Vereinbarung über Auftragsverarbeitung

gemäß Art. 28 Abs. 3 DSGVO

Vereinbarung über Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO

zwischen

_________________________

im Folgenden „Auftraggeber“ oder „Spedition“ genannt (dies ist die Spedition im Sinne des oben genannten Vertrages)

und der

Pamyra GmbH
Lützner Str. 116, 04177 Leipzig
vertreten durch Felix Wiegand und Dr. Lasse Landt

im Folgenden „Auftragnehmer“ oder „Pamyra“ genannt.

1. Präambel

Diese Vereinbarung wird in Ausführung der gesetzlichen Verpflichtungen der DSGVO, insbesondere Art. 28 Abs. 3 DSGVO geschlossen und regelt die Verpflichtungen beider Parteien im Bereich des Datenschutzes, die sich aus den oben genannten zugrundeliegenden Verträgen in ihren Einzelheiten ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Vertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer beauftragte personenbezogene Daten (im Folgenden kurz „Daten“), insbesondere betroffener Personen, für den Auftraggeber verarbeiten.

2. Allgemeine vertragsrechtliche Regelungen dieser Vereinbarung

Für diese Vereinbarung gelten die allgemeinen vertragsrechtlichen Bestimmungen der zugrunde liegenden Verträge, vorrangig des Pamyra SaaS Suite Angebots.
Dieses Vertragsverhältnis geht im Range den zugrunde liegenden Verträgen im Hinblick auf die zwingende Natur vor Datenschutzrecht. Die diesbezüglichen dortigen Regelungen werden ansonsten ergänzt bzw. detailliert. Diese Vereinbarung unterliegt deutschem, insbesondere datenschutzbezogenem Recht sowie dem diesbezüglich zwingenden EU-Recht.
Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien verpflichten sich, eine unwirksame Bestimmung durch eine wirksame datenschutzrechtliche Regelung zu ersetzen, die dem ursprünglich verfolgten Zweck bzw. dem gesetzlichen Zweck so nahe wie möglich kommt.

(4) Zustandekommen, Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(5) Die unterzeichnenden Personen versichern die Vertretungsmacht für ihr Unternehmen.

3. Leistungspflichten des Auftragnehmers und Mitwirkungspflichten des Auftraggebers im Bereich Datenschutz

3.1 Gegenstand der Verarbeitung von Daten

Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung ergeben sich aus dem zugrundeliegenden Vertrag.
Von der Verarbeitung betroffene Personen sind die Kunden und Geschäftspartner der Spedition.
Die Verarbeitung bezieht sich auf Namen, Adressen, elektronische Kommunikationsdaten, Bankverbindungen, Telefonnummern und ggf. weitere personenbezogene Daten
Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des zugrunde liegenden Vertrages, sofern sich aus den Bestimmungen dieser Vereinbarung nicht darüber hinausgehende Verpflichtungen ergeben.

3.2 Tätigkeitsbereich des Auftragnehmers im Bereich datenschutzrechtlicher Bestimmungen

(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 lit. a DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung so lange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Dem Auftraggeber werden diese technischen und organisatorischen Maßnahmen im Anhang “Technische und organisatorische Maßnahmen zur Datensicherheit” mitgeteilt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(3) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Vertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).

(4) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

3.3 Spezifische datenschutzrechtliche Pflichten des Auftragnehmers

Der Auftragnehmer unterstützt, soweit vereinbart, den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.
Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits- bzw. Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht im Falle von Datenschutzverletzungen nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Die Meldung des Auftragnehmers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:

– eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

– eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Der Auftragnehmer nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen. Dies ist zurzeit Steven Qual. Der Auftragnehmer darf den Ansprechpartner im Rahmen des laufenden Geschäftsbetriebs ändern, dies ist sodann unverzüglich dem Auftraggeber mitzuteilen. Die Anforderungen an den Ansprechpartner für Datenschutzfragen müssen auch bei jeder Änderung gewahrt bleiben.
Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
Informationspflichten: Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ i.S.d. DSGVO liegen.

Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien aufgrund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe, Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im zugrundeliegenden Vertrag bereits vereinbart.
Daten, Datenträger sowie sämtliche sonstigen Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.
Anfragen betroffener Personen: Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragnehmer oder Auftraggeber, wird die Partei, an die sich gewendet wurde, die betroffene Person an die jeweils andere Partei verweisen, sofern eine Zuordnung nach Angaben der betroffenen Person möglich ist. Der Antrag der betroffenen Person wird dabei unverzüglich an die entsprechende Partei weitergeleitet. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung, soweit vereinbart und andersherum. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird und der Auftraggeber haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftragnehmer nicht, nicht richtig oder nicht fristgerecht beantwortet wird
Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer, den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

3.4 Einsatz von Subunternehmern durch den Auftragnehmer

Der Einsatz von Unterauftragnehmern als weiteren Auftragsverarbeitern ist nur mit vorheriger Zustimmung des Auftraggebers zulässig, sofern die Weitergabe nicht für die Durchführung der geschuldeten Dienstleistung erforderlich ist.
Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.

3.5 Audits, Inspektionen und behördliche Kontrollen zur Einhaltung der datenschutzrechtlichen Pflichten

Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten auf Anforderung durch Durchführung eines Selbstaudits nach.
Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.
Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung verlangen. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

3.6. Mitwirkungspflichten des Auftraggebers

Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt Ziffer 3.3 Abs. 10 dieser Vereinbarung entsprechend.
Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

4. Sicherstellung der datenschutzrechtlichen Pflichten beider Seiten

Gleich aus welchem Rechtsgrund bestehen beiderseits keinerlei Rechte, die Einhaltung der datenschutzrechtlichen Pflichten von der Einhaltung der Pflichten des Vertragspartners abhängig zu machen. Insbesondere hat der Auftragnehmer kein Leistungsverweigerungs- oder Zurückbehaltungsrecht hinsichtlich der datenschutzrechtlichen Pflichten im Hinblick auf die Vergütungszahlung durch den Auftraggeber. Der Auftraggeber hat ihrerseits auch bei bestehenden oder angenommenen Vertragspflichtverletzungen vom Auftragnehmer keine entsprechenden Rechte.

5. Datenschutzrechtliche Leistungsstörungen

Hierzu zählen Sicherheitslücken, durch die Daten an unbefugte Dritte abfließen können. Dies ist insbesondere der Fall bei Nichteinbindung von Sicherheitszertifikaten.

6. Haftung und Schadensersatz

Eine zwischen den Parteien im zugrundeliegenden Vertrag vereinbarte Haftungsregelung gegenüber betroffenen Personen gilt auch für die Auftragsverarbeitung, soweit nicht ausdrücklich anders vereinbart.

Soweit zwingend, gelten im Übrigen die Regelungen des Art. 82 DSGVO.

7. Vergütung

Die Vergütung des Auftragnehmers für Leistungen aus dem zugrunde liegenden Vertrag bzw. Angebot ist abschließend dort geregelt.

8. Schlussbestimmungen

(1) Auf den vorliegenden Vertrag ist ausschließlich deutsches Recht anwendbar.

(2) Als Gerichtsstand wird Leipzig vereinbart.

(3) Sämtliche Änderungen oder Ergänzungen dieser Vertragsbedingungen sind, soweit sie nicht wirksam individualvertraglich getroffen wurden, in Textform zu fassen, § 126 BGB.

Der Auftragnehmer ist jedoch berechtigt, die Leistung unter Berücksichtigung der Interessen des Auftraggebers angemessen zu ändern, z. B. technische Änderungen, insbesondere Verbesserungen durchzuführen, einzelne Teile des Layouts oder der Gestaltung zu verändern etc.

(4) Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder die Wirksamkeit durch einen später eingetretenen Umstand verlieren, bleibt die Wirksamkeit dieses Vertrages im Übrigen unberührt. Anstelle der unwirksamen Vertragsbestimmungen tritt die Regelung, die die Parteien bei sachgerechter Abwägung der beiderseitigen Interessen gewählt hätten, wenn Ihnen die Unwirksamkeit der Regelung bewusst gewesen wäre.

9. Datenschutzerklärung

Zur Erfüllung dieses Vertragsverhältnisses und für die vorvertraglichen Maßnahmen ist die automatische und elektronische Datenverarbeitung nötig. Diese bezieht sich auch auf personenbezogene Daten gemäß Art. 6 Abs. 1 DSGVO. Die jeweils aktuelle Pamyra Datenschutzerklärung wird mit Annahme dieses Angebots Teil der Vertragsbeziehung.