Datenverarbeitungsvereinbarung

Die Datenverarbeitungsvereinbarung können Sie hier herunterladen.

Inhaltsverzeichnis

Nachtrag zur Datenverarbeitung

Dieser Nachtrag zur Datenverarbeitung ist Teil der Vereinbarung zwischen Timewax und dem Kunden. Dieser Nachtrag tritt in Kraft, sobald Timewax und der Kunde einen Vertrag abschließen, und erlischt, wenn dieser Vertrag gekündigt wird.

Alle großgeschriebenen Begriffe, die in diesem Nachtrag nicht definiert wurden, haben die in der Vereinbarung festgelegte Bedeutung. Im Falle eines Konflikts zwischen den Definitionen dieses Nachtrags und der Vereinbarung haben die Definitionen dieses Nachtrags Vorrang und Vorrang.

 

 

1. Definitionen

1.1 Anonymisierung : Unwiderrufliche Anonymisierung personenbezogener Daten, so dass die betroffene Person nicht identifiziert werden kann, indem angemessene Zeit, Kosten und Technologie zur Identifizierung dieser betroffenen Person aufgewendet werden.

1.2 Datenverantwortlicher : die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

1.3 Datenverarbeiter : Eine natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeitet.

1.4 Datenschutzgesetze : DSGVO sowie alle lokalen Datenschutzgesetze.

1.5 Betroffene Person : die identifizierte oder identifizierbare Person, auf die sich personenbezogene Daten beziehen.

1.6 EWR : Europäischer Wirtschaftsraum.

1.7 DSGVO : Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/ 46/EG (Datenschutz-Grundverordnung).

1.8 Persönliche Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren identifiziert werden kann weitere Faktoren, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

1.9 Verstoß gegen den Schutz personenbezogener Daten : ein Verstoß, der zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf die übermittelten, gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten des Kunden führt.

1.10 Verarbeitung: ein Vorgang oder eine Reihe von Vorgängen, die im Zusammenhang mit personenbezogenen Daten oder Sätzen personenbezogener Daten ausgeführt werden, unabhängig davon, ob diese mit oder ohne Hilfe automatisierter Verfahren erfolgen, wie z. B. Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung oder Veränderung, Abfrage, Abfrage, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Zuordnung oder Verknüpfung, Einschränkung, Löschung oder Vernichtung der Daten.

1.11 Pseudonymisierung: die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, um dies sicherzustellen Die personenbezogenen Daten werden keiner identifizierten oder identifizierbaren natürlichen Person zugeordnet.

1.12 Sensible personenbezogene Daten : Personenbezogene Daten, die ihrer Natur nach besonders sensibel im Hinblick auf Grundrechte und Grundfreiheiten sind, verdienen besonderen Schutz, da der Kontext ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten mit sich bringen könnte. Zu diesen personenbezogenen Daten gehören Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben einer natürlichen Person oder sexuelle Orientierung.

1.13 Unterauftragsverarbeiter : jeder Dritte, der von Timewax mit der Verarbeitung personenbezogener Daten des Datenverantwortlichen beauftragt wird.

1.14 Aufsichtsbehörde : eine unabhängige staatliche Behörde, die von einem Mitgliedstaat gemäß Artikel 51 der EU-DSGVO eingerichtet wird.

1.15 Drittland : jedes Land außerhalb des EWR, es sei denn, dieses Land ist Gegenstand einer gültigen Angemessenheitsentscheidung der Europäischen Kommission zum Schutz personenbezogener Daten in Drittländern.

 

 

2. Verarbeitung

2.1 Mit Wirkung vom 25. Mai 2018 verarbeitet Timewax personenbezogene Daten gemäß den DSGVO-Anforderungen, die direkt für die Dienste von Timewax gelten.

2.2 Bei der Verarbeitung personenbezogener Daten auf der Timewax-Infrastruktur geht die Rolle von Timewax nicht über die des Datenverarbeiters hinaus.

2.3 Der Kunde ist der Datenverantwortliche und hat und behält die volle Kontrolle über die personenbezogenen Daten.

2.4 Der Kunde erklärt, dass er – sofern und soweit anwendbar – im Einklang mit der DSGVO handeln und seine Pflichten aus den einschlägigen Rechtsvorschriften einhalten bzw. erfüllen wird.

