und die Beschreibung der betroffenen Daten.

c.   Der Kunde hat Franke und Bornberg die fb research unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.

d.   Der Kunde nennt Franke und Bornberg der fb research bei Bedarf den Ansprechpartner für im Rahmen dieser Vereinbarung zur Auftragsverarbeitung anfallende Datenschutzfragen.

e.  Weitere Pflichten und Rechte des Kunden ergeben sich aus den nachfolgenden Regelungen dieser Vereinbarung zur Auftragsverarbeitung und der DSGVO sowie den dazugehörigen gesetzlichen Bestimmungen.

6.         Verarbeitung auf dokumentierte Weisung

Franke und Bornberg - und a.   Die fb research – und jede ihr unterstellte Person - darf die personenbezogenen Daten nur im Rahmen des Hauptvertrags, der Regelungen dieser Vereinbarung zur Auftragsverarbeitung und der Weisungen des Kunden verarbeiten, sofern keine gesetzliche Pflicht zur Verarbeitung besteht. Franke und Bornberg nimmt Weisungen des Kunden in schriftlicher Form entgegen. Mündliche Weisungen sind durch den Kunden unverzüglich schriftlich zu bestätigen..

b.   Die fb research Franke und Bornberg informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen die DSGVO oder andere anwendbaren Datenschutzbestimmungen verstößt. Franke und Bornberg Die fb research darf die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde.

c.   Sind die Weisungen des Kunden nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt Franke und Bornberg die fb research dem Kunden mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist Franke und Bornberg der fb research die Umsetzung der Weisung nicht zumutbar, so ist Franke und Bornberg die fb research berechtigt, die Verarbeitung zu beenden. Im Übrigen gelten die Regelungen des Hauptvertrags.Die Parteien vereinbaren, dass Franke und Bornberg berechtigt ist, die personenbezogenen Daten - unter Beachtung der zwingend anwendbaren Vorschriften - an Unterauftragsverarbeiter in einem Drittland zu übermitteln. Die Information, an welche Dienstleister in welchem Drittland die Daten für welche Zwecke übermittelt werden, kann der Kunde aus den Leistungsbeschreibungen entnehmen. Für diesen Fall verpflichtet sich Franke und Bornberg sicherzustellen, dass das durch die DSGVO gewährleistete Datenschutzniveau auch bei dem Unterauftragsverarbeiter gewährleistet ist. Der Kunde stellt sicher, dass die betroffenen Personen über diesen Umstand ordnungsgemäß informiert werden.
7. Verpflichtung zur Vertraulichkeit
Franke und Bornberg gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflichtunterliegen.8. Maßnahmen zur Sicherheit der Verarbeitung
Franke und Bornberg gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Franke und Bornberg ergreift in ihrem Verantwortungsbereich alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen.

Die jeweils aktuell geltenden Technisch Organisatorische Maßnahmen kann der Kunde unter https://wiki.fb-portal.de/display/FBR einsehen. Der Kunde informiert sich vor Abschluss der Vereinbarung zur Auftragsverarbeitung und anschließend in regelmäßigen Abständen über diese Technischen Organisatorische Maßnahmen.

Eine Änderung der getroffenen Technisch Organisatorische Maßnahmen bleibt Franke und Bornberg vorbehalten, sofern das Schutzniveau nach DSGVO nicht unterschritten wird.

7.         Verpflichtung zur Vertraulichkeit

Die fb research gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8.         Maßnahmen zur Sicherheit der Verarbeitung

a.   Die fb research gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. Die fb research ergreift in ihrem Verantwortungsbereich alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen.

b.   Die jeweils aktuell geltenden technischen und organisatorischen Maßnahmen kann der Kunde unter https://wiki.fb-portal.de/display/FBR einsehen. Der Kunde informiert sich vor Abschluss der Vereinbarung zur Auftragsverarbeitung und anschließend in regelmäßigen Abständen über diese technischen und organisatorischen Maßnahmen.

c.   Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt der fb research vorbehalten, sofern das bei Vertragsschluss vereinbarte risikoangemessene Schutzniveau nicht unterschritten wird.

