Datenverarbeitungsvereinbarung

Für die Zwecke von Artikel 28 Absatz 3 der Verordnung 2016/679 (DSGVO).

Diese Vereinbarung regelt die Datenverarbeitung durch Simply Consulting ApS, Handelsregister-Nr. DK 33970080, Gammel Kongevej 1, 1610 Kopenhagen V, Dänemark (der Datenverarbeiter), im Namen des Kunden (der Datenverantwortliche) und ist als Anhang A des Hauptabonnements beigefügt, in dem die Parteien die Geschäftsbedingungen für die vereinbart haben Datenverarbeiter liefern Dienstleistungen (Simply CRM) an den Datenverantwortlichen.

Um den Anforderungen der DSGVO gerecht zu werden und den Schutz der Rechte der betroffenen Person zu gewährleisten, haben die Parteien die folgenden Vertragsklauseln vereinbart.

  1. Inhaltsverzeichnis
  2. Präambel. 3
  3. Die Rechte und Pflichten des Datenverantwortlichen 3
  4. Der Datenverarbeiter handelt weisungsgebunden. 4
  5. Vertraulichkeit 4
  6. Sicherheit der Verarbeitung. 4
  7. Einsatz von Unterauftragsverarbeitern. 5
  8. Übermittlung von Daten an Drittländer oder internationale Organisationen. 6
  9. Unterstützung des Datenverantwortlichen 7
  10. Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten. 8
  11. Löschung und Rückgabe von Daten. 8
  12. Audit und Inspektion. 9
  13. Die Vereinbarung der Parteien über andere Bedingungen. 9
  14. Beginn und Ende. 9
  15. Datenverantwortliche und Datenprozessorkontakte/Kontaktpunkte 10

Anhang A Informationen zur Verarbeitung. 11

Anhang B Autorisierte Unterauftragsverarbeiter. 12

Anhang C Hinweise zum Umgang mit personenbezogenen Daten. 13

Anhang D: Die Vertragsbedingungen der Parteien zu anderen Themen. 18

 

 

2. Präambel

 

  1. Diese Vertragsklauseln (die Klauseln) legen die Rechte und Pflichten des Datenverantwortlichen und des Datenverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag des Datenverantwortlichen fest.

 

  1. Die Klauseln sollen sicherstellen, dass die Parteien Artikel 28 Absatz 3 der Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten usw. einhalten den freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).

 

  1. Im Rahmen der Bereitstellung von Simply CRM und zugehörigen Diensten verarbeitet der Datenverarbeiter personenbezogene Daten im Auftrag des Datenverantwortlichen gemäß den Klauseln.

 

  1. Die Klauseln haben Vorrang vor ähnlichen Bestimmungen in anderen Vereinbarungen zwischen den Parteien.

 

  1. Den Klauseln sind vier Anhänge beigefügt, die einen integralen Bestandteil der Klauseln bilden.

 

  1. Anhang A enthält Einzelheiten zur Verarbeitung personenbezogener Daten, einschließlich Zweck und Art der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen und Dauer der Verarbeitung.

 

  1. Anhang B enthält die Bedingungen des Datenverantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Datenverarbeiter sowie eine Liste der vom Datenverantwortlichen autorisierten Unterauftragsverarbeiter.

 

  1. Anhang C enthält die Anweisungen des Datenverantwortlichen in Bezug auf die Verarbeitung personenbezogener Daten, die vom Datenverarbeiter zu ergreifenden Mindestsicherheitsmaßnahmen und die Art und Weise, wie Prüfungen des Datenverarbeiters und etwaiger Unterauftragsverarbeiter durchzuführen sind.

 

  1. Anhang D enthält Bestimmungen für andere Aktivitäten, die nicht durch die Klauseln abgedeckt sind.

 

  1. Die Klauseln und Anhänge müssen von beiden Parteien schriftlich, auch elektronisch, aufbewahrt werden.

 

  1. Die Klauseln befreien den Datenverarbeiter nicht von Pflichten, denen der Datenverarbeiter gemäß der Datenschutz-Grundverordnung (DSGVO) oder anderen Rechtsvorschriften unterliegt.

3. Die Rechte und Pflichten des Datenverantwortlichen

 

  1. Der Verantwortliche ist dafür verantwortlich, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO (siehe Artikel 24 DSGVO), den geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten[1] und den Klauseln erfolgt.

 

  1. Der Verantwortliche hat das Recht und die Pflicht, über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu entscheiden.

 

  1. Der Verantwortliche ist unter anderem dafür verantwortlich, dass die Verarbeitung personenbezogener Daten, mit deren Durchführung der Datenverarbeiter beauftragt wird, auf einer Rechtsgrundlage beruht.

4. Der Datenverarbeiter handelt weisungsgebunden

 

  1. Der Datenverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Datenverantwortlichen, es sei denn, er ist aufgrund von Unionsrecht oder Rechtsvorschriften der Mitgliedstaaten, denen der Datenverarbeiter unterliegt, dazu verpflichtet. Solche Weisungen werden in den Anhängen A und C spezifiziert. Nachfolgende Weisungen können vom Datenverantwortlichen auch während der gesamten Dauer der Verarbeitung personenbezogener Daten erteilt werden, solche Weisungen sind jedoch stets zu dokumentieren und schriftlich, auch elektronisch, im Zusammenhang mit der Verarbeitung aufzubewahren Klauseln.

 

  1. Der Datenverarbeiter hat den Datenverantwortlichen unverzüglich zu informieren, wenn Anweisungen des Datenverantwortlichen nach Ansicht des Datenverarbeiters gegen die DSGVO oder die geltenden Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstoßen.

