Standard Auftragsdatenverarbeitungsvertrag bei Savvii

Das DSGVO-Gesetz schreibt vor, dass ein jeder, der eine Website hosten lässt, die personenbezogene Daten enthält, mit dem Hosting-Provider Vereinbarungen über die Verarbeitung dieser Daten treffen muss und dass diese in einem sogenannten Auftragsdatenverarbeitungsvertrag festgehalten werden müssen. Ein solcher Vertrag umfasst die Rechte und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten.

Wir helfen Ihnen gerne dabei, die Anforderungen der DSGVO-Gesetzgebung zu erfüllen. Aus diesem Grund stellen wir all unseren Kunden einen Auftragsverarbeitungsvertrag zur Verfügung. In diesem Vertrag ist Savvii als Verarbeiter und Sie als Verantwortlicher im Sinne der DSGVO aufgeführt.

Dieser Vertrag tritt nicht standardmäßig in Kraft, Sie müssen dafür explizit Ihre Zustimmung geben. Dies können Sie über das Control Panel tun. Allen Kunden, die noch nicht ihre Zustimmung gegeben haben, wird deshalb im Control Panel diesbezüglich eine Meldung angezeigt. Wenn ein Kollege von Ihnen dem Vertrag bereits zugestimmt hat, brauchen Sie dies nicht mehr zu tun. In diesem Fall wird Ihnen im Control Panel dann auch keine Meldung mehr angezeigt.

Bitte lesen Sie sich in aller Ruhe unseren Auftragsverarbeitungsvertrag durch. Bei Unklarheiten oder Fragen können Sie sich jederzeit an Ihre Account Manager wenden oder mit uns unter info@savvii.com Kontakt aufnehmen.

AUFTRAGSDATENVERARBEITUNGSVERTRAG

Dieser Auftragsdatenverarbeitungsvertrag ist ein Anhang zu dem zwischen Savvii BV, mit Sitz in Nimwegen, Niederlande, und eingetragen bei der niederländischen Handelskammer unter Nummer 58599541, (im Folgenden der „Verarbeiter“) und ihrer Gegenpartei (im Folgenden der „für die Verarbeitung Verantwortliche“) geschlossenen Vertrag über das Hosting von Websites des für die Verarbeitung Verantwortlichen, die Speicherung von Daten des für die Verarbeitung Verantwortlichen in der Cloud, die dazugehörigen Online-Dienste und die Zwecke, die nach vernünftigem Ermessen damit zusammenhängen oder die nach weiterer Zustimmung festgelegt werden (im Folgenden die „Zwecke“).

Artikel 1. Die Auftragsdatenverarbeitungszwecke

1.1       Der Verarbeiter verpflichtet sich, zu den Bedingungen dieses Auftragsverarbeitungsvertrags im Auftrag des für die Verarbeitung Verantwortlichen personenbezogene Daten zu verarbeiten. Die Verarbeitung erfolgt ausschließlich im Rahmen des Hosting von Websites des für die Verarbeitung Verantwortlichen und der dazugehörigen Online-Dienste, der Speicherung von Daten des für die Verarbeitung Verantwortlichen in der „Cloud“ und der dazugehörigen Online-Dienste sowie zu den Zwecken, die nach vernünftigem Ermessen damit zusammenhängen oder nach weiterer Zustimmung festgelegt werden.

1.2       Der Verarbeiter verarbeitet im Auftrag des für die Verarbeitung Verantwortlichen nur die (besonderen) personenbezogenen Daten, die dem Verarbeiter im Rahmen dieses Auftragsdatenverarbeitungsvertrags vom für die Verarbeitung Verantwortlichen zur Verfügung gestellt wurden und danach vom Verarbeiter gehostet werden.