2.5 Der Kunde garantiert die Rechtmäßigkeit der Nutzung, Verarbeitung, Archivierung, des Zwecks der Nutzung und des Austauschs personenbezogener Daten und/oder jeder anderen Nutzung, die sich beispielsweise aus der Umsetzung dieser Vereinbarung ergibt.

2.6 Timewax verarbeitet die personenbezogenen Daten ordnungsgemäß und sorgfältig und verarbeitet die personenbezogenen Daten nur in Übereinstimmung mit den Bestimmungen dieser Vereinbarung und den im SLA beschriebenen spezifischen Zwecken und Ressourcen.

2.7 Die maximalen personenbezogenen Daten, die die Parteien voraussichtlich verarbeiten, betreffen die Mitarbeiternummer, den Vornamen, den Nachnamen, die E-Mail-Adresse, die Mobiltelefonnummer und das Foto des Mitarbeiters sowie andere Daten, die Benutzer in die Software eingeben möchten.

2.8 Der Kunde erklärt, dass die an Timewax zur Verarbeitung übermittelten personenbezogenen Daten keine sensiblen personenbezogenen Daten enthalten.

2.9 Timewax darf die personenbezogenen Daten nur gemäß den dokumentierten Anweisungen des Kunden verarbeiten, übertragen, modifizieren, ergänzen oder an Dritte weitergeben oder deren Offenlegung gestatten, es sei denn, die Verarbeitung ist nach EU-Recht oder Recht eines Mitgliedstaats erforderlich denen Timewax unterliegt. Timewax wird den Kunden im gesetzlich zulässigen Umfang vor der Verarbeitung der personenbezogenen Daten über diese rechtliche Anforderung informieren und den Anweisungen des Kunden Folge leisten, um den Umfang der Offenlegung so gering wie möglich zu halten.

2.10 Timewax wird die personenbezogenen Daten des Kunden in der Software ausschließlich innerhalb des EWR verarbeiten und die personenbezogenen Daten des Kunden in der Software nicht in einem Drittland verarbeiten oder in ein Drittland übertragen.

 

 

3. Sicherheit

3.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen wird Timewax geeignete technische und technische Maßnahmen ergreifen organisatorische Maßnahmen zur Gewährleistung eines dem Risiko angemessenen Sicherheitsniveaus personenbezogener Daten, einschließlich, aber nicht beschränkt auf:

A. Verschlüsselung;

B. die Fähigkeit, die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten sicherzustellen;

C. die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen;

D. ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

3.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus berücksichtigt Timewax die Risiken, die durch die Verarbeitung entstehen, insbesondere durch versehentliche oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf personenbezogene Daten, die übermittelt, gespeichert oder anderweitig verarbeitet werden.

3.3 Timewax lässt die umgesetzten technischen und organisatorischen Maßnahmen mindestens einmal jährlich von einer unabhängigen Partei überprüfen.

3.4 Wenn der Kunde die Möglichkeit, die personenbezogenen Daten mit einer betroffenen Person zu verknüpfen, weiter ausschließen möchte, kann der Kunde eine Pseudonymisierung auf personenbezogene Daten anwenden, für die der Kunde verantwortlich ist.

3.5 Der Kunde ist für den Prozess der Anonymisierung personenbezogener Daten verantwortlich, den Timewax durch die Bereitstellung einer Funktion in der Software ermöglicht.

3.6 Timewax ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Auftragnehmer oder Unterauftragsverarbeiter sicherzustellen, die möglicherweise Zugriff auf die personenbezogenen Daten des Kunden haben, und stellt in jedem Fall sicher, dass der Zugriff strikt auf diejenigen Personen beschränkt ist, die Zugriff auf die relevanten personenbezogenen Daten benötigen.

3.7 Timewax stellt sicher, dass alle Personen, die zur Verarbeitung der personenbezogenen Daten des Kunden verpflichtet sind:

A. über die Vertraulichkeit der personenbezogenen Daten des Kunden informiert sind und sich der Verpflichtungen von Timewax im Rahmen dieser Vereinbarung in Bezug auf die personenbezogenen Daten des Kunden bewusst sind;

B. eine angemessene Schulung zu ihren Aufgaben erhalten haben;

C. einer Verschwiegenheitsverpflichtung oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterliegen;

D. unterliegen beim Zugriff auf die personenbezogenen Daten des Kunden einer Benutzerauthentifizierung und Anmeldevorgängen gemäß dieser Vereinbarung und den geltenden Datenschutzgesetzen.