9.         Weitere Auftragsverarbeiter

a.   Der Kunde erteilt der fb research die allgemeine Genehmigung, weitere Auftragsverarbeiter 9. Weitere Auftragsverarbeiter
Der Kunde erteilt Franke und Bornberg die allgemeine Genehmigung, weitere Auftragsverarbeiter   („Unterauftragsverarbeiter“) im Sinne des Art. 28 DSGVO in Anspruch zu nehmen. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung Leistungen nach dem Hauptvertrag beziehen. Nicht hierzu gehören Nebenleistungen, die Franke und Bornberg von der fb research z.B. als TelekommunikationsleistungenTelekommunikations­leistungen, Post-/ Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen Datenverarbeitungs­anlagen in Anspruch nimmt. Franke und Bornberg genommen werden. Die fb research ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Kunden auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

b.   Die jeweils aktuell eingesetzten Unterauftragsverarbeiter kann der Kunde unter https://wiki.fb-portal.de/display/FBR einsehen.   einsehen.

c.   Beauftragt die fb research einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Kunden), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für die fb research gemäß dieser Vereinbarung zur Auftragsverarbeitung gelten.

Die fb research informiert den Kunden, wenn sie eine Änderung in Bezug auf die Hinzuziehung oder die Franke und Bornberg informiert den Kunden, wenn sie eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragsverarbeitern beabsichtigt. Die Änderungen kann der Kunde unter  https://wiki.fb-portal.de/display/FBR einsehen einsehen. Der Kunde kann gegen derartige Änderungen Einspruch erheben.

d.   Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 4 Wochen nach Zugang der Information über die Änderung gegenüber Franke und Bornberg der fb research zu erheben. Im Fall des Einspruchs kann Franke und Bornberg die fb research nach eigener Wahl (1) die Leistung ohne die beabsichtigte Änderung erbringen, oder - (2) – sofern die Erbringung der Leistung ohne die beabsichtigte Änderung Franke und Bornberg der fb research nicht zumutbar ist - den gesamten Hauptvertrag oder, wenn nur ein abgrenzbarer Teil betroffen ist, die von der Änderung betroffene Leistung gegenüber dem Kunden innerhalb von 4 Wochen nach Zugang des Einspruchs kündigen.

Erteilt Franke und Bornberg Aufträge an  e.   Erteilt die fb research Aufträge an Unterauftragsverarbeiter, so obliegt es Franke und Bornbergder fb research, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag auf den Unterauftragsverarbeiter zu übertragen.10. Unterstützung des Kunden im Hinblick auf Betroffenenrechte und Behördenanfragen
Im Rahmen der Pflichten des Kunden  zur Wahrung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person unterstützt Franke und Bornberg den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen.

Franke und Bornberg unterstützt den Kunden im Falle von Anfragen einer Datenschutzaufsichtsbehörde. Vorbehaltlich einer behördlichen Aufforderung zur direkten Kommunikation bzw. einer vorherigen Abstimmung der Parteien, dass Franke und Bornberg eine Anfrage einer betroffenen Person oder einer Behörde selbst bearbeiten soll, ist der Kunde für die Kommunikation und Korrespondenz mit der Datenschutzaufsichtsbehörde im Zusammenhang mit dieser Auftragsverarbeitung zuständig. Der Kunde wird Franke und Bornberg die Korrespondenz und Kommunikation weiterleiten.

f.    Die Parteien vereinbaren, dass die fb research berechtigt ist, die personenbezogenen Daten – unter Beachtung der zwingend anwendbaren Vorschriften – an Unterauftragsverarbeiter in einem Drittland zu übermitteln. Die Information, an welche Dienstleister in welchem Drittland die Daten für welche Zwecke übermittelt werden, kann der Kunde aus den Leistungsbeschreibungen entnehmen. Für diesen Fall verpflichtet sich die fb research sicherzustellen, dass das durch die DSGVO gewährleistete Datenschutzniveau auch bei dem Unterauftragsverarbeiter gewährleistet ist. Der Kunde stellt sicher, dass die betroffenen Personen über diesen Umstand ordnungsgemäß informiert werden.

g.   Die fb research haftet gegenüber dem Kunden in vollem Umfang dafür, dass der Unter­auftragsverarbeiter seinen Pflichten gemäß dem mit der fb research geschlossenen Vertrag nachkommt.