1.3       Der Verarbeiter trifft keine eigenmächtigen Entscheidungen zur Verarbeitung der personenbezogenen Daten zu anderen Zwecken, unter anderem über die Weitergabe an Dritte und die Dauer der Datenspeicherung. Die Verfügungsgewalt über personenbezogene Daten, die dem Verarbeiter im Rahmen dieses Auftragsdatenverarbeitungsvertrags oder sonstiger Verträge zwischen den Parteien bereitgestellt werden, sowie über vom Verarbeiter in diesem Zusammenhang verarbeitete Daten bleibt beim für die Verarbeitung Verantwortlichen.

1.4       Die im Auftrag des für die Verarbeitung Verantwortlichen zu verarbeitenden personenbezogenen Daten bleiben Eigentum des Verantwortlichen und/oder der jeweiligen Betroffenen.

1.5       Der für die Verarbeitung Verantwortliche gewährleistet, dass er ein Register über die in diesem Auftragsdatenverarbeitungsvertrag geregelten Verarbeitungen führt. Der für die Verarbeitung Verantwortliche schützt den Verarbeiter vor sämtlichen Ansprüchen und Forderungen im Zusammenhang mit der mangelnden oder mangelhaften Einhaltung der Registerpflicht.

Artikel 2. Pflichten des Verarbeiters

2.1       Im Hinblick auf die in Artikel 1 aufgeführten Verarbeitungen sorgt der Verarbeiter dafür, dass die geltenden gesetzlichen Vorschriften und Bestimmungen eingehalten werden, unter anderem und auf jeden Fall die gesetzlichen Vorschriften und Bestimmungen zum Schutz personenbezogener Daten, wie die Datenschutz-Grundverordnung.

2.2       Der Verarbeiter informiert den für die Verarbeitung Verantwortlichen auf dessen erste Anfrage über die von ihm getroffenen Maßnahmen hinsichtlich seiner Verpflichtungen im Rahmen dieses Auftragsdatenverarbeitungsvertrags.

2.3       Die Pflichten des Verarbeiters, die sich aus diesem Verarbeitungsvertrag ergeben, gelten auch für diejenigen, die personenbezogene Daten unter Weisung des Verarbeiters verarbeiten, einschließlich, aber nicht beschränkt auf Arbeitnehmer im weitesten Sinne des Wortes.

2.4       Der Verarbeiter unterstützt den für die Verarbeitung Verantwortlichen umfassend, wenn im Rahmen einer Verarbeitung eine Datenschutzfolgenabschätzung (Data Protection Impact Assessment, DPIA) oder eine vorherige Konsultation der Aufsichtsbehörde notwendig sein sollte.

Artikel 3. Weitergabe von personenbezogenen Daten

3.1       Der Verarbeiter darf die Daten in den Ländern der Europäischen Union verarbeiten. Die Weitergabe in Länder außerhalb der Europäischen Union ist ohne vorherige schriftliche Zustimmung des für die Verarbeitung Verantwortlichen verboten.

Artikel 4. Aufteilung der Verantwortung

4.1       Der Verarbeiter stellt für die Verarbeitungen ICT-Mittel bereit, die der für die Verarbeitung Verantwortliche für die vorgenannten Zwecke einsetzen muss. Der Verarbeiter befasst sich selbst nur auf der Grundlage separater Vereinbarungen mit Verarbeitungen.
4.2       Der Verarbeiter ist ausschließlich für die Verarbeitung personenbezogener Daten im Rahmen dieses Auftragsdatenverarbeitungsvertrags gemäß den Anweisungen des für die Verarbeitung Verantwortlichen und unter der ausdrücklichen (obersten) Verantwortung des für die Verarbeitung Verantwortlichen verantwortlich. Für die übrigen Verarbeitungen von personenbezogen Daten, einschließlich, aber nicht beschränkt auf das Sammeln von personenbezogenen Daten durch den für die Verarbeitung Verantwortlichen, Verarbeitungen zu Zwecken, die der für die Verarbeitung Verantwortliche dem Verarbeiter nicht mitgeteilt hat, Verarbeitungen durch Dritte und/oder zu anderen Zwecken, ist der Verarbeiter ausdrücklich nicht verantwortlich.