 

5. Vertraulichkeit

 

  1. Der Datenverarbeiter gewährt Zugriff auf die personenbezogenen Daten, die im Auftrag des Datenverantwortlichen verarbeitet werden, nur Personen unter der Verantwortung des Datenverarbeiters, die sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen, und nur auf der Grundlage des Kenntnisbedarfs. Die Liste der Personen, denen Zugang gewährt wurde, wird regelmäßig überprüft. Auf der Grundlage dieser Überprüfung kann der Zugriff auf personenbezogene Daten widerrufen werden, wenn der Zugriff nicht mehr erforderlich ist und personenbezogene Daten folglich für diese Personen nicht mehr zugänglich sind.

 

  1. Der Datenverarbeiter muss auf Anfrage des Datenverantwortlichen nachweisen, dass die betroffenen Personen im Verantwortungsbereich des Datenverarbeiters der oben genannten Vertraulichkeit unterliegen.

6. Sicherheit der Verarbeitung

 

  1. Art. 32 DSGVO legt fest, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen die Der Datenverantwortliche und der Datenverarbeiter müssen geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.

 

Der Datenverantwortliche bewertet die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen und ergreift Maßnahmen zur Minderung dieser Risiken. Je nach Relevanz können die Maßnahmen Folgendes umfassen:

 

  1. Pseudonymisierung und Verschlüsselung personenbezogener Daten;

 

  1. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste fortlaufend sicherzustellen;

 

  1. die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen;

 

  1. ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

 

  1. Nach Art. 32 DSGVO hat der Auftragsverarbeiter außerdem – unabhängig vom Verantwortlichen – die mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen zu bewerten und Maßnahmen zur Minderung dieser Risiken zu ergreifen. Zu diesem Zweck stellt der Verantwortliche dem Datenverarbeiter alle Informationen zur Verfügung, die zur Identifizierung und Bewertung solcher Risiken erforderlich sind.

 

  1. Darüber hinaus unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der Pflichten des Verantwortlichen gemäß Artikel 32 DSGVO, indem er unter anderem Bereitstellung von Informationen an den Verantwortlichen über die vom Auftragsverarbeiter gemäß Art. 32 DSGVO bereits umgesetzten technischen und organisatorischen Maßnahmen sowie alle weiteren Informationen, die der Verantwortliche zur Erfüllung seiner Pflichten gemäß Art. 32 DSGVO benötigt.

 

Erfordert die Abmilderung der festgestellten Risiken nach Einschätzung des Verantwortlichen nachträglich die Umsetzung weiterer Maßnahmen durch den Auftragsverarbeiter, als die bereits vom Auftragsverarbeiter gemäß Artikel 32 DSGVO bereits umgesetzten Maßnahmen, legt der Verantwortliche diese zusätzlichen Maßnahmen fest in Anhang C umgesetzt werden.

7. Einsatz von Unterauftragsverarbeitern

 

  1. Der Auftragsverarbeiter muss die in Artikel 28 Absätze 2 und 4 DSGVO genannten Voraussetzungen erfüllen, um einen anderen Auftragsverarbeiter (einen Unterauftragsverarbeiter) zu beauftragen.

 

  1. Der Datenverarbeiter darf daher ohne vorherige allgemeine schriftliche Genehmigung des Datenverantwortlichen keinen anderen Datenverarbeiter (Unterauftragsverarbeiter) mit der Erfüllung der Klauseln beauftragen.

 

  1. Für die Beauftragung von Unterauftragsverarbeitern verfügt der Auftragsverarbeiter über die allgemeine Befugnis des Verantwortlichen. Der Datenverarbeiter muss den Datenverantwortlichen mindestens 20 Tage im Voraus schriftlich über alle beabsichtigten Änderungen hinsichtlich der Hinzufügung oder Ersetzung von Unterauftragsverarbeitern informieren und dem Datenverantwortlichen so die Möglichkeit geben, solchen Änderungen vor der Beauftragung des betreffenden Unterauftragsverarbeiters zu widersprechen -Prozessor(en). Längere Vorankündigungsfristen für bestimmte Unterverarbeitungsdienste können in Anhang B angegeben werden. Die Liste der vom Datenverantwortlichen bereits autorisierten Unterauftragsverarbeiter finden Sie in Anhang B.

 

  1. Wenn der Datenverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten im Namen des Datenverantwortlichen beauftragt, werden diesem Unterauftragsverarbeiter durch einen Vertrag oder einen anderen Rechtsakt dieselben Datenschutzpflichten auferlegt, die in den Klauseln festgelegt sind nach dem Recht der EU oder der Mitgliedstaaten, insbesondere Bereitstellung ausreichender Garantien, um geeignete technische und organisatorische Maßnahmen so umzusetzen, dass die Verarbeitung den Anforderungen der Klauseln und der DSGVO entspricht.

 

Der Datenverarbeiter ist daher dafür verantwortlich, dass der Unterauftragsverarbeiter zumindest die Verpflichtungen einhält, denen der Datenverarbeiter gemäß den Klauseln und der DSGVO unterliegt.

 

  1. Eine Kopie einer solchen Unterauftragsverarbeitervereinbarung und nachfolgender Änderungen wird – auf Anfrage des Datenverantwortlichen – dem Datenverantwortlichen vorgelegt, wodurch der Datenverantwortliche die Möglichkeit erhält, sicherzustellen, dass die gleichen Datenschutzverpflichtungen wie in den Klauseln festgelegt gelten auf dem Unterauftragsverarbeiter. Klauseln zu geschäftsbezogenen Themen, die den datenschutzrechtlichen Inhalt des Unterauftragsverarbeitervertrags nicht berühren, müssen nicht dem Verantwortlichen vorgelegt werden.