10.      Unterstützung des Kunden im Hinblick auf Betroffenenrechte und Behördenanfragen

a.   Im Rahmen der Pflichten des Kunden zur Wahrung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person unterstützt die fb research den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen. Die fb research unterrichtet den Kunden unverzüglich über jeden Antrag, den sie von der betroffenen Person erhalten hat. Vorbehaltlich einer vorherigen ausdrücklichen anderweitigen Zusage in Textform beantwortet die fb research den Antrag nicht selbst; hierfür ist ausschließlich der Kunde verantwortlich.

b.   Die fb research unterstützt den Kunden im Falle von Anfragen einer Datenschutz­aufsichtsbehörde. Vorbehaltlich einer behördlichen Aufforderung zur direkten Kommunikation bzw. einer vorherigen Abstimmung der Parteien, dass die fb research eine Anfrage einer betroffenen Person oder einer Behörde selbst bearbeiten soll, ist der Kunde für die Kommunikation und Korrespondenz mit der Datenschutzaufsichtsbehörde im Zusammenhang mit dieser Auftragsverarbeitung zuständig. Der Kunde wird der fb research die Korrespondenz und Kommunikation weiterleiten.

c.   Die fb research ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen. Die Konditionen hierfür stimmen die Vertragsparteien im Vorfeld untereinander ab.

11.      Unterstützung des Kunden im Hinblick auf die Sicherheit personenbezogener Daten

a.   Unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen unterstützt die fb research den Kunden zudem bei der Einhaltung der folgenden Pflichten:

  1. Gewährleistung eines angemessenen Schutzniveaus zur Sicherheit der Verarbeitung im Zusammenhang mit dem Gegenstand dieser Vereinbarung;

  2. Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörden;

  3. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person;

  4. Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat; und

  5. Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

b.   Die fb research Franke und Bornberg ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen. Die Konditionen hierfür stimmen die Vertragsparteien im Vorfeld untereinander ab.; im Falle von

  • Buchstabe a. I. gilt dies nur, soweit die Unterstützung nicht speziell den der fb research als Auftragsverarbeiter auferlegten Pflichten betrifft;

  • Buchstabe a. II. und III. gilt dies nur, soweit eine Verletzung des Schutzes personenbezogener Daten nicht von der fb research zu vertreten ist.

c.   11. Unterstützung des Kunden im Hinblick auf die Sicherheit personenbezogener Daten
Franke und Bornberg unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten.Franke und Bornberg ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen. Die Konditionen hierfür stimmen die Vertragsparteien im Vorfeld untereinander ab.

12.      Umgang mit den Daten nach Abschluss der Erbringung der Verarbeitungsleistungen

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht Franke und Bornberg die fb research nach Wahl des Kunden entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach dem Unionsrecht oder nach deutschem Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus dem Hauptvertrag etwas anderes ergibt. Trifft der Kunde nach einer vorherigen Benachrichtigung von der fb research mit angemessener Fristsetzung keine Wahl, löscht die fb research die personenbezogenen Daten unverzüglich nach Fristablauf.

13.      Informationen und Überprüfungen zum Nachweis der Einhaltung der Pflichten

Franke und Bornberg a.   Die fb research stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen - einschließlich Inspektionen -, die vom Kunden oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und wirkt daran mit. Sofern hierbei die Kenntnisnahmemöglichkeit von vertraulichen Informationen, insbesondere Betriebs- und Geschäftsgeheimnissen besteht, ist Franke und Bornberg  berechtigtdie fb research berechtigt, eine Verschwiegenheitserklärung Verschwiegenheits­erklärung vom Kunden und von diesem beauftragten Prüfer zu verlangen.

b.   Das Inspektionsrecht des Kunden hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DSGVO und dieses Vertrages zu überprüfen. Der Nachweis soll primär Die fb research ist berechtigt, den Nachweis durch unabhängige Prüfberichte und Zertifizierungen erbracht werdenzu erbringen. Sofern der Kunde auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Prüfberichte bzw. Zertifizierungen unzureichend oder unzutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DSGVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung des Kunden dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Sofern solche Vor-Ort-Kontrollen durchgeführt werden, sind diese als Stichprobenkontrollen der für die Durchführung der Auftragsverarbeitung relevanten Bereiche auszugestalten und Franke und Bornberg der fb research rechtzeitig im Voraus, in der Regel (Ausnahme z.B. bei besonderen Vorfällen) mindestens jedoch 14 Kalendertage, schriftlich anzumelden. Das Gleiche gilt für anlasslose Vor-Ort-Kontrollen. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb von Franke und Bornberg der fb research nicht über Gebühr stören oder missbräuchlich sein.Franke und Bornberg ist berechtigt, für Inspektionen eine angemessene Vergütung vom Kunden zu verlangen

c.   Die Parteien tragen die ihnen durch eine Inspektion entstehenden Kosten jeweils selbst.

