Auftragsdatenverarbeitung

Auftragsdatenverarbeitung

Hier können Sie einen Blick in unseren Vereinbarung zur Auftragsdatenverarbeitung werfen.

Die Vereinbarung selbst zum Download finden Sie hier

 

 

 

 

 

Vereinbarung zur Auftragsdatenverarbeitung

 

 

 

Zwischen

 

Ihnen

 

– als Auftraggeber

 

 

 

 

 

Und

 

 

 

 

 

ibe.solutions UG (haftungsbeschränk)

 

vertreten durch den Geschäftsführer Yasar Cakmak

 

Helmholtzstr. 13/14

 

10587 Berlin

 

– als Auftragnehmer – –

 

 

 

 

betreffend

 

 

der Auftragsdatenverarbeitung

 

1. Gegenstand und Dauer
Die Parteien haben einen Vertrag über die Nutzung eines elektronischen Vertriebssystems für Reiseleistungen geschlossen (insgesamt „Vertrag“). Der Auftragnehmer erhebt, verarbeitet oder nutzt („Verarbeitung“) im Auftrag des Auftraggebers als Auftragsdatenverarbeitung für die Leistungserbringung personenbezogene Daten („Daten“) im Sinne Bundesdatenschutzgesetzes (“BDSG”) bzw. als Auftragsverarbeiter im Sinne von Artikel 28 Datenschutz-Grundverordnung (EU) 2016/679 („DS-GVO“). Diese Anlage („Anlage“) enthält Regelungen zu dieser Verarbeitung von Daten im Rahmen des Vertrags. Die Laufzeit dieser Anlage entspricht der Laufzeit/Dauer der Verpflichtungen zur Datenverarbeitung.
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

2. Umfang, Art und Zweck der Verarbeitung, Art der Daten, Kreis der Betroffenen
Die Verarbeitung betrifft die Daten von Kunden des Auftraggebers, die eine Buchungsanfrage durchgeführt und/oder nach Eingabe ihrer Daten sowie der Daten der Reiseteilnehmer eine Buchung abgeschlossen haben.
Als personenbezogene Daten gespeichert werden Anrede, Vorname, Name, Anschrift und Emailadresse des Reiseanmelders, Anrede, Vorname, Name und Geburtsdatum der Reiseteilnehmer.
Die Daten der Kunden des Auftraggebers sowie die Daten der Reiseteilnehmer werden vom Auftraggeber an den Auftragnehmer übermittelt. Der Auftragnehmer führt im Auftrag des Auftraggebers die Verfügbarkeitsabfrage und Buchung der angefragten Reiseleistungen durch.
Der Auftraggeber kann den Auftragnehmer auffordern, für die Auftragsdaten eine Weiterleitung an Drittsysteme (Midofffice-Systeme) einzurichten. Jede Weiterleitung ist vom Auftragnehmer zu dokumentieren.
Die Daten werden vom Auftragnehmer ausschließlich zu dem Zweck verarbeitet, die im Vertrag angegebenen Leistungen zu erbringen. Der Auftragnehmer erlaubt Zugriff auf die Daten nur, soweit dies zur Durchführung des Vertrags erforderlich ist. 

3. Technische und Organisatorische Maßnahmen
Der Auftragnehmer hat den Schutz der Daten durch technische und organisatorische Maßnahmen sicherzustellen, die den Anforderungen des § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG bzw. Artikel 32 DS-GVO genügen. Der Auftragnehmer kann die Maßnahmen in Übereinstimmung mit dem Vertrag erweitern und verbessern. Dies kann zu einer Ablösung bestimmter Maßnahmen durch andere, mindestens genauso effektive Maßnahmen führen, die das gleiche Ziel erreichen. Wesentliche Änderungen sind schriftlich mit dem Auftraggeber zu vereinbaren.

Der Auftragnehmer hat die getroffenen technischen und organisatorischen Maßnahmen und etwaige Änderungen zu dokumentieren und diese auf Verlangen oder soweit dies anderweitig nach dieser Anlage erforderlich ist dem Auftraggeber vorzulegen. 

4. Rechte der Betroffenen
Der Auftragnehmer wird angesichts der Art der Verarbeitung den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in §§ 33 bis 35 BDSG bzw. Kapitel III der DS-GVO (unter Berücksichtigung etwaiger anwendbaren Beschränkungen nach Art. 23 DS-GVO) genannten Rechte der betroffenen Person nachzukommen. Sofern sich ein Betroffener direkt an den Auftragnehmer wendet, hat dieser den Auftraggeber hiervon unverzüglich zu unterrichten und Weisungen des Auftraggebers abzuwarten.