 

  1. Der Datenverarbeiter muss mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel vereinbaren, wobei – im Falle einer Insolvenz des Datenverarbeiters – der Datenverantwortliche ein Drittbegünstigter der Unterauftragsverarbeitervereinbarung ist und das Recht dazu hat die Vereinbarung gegenüber dem vom Datenverarbeiter beauftragten Unterauftragsverarbeiter durchzusetzen, z.B. Damit kann der Datenverantwortliche den Unterauftragsverarbeiter anweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

 

  1. Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, bleibt der Datenverarbeiter gegenüber dem Verantwortlichen hinsichtlich der Erfüllung der Pflichten des Unterauftragsverarbeiters in vollem Umfang haftbar. Die Rechte der betroffenen Personen nach der DSGVO – insbesondere die in den Artikeln 79 und 82 DSGVO vorgesehenen – gegenüber dem Verantwortlichen und dem Auftragsverarbeiter, einschließlich des Unterauftragsverarbeiters, bleiben hiervon unberührt.

8. Übermittlung von Daten an Drittländer oder internationale Organisationen

 

  1. Eine etwaige Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen durch den Auftragsverarbeiter erfolgt ausschließlich auf Grundlage dokumentierter Weisungen des Verantwortlichen und erfolgt stets unter Einhaltung von Kapitel V DSGVO.

 

  1. Falls Übermittlungen an Drittländer oder internationale Organisationen, zu deren Durchführung der Datenverarbeiter vom Datenverantwortlichen nicht beauftragt wurde, nach dem Recht der EU oder der Mitgliedstaaten, dem der Datenverarbeiter unterliegt, erforderlich sind, hat der Datenverarbeiter den Datenverantwortlichen darüber zu informieren Diese gesetzliche Anforderung muss vor der Verarbeitung eingehalten werden, es sei denn, das Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses.

 

  1. Ohne dokumentierte Anweisungen des Datenverantwortlichen kann der Datenverarbeiter daher im Rahmen der Klauseln nicht:

 

  1. Übermittlung personenbezogener Daten an einen Datenverantwortlichen oder Datenverarbeiter in einem Drittland oder an eine internationale Organisation

 

  1. die Verarbeitung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland übertragen

 

  1. die personenbezogenen Daten durch den Auftragsverarbeiter in einem Drittland verarbeiten zu lassen

 

  1. Die Weisungen des Verantwortlichen zur Übermittlung personenbezogener Daten in ein Drittland einschließlich ggf. zugrundeliegender Übermittlungsinstrumente gemäß Kapitel V DSGVO sind in Anlage C.6 aufgeführt.

 

  1. Die Klauseln dürfen nicht mit Standarddatenschutzklauseln im Sinne von Artikel 46 Absatz 2 Buchstaben c und d DSGVO verwechselt werden, und die Klauseln können von den Parteien nicht als Übermittlungsinstrument gemäß Kapitel V DSGVO herangezogen werden.

9. Unterstützung des Datenverantwortlichen

 

  1. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Datenverarbeiter den Datenverantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Pflichten des Datenverantwortlichen, auf Anfragen zur Ausübung der festgelegten Rechte der betroffenen Person zu reagieren in Kapitel III DSGVO.

Dies bedeutet, dass der Datenverarbeiter, soweit möglich, den Datenverantwortlichen dabei unterstützen muss, Folgendes einzuhalten:

 

  1. das Recht, bei der Erhebung personenbezogener Daten von der betroffenen Person informiert zu werden
  2. das Recht auf Auskunft, wenn personenbezogene Daten nicht von der betroffenen Person erhoben wurden
  3. das Auskunftsrecht der betroffenen Person
  4. das Recht auf Berichtigung
  5. das Recht auf Löschung („das Recht auf Vergessenwerden“)
  6. das Recht auf Einschränkung der Verarbeitung
  7. Mitteilungspflicht hinsichtlich der Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung
  8. das Recht auf Datenübertragbarkeit
  9. das Recht auf Widerspruch
  10. das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden

 

  1. Zusätzlich zu der Verpflichtung des Datenverarbeiters, den Datenverantwortlichen gemäß Abschnitt 6.3 zu unterstützen, muss der Datenverarbeiter unter Berücksichtigung der Art der Verarbeitung und der dem Datenverarbeiter zur Verfügung stehenden Informationen den Datenverantwortlichen außerdem dabei unterstützen, die Einhaltung von Folgendem sicherzustellen:

 

  1. Die Verpflichtung des Datenverantwortlichen, den Verstoß gegen den Schutz personenbezogener Daten unverzüglich und, soweit möglich, spätestens 72 Stunden nach Kenntniserlangung der zuständigen Aufsichtsbehörde, der dänischen Datenschutzbehörde, zu melden, es sei denn, der Verstoß gegen den Schutz personenbezogener Daten ist unwahrscheinlich eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellen;

 

  1. die Pflicht des Verantwortlichen, der betroffenen Person die Verletzung des Schutzes personenbezogener Daten unverzüglich mitzuteilen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt;

 

  1. die Pflicht des Verantwortlichen, eine Bewertung der Auswirkungen der geplanten Verarbeitungsvorgänge auf den Schutz personenbezogener Daten durchzuführen (Datenschutz-Folgenabschätzung);

 

  1. die Verpflichtung des Datenverantwortlichen, vor der Verarbeitung die zuständige Aufsichtsbehörde, die dänische Datenschutzbehörde, zu konsultieren, wenn eine Datenschutz-Folgenabschätzung ergibt, dass die Verarbeitung zu einem hohen Risiko führen würde, wenn der Datenverantwortliche keine Maßnahmen zur Risikominderung ergreift .