14.      Gegenseitige Unterstützung in Haftungsfällen

Im Fall des Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen. Die Regelungen des Hauptvertrages zur Haftung bleiben unberührt und gelten auch für diese Vereinbarung zur Auftragsverarbeitung.

15.      Berechtigung zur Verarbeitung anonymisierter Daten für Analysezwecke

Franke und Bornberg Die fb research hat das Recht, die von dieser Vereinbarung umfassten personenbezogenen Daten zu anonymisieren und vorher die für die Anonymisierung erforderlichen Verarbeitungsschritte durchzuführen. Unter Wahrung der Anonymität kann Franke und Bornberg die fb research alle so entstandenen anonymisierten Daten für eigene Zwecke wie die Erstellung von Betriebs- oder Branchenvergleichen oder sonstige Zwecke mit volks- bzw. betriebswirtschaftlichem Informationscharakter, statistische Auswertungen, Benchmarking, Produktverbesserungen, Produktneuentwicklungen und weitere vergleichbare Zwecke auch über die Dauer dieser Vereinbarung hinaus verarbeiten und nutzen. Dies umfasst auch eine anonymisierte Weitergabe an Franke und Bornbergfb research-Anwender und Dritte, insbesondere an Verbände, Organisationen oder Forschungseinrichtungen sowie für Publikationen. Der ursprüngliche Datenbestand ist von dieser Anonymisierung nicht betroffenist von dieser Anonymisierung nicht betroffen. Für diese Verarbeitung ist die fb research bis zur Anonymisierung Verantwortlicher.

16.      Vereinbarung weiterer Vertragszwecke

Franke und Bornberg a.   Die fb research ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Fehlerbehebung in dem Franke und Bornbergfb research-Produkt, in dem die Daten gespeichert sind, zu verarbeiten.

Franke und Bornberg b.   Die fb research ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Qualitätssicherung (z.B. Produktanalyse, Optimierung der Benutzeroberfläche) für das Franke und Bornbergfb research-Produkt, in dem die Daten gespeichert sind bzw. für eine neuere Version des Franke und Bornbergfb research-Produkts zu verarbeiten.Franke und Bornberg ist berechtigt,

c.   Die fb research verarbeitet die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Entwicklung neuer oder Weiterentwicklung bestehender Franke und Bornbergfb research-Produkte ausschließlich auf ausdrückliche vorherige Weisung des Kunden in einer angemessen gesicherten Umgebung zu verarbeiten. Franke und Bornberg Test- oder Preview-Umgebung, in der der Kunde Weiterentwicklungen und Anpassungen bereits vor Live Schaltung testen und bewerten kann („Testsystem“); die Entscheidung, ob und welche personenbezogenen Daten im Testsystem verarbeitet werden liegt dabei ausschließlich beim Kunden. Die fb research berücksichtigt auch in diesem Verarbeitungsprozess, dass vom Kunden gelöschte oder zur Löschung angewiesene Daten nicht mehr verarbeitet werden.

Franke und Bornberg d.   Die fb research ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten des Kunden (z.B. IP-Adresse sowie die Kontaktdaten) zu verarbeiten, soweit dies erforderlich ist, um Missbrauch zu verhindern und die Verfolgung von Angreifern zu ermöglichen (z.B. Abwehr von Störungen oder widerrechtlichen oder mutwilligen Eingriffen, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen). )
Dies umfasst insbesondere auch, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern ("Denial of service"-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehrenelektronischen Kommunikationssystemen abzuwehren.

e.   Für die in Buchstabe c. durchgeführte Verarbeitung bleibt der Kunde Verantwortlicher der Datenverarbeitung und stellt sicher, dass für diese Verarbeitung eine Rechtsgrundlage besteht. Im Übrigen verarbeitet die fb research die Daten nach dieser Ziff. 16 als Verantwortlicher.