4.3       Der für die Verarbeitung Verantwortliche gewährleistet, dass der Inhalt, die Nutzung und der Auftrag zu den Verarbeitungen der personenbezogenen Daten im Sinne dieses Vertrags nicht ungesetzlich sind und gegen keinerlei Rechte von Dritten verstoßen.

Artikel 5. Einsetzen von Dritten oder Nachunternehmern

5.1       Der für die Verarbeitung Verantwortliche erteilt dem Verarbeiter hiermit die Genehmigung, zur Verarbeitung von personenbezogenen Daten aufgrund dieses Auftragsdatenverarbeitungsvertrags unter Beachtung der geltenden Datenschutzgesetze Dritte einzusetzen.

5.2       Eine Übersicht über die vom Verarbeiter eingesetzten Dritten ist in Anhang 1 enthalten. Der für die Verarbeitung Verantwortliche ist berechtigt, gegen bestimmte, vom Verarbeiter eingesetzte Dritte Einwände zu erheben. Wenn der für die Verarbeitung Verantwortliche Einwände gegen die vom Verarbeiter eingesetzten Dritten erhebt, halten die Parteien Rücksprache miteinander, um eine Lösung zu finden.

5.3       Der Verarbeiter engagiert sich dafür, dass sich diese Dritten schriftlich zu denselben Pflichten bekennen, die zwischen dem für die Verarbeitung Verantwortlichen und dem Verarbeiter im Hinblick auf die Verarbeitung personenbezogener Daten vereinbart wurden.

Artikel 6. Sicherheit

6.1       Der Verarbeiter ergreift geeignete technische und organisatorische Maßnahmen im Hinblick auf die zu verrichtenden Verarbeitungen personenbezogener Daten, gegen Verlust oder jegliche Form ungesetzlicher Verarbeitung (z.B. nicht autorisierter Zugriff, Beeinträchtigung, Änderung oder Weitergabe der personenbezogenen Daten).

6.2       Der Verarbeiter ergreift auf jeden Fall folgende Maßnahmen:

  • Logische Zugriffsüberwachung unter Verwendung von Passwörtern oder Keys.
  • Physische Maßnahmen zur Zugriffskontrolle.

6.3       Der Verarbeiter kann die Effektivität der Sicherheit nicht unter allen Umständen gewährleisten. Fehlt eine ausdrückliche Beschreibung der Sicherheit im Auftragsdatenverarbeitungsvertrag, bemüht der Verarbeiter sich darum, dass die Sicherheit auf einem Niveau, das angesichts des Stands der Technik, der Sensibilität der personenbezogenen Daten und der mit ihrer Sicherheit verbundenen Kosten nicht unangemessen ist.

6.4       Der für die Verarbeitung Verantwortliche stellt dem Verarbeiter nur personenbezogene Daten zur Verarbeitung zur Verfügung, nachdem er sich vergewissert hat, dass die erforderlichen Sicherheitsmaßnahmen getroffen wurden. Der für die Verarbeitung Verantwortliche ist für die Einhaltung der von den Parteien vereinbarten Maßnahmen verantwortlich.

Artikel 7. Mitteilungspflicht

7.1       Bei einem Datenleck (worunter zu verstehen ist: eine Sicherheitsverletzung, die zur zufälligen oder ungesetzlichen Löschung, dem Verlust, der Änderung oder der unerlaubten Weitergabe oder dem unerlaubten Zugriff auf weitergeleitete, gespeicherte oder anderweitig verarbeitete Daten führt), von dem die personenbezogen Daten der für die Verarbeitung Verantwortlichen betroffen sind, informiert der Verarbeiter den für die Verarbeitung Verantwortlichen unverzüglich, aber spätestens innerhalb von 24 Stunden nach der Entdeckung des Lecks. Anschließend beurteilt der für die Verarbeitung Verantwortliche, ob er den oder die Betroffenen und/oder die zuständige(n) Aufsichtsbehörde(n) informiert oder nicht. Der Verarbeiter achtet nach bestem Wissen und Gewissen darauf, dass die übermittelten Informationen vollständig, korrekt und genau sind. Die Mitteilungspflicht gilt ungeachtet der Auswirkungen des Lecks.