 

  1. Die Parteien definieren in Anhang C die geeigneten technischen und organisatorischen Maßnahmen, mit denen der Datenverarbeiter den Datenverantwortlichen unterstützen muss, sowie den Umfang und das Ausmaß der erforderlichen Unterstützung. Dies gilt für die in Ziffer 9.1 vorgesehenen Pflichten. und 9.2.

10. Benachrichtigung über eine Verletzung des Schutzes personenbezogener Daten

 

  1. Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Datenverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, nachdem er davon Kenntnis erlangt hat, über die Verletzung des Schutzes personenbezogener Daten informieren.

 

  1. Die Benachrichtigung des Datenverarbeiters an den Datenverantwortlichen erfolgt nach Möglichkeit innerhalb von 72 Stunden, nachdem der Datenverarbeiter Kenntnis von der Verletzung des Schutzes personenbezogener Daten erlangt hat, damit der Datenverarbeiter seiner Pflicht nachkommen kann, die Verletzung des Schutzes personenbezogener Daten dem zu melden Zuständige Aufsichtsbehörde, vgl. Artikel 33 DSGVO.

 

  1. Gemäß Klausel 9(2)(a) unterstützt der Datenverarbeiter den Datenverantwortlichen bei der Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde, was bedeutet, dass der Datenverarbeiter bei der Beschaffung der unten aufgeführten Informationen behilflich sein muss, die gemäß Gemäß Art. 33 Abs. 3 DSGVO ist in der Mitteilung des Verantwortlichen an die zuständige Aufsichtsbehörde Folgendes anzugeben:

 

  1. Die Art der personenbezogenen Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Anzahl der betroffenen betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;

 

  1. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

 

  1. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, gegebenenfalls einschließlich Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen.

 

  1. Die Parteien legen in Anhang C alle Elemente fest, die der Datenverarbeiter bereitstellen muss, um den Datenverantwortlichen bei der Meldung einer Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu unterstützen.

11. Löschung und Rückgabe von Daten

 

  1. Bei Beendigung der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten ist der Datenverarbeiter verpflichtet, alle im Auftrag des Datenverantwortlichen verarbeiteten personenbezogenen Daten zu löschen und dem Datenverantwortlichen zu bestätigen, dass er dies getan hat, es sei denn, das Unionsrecht oder das Recht der Mitgliedstaaten schreibt eine Speicherung vor die personenbezogenen Daten.

 

Der Datenverarbeiter verpflichtet sich, die personenbezogenen Daten ausschließlich für die in diesem Gesetz vorgesehenen Zwecke und Dauer und unter den strengen geltenden Bedingungen zu verarbeiten.

12. Audit und Inspektion

 

  1. Der Datenverarbeiter stellt dem Datenverantwortlichen alle Informationen zur Verfügung, die zum Nachweis der Einhaltung der in Artikel 28 und den Klauseln festgelegten Verpflichtungen erforderlich sind, und ermöglicht Prüfungen, einschließlich Inspektionen, die vom Datenverantwortlichen oder einem anderen von den Daten beauftragten Prüfer durchgeführt werden, und trägt dazu bei Regler.

  1. Verfahren, die für die Prüfungen des Datenverantwortlichen, einschließlich Inspektionen, des Datenverarbeiters und der Unterauftragsverarbeiter gelten, sind in den Anhängen C.7 aufgeführt. und C.8.

 

  1. Der Datenverarbeiter ist verpflichtet, den Aufsichtsbehörden, die gemäß den geltenden Rechtsvorschriften Zugang zu den Einrichtungen des Datenverantwortlichen und des Datenverarbeiters haben, oder Vertretern, die im Namen dieser Aufsichtsbehörden handeln, gegen Vorlage eines entsprechenden Nachweises Zugang zu den physischen Einrichtungen des Datenverarbeiters zu gewähren Identifikation.

13. Vereinbarung der Parteien über andere Bedingungen

 

  1. Die Parteien können andere Klauseln bezüglich der Bereitstellung des Dienstes zur Verarbeitung personenbezogener Daten vereinbaren, in denen z. Haftung, sofern sie den Klauseln nicht direkt oder indirekt widersprechen oder die Grundrechte oder Grundfreiheiten der betroffenen Person sowie den durch die DSGVO gebotenen Schutz beeinträchtigen.

14. Beginn und Ende

 

  1. Die Klauseln treten mit dem Datum der Unterzeichnung durch beide Parteien in Kraft.

 

  1. Beide Parteien sind berechtigt, eine Neuverhandlung der Klauseln zu verlangen, wenn Gesetzesänderungen oder Unzweckmäßigkeiten der Klauseln Anlass zu einer Neuverhandlung geben.

 

  1. Die Klauseln gelten für die Dauer der Erbringung von Dienstleistungen zur Verarbeitung personenbezogener Daten. Für die Dauer der Bereitstellung von Dienstleistungen zur Verarbeitung personenbezogener Daten können die Klauseln nicht gekündigt werden, es sei denn, zwischen den Parteien wurden andere Klauseln zur Bereitstellung von Dienstleistungen zur Verarbeitung personenbezogener Daten vereinbart.

