Auftragsverarbeitungsvertrag

Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO

zwischen

Kunde (der ein Kundenkonto auf rapidstream.video erstellt)

‐ als Verantwortlicher (Auftraggeber) ‐

und der

konzentrik GmbH
Joachim-Mähl-Straße 7
22459 Hamburg

vertreten durch den Geschäftsführer Herr Mark Schmeiser,

‐ als Auftragsverarbeiter (Auftragnehmer) ‐

§ 1 Präambel

Der Auftraggeber möchte den Auftragnehmer mit den in § 4 genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist. Dem Auftraggeber ist bekannt, dass die konzentrik GmbH das Produkt RapidStream einer Vielzahl von Kunden anbietet. Die Möglichkeit des Auftraggebers, ergänzende Weisungen zu erteilen, die die Dienstleistung der konzentrik GmbH und im Speziellen der Software RapidStream gegenüber anderen Kunden oder Nutzern beeinträchtigt, wird durch diesen Vertrag beschränkt.

§ 2 Begriffsbestimmungen

In diesem Vertrag verwendete Begriffe, die in Art. 4, 9 und 10 DSGVO definiert werden, sind im Sinne dieser gesetzlichen Definition zu verstehen.

§ 3 Angabe der zuständigen Datenschutzaufsichtsbehörde

  1. Zuständige Aufsichtsbehörde für den Auftragnehmer ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Ludwig-Erhard-Str. 22 in 20459 Hamburg.
  2. Die zuständige Aufsichtsbehörde des Auftraggebers ergibt sich aus dem Sitz des Verantwortlichen.

§ 4 Vertragsgegenstand und Laufzeit

  1. Der Auftragnehmer erbringt für den Auftraggeber auf Grundlage des abgeschlossenen Nutzungsvertrags („Hauptvertrag“) Leistungen für die Bereitstellung eines Cloud-Services zur Einbindung von Werbung in Videostreams einschließlich der zugehörigen Wartungs-, Pflege und Supportleistungen. Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag (und der zugehörigen Leistungsbeschreibung). Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Artikeln 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich.
  2. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
  3. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüber hinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
  4. Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standardvertragsklauseln, genehmigte Verhaltensregeln, sowie Rechtsprechung zu Datenübermittlungen in Drittländer).

§ 5 Weisungsrecht und Pflichten des Auftragnehmers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen, des Hauptvertrages und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
  2. Der Auftragnehmer verwendet sämtliche zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
  3. Die weisungsberechtigten Personen im Sinne dieses Vertrages zur Auftragsverarbeitung ergeben sich aus den in der Software als „Administratoren“ hinterlegten Benutzern.
  4. Ist der Auftragnehmer im Zweifel über die Legitimation der Weisung erteilenden Person, erfolgt die Ausführung ausschließlich unter nachstehenden Bedingungen:
    1. Die Weisung hat in Schriftform mit eigenhändiger Unterschrift durch das zur Vertretung berechtigte Vereinsorgan zu erfolgen
    2. Kopie eines offiziellen Ausweisdokuments (nur BPA oder Reisepass) der vertretungsberechtigten Person.
  5. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich mindestens in Textform.
  6. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

§ 6 Art der verarbeiteten Daten, Kreis der Betroffenen

  1. Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf die in Anlage 1 näher spezifizierten personenbezogenen Daten. Im voreingestellten Standardfunktionsumfang werden keine besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verarbeitet. Eine Verarbeitung von Daten nach Art. 9 Abs. 1 DSGVO ist nicht Teil dieser Vereinbarung. Bei der Verarbeitung von Daten, die der Auftraggeber über individuelle Felder in der Software RapidStream erfasst, obliegt die Verantwortung auf Prüfung der Zulässigkeit der Verarbeitung allein beim Auftraggeber.
  2. Der Kreis der von der Datenverarbeitung Betroffenen ist in Anlage 2 dargestellt.