17.      Salvatorische Klausel

Sollten sich einzelne Bestimmungen dieser Vereinbarung als ungültig erweiseneinzelne Bestimmungen dieses Vertrages oder eine künftig in ihn aufgenommene Bestimmung rechtsunwirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der übrigen anderen Bestimmungen des Vertrages nicht berührt. Die ungültige Bestimmung ist durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Ungültigkeit des jeweiligen Punktes gedacht. Soweit diese Vereinbarung eine unbewusste Regelungslücke enthält, ist diese durch eine solche Das gleiche gilt, soweit sich herausstellen sollte, dass der Vertrag eine Regelungslücke enthält. Für diese Fälle verpflichten sich die Parteien, die fehlende, unwirksame oder undurchführbare Bestimmung durch eine vertragliche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Regelungsbedürftigkeit des jeweiligen Punktes gedachtdem übereinstimmenden Willen der Parteien entspricht. Dabei sollen der Zweck und die Bedeutung der fehlenden, unwirksamen oder undurchführbaren Bestimmung so weit wie möglich berücksichtigt.

18.      Formerfordernis

Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragnehmers - sind gemäß DSGVO schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann, und bedürfen des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt.Dies gilt auch für den Verzicht auf dieses Formerfordernisum eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

Der Vertrag kann in zweifacher Ausfertigung unterschrieben werden, wobei beide Ausfertigungen zusammen einen einzigen Vertrag zwischen den Parteien darstellen. Ein Vertragsschluss per Telefax oder E-Mail ist zulässig. In diesem Fall gilt eine mit den Unterschriften beider Parteien versehende Faxkopie bzw. eingescannte Vertragskopie als Original.

19.      Beginn der Vereinbarung, Auswirkung von Kündigungen

a.   Diese Vereinbarung beginnt mit Bestätigung des Vertragsschlusses des Hauptvertrages durch Franke und Bornberg, frühestens jedoch am 25.05.2018.Hauptvertrages durch die fb research.

b.   Nimmt der Kunde Änderungen am Vertragstext dieser Vereinbarung zur Auftragsverarbeitung vor, beginnt beginnen sowohl diese Vereinbarung mit als auch die Pflichten zur Erfüllung der im Hauptvertrag vereinbarten Leistungen nicht vor Annahme der geänderten Fassung durch Franke und Bornberg; Franke und Bornberg die fb research; die fb research ist zur Annahme jedoch nicht verpflichtet. In diesem Fall ist Franke und Bornberg die fb research berechtigt, den Hauptvertrag außerordentlich ohne Einhaltung einer Kündigungsfrist zu kündigen, wenn die Änderungen eine Erfüllung des Hauptvertrags durch Franke und Bornberg die fb research unmöglich machen.

c.   Eine Annahme der geänderten Fassung durch Franke und Bornberg die fb research erfolgt nicht bereits durch (fortgesetzte) Leistungserbringung, sondern erfordert eine dem Formerfordernis des Art. 28 DSGVO entsprechende Annahmeerklärung durch Franke und Bornbergdie fb research.

d.   Die Annahme/Bestätigung des Vertragsschlusses durch Franke und Bornberg die fb research kann in einem elektronischen Format erfolgen.

e.   Diese Vereinbarung endet nicht automatisch mit der Kündigung des Hauptvertrages, sondern bedarf des ausdrücklichen Hinweises darauf in der Kündigung, dass der Kunde auch diese Vereinbarung zur Auftragsverarbeitung kündigt.

20.      Aufhebung bisheriger Vereinbarungen

...

nach BDSG alt

Die Parteien vereinbaren, dass zeitgleich mit Beginn dieser Vereinbarung zur Auftragsverarbeitung die zwischen den Parteien bestehende Vereinbarung Vereinbarungen zur Auftragsdatenverarbeitung gemäß § 11 Bundesdatenschutzgesetz (alt, d.h. Fassung vor 25.05.2018) sowie etwaige weitere Vereinbarungen zur Auftragsdatenverarbeitung einvernehmlich aufgehoben und durch diese neue Vereinbarung zur Auftragsverarbeitung vollumfänglich ersetzt werden.

21.      Verweise auf die DSGVO

Alle in dieser Vereinbarung enthaltenen Verweise auf die DSGVO gelten für die DSGVO in ihrer jeweils aktuellen Fassung bzw. etwaige Nachfolgeregelungen.


View file
name20222023-1001-1011_Vereinbarung zur Auftragsverarbeitung_FBRfb_research.pdf
height250