  1. Wenn die Bereitstellung von Dienstleistungen zur Verarbeitung personenbezogener Daten beendet wird und die personenbezogenen Daten gemäß Abschnitt 11.1 gelöscht oder an den Datenverantwortlichen zurückgegeben werden. und Anhang C.4. können die Klauseln durch schriftliche Mitteilung von jeder Partei gekündigt werden.

 

15. Kontakte/Kontaktstellen für Datenverantwortliche und Datenverarbeiter

 

  1. Die Parteien können untereinander über folgende Kontakte/Kontaktstellen in Kontakt treten:

 

  1. Die Parteien sind verpflichtet, sich gegenseitig laufend über Änderungen der Ansprechpartner/Kontaktstellen zu informieren.

 

Telefon +45 70 235 230

E-Mail an support@simply-crm.com

 

 

 

Anhang A Informationen zur Verarbeitung

 

A.1. Der Zweck der Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen ist:

 

Der Zweck der Verarbeitung personenbezogener Daten durch Simply CRM besteht darin, eine CRM-Plattform (Customer Relationship Management) mit zugehörigen Diensten wie Support-Tickets, Webformularen, E-Mails, Projektaufgaben, Kalendereinträgen usw. bereitzustellen. Simply CRM bietet auch Integrationen für verschiedene Plattformen wie E-Mail, Kalender und Finanzen/ERP sowie andere. Alle diese Dienste werden angeboten, um die Verpflichtungen gemäß den zwischen Simply CRM und dem Kunden vereinbarten Servicebedingungen zu erfüllen.

 

Darüber hinaus können personenbezogene Daten auch in den Supportdiensten von Simply CRM für den Kunden (den Datenverantwortlichen) und seine Benutzer verwendet werden.

 

 

A.2. Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen bezieht sich hauptsächlich auf (die Art der Verarbeitung):

 

Die Verarbeitung personenbezogener Daten durch Simply CRM erfolgt hauptsächlich gemäß den Anweisungen des Kunden (dem Datenverantwortlichen), soweit dies zur Erfüllung der Verpflichtungen aus den zwischen Simply CRM und dem Kunden (dem Datenverantwortlichen) vereinbarten Servicebedingungen erforderlich ist:

 

Speichern, Verwenden, Hinzufügen, Ändern, Bearbeiten, Strukturieren, Analysieren, Präsentieren, Exportieren und Löschen der Daten im Auftrag des Kunden (Datenverantwortlicher).

 

Die Daten können über integrierte Importtools oder Integrationen in Tools von Drittanbietern importiert oder vom Kunden (dem Datenverantwortlichen) manuell eingegeben sowie auf der Grundlage der Benutzerinteraktionen mit der Simply CRM-Plattform unter Verwendung von Technologien wie Cookies usw. erfasst werden Protokollierungstools.

A.3. Die Verarbeitung umfasst folgende Arten personenbezogener Daten der betroffenen Personen:

 

Die Arten personenbezogener Daten über betroffene Personen stehen alle im Zusammenhang mit den Dienstleistungen eines CRM-Anbieters, d. h. die Daten beziehen sich auf Vertriebs- und Marketingdienstleistungen.

 

Die Verarbeitung von Kundendaten kann vom Kunden konfiguriert werden, Simply CRM verarbeitet jedoch standardmäßig die folgenden Arten personenbezogener Daten:

 

Namen, E-Mail-Adresse, Telefonnummern, Adressen, Teilnahme an Besprechungen, Segmentierungsinformationen für Marketingzwecke, Supportanfragen, Mitgliedschaftsinformationen, Rechnungen, zugehörige Projektaufgaben, Analyse der Website- und Kundenportalnutzung, Lokalisierungsdaten (IP-Adresse), zugehörige IDs in integrierten Plattformen wie EP und ähnlichen Informationen.

 

 

A.4. Die Verarbeitung umfasst folgende Kategorien betroffener Personen:

 

 

Simply CRM verarbeitet personenbezogene Daten der folgenden Kategorien betroffener Personen:

 

  • Benutzer von Simply CRM, die vom Kunden (dem Datenverantwortlichen) zur Nutzung des Dienstes berechtigt sind.
  • Mitarbeiter des Kunden (Datenverantwortlicher), mit denen Simply CRM einen Dialog geführt hat oder möglicherweise führen könnte.
  • Kontakte, die vom Kunden (dem Datenverantwortlichen) über Simply CRM und zugehörige Dienste verwaltet werden.
  • Vom Kunden (dem Datenverantwortlichen) autorisierte Dienstleister, die Simply CRM-Plattform und -Dienste zu nutzen.

 

A.5. Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Datenverantwortlichen kann zu Beginn der Klauseln erfolgen. Die Verarbeitung hat folgende Dauer:

 

Es wird auf den Abschnitt in den Allgemeinen Geschäftsbedingungen von Simply CRM verwiesen, der sich mit der Dauer eines Abonnements befasst. Sobald ein Abonnement abläuft, einschließlich einer Kulanzfrist nach dem Abonnement, werden die Daten ebenfalls nicht mehr verarbeitet.

 

Die Allgemeinen Geschäftsbedingungen können vollständig unter https://simply-crm.com/terms-and-conditions/ gelesen werden.

 

Anhang B Autorisierte Unterauftragsverarbeiter

 

B.1. Zugelassene Unterauftragsverarbeiter

Mit Inkrafttreten der Klauseln genehmigt der Datenverantwortliche die Beauftragung der folgenden Unterauftragsverarbeiter.