§ 7 Schutzmaßnahmen des Auftragnehmers

  1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
  2. Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DSGVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.
  3. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Die Dokumentation über die technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten kann vom Auftragnehmer als eigenständiges Dokument angefordert werden.
  4. Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im Folgenden Mitarbeitende genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben.
  5. Beim Auftragnehmer ist ein Datenschutzbeauftragter oder ein Ansprechpartner für den Datenschutz (sofern ein Datenschutzbeauftragter nach Art. 37 Abs. 1 DSGVO nicht bestellt werden muss) eingesetzt. Der Ansprechpartner für den Datenschutz kann unter datenschutz@konzentrik.de erreicht werden.

§ 8 Informationspflichten des Auftragnehmers

  1. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich informieren. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
    1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
    2. eine Beschreibung der wahrscheinlichen Folgen der Verletzung und
    3. eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
  2. Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
  3. Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
  4. Der Auftragnehmer unterstützt den Auftraggeber erforderlichenfalls bei der Erfüllung der Pflichten des Auftraggebers nach Art. 33 und 34 DSGVO in angemessener Weise (Art. 28 Abs. 3 S. 2 lit. f DSGVO). Meldungen für den Auftraggeber nach Art. 33 oder 34 DSGVO darf der Auftragnehmer nur nach vorheriger Weisung seitens des Auftraggebers gem. § 5 dieses Vertrags durchführen.
  5. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegen.
  6. Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 7 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.
  7. Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten / Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich durch geeignete Weise mitzuteilen. Grundsätzlich ist eine Aktualisierung auf der Firmenwebsite ausreichend.
  8. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten, sowie bei erforderlichen Datenschutzfolgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DSGVO).

§ 9 Kontrollrechte des Auftraggebers

  1. Der Auftraggeber kann sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers überzeugen. Dies kann entweder durch die Einholung von Auskünften oder die Vorlage von aktuellen Testaten, Berichten oder Berichtsauszügen erfolgen, sofern keine Rechte anderer dadurch verletzt werden. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören. Der Auftraggeber hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung der Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
  2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen Anforderung innerhalb einer angemessenen Frist alle erforderlichen Auskünfte und Nachweise (Art. 32 Abs. 1 lit. d DSGVO) zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
  3. Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
  4. Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung, soweit dadurch nicht die Rechte einer anderen Person eingeschränkt oder gefährdet werden.
  5. Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

§ 10 Anfragen und Rechte Betroffener

  1. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DSGVO.
  2. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber.

§ 11 Haftung

  1. Auftraggeber und Auftragnehmer haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung. Der Auftragnehmer stimmt eine etwaige Erfüllung von Haftungsansprüchen mit dem Auftraggeber ab.
  2. Der Auftragnehmer haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell als Auftragsverarbeiter auferlegten Pflichten aus der DSGVO nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.
  3. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
  4. Sofern vorstehend nicht anders geregelt, entspricht die Haftung im Rahmen dieses Vertrages der des Hauptvertrages.

§ 12 Unterauftragsverhältnisse mit Subunternehmern

  1. Subunternehmer ist, wer unmittelbar an der Auftragsverarbeitung beteiligt ist oder diese durchführt.
  2. Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Bewachungsdienste sowie Wartungs- und Prüfleistungen die die Integrität und Belastbarkeit der Hard- und Software sicherstellen.
  3. Der Auftragnehmer darf im Rahmen des Art. 28 DSGVO darüber entscheiden Unterauftragsverhältnisse einzugehen. Bei einer Untervergabe oder einer Änderung bestehender Unterauftragsverhältnisse erfolgt eine unverzügliche Mitteilung an den Auftraggeber nach Art. 28 Abs. 2 S.2 DSGVO. Der Auftragnehmer teilt dem Auftraggeber Name und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mit. Der Auftragnehmer trägt dafür Sorge, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DSGVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
  4. Im Falle einer Änderung oder neuen Beauftragung eines Subunternehmers im Sinne dieser Regelung, besteht für den Auftraggeber eine Einspruchsfrist von 14 Tagen. Nach Ablauf dieser Frist gilt die Änderung als genehmigt. Im Falle eines Einspruchs und bei Ausbleiben einer anderen Vereinbarung hat der Auftraggeber das Recht, sich bis zum Ende des laufenden Monats vom Hauptvertrag zu lösen.
  5. Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standardvertragsklauseln, genehmigte Verhaltensregeln). Sie bedarf der vorherigen Zustimmung des Auftraggebers. Die Bestimmungen des §4 4) dieses Vertrages gelten ebenso für Subunternehmer. Die Erfüllung hat der Auftragnehmer für Subunternehmer zu jeder Zeit des Vertragsverhältnisses durch entsprechende Überprüfung zu gewährleisten.
  6. Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.
  7. Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DSGVO). Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DSGVO bezüglich seiner Beschäftigten erfüllt hat.
  8. Der Auftragnehmer hat die Einhaltung der Pflichten des/der Subunternehmer(s) zu überprüfen.
  9. Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen zugänglich zu machen. Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.
  10. Zurzeit sind für den Auftragnehmer die in Anlage 3 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.

