Zum Inhalt springen
Rivadesk Rivadesk.
Kostenlos starten

Rechtliches

Auftragsverarbeitungsvertrag

Dieser Entwurf eines Auftragsverarbeitungsvertrags («AVV») regelt die Verarbeitung personenbezogener Daten durch File system im Auftrag von Geschäftskunden, die den Dienst Rivadesk nutzen, gemäß Artikel 28 der Verordnung (EU) 2016/679 («DSGVO»). Er ist integraler Bestandteil des Dienstvertrags zwischen dem Kunden und File system und gilt, soweit File system personenbezogene Daten als Auftragsverarbeiter im Auftrag des Kunden verarbeitet.

1. Rollen der Parteien, Gegenstand und Dauer

Im Zusammenhang mit im Dienst Rivadesk verarbeiteten personenbezogenen Daten handelt der Kunde als Verantwortlicher und File system als Auftragsverarbeiter. Verarbeitet der Kunde seinerseits Daten im Auftrag Dritter, kann er als Auftragsverarbeiter handeln und File system als Unterauftragsverarbeiter: in diesem Fall gelten diese Bestimmungen entsprechend.

Gegenstand der Verarbeitung ist die Erbringung des Dienstes Rivadesk im Rahmen des Vertrags. Die Dauer der Verarbeitung entspricht der Dauer des Dienstvertrags, vorbehaltlich gesetzlicher Aufbewahrungspflichten und Abschnitt 9 (Löschung und Rückgabe).

2. Art und Zweck der Verarbeitung, Kategorien betroffener Personen und Daten

Art und Zweck der Verarbeitung bestehen in den für die Bereitstellung der vom Kunden angeforderten Funktionen von Rivadesk erforderlichen Vorgängen (z. B. Erhebung, Erfassung, Organisation, Speicherung, Abfrage und Löschung von Daten), ausschließlich gemäß den Weisungen des Verantwortlichen.

Kategorien betroffener Personen und personenbezogener Daten werden vom Kunden je nach Nutzung des Dienstes bestimmt und können beispielsweise umfassen:

• Kategorien betroffener Personen: Nutzer und Mitarbeiter des Kunden, dessen Kunden oder Kontakte sowie andere Personen, deren Daten der Kunde in den Dienst eingibt oder verwaltet;

• Kategorien von Daten: Identifikations- und Kontaktdaten, Konto- und Zugangsdaten, vom Kunden hochgeladene Inhalte und Dokumente, Nutzungsdaten und technische Protokolle, die zur Erbringung des Dienstes erforderlich sind.

Die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) ist kein Zweck des Dienstes; gibt der Kunde solche Daten ein, bleibt er als Verantwortlicher verantwortlich und muss die Rechtsgrundlage prüfen.

3. Dokumentierte Weisungen des Verantwortlichen

File system verarbeitet personenbezogene Daten nur auf Grundlage dokumentierter Weisungen des Verantwortlichen, einschließlich solcher zu Übermittlungen in Drittländer, sofern nicht Unions- oder Mitgliedstaatsrecht etwas anderes vorschreibt; in diesem Fall informiert File system den Verantwortlichen vor der Verarbeitung, sofern das Recht eine solche Information aus wichtigen Gründen des öffentlichen Interesses nicht verbietet. Der Dienstvertrag, die Produktkonfiguration und die technische Dokumentation bilden die anfänglichen dokumentierten Weisungen des Verantwortlichen. File system informiert den Verantwortlichen, wenn es eine Weisung für gegen die DSGVO oder andere anwendbare Datenschutzvorschriften verstoßend hält.

4. Vertraulichkeit befugter Personen

File system stellt sicher, dass Personen, die zur Verarbeitung personenbezogener Daten befugt sind, zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, und dass der Datenzugriff auf Personal beschränkt ist, das ihn zur Erbringung des Dienstes benötigt (Need-to-know-Prinzip).

5. Sicherheitsmaßnahmen (Art. 32 DSGVO)

File system setzt angemessene technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Sicherheitsniveau gemäß Artikel 32 DSGVO zu gewährleisten, unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie Art, Umfang, Kontext und Zwecke der Verarbeitung. Solche Maßnahmen können gegebenenfalls Zugriffskontrolle, Verschlüsselung von Daten bei der Übertragung, Backup- und Wiederherstellungsverfahren, Ereignisprotokollierung und regelmäßige Bewertung der Wirksamkeit umfassen. Aktualisierte Details sind in der dem Kunden zur Verfügung gestellten Sicherheitsdokumentation beschrieben. Der Hosting- und Datenspeicherungsbereich ist in — angegeben.