 

 

4. Unterverarbeitung

4.1 Der Kunde erkennt an und stimmt zu, dass Timewax Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Zusammenhang mit den Diensten beauftragen kann und dass Timewax von Zeit zu Zeit weitere Dritte als Unterauftragsverarbeiter ernennen kann.

4.2 Eine Liste der Unterauftragsverarbeiter ist auf der Timewax-Supportseite verfügbar. Bevor eine neue Partei als Unterauftragsverarbeiter aktiviert wird, fügt Timewax eine solche Partei zur Liste hinzu. Der Kunde kann Aktualisierungen der Liste per E-Mail abonnieren und dieser Partei innerhalb von vier (4) Wochen nach Erhalt der oben genannten Mitteilung bei Timewax schriftlich widersprechen.

A. Wenn der Kunde begründete Einwände gegen einen Unterauftragsverarbeiter erhebt, muss der Kunde Timewax gegebenenfalls eine schriftliche Beschreibung der wirtschaftlich angemessenen Alternative(n) zu einem solchen Auftrag vorlegen, einschließlich, aber nicht beschränkt auf, Änderungen an den Diensten;

B. Wenn der Kunde der Beauftragung eines Dritten nicht innerhalb von vier (4) Wochen nach Benachrichtigung durch Timewax widerspricht, gilt dieser Dritte als Unterauftragsverarbeiter.

4.3 Timewax stellt durch einen Vertrag oder einen anderen Rechtsakt nach dem Recht der Europäischen Union oder der Mitgliedstaaten der Europäischen Union (einschließlich, aber nicht beschränkt auf genehmigte Verhaltenskodizes und Standardvertragsklauseln) sicher, dass jeder Unterauftragsverarbeiter Verpflichtungen hinsichtlich der Verarbeitung personenbezogener Daten unterliegt Daten, die nicht weniger Schutz bieten als diejenigen, denen Timewax gemäß diesem Nachtrag unterliegt.

4.4 Timewax haftet gegenüber dem Kunden für die Handlungen und Unterlassungen von Unterauftragsverarbeitern im gleichen Umfang, wie Timewax selbst gemäß diesem Nachtrag haften würde, wenn es solche Handlungen oder Unterlassungen begangen hätte.

 

 

5. Rechte der betroffenen Person

5.1 Unter Berücksichtigung der Art der Verarbeitung unterstützt Timewax den Kunden durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, soweit dies möglich ist, um der Verpflichtung des Kunden nachzukommen, auf Anfragen zur Ausübung der Rechte der betroffenen Person gemäß den Bestimmungen zu reagieren DSGVO.

5.2 Timewax benachrichtigt den Kunden unverzüglich, wenn es von einer betroffenen Person eine Anfrage zum Zugriff, zur Berichtigung oder Löschung der personenbezogenen Daten dieser Person erhält oder wenn eine betroffene Person der Verarbeitung dieser Daten widerspricht. Timewax antwortet einer betroffenen Person nicht ohne die vorherige schriftliche Zustimmung des Kunden, außer um zu bestätigen, dass sich die Anfrage auf den Kunden bezieht, womit der Kunde hiermit einverstanden ist.

5.3 Timewax wird auf Wunsch des Kunden kooperieren, um es dem Kunden zu ermöglichen, der Ausübung von Rechten einer betroffenen Person gemäß den Datenschutzgesetzen in Bezug auf personenbezogene Daten nachzukommen und allen Beurteilungen, Anfragen, Mitteilungen oder Untersuchungen gemäß den Datenschutzgesetzen nachzukommen in Bezug auf personenbezogene Daten oder diese Vereinbarung.

 

 

6. Verletzung des Schutzes personenbezogener Daten

6.1 Timewax benachrichtigt den Kunden unverzüglich und in jedem Fall innerhalb von sechsunddreißig (36) Stunden, nachdem Timewax von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt oder einen begründeten Verdacht darauf hat. Eine solche Mitteilung muss mindestens Folgendes umfassen:

A. Beschreiben Sie die Art der Datenschutzverletzung sowie die Kategorien und Anzahl der betroffenen Personen.

B. Geben Sie den Namen und die Kontaktdaten des Datenschutzbeauftragten bei Timewax oder eines anderen relevanten Ansprechpartners an, von dem Sie weitere Informationen erhalten können.