7.2       Wenn die gesetzlichen Vorschriften und Bestimmungen dies vorschreiben, leistet der Verarbeiter Unterstützung bei der Information der in dieser Sache zuständigen Behörden und/oder Betroffenen.

7.3       Die Mitteilungspflicht umfasst auf jeden Fall die Meldung des Umstands, dass ein Leck aufgetreten ist, sowie Folgendes:

  • das Datum, an dem das Leck aufgetreten ist (wenn kein exaktes Datum bekannt ist: der Zeitraum, in dem das Leck aufgetreten ist)
  • die (vermeintliche) Ursache des Lecks
  • das Datum und den Zeitpunkt, zu dem dem Verarbeiter oder einem von ihm eingesetzten Dritten oder Nachunternehmer das Leck bekannt geworden ist
  • den Umstand, ob die Daten durch Verschlüsselung, Hashing oder auf eine andere Weise für Unbefugte unlesbar oder unzugänglich gemacht wurden
  • die geplanten und/oder bereits ergriffenen Maßnahmen zur Schließung des Lecks und zur Einschränkung der Folgen des Lecks
  • Kontaktdaten zur Weiterverfolgung der Mitteilung.

Artikel 8. Rechte der Betroffenen

8.1       Falls eine betroffene Person einen Antrag auf Wahrnehmung ihrer gesetzlichen Rechte an den Verarbeiter stellt, leitet der Verarbeiter den Antrag an den für die Verarbeitung Verantwortlichen weiter und informiert die betroffene Person darüber. Der für die Verarbeitung Verantwortliche bearbeitet den Antrag anschließend selbst.

8.2       Falls eine betroffene Person einen Antrag auf Wahrnehmung ihrer gesetzlichen Rechte an den für die Verarbeitung Verantwortlichen richtet, leistet der Verarbeiter auf Ersuchen des für die Verarbeitung Verantwortlichen Unterstützung, sofern dies möglich und angemessen ist. Der Verarbeiter darf dem für die Verarbeitung Verantwortlichen dafür angemessene Kosten in Rechnung stellen.

Artikel 9. Geheimhaltung und Vertraulichkeit

9.1       Für sämtliche personenbezogenen Daten, die der Verarbeiter vom für die Verarbeitung Verantwortlichen erhält und/oder selbst im Rahmen dieses Auftragsdatenverarbeitungsvertrags sammelt, gilt eine Geheimhaltungspflicht gegenüber Dritten. Der Verarbeiter nutzt diese Informationen ausschließlich zu dem Zweck, zu dem er sie erhalten hat, und zwar auch dann, wenn diese Informationen so bearbeitet wurden, dass sie nicht zu den Betroffenen zurückverfolgt werden können.

9.2       Diese Geheimhaltungspflicht gilt nicht, wenn der für die Verarbeitung Verantwortliche seine ausdrückliche Zustimmung gegeben hat, die Informationen Dritten bereitzustellen, wenn die Bereitstellung der Informationen an Dritte logischerweise aufgrund der Art des erteilten Auftrags und der Umsetzung dieses Auftragsdatenverarbeitungsvertrags notwendig ist oder wenn eine gesetzliche Verpflichtung zur Bereitstellung der Informationen an Dritte besteht.

Artikel 10. Audit

10.1     Der für die Verarbeitung Verantwortliche ist berechtigt, Audits von einem unabhängigen ICT-Experten, der zur Geheimhaltung verpflichtet ist, durchführen zu lassen, um zu überprüfen, ob alle Punkte dieses Auftragsdatenverarbeitungsvertrag  eingehalten werden.