NAME CVR ADRESSE BESCHREIBUNG DER VERARBEITUNG
Hetzner Online GmbH MwSt.-Reg.-Nr. No. DE 812871812 Industriestr. 25 91710 Gunzenhausen Deutschland Primärer Hosting-Anbieter für europäische Kunden (DSGVO)

 

Der Datenverantwortliche genehmigt mit Inkrafttreten der Klauseln den Einsatz der oben genannten Unterauftragsverarbeiter für die für diese Partei beschriebene Verarbeitung. Der Auftragsverarbeiter ist ohne ausdrückliche schriftliche Genehmigung des Verantwortlichen nicht berechtigt, einen Unterauftragsverarbeiter mit einer „anderen“ als der vereinbarten Verarbeitung zu beauftragen oder die beschriebene Verarbeitung durch einen anderen Unterauftragsverarbeiter durchführen zu lassen.

 

 

Anhang C Hinweise zum Umgang mit personenbezogenen Daten.

 

C.1. Gegenstand/Anleitung für die Verarbeitung

 

Der Datenverarbeiter verarbeitet personenbezogene Daten im Namen des Datenverantwortlichen, um es dem Datenverantwortlichen zu ermöglichen, die Simply CRM-Plattform für Vertrieb, Kundenbeziehungsmanagement, projekt- und aufgabenbezogene Informationen, interne Kommunikation und andere Formen des Wissensaustauschs zu nutzen, die Eigentum und Verwaltung von Simply CRM sind der Datenverarbeiter. Der Datenverantwortliche (der Kunde) nutzt die Plattform für Vertrieb, Kundenbeziehungsmanagement, projekt- und aufgabenbezogene Informationen sowie interne Kommunikation in seinem Unternehmen für ausgewählte oder alle Mitarbeiter.

 

C.2. Sicherheit der Verarbeitung

 

C.2.1 Das Sicherheitsniveau muss Folgendes berücksichtigen:

Unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitungstätigkeit sowie des Risikos für die Rechte und Freiheiten natürlicher Personen muss der Datenverarbeiter ein angemessenes Sicherheitsniveau implementieren.

Der Datenverarbeiter ist hiernach berechtigt und verpflichtet, Entscheidungen über die technischen und organisatorischen Sicherheitsmaßnahmen zu treffen, die zur Herstellung des erforderlichen (und vereinbarten) Niveaus der Datensicherheit anzuwenden sind.

Der Datenverarbeiter muss jedoch – in jedem Fall und zumindest – die folgenden Maßnahmen umsetzen, die mit dem Datenverantwortlichen vereinbart wurden:
Physische Sicherheit

Der Datenverarbeiter muss die folgenden physischen Sicherheitsmaßnahmen umsetzen:

a) Die Büroräume des Auftragsverarbeiters sind abschließbar.
b) Der Datenverarbeiter setzt Alarmanlagen zur Erkennung und Verhinderung von Einbrüchen ein.
c) Der Datenverarbeiter setzt Feuermelder und Rauchmelder ein, um Brände zu erkennen und zu verhindern.
d) Die Geräte des Datenverarbeiters (einschließlich PCs, Server usw.) werden hinter verschlossenen Türen gesichert.
e) Die Räumlichkeiten und Einrichtungen bzw. Zufahrtswege des Auftragsverarbeiters unterliegen einer Video- oder Bildüberwachung.
f) Der Datenverarbeiter nutzt die Schlüsselverwaltung, d. h. die Bereitstellung von Schlüsseln für die entsprechenden und erforderlichen Mitarbeiter usw.

Organisatorische Sicherheit

Der Datenverarbeiter muss die folgenden organisatorischen Sicherheitsmaßnahmen umsetzen:

a) Alle Mitarbeiter des Auftragsverarbeiters unterliegen der Verschwiegenheitspflicht, die für jede Verarbeitung personenbezogener Daten gilt.
b) Der Zugriff der Mitarbeiter auf personenbezogene Daten ist begrenzt, so dass nur die entsprechenden Mitarbeiter Zugriff auf die erforderlichen personenbezogenen Daten haben.
c) Der Datenverarbeiter verfügt über eine IT-Sicherheitsrichtlinie.
d) Der Datenverarbeiter verfügt über dokumentierbare Prozessbeschreibungen für Verstöße gegen die Sicherheit personenbezogener Daten, die mindestens einmal jährlich überprüft werden.

Neben den oben genannten Punkten verfügt der Datenverarbeiter über dokumentierbare Prozessbeschreibungen für die Verarbeitung personenbezogener Daten.

Technische Sicherheit: Zugriff auf personenbezogene Daten

Der Datenverarbeiter muss die folgenden technischen Sicherheitsmaßnahmen für den Zugriff auf personenbezogene Daten ergreifen:

a) Der Datenverarbeiter nutzt eine logische Zugangskontrolle mit Benutzername und Passwort oder einer anderen eindeutigen Autorisierung.
b) Der Datenverarbeiter verlangt von den Mitarbeitern die Verwendung individueller Passwörter.
c) Die Rechner des Auftragsverarbeiters verfügen über einen automatischen Zugriffsschutz bei Inaktivität, d.h. gesperrter Bildschirmschoner.
d) Der Datenverarbeiter verfügt über Richtlinien für die Passwortzusammensetzung, einschließlich Mindestanforderungen.
e) Es gibt Verfahren zum Widerrufen von Berechtigungen, wenn ein Mitarbeiter ausscheidet oder die Abteilung wechselt.
f) Es bestehen Verfahren zur Berechtigungsvergabe an IT-Systeme bei der Einstellung neuer Mitarbeiter.