5. Weitere Pflichten des Auftragnehmers
Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.
Der Auftragnehmer hat, soweit gesetzlich erforderlich, einen Beauftragten für den Datenschutz gemäß den jeweils anwendbaren gesetzlichen Voraussetzungen zu bestellen. Die Kontaktdaten sind dem Auftraggeber unverzüglich mitzuteilen, ebenso ein Wechsel des etwa bestellten Datenschutzbeauftragten.

Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung des Datengeheimnisses im Sinne des § 5 BDSG verpflichtet. Für die Ausführung des Vertrags darf der Auftragnehmer nur solche Mitarbeiter seines Unternehmens einsetzen, die vor der Aufnahme ihrer Tätigkeiten über die  Bestimmungen des Datenschutzes belehrt worden und auf das Datengeheimnis i.S.d. § 5 BDSG verpflichtet worden sind. Die Mitarbeiter sind ausreichend zu schulen, um ihre datenschutzrechtlichen und vertraglichen Verpflichtungen einhalten zu können. Der Auftragnehmer hat dies durch geeignete Kontrollen sicherzustellen. Die Maßnahmen und Kontrollen sind vom Auftragnehmer zu dokumentieren und dem Auftraggeber auf Verlangen nachzuweisen.
Der Auftragnehmer hat zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
Der Auftragnehmer hat den Auftraggeber über jegliche Maßnahmen der zuständigen Aufsichtsbehörde in Bezug auf diese Auftragsdatenverarbeitung zu unterrichten. Soweit gesetzlich zulässig wird der Auftragnehmer bei solchen Maßnahmen die Weisungen des Auftraggebers abwarten. Der Auftragnehmer hat den Auftraggeber bei jeglichen Maßnahmen der zuständigen Aufsichtsbehörde gemäß den Weisungen des Auftraggebers zu unterstützen.
Der Auftragnehmer unterstützt den Auftraggeber ab dem 25. Mai 2018 bei der Einhaltung seiner in den Artikeln 32, 35 und 36 DS-GVO genannten Pflichten, jeweils unter Berücksichtigung der Art der Verarbeitung und der dem Auftragnehmer zur Verfügung stehenden Informationen. 

6. Kontrollrechte des Auftraggebers
 Der Auftragnehmer hat dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Anlage niedergelegten Pflichten zur Verfügung zu stellen.
Dem Auftraggeber steht das Recht zu, sich jederzeit bei dem Auftragnehmer über die Einhaltung der datenschutzrechtlichen Vorschriften und der Festlegungen dieser Anlage – auch durch Kontrollen vor Ort – zu überzeugen. Der Auftragnehmer wird dem Auftraggeber zur Durchführung der Auftragskontrolle auf Anforderung die notwendigen Auskünfte erteilen und die Kontrollen unterstützen und dulden. Die Kontrollen dürfen auch durch von dem Auftraggeber beauftragte Dritte durchgeführt werden, wenn dies vorher durch den Auftraggeber angezeigt wird.
Der Auftragnehmer wird auf Wunsch des Auftraggebers die bei dem Auftragnehmer entsprechend dieser Anlage getroffenen technischen und organisatorischen Maßnahmen in dokumentierter Form nachweisen. Zum Nachweis können insbesondere anerkannte Zertifizierungen (beispielsweise eine TÜV-Zertifizierung) verwendet werden. Die Rechte des Auftraggebers zur Durchführung von Kontrollen bleiben unberührt. 

7. Unterrichtung über Datenschutzverstöße
 Unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen hat der Auftragnehmer den Auftraggeber über Verletzungen des Schutzes der nach dieser Anlage verarbeiteten personenbezogenen Daten, über Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten, zu unterrichten, und zwar unverzüglich nachdem ihm die jeweilige Verletzung bekannt wird. Die Unterrichtung soll in der Regel schriftlich erfolgen, außer eine andere Form ist im Einzelfall geboten.
Der Auftragnehmer hat den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Erfüllung einer etwaigen für den Auftraggeber bestehenden Pflicht nach § 42a BDSG (bzw. Art. 33 oder 34 DS-GVO) im erforderlichen Umfang zu unterstützen. 