6. Unterauftragsverarbeiter

Der Verantwortliche genehmigt grundsätzlich, dass File system Unterauftragsverarbeiter (z. B. Hosting- und Infrastrukturanbieter) zur Erbringung des Dienstes einsetzt. File system verpflichtet jeden Unterauftragsverarbeiter vertraglich zu Datenschutzpflichten, die denen dieses Vertrags gleichwertig sind, und haftet dem Verantwortlichen vollständig für die Handlungen seiner Unterauftragsverarbeiter.

Die Liste der Unterauftragsverarbeiter ist, sofern veröffentlicht, unter — verfügbar. File system informiert den Verantwortlichen über Änderungen bei Hinzufügung oder Ersetzung von Unterauftragsverarbeitern und gibt dem Verantwortlichen Gelegenheit, aus berechtigten und angemessenen datenschutzrechtlichen Gründen Widerspruch einzulegen.

7. Unterstützung des Verantwortlichen

Unter Berücksichtigung der Art der Verarbeitung unterstützt File system den Verantwortlichen mit angemessenen technischen und organisatorischen Maßnahmen, soweit möglich, bei:

• Beantwortung von Anträgen zur Ausübung der Betroffenenrechte (Art. 12–23 DSGVO);

• Gewährleistung der Einhaltung der Sicherheitspflichten (Art. 32), Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33) und Mitteilung an betroffene Personen (Art. 34) sowie Datenschutz-Folgenabschätzungen (DSFA, Art. 35) und vorherige Konsultation (Art. 36).

File system informiert den Verantwortlichen unverzüglich, nachdem es von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, die Daten betrifft, die im Auftrag des Verantwortlichen verarbeitet werden, und stellt verfügbare Informationen bereit, damit der Verantwortliche seinen Pflichten nachkommen kann.

8. Übermittlungen außerhalb der EU/des EWR

Jede Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums erfolgt nur, wenn angemessene Garantien gemäß Kapitel V DSGVO bestehen, insbesondere Standardvertragsklauseln (SCC), die von der Europäischen Kommission genehmigt wurden, oder auf Grundlage eines Angemessenheitsbeschlusses oder eines anderen gesetzlich vorgesehenen Mechanismus. Verarbeitungsbereiche sind in — angegeben, konsistent mit der Datenschutzerklärung.

9. Löschung und Rückgabe von Daten

Bei Beendigung des Dienstes löscht oder gibt File system auf Wahl des Verantwortlichen alle im Auftrag verarbeiteten personenbezogenen Daten an den Verantwortlichen zurück und löscht vorhandene Kopien, sofern Unions- oder Mitgliedstaatsrecht keine Aufbewahrung vorschreibt. Methoden und Zeitpunkt der Löschung oder Rückgabe sind in der Dienstdokumentation beschrieben, gemäß dem Grundsatz der Datenminimierung (Art. 5 DSGVO).

10. Audits und Kontrollen

File system stellt dem Verantwortlichen die zur Nachweisführung der Einhaltung der Pflichten aus Artikel 28 DSGVO erforderlichen Informationen zur Verfügung und ermöglicht sowie unterstützt Audit-Aktivitäten, einschließlich Inspektionen, die vom Verantwortlichen oder einer von ihm beauftragten Person durchgeführt werden, unter angemessenen zwischen den Parteien vereinbarten Modalitäten (z. B. Bereitstellung von Dokumentation, Zertifizierungen oder Audit-Berichten Dritter, soweit verfügbar), unter Wahrung der Vertraulichkeit und Sicherheit anderer Kunden.

11. Ausführung, Änderungen und Kontakte

Dieser Entwurf ist eine informative Vorlage und ersetzt keinen unterzeichneten Vertrag: die anwendbare Fassung ist die im Auftrag oder in einem separaten zwischen Kunde und File system geschlossenen Vertrag referenzierte, die bei Widersprüchen Vorrang hat. File system kann diese Vorlage aktualisieren, um regulatorische, technische oder organisatorische Änderungen widerzuspiegeln; die letzte Aktualisierung ist unten angegeben. Letzte Aktualisierung: —.

Zur Ausführung des AVV, für die aktualisierte Liste der Unterauftragsverarbeiter oder für Anfragen zur Datenverarbeitung können Geschäftskunden File system unter allbrand.italia@gmail.com kontaktieren; sofern bestellt, ist der Datenschutzbeauftragte — (allbrand.italia@gmail.com). Betroffene Personen behalten das Recht, Beschwerde bei der zuständigen Aufsichtsbehörde (Garante per la protezione dei dati personali) einzulegen.