C. Beschreiben Sie das geschätzte Risiko und die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten.

D. Beschreiben Sie die Maßnahmen, die ergriffen wurden oder ergriffen werden sollen, um die Verletzung des Schutzes personenbezogener Daten zu beheben.

6.2 Timewax wird mit dem Kunden zusammenarbeiten und die vom Kunden angewiesenen angemessenen kommerziellen Schritte unternehmen, um bei der Untersuchung, Eindämmung und Behebung jedes Verstoßes gegen den Schutz personenbezogener Daten zu helfen.

6.3 Im Falle einer Verletzung des Schutzes personenbezogener Daten informiert Timewax Dritte nicht, ohne zuvor die schriftliche Zustimmung des Kunden einzuholen, es sei denn, eine Benachrichtigung ist nach dem Recht der EU oder eines Mitgliedstaats erforderlich, dem Timewax unterliegt. In diesem Fall muss Timewax dies tun soweit gesetzlich zulässig, informieren Sie den Kunden über diese rechtliche Anforderung, stellen Sie eine Kopie der vorgeschlagenen Benachrichtigung zur Verfügung und berücksichtigen Sie alle vom Kunden gemachten Kommentare, bevor Sie die Verletzung des Schutzes personenbezogener Daten melden.

6.4 Timewax unterstützt den Kunden angemessen bei etwaigen Datenschutz-Folgenabschätzungen, die gemäß Artikel 35 der DSGVO erforderlich sind, und bei allen vorherigen Konsultationen mit einer Aufsichtsbehörde des Kunden, die gemäß Artikel 36 der DSGVO erforderlich sind, jeweils ausschließlich in Bezug auf zur Verarbeitung der personenbezogenen Daten des Kunden durch Timewax im Namen des Kunden und unter Berücksichtigung der Art der Verarbeitung und der Timewax zur Verfügung stehenden Informationen.

 

 

7. Löschung personenbezogener Daten

7.1 Timewax wird auf Verlangen des Kunden umgehend und in jedem Fall innerhalb von 90 (neunzig) Kalendertagen nach Beendigung der Vereinbarung alle Kopien der von Timewax verarbeiteten personenbezogenen Daten des Kunden sicher löschen oder an den Kunden zurückübertragen, einschließlich alle (Kopien) elektronisch gespeicherter personenbezogener Daten.

7.2 Timewax darf die personenbezogenen Daten des Kunden in dem Umfang aufbewahren, der durch das Recht der Europäischen Union oder eines Mitgliedstaats erforderlich ist, und nur in dem Umfang und für den Zeitraum, der durch das Recht der Europäischen Union oder eines Mitgliedstaats erforderlich ist, und immer unter der Voraussetzung, dass Timewax die Vertraulichkeit gewährleistet alle personenbezogenen Daten des Kunden und stellt sicher, dass die personenbezogenen Daten des Kunden nur verarbeitet werden, wenn dies für die Zwecke erforderlich ist, die im Recht der Europäischen Union oder der Mitgliedstaaten festgelegt sind und ihre Speicherung vorschreiben, und für keinen anderen Zweck.

 

 

8. Haftung

8.1 Der Auftragsverarbeiter haftet gegenüber dem Auftraggeber aus oder im Zusammenhang mit diesem Nachtrag oder aus einem anderen Grund, sofern die Parteien dies in der Vereinbarung vereinbart haben. Die in der Vereinbarung vereinbarte Haftungsbeschränkung bleibt für die in diesem Nachtrag enthaltenen Verpflichtungen in vollem Umfang wirksam, mit der Maßgabe, dass ein und dasselbe Ereignis niemals zu mehreren Schadensersatzansprüchen führen kann.

8.2 Ungeachtet Klausel 8.1 stellt der Auftragsverarbeiter den Kunden von allen Ansprüchen und für alle Schäden und/oder Bußgelder Dritter, einschließlich der niederländischen Datenschutzbehörde oder Einzelpersonen, im Hinblick auf die in der Vereinbarung und diesem Nachtrag festgelegten Verpflichtungen frei.

Mögliche Umsatzsteigerung