8. Weitere Pflichten und Rechte sowie Weisungsbefugnis des Auftraggebers
Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
Der Auftragnehmer wird die Daten ausschließlich nach den dokumentierten Weisungen des Auftraggebers verarbeiten, einschließlich der Festlegungen des Vertrags und dieser Anlage, sofern der Auftragnehmer zur Verarbeitung nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist (in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet).
Die Parteien sind sich einig, dass dieser Vertrag einschließlich seiner Anlagen grundsätzlich alle Weisungen des Auftraggebers in Bezug auf die Verarbeitung der unter diese Anlage fallenden personenbezogenen Daten enthält. Besteht ein berechtigtes Interesse des Auftraggebers an der Ergänzung oder Änderung dieser Weisungen (ein solches liegt immer vor, wenn die Ergänzung bzw. Änderung datenschutzrechtlich zwingend erforderlich ist), sind diese gemeinsam abzustimmen und zu dokumentieren.
Sofern eine mündliche Weisung erfolgt, ist diese unverzüglich schriftlich oder per E- Mail (in Textform) durch den Auftragnehmer zu bestätigen.
Die Weisungen sind durch den Auftragnehmer unverzüglich umzusetzen. Andernfalls hat der Auftragnehmer den Auftraggeber unverzüglich schriftlich über den Grund und die voraussichtliche Dauer der Nichtumsetzung zu informieren.
Der Auftragnehmer hat den Auftraggeber unverzüglich schriftlich zu informieren, wenn er der Ansicht ist, dass eine Weisung des Auftraggebers gegen das BDSG oder eine andere Vorschrift über den Datenschutz verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber berechtigterweise bestätigt oder geändert wird.

Weisungsempfänger beim Auftragnehmer sind:

 

Yasar Cakmak, Geschäftsführer
info@ibe.solutions
+49 (0)208 309966-53

 

Für Weisung zu nutzende weitere Kommunikationskanäle:

 

ibe.solutions UG (haftungsbeschränkt)
Helmholtzstr. 13/14
D-10587 Berlin

 

Telefon: +49 (30) 2245 6901
info@travel-it.de

 

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

9. Übermittlung an Drittland oder internationale Organisation(en)
Die Verarbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsland der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („EWR“) statt. Jede Übermittlung in ein Land außerhalb des EWR oder an eine internationale Orga- nisation bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der §§ 4b, 4c BDSG erfüllt sind. Eine Zustimmung ist nicht erforderlich, sofern der Auftragnehmer durch das Recht der Union oder der Mitgliedstaaten, dem er unterliegt, zur Übermittlung verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. 

10. Rückgabe und Löschung der Daten
 Der Auftragnehmer hat die Daten (auch in E-Mails, auf Kommunikationsservern, Clients, Produktionsrechnern sowie alle bei der Verarbeitung entstandenen Zwischendateien und Akten) mit Beendigung dieser Anlage an den Auftraggeber zu übermitteln. Nach Bestätigung des Empfangs durch den Auftraggeber hat der Auftragnehmer die Daten vollständig zu löschen und die Akten fachgerecht zu vernichten. Die Löschung ist dem Auftraggeber schriftlich zu bestätigen. Auf schriftliche Weisung des Auftraggebers hat der Auftragnehmer die Löschung und Vernichtung unmittelbar ohne vorherige Übermittlung der Daten durchzuführen und zu bestätigen; dies kann je nach Vorgabe des Auftraggebers alle oder nur einen Teil der Daten betreffen.

Die Pflicht zur Rückgabe oder Löschung gilt nicht, soweit der Auftragnehmer nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der entsprechenden personenbezogenen Daten hat. Sie dürfen vom Auftragnehmer dann entsprechend der jeweiligen Aufbewahrungsfristen (insbesondere nach Handels- oder Steuerrecht) über das Vertragsende hinaus aufbewahrt werden. Nach Ablauf der jeweiligen Aufbewahrungsfristen sind diese Daten datenschutzgerecht zu vernichten. 

11. Sonstiges
Sofern im Vertrag auf Vorschriften der DS-GVO verwiesen wird, gelten diese ab dem 25. Mai 2018 und lösen die entsprechenden Vorgaben des BDSG ab.
Im Falle einer Kollision von Regelungen aus dem Vertrag mit denen aus dieser Anlage gehen die Regelungen der Anlage vor. Sollten Änderungen an dieser Anlage notwendig sein oder werden, um die Voraussetzungen der DS-GVO oder der diese ergänzenden oder konkretisierenden nationalen Datenschutzvorschriften zu erfüllen, so werden sich die Parteien rechtzeitig auf diese verständigen.