§ 13 Außerordentliches Kündigungsrecht

Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO oder sonstige anwendbare Datenschutzvorschriften vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer sich den Kontrollrechten des Auftraggebers auf vertragswidrige Weise widersetzt. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

§ 14 Pflicht zur Vertraulichkeit

Beide Vertragspartner verpflichten sich gegenseitig zur Wahrung der Vertraulichkeit aller nicht allgemein bekannten Unterlagen und Informationen, welche sich auf die geschäftliche Sphäre des anderen Partners beziehen und ihnen bei Vorbereitung und Durchführung dieses Vertrages zugänglich werden. Diese Pflicht bleibt, auch nach der Beendigung des Vertragsverhältnisses aufrecht.

§ 15 Entgelte

  1. Soweit der Auftraggeber Unterstützung nach § 10 für die Beantwortung von Anfragen Betroffener benötigt, hat er die hierdurch entstehenden Kosten zu erstatten.
  2. Soweit der Auftraggeber nach § 9 Kontrollrechte ausüben wird, orientiert sich die vorab zu vereinbarende Höhe des Entgelts an einem festzulegenden Stundensatz des für die Betreuung vom Auftragnehmer abgestellten Mitarbeiters.
  3. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen der Auftraggeberin an die Auftragnehmerin entstehen, bleiben unberührt.

§ 16 Beendigung des Hauptvertrags

  1. Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung und soweit sie übergeben wurden, alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – datenschutzkonform löschen. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen.
  2. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.

§ 17 Schlussbestimmungen

  1. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
  2. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
  3. Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Hamburg.

Anlagen

  • Anlage 1 – Beschreibung der besonders schutzbedürftigen Daten/Datenkategorien und der Betroffenen/Betroffenengruppen
  • Anlage 2 – Beauftragte Subunternehmer
  • Anlage 3 – technisch organisatorische Maßnahmen

Anlage 1 - Datenarten und Betroffene

1. Gegenstand und Zweck der Verarbeitung

Die Leistungen aus dem Hauptvertrag umfassen die Bereitstellung eines Cloud-Services zur Einbindung von Werbung in Videostreams einschließlich der zugehörigen Wartungs-, Pflege und Supportleistungen. Dies sind konkret:

  • Verwaltung von Werbeservern und deren Konfiguration
  • Verwaltung von Werberegeln und allgemeinen Einstellungen

2. Art(en) der personenbezogenen Daten mit B2B Kunden

Folgende Datenarten sind Gegenstand der Verarbeitung (Kundenbeziehung):

  • Kundenstammdaten (Firma, Ansprechpartner, Anschrift, Kontaktdaten und Zahlungsdaten)
  • Personenstammdaten (Name, Adresse, Bankdaten)
  • Vertragsstammdaten

Diese Daten werden ausschließlich durch unseren Dienstleister Stripe verwaltet und nur auf deren Servern gespeichert. Der Auftragnehmer erhält nur lesenden Zugriff auf diese, für die Abrechnung notwendigen, Daten.