10.2     Dieses Audit findet ausschließlich statt, nachdem der für die Verarbeitung Verantwortliche die beim Verarbeiter vorhandenen entsprechenden Auditberichte angefordert und beurteilt hat und vernünftige Argumente angibt, die ein vom für die Verarbeitung Verantwortlichen in Auftrag gegebenes Audit nachträglich rechtfertigen. Ein solches Audit ist gerechtfertigt, wenn die beim Verarbeiter vorhandenen entsprechenden Auditberichte keinerlei oder unzureichend Aufschluss über die Einhaltung dieses Auftragsdatenverarbeitungsvertrags durch den Verarbeiter bieten. Das vom für die Verarbeitung Verantwortlichen in Auftrag gegebene Audit findet zwei Wochen nach der vorherigen Ankündigung durch den für die Verarbeitung Verantwortlichen, aber höchstens einmal pro Jahr statt.

10.3     Wenn ein Audit stattfindet, müssen alle nach vernünftigem Ermessen relevanten Informationen, einschließlich unterstützender Daten wie System-Logs, und Mitarbeiter möglichst rechtzeitig und innerhalb einer angemessenen Frist bereitgestellt werden, wobei eine Frist von höchstens zwei Wochen als angemessen gilt. Der für die Verarbeitung Verantwortliche sorgt dafür, dass das Audit die übrigen Tätigkeiten des Verarbeiters nach Möglichkeit so wenig wie möglich stört.

10.4     Die aufgrund des Audits gemachten Feststellungen werden von den Parteien gemeinsam beurteilt und entsprechend von einer der Parteien oder von beiden Parteien gemeinsam in die Tat umgesetzt.

10.5     Der für die Verarbeitung Verantwortliche trägt die Kosten des Audits.

Artikel 11. Haftung

11.1     Die Haftung des Verarbeiters für Schäden infolge einer zurechenbaren Verletzung des Auftragsdatenverarbeitungsvertrags, aufgrund einer unerlaubten Handlung oder anderer Ursachen wird ausgeschlossen. Sofern die vorgenannte Haftung nicht ausgeschlossen werden kann, ist sie pro Ereignis (eine Reihe aufeinander folgender Ereignisse gilt als ein Ereignis) auf die Erstattung des direkten Schadens, aber maximal auf den Betrag an Vergütungen beschränkt, die der Verarbeiter für die Tätigkeiten im Rahmen dieses Auftragsdatenverarbeitungsvertrags im Monat vor dem schadenverursachenden Ereignis erhalten hat. Die Haftung des Verarbeiters für direkte Schäden beläuft sich insgesamt nie auf mehr als den Betrag an erhaltenen Vergütungen für die Tätigkeiten im Rahmen des Auftragsdatenverarbeitungsvertrags in den drei Monaten vor dem schadenverursachenden Ereignis.

11.2     Unter direkten Schäden sind ausschließlich alle folgenden Schäden zu verstehen:

  • Schäden an materiellen Sachen („Sachschaden“)
  • angemessene und nachweisbare Kosten zur Anmahnung des Verarbeiters, den Auftragsdatenverarbeitungsvertrag (wieder) angemessen zu erfüllen
  • angemessene Kosten zur Feststellung der Ursache und des Umfangs der Schäden, sofern diese Feststellung sich auf die in diesem Vertrag gemeinten direkten Schäden bezieht, und
  • angemessene und nachweisbare Kosten, die dem für die Verarbeitung Verantwortlichen zur Vermeidung oder Einschränkung der direkten Schäden im Sinne dieses Artikels entstanden sind.

11.3     Die Haftung des Verarbeiters für indirekte Schäden ist ausgeschlossen. Unter indirekten Schäden sind alle Schäden zu verstehen, die keine direkten Schäden sind, und damit auf jeden Fall, aber nicht beschränkt auf Folgeschäden, Gewinnausfall, entgangene Einsparungen, geringeren Goodwill, Schäden durch Betriebsstillstand, Schäden durch nicht festgelegte Marketingzwecke, Schäden im Zusammenhang mit der Verwendung von durch den für die Verarbeitung Verantwortlichen vorgeschriebenen Daten oder Datensätzen oder Verlust, Beschädigung oder Löschung von Daten oder Datensätzen.