Technische Sicherheit: Zugriff auf und Schutz von IT-Systemen

Der Datenverarbeiter muss die folgenden technischen Sicherheitsmaßnahmen für den Zugriff auf seine Systeme und deren Schutz ergreifen:

a) Der Datenverarbeiter erteilt Einzelpersonen oder Benutzergruppen die Befugnis, auf die verarbeiteten personenbezogenen Daten zuzugreifen, diese zu ändern und zu löschen.
b) Der Datenverarbeiter verfügt über Verfahren zur Wiederherstellung von Daten aus der Sicherung.
c) Der Datenverarbeiter überprüft regelmäßig die Systemkontrollen.

Darüber hinaus hat der Datenverarbeiter eine 2-Faktor-Authentifizierung implementiert.

Technische Sicherheit: Verschlüsselung

Der Datenverarbeiter implementiert die folgenden technischen Sicherheitsmaßnahmen zur Verschlüsselung:

a) Auf den Computern des Auftragsverarbeiters usw. gespeicherte Passwörter werden verschlüsselt.
b) Inhalte auf externen Festplatten, USB-Sticks usw. werden verschlüsselt, wenn diese Medien persönliche oder sensible persönliche Informationen enthalten.
c) Der Datenverarbeiter verschlüsselt personenbezogene Daten in Systemen und/oder auf Geräten.
d) Die Websites und Webformulare des Datenverarbeiters verwenden SSL-Zertifikate/HTTPS (Hyper Text Transfer Protocol Secure).

Technische Sicherheit: Schutz personenbezogener Daten bei der Übertragung

Der Datenverarbeiter trifft die folgenden technischen Sicherheitsmaßnahmen zum Schutz personenbezogener Daten bei der Übertragung:

a) Der Datenverarbeiter verfügt über Richtlinien für die Verwendung geschäftlicher E-Mails, einschließlich der Verwendung für den privaten Gebrauch, der angemessenen Verwendung, der Verschlüsselung, der sicheren Verwendung usw.

Technische Sicherheit: Pseudonymisierung

Der Datenverarbeiter setzt folgende technische Sicherheitsmaßnahmen zur Pseudonymisierung um:

Der Datenverarbeiter nutzt die Pseudonymisierung personenbezogener Daten. Durch die Pseudonymisierung wird sichergestellt, dass Informationen, die zur Identifizierung der registrierten Person beitragen können, getrennt und in einem separaten, geschützten IT-System gespeichert werden.
Wenn ein Benutzer von der Plattform gelöscht wird, werden alle seine persönlichen Daten anonymisiert.

Technische Sicherheit: Verfügbarkeit und Robustheit

Der Datenverarbeiter muss die folgenden technischen Sicherheitsmaßnahmen hinsichtlich Verfügbarkeit und Robustheit implementieren:

a) Die Zugänglichkeit und Robustheit der Systeme und Server des Datenverarbeiters werden durch einen Dritten sichergestellt, mit dem der Datenverarbeiter eine Vereinbarung getroffen hat.
b) Nur autorisierte Mitarbeiter haben Zugriff auf die eigenen Server des Datenverarbeiters.
c) Serverräume verfügen über Rauchmelder und Feuerlöscher.
d) Der Serverraum verfügt über eine Klimaanlage.
e) Es gibt Regeln und Richtlinien zur Datensicherung.
f) Es gibt Regeln und Richtlinien für die Wiederherstellung von Daten aus Backups.
g) Es werden regelmäßig Backups erstellt (intern oder beim Lieferanten).
h) Überwachung von Temperatur und Luftfeuchtigkeit in Serverräumen.
i) Aktive Alarmierung bei unbefugten Zugriffsversuchen auf Serverräume und/oder Verarbeitungssysteme und Daten.
j) Es wird eine unterbrechungsfreie Stromversorgung (USV) verwendet.

C.3. Unterstützung des Datenverantwortlichen

3.1 Der Datenverarbeiter wird den Datenverantwortlichen im Rahmen seiner Möglichkeiten – im Rahmen und im Umfang der unten genannten Unterstützung – gemäß Ziffer 9.1 und 9.2 durch die Umsetzung der folgenden technischen und organisatorischen Maßnahmen unterstützen:

3.1.1 Wenn der Datenverantwortliche eine Anfrage zur Ausübung eines der Rechte der betroffenen Personen gemäß geltendem Datenschutzrecht erhält und eine ordnungsgemäße Beantwortung der Anfrage die Unterstützung des Datenverarbeiters erfordert, unterstützt der Datenverarbeiter den Datenverantwortlicher mit den notwendigen und relevanten Informationen und Dokumentationen sowie geeigneten technischen und organisatorischen Sicherheitsmaßnahmen.

3.1.2 Wenn der Datenverantwortliche die Unterstützung des Datenverarbeiters benötigt, um auf eine Anfrage einer betroffenen Person zu antworten, muss der Datenverantwortliche eine schriftliche Bitte um Unterstützung an den Datenverarbeiter senden und der Datenverarbeiter wird als Antwort die erforderliche Hilfe leisten bzw Unterlagen schnellstmöglich, spätestens jedoch 7 Kalendertage nach Eingang der Anfrage.

3.1.3 Wenn der Datenverarbeiter eine Anfrage zur Ausübung der Rechte gemäß geltendem Datenschutzrecht von anderen Personen als dem Datenverantwortlichen erhält und sich die Anfrage auf personenbezogene Daten bezieht, die im Auftrag des Datenverantwortlichen verarbeitet werden, wird der Datenverarbeiter dies ohne unangemessenes Recht tun Verzögerung der Weiterleitung der Anfrage an den Datenverantwortlichen.