Der Kreis der Datenverarbeitung beschränkt sich auf:

  • Auftraggeber
  • Mitarbeiter des Auftraggebers

3. Art(en) der personenbezogenen Daten mit Nutzern

Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung (Cloud Service):

  • IP Adresse der Nutzer

Die IP Adresse wird im Rahmen des Prozesses eingelesen, weil sie je nach Konfiguration an die eingebundenen AdServer weitergeleitet wird. Die IP Adresse des Nutzers wird zu keinem Zeitpunkt im System persistiert, sondern lediglich für die Weitergabe an AdServer im flüchtigen Speicher gehalten.

Der Kreis der Datenverarbeitung beschränkt sich auf:

  • Nutzer des Auftraggebers

Anlage 2 - Unterauftragnehmer

Azure

By Microsoft Corporation
One Microsoft Way
Redmond, WA 98052-6399
Auftragsinhalt: Der Auftragnehmer nutzt den Dienstleister zum Hosting der Applikation. Mit dem Subunternehmer wurde ein EU-Standardvertrag geschlossen.

MongoDB, Inc.

1633 Broadway
38th Floor, New York, NY 10019, US
Auftragsinhalt: Der Auftragnehmer nutzt den Dienstleister zur Speicherung von Applikationsdaten. Mit dem Subunternehmer wurde ein EU-Standardvertrag geschlossen.

Clerk

660 King St - Unit 345
San Francisco, CA 94107 US
Auftragsinhalt: Der Auftragnehmer nutzt den Dienstleister zur Gestaltung und Verwaltung der Authentifizierung. Mit dem Subunternehmer wurde ein EU-Standardvertrag geschlossen.

CloudAmqp

By 84codes AB
Torsgatan 26
113 21 Stockholm, Sweden
Auftragsinhalt: Der Auftragnehmer nutzt den Dienstleister zum Verwalten von Ereignissen in der Applikation. Mit dem Subunternehmer wurde ein EU-Standardvertrag geschlossen.

Redis.io

700 E El Camino Real Suite 250
Mountain View, CA 94041
Auftragsinhalt: Der Auftragnehmer nutzt den Dienstleister zur Zwischenspeicherung von Daten zur Performanceverbesserung der Applikation. Mit dem Subunternehmer wurde ein EU-Standardvertrag geschlossen.

Sentry, Inc.

45 Fremont Street 8th Floor
San Francisco, CA 94105
Auftragsinhalt: Der Auftragnehmer nutzt den Dienstleister zur Fehlerverfolgung der Anwendung. Mit dem Subunternehmer wurde ein EU-Standardvertrag geschlossen. In den gespeicherten Daten befinden sich ausschließlich anonymisierte Informationen.

Stripe, Inc.

510 Townsend Street
San Francisco, CA 94103, USA
Auftragsinhalt: Der Auftragnehmer nutzt den Zahlungsdienstleister zur Abwicklung von Zahlungen per Kreditkarte. Mit dem Subunternehmen wurde ein EU-Standardvertrag geschlossen. Stripe verschlüsselt die Daten während des Transfers und auf den Servern. Weitere weitreichende Sicherheitsfeatures werden durch Stripe umgesetzt.

Wasabi

75 Arlington St. - Suite 810
Boston, MA 02116
Auftragsinhalt: Der Auftragnehmer nutzt den Dienstleister zur Speicherung von Nutzungsevents. Mit dem Subunternehmer wurde ein EU-Standardvertrag geschlossen. In den gespeicherten Daten befinden sich ausschließlich anonymisierte Informationen.

Anlage 3 - Technisch organisatorische Maßnahmen

Die im Folgenden beschriebenen technischen und organisatorischen Maßnahmen sind die Datensicherheitsmaßnahmen, die vom Auftragnehmer und gegebenenfalls den Vertragspartnern des Auftragnehmers getroffen wurden, um zu gewährleisten, dass die Sicherheits- und Schutzanforderungen von Art. 32 DSGVO erfüllt sind.

Vertraulichkeit

Vertraulichkeit ist die Eigenschaft, dass personenbezogene Daten unberechtigten Personen, Einheiten oder Prozessen nicht verfügbar gemacht oder enthüllt werden.