11.4     Die in diesem Artikel genannten Haftungsausschlüsse und -beschränkungen entfallen, wenn und soweit der Schaden die Folge vorsätzlicher oder bedingt vorsätzlicher Fahrlässigkeit des Lieferanten ist.

11.5     Wenn eine Erfüllung seitens des Verarbeiters auf Dauer unmöglich ist, entsteht eine Haftung des Verarbeiters wegen einer ihm zurechenbaren Vertragsverletzung erst, wenn der für die Verarbeitung Verantwortliche den Verarbeiter unverzüglich schriftlich in Verzug setzt, wobei ihm eine angemessene Frist zur Behebung der Vertragsverletzung zu setzen ist, und wenn der Verarbeiter auch nach Ablauf dieser Frist in zurechenbarer Weise seine Vertragspflichten weiterhin nicht erfüllt. Die Inverzugsetzung muss eine möglichst vollständige und detaillierte Beschreibung der Vertragsverletzung enthalten, sodass der Verarbeiter angemessen darauf reagieren kann.

11.6     Jegliche Forderung des für die Verarbeitung Verantwortlichen auf Schadensersatz gegenüber dem Verarbeiter, die nicht spezifiziert oder ausdrücklich mitgeteilt wurde, verfällt nach Ablauf von zwölf (12) Monaten ab dem Entstehen der Forderung unwiderruflich.

Artikel 12. Dauer und Beendigung

12.1     Dieser Auftragsdatenverarbeitungsvertrag kommt zustande, sobald der für die Verarbeitung Verantwortliche dem Verarbeiter mitgeteilt hat, dass er den Vertrag akzeptiert, und gilt für die Vertragslaufzeit. Wenn keine Vertragslaufzeit angegeben wurde, gilt der Vertrag für die Dauer der (weiteren) Zusammenarbeit.

12.2     Sobald der Auftragsdatenverarbeitungsvertrag aus welchen Gründen und auf welche Weise auch immer beendet ist, muss der Verarbeiter dem für die Verarbeitung Verantwortlichen alle personenbezogenen Daten, über die er verfügt, und/oder eventuelle Kopien davon zurückgeben oder diese entfernen und/oder löschen.

12.3     Für die Rückgabe der personenbezogenen Daten und/oder eventueller Kopien davon durch den Verarbeiter kann der Verarbeiter dem für die Verarbeitung Verantwortlichen angemessene Kosten in Rechnung stellen.

12.4     Die Parteien dürfen nur im beidseitigen Einvernehmen Änderungen an diesem Vertrag vornehmen.

Artikel 13. Rechtswahlklausel und Streitbeilegung

13.1     Auf den Auftragsdatenverarbeitungsvertrag und dessen Durchführung findet niederländisches Recht Anwendung.

13.2     Sämtliche Streitfälle, die eventuell zwischen den Parteien im Zusammenhang mit dem Auftragsdatenverarbeitungsvertrag entstehen, werden dem zuständigen Gericht in dem Gerichtsbezirk vorgelegt, in dem der Verarbeiter seinen Sitz hat.

13.3     Logs und vom Verarbeiter vorgenommene Messungen gelten als zwingender Beweis, es sei denn, der für die Verarbeitung Verantwortliche liefert einen Gegenbeweis.

Anhang 1: Spezifizierung der eingesetzten Dritten oder Nachunternehmer

Der Verarbeiter setzt im Rahmen von 5.1 des Auftragsdatenverarbeitungsvertrags die folgenden Dritten oder Nachunternehmer ein:

  • RackSpace
  • Linode
  • Amazon Web Services
  • Exoscale
  • DigitalOcean
  • BlogVault