C.4. Speicherdauer/Löschverfahren

4.1 Nach Beendigung der Bereitstellung von Dienstleistungen zur Verarbeitung personenbezogener Daten löscht der Datenverarbeiter die personenbezogenen Daten entweder gemäß Abschnitt 11.1 oder gibt sie zurück, es sei denn, der Datenverantwortliche hat nach Vertragsunterzeichnung die ursprüngliche Wahl des Datenverantwortlichen geändert. Solche Änderungen müssen im Zusammenhang mit den Klauseln dokumentiert und schriftlich, auch elektronisch, aufbewahrt werden.

C.5. Verarbeitungsort

5.1 Die Verarbeitung der personenbezogenen Daten gemäß den Klauseln darf ohne vorherige schriftliche Genehmigung des Datenverantwortlichen nicht an anderen Orten als den folgenden durchgeführt werden:

Am Hauptsitz des Datenverarbeiters oder am Hauptsitz zugelassener Unterauftragsverarbeiter gemäß Anhang B.

C.6. Belehrung zur Übermittlung personenbezogener Daten in Drittländer

6.1 Personenbezogene Daten werden durch den Datenverarbeiter nur an den in Ziffer C.5 genannten Standorten verarbeitet. Der Datenverarbeiter übermittelt keine personenbezogenen Daten an Drittländer oder internationale Organisationen.

6.2 Wenn die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR im Zusammenhang mit der Übermittlung des Datenverarbeiters an Unterauftragsverarbeiter erfolgt, ist der Datenverarbeiter durch die Bestimmungen der Vereinbarung berechtigt, in die von ihm angenommenen Standardvertragsbestimmungen einzutreten die Europäische Kommission mit den Unterauftragsverarbeitern des Datenverarbeiters im Namen des Datenverantwortlichen, sofern ansonsten alle Vorschriften des dänischen Datenschutzgesetzes für die Übermittlung und Verarbeitung eingehalten werden. Wenn der Datenverantwortliche selbst ein Datenverarbeiter ist und der Datenverarbeiter ein Unterdatenverarbeiter der Daten in Bezug auf den/die letztendlichen Vertragspartner des Datenverantwortlichen ist, muss der Datenverantwortliche die Genehmigung der letztendlichen Vertragspartei des Datenverarbeiters einholen in den Allgemeinen Vertragsbedingungen.

6.3 Wenn die Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR im Zusammenhang mit der Übermittlung des Datenverarbeiters an unabhängige Datenverantwortliche erfolgt, ist der Datenverarbeiter durch die Bestimmungen der Vereinbarung berechtigt, in die von ihm angenommenen Standardvertragsbestimmungen einzutreten die Europäische Kommission mit unabhängigen Datenverantwortlichen im Auftrag des Datenverantwortlichen, sofern ansonsten alle Vorschriften der Datenschutzgesetze für die Übermittlung und Verarbeitung eingehalten werden. Wenn der Datenverantwortliche selbst ein Datenverarbeiter ist und der Datenverarbeiter ein Unterdatenverarbeiter der Daten in Bezug auf den/die letztendlichen Vertragspartner des Datenverantwortlichen ist, muss der Datenverantwortliche die Genehmigung der letztendlichen Vertragspartei des Datenverarbeiters einholen in den Allgemeinen Vertragsbedingungen.

6.4 Die Übertragung personenbezogener Daten kann in allen Fällen nur in Übereinstimmung mit diesen Klauseln, nach den Anweisungen des Datenvertrauens und in dem Ausmaß durch das geltende Datenschutzgesetz durchgeführt werden.

6.5 Wenn der Datenverantwortliche in diesen Klauseln oder später keine dokumentierte Anweisung in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland erteilt, ist der Datenverarbeiter nicht berechtigt, solche Übermittlungen im Rahmen dieser Klauseln durchzuführen.

C.7. Verfahren für die Prüfungen, einschließlich Inspektionen, der vom Datenverarbeiter durchgeführten Verarbeitung personenbezogener Daten durch den Datenverantwortlichen

7.1 Der Datenverarbeiter muss auf schriftliche Anfrage des Datenverantwortlichen gegenüber dem Datenverantwortlichen dokumentieren, dass der Datenverarbeiter

7.1.1 seinen Verpflichtungen aus diesen Klauseln und der Anweisung nachkommt und

7.1.2 mit den relevanten Artikeln der DSGVO in Bezug auf die personenbezogenen Daten, die im Auftrag des Datenverantwortlichen verarbeitet werden.

7.2 Gemäß Abschnitt C.7.1 sind die Unterlagen des Datenverarbeiters innerhalb einer angemessenen Zeit nach Eingang der Anfrage an den Datenverantwortlichen zu senden.

7.3 Der Datenverarbeiter darf dem Datenverantwortlichen keine Selbstprüfungsberichte gemäß den Grundsätzen der ISAE 3000-Zuverlässigkeitserklärung als Teil der Dokumentation des Datenverarbeiters zur Einhaltung dieser Klauseln zur Verfügung stellen. Der Datenverarbeiter ist nicht verpflichtet, aus eigener Initiative externe Prüfungen zur Einhaltung der Klauseln einzuleiten und durchzuführen.

Anhang D: Die Vertragsbedingungen der Parteien zu anderen Themen

 

Es bestehen keine vereinbarten Vertragsbedingungen zu anderen Themen, es sei denn, beide Parteien haben dies ausdrücklich in anderen Anhängen schriftlich vereinbart.
[1] Verweise auf „Mitgliedstaaten“ in den Klauseln sind als Verweise auf „EWR-Mitgliedstaaten“ zu verstehen.