Die Datenverarbeitungsanlagen befinden sich nicht im Besitz des Auftragnehmers, sondern bei einer Hosting Firma. Der Zugriff auf die Dienste der Hosting Firma Microsoft Corporation ist nach den gängigen, hohen Anforderungen gesichert, wie verschlüsselte Datenübertragung per SSL, sichere Passwörter, Two-Factor-Authentication. Weitere Informationen zu den Sicherheitsmaßnahmen der Fa. Microsoft Corporation sind unter folgendem Link zu finden: https://learn.microsoft.com/de-de/compliance/

Für die Zahlungsabwicklungen per Kreditkarten wird der Service der Stripe Inc. verwendet. Die Daten sind durch hohe Sicherheitsstandards und Verschlüsselung geschützt. Weitere Informationen zu den Sicherheitsmaßnahmen von Stripe sind unter folgendem Link zu finden: https://stripe.com/docs/security/stripe

Die folgenden Beschreibungen beziehen sich auf den Auftragnehmer:

1) Sicherung der Arbeitsstätte des Auftragsverarbeiters (Zutrittskontrolle)

Die Arbeitsstätte des Auftragsverarbeiters wird in folgender Weise gegen Einbruch und sonstige unbefugte Zutritte gesichert:

  • Manuelles Schließsystem / Türschlösser
  • Alarmanlage
  • Personenkontrolle beim Pförtner / Empfang

2) Sicherung der IT-Systeme des Auftragsverarbeiters (Zugangskontrolle)

Die IT-Systeme des Auftragsverarbeiters werden in folgender Weise gegen unbefugte Zugriffe (z.B. Hackerangriffe) gesichert:

  • Passwortvergabe
  • Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.)
  • Erstellen von Benutzerprofilen in den IT-Systemen
  • Login in die IT-Systeme mit individuellem Benutzernamen und Passwort
  • Zugriffsregeln für Benutzer / Benutzergruppen in den IT-Systemen (Berechtigungskonzept)
  • Verwaltung der Berechtigungen durch Systemadministratoren
  • Anzahl der Systemadministratoren ist auf das „Notwendigste“ reduziert
  • regelmäßige und anlassbezogene Aktualisierung und Überprüfung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.)
  • Einsatz von Anti-Viren-Software
  • Einsatz von Software-Firewall
  • Festplattenverschlüsselung
  • Verschlüsselung mobiler Datenträger (Handys, Laptops etc.)

3) Protokollierung von Datenverarbeitungsprozessen (Eingabekontrolle)

Folgende Maßnahmen stellen sicher, dass der Auftragsverarbeiter jederzeit erkennen kann, welche Datenverarbeitungsprozesse in seinen Datenverarbeitungssystemen stattgefunden haben (z.B. Eingabe, Veränderung, Sperrung oder Löschung):

  • Protokollierung der Aktionen einzelner Nutzer

4) Sichere Löschung von Daten

Folgende Maßnahmen stellen die ordnungsgemäße Löschung der vertragsgegenständlichen Daten sicher:

  • Löschkonzept

5) Datenschutz bei den Subunternehmern des Auftragsverarbeiters

Folgende Maßnahmen stellen sicher, dass sich die vom Auftragsverarbeiter ausgewählten Subunternehmer datenschutzkonform verhalten:

  • Abschluss von DSGVO-konformen Auftragsverarbeitungsverträgen mit dem Subunternehmer

6) Sicherung von Daten bei Transport und Übermittlung (Weitergabekontrolle)

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) vor unbefugten Dritten geschützt werden:

  • Datenleitung per https (Onlinedienste)
  • SSL-Verschlüsselung bei Web Access
  • Verschlüsselung von Notebooks

7) Datensicherung und Backups (Verfügbarkeit und Wiederherstellbarkeit)

Folgende Maßnahmen stellen sicher, dass die vertragsgegenständlichen Daten jederzeit verfügbar sind:

  • Backup- & Wiederherstellungskonzept

8) Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen

Der Auftragsverarbeiter wird die in dieser Anlage beschriebenen technischen und organisatorischen Maßnahmen im Abstand von 12 Monaten und anlassbezogen, prüfen, evaluieren und bei Bedarf anpassen.