Auftragsdatenverarbeitung Webinargeek

Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag beschreibt die Bedingungen für die Verarbeitung personenbezogener Daten. Alle in den allgemeinen Geschäftsbedingungen vonWebinarGeek beschriebenen Begriffsbestimmungen haben, sowohl im Singular als auch im Plural, in diesem Anhang dieselbe Bedeutung wie dort. Für diesen Auftragsverarbeitungsvertrag geltendie allgemeinen Bedingungen von WebinarGeek vollem Umfang.

1. Begriffsbestimmungen

1.1 In diesem Auftragsverarbeitungsvertrag bezieht sich der Begriff „DSGVO“ auf die Datenschutz-Grundverordnung und alle Gesetze und Verordnungen, die sie in Zukunft ersetzen sollten.

1.2 Die in der DSGVO definierten Begriffe haben die gleiche Definition wie in diesem Auftragsverarbeitungsvertrag, sofern hier keine andere Definition angegeben ist.

1.3 Der Kunde gilt als Verantwortlicher im Sinne von Artikel 4 Absatz 7 DSGVO.

1.4 WebinarGeek gilt als Auftragsverarbeiter im Sinne von Artikel 4 Absatz 8 DSGVO.

1.5 Der Begriff „personenbezogene Daten“ bezeichnet personenbezogene Daten, die sich auf den Verantwortlichen oder seine Mitarbeiter, Kunden und/oder andereGeschäftsbeziehungen beziehen.

1.6 Der Begriff „Unterauftragsverarbeiter“ bezeichnet eine juristische oder natürliche Person, die kein Angestellter des Auftragsverarbeiters ist und die vomAuftragsverarbeiter und auf dessen Kosten mit der Verarbeitung personenbezogener Daten im Rahmen der Erbringung von Diensten durch denAuftragsverarbeiter für den Verantwortlichen beauftragt ist oder wird, wobei die beauftragte (juristische) Person personenbezogene Daten erhalten oder Zugang zupersonenbezogenen Daten haben kann.

2. Zwecke der Verarbeitung

2.1 WebinarGeek verpflichtet sich, personenbezogene Daten im Namen des Kunden unter den Bedingungen dieses Auftragsverarbeitungsvertrags zu verarbeiten.

2.2 Die Verarbeitung personenbezogener Daten erfolgt ausschließlich im Rahmen der Durchführung des Vertrages und der damit vernünftigerweise verbundenen Zwecke.WebinarGeek verarbeitet die personenbezogenen Daten zu dem Zweck, dem Kunden die Möglichkeit zu bieten, mit einer intelligenten Software selbständig Webinare zuorganisieren.

2.3 Es ist WebinarGeek nicht gestattet, die personenbezogenen Daten für andere als die vom Kunden festgelegten Zwecke zu verarbeiten DerKunde informiert WebinarGeek über die Verarbeitungszwecke, soweit diese nicht bereits in diesem Auftragsverarbeitungsvertrag genannt sind.WebinarGeek ist es gestattet, Daten in anonymisierter Form zu Qualitätszwecken zu verarbeiten, beispielsweise zur Durchführung statistischer Untersuchungen über die Qualität seiner Dienstleistungen.

2.4 WebinarGeek trifft keine eigenständigen Entscheidungen über die Verarbeitung der personenbezogenen Daten zu anderen Zwecken, einschließlich deren Weitergabe an Dritte und die Dauerder Datenspeicherung. Die Kontrolle über die personenbezogenen Daten, die WebinarGeek im Rahmen dieses Auftragsverarbeitungsvertrags oder anderer Verträgezwischen den Vertragsparteien zur Verfügung gestellt werden, sowie über die Daten, die der Auftragsverarbeiter in diesem Zusammenhang verarbeitet, liegt beimKunden.

2.5 Die von WebinarGeek verarbeiteten personenbezogenen Daten und die Kategorien der betroffenen Personen, auf die sich die Daten beziehen, sind in der Auflistung derpersonenbezogenen Daten im Anhang zum Auftragsverarbeitungsvertrag aufgeführt.

3. Pflichten von WebinarGeek

3.1 WebinarGeek verarbeitet die personenbezogenen Daten ordnungsgemäß und sorgfältig unter Beachtung der Verpflichtungen, die WebinarGeek durch die DSGVO undandere geltende Vorschriften über die Verarbeitung personenbezogener Daten auferlegt werden.

3.2 Die Verpflichtungen von WebinarGeek aus diesem Auftragsverarbeitungsvertrag gelten auch für diejenigen, die personenbezogene Daten unter der Aufsicht vonWebinarGeek verarbeiten, einschließlich Mitarbeitern im weitesten Sinne des Wortes.

3.3 WebinarGeek wird den Kunden bei der Erfüllung seiner Pflichten nach Artikel 32 bis 36 DSGVO unterstützen, wie beispielsweise bei der Durchführung einer Datenschutz-Folgenabschätzung(auch „DPIA“ genannt), sofern dies erforderlich sein sollte. WebinarGeek ist berechtigt, die Zusammenarbeit nach den üblichen Stundensätzen von WebinarGeek in Rechnung stellen.

3.4 WebinarGeek führt gemäß Artikel 30 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten, die WebinarGeek im Rahmen diesesAuftragsverarbeitungsvertrages durchführt.

3.5 WebinarGeek wird den Kunden möglichst umgehend benachrichtigen, sollte seiner Meinung nach eine Verarbeitung oder Anweisung des Kunden gegen die in Absatz 1genannten Vorschriften verstoßen.

4. Übermittlung personenbezogener Daten

4.1 Es ist WebinarGeek erlaubt, die personenbezogenen Daten in Ländern innerhalb und außerhalb des Europäischen Wirtschaftsraums (EWR) zu verarbeiten, sofern dieUnterauftragsverarbeiter in diesen Drittländern ein angemessenes Schutzniveau im Sinne von Kapitel V der DSGVO gewährleisten.

4.2 Der Kunde ermächtigt WebinarGeek hiermit, soweit erforderlich in seinem Namen einen Mustervertrag für die Übermittlung von einem in der Europäischen Union ansässigen Verantwortlichenan einen Auftragsverarbeiter in einem Drittland gemäß dem Beschluss der Kommission vom 5. Februar 2010 (2010/87/EU) abzuschließen.

4.3 WebinarGeek wird den Kunden vor der Verarbeitung außerhalb des EWR darüber informieren, in welches Drittland oder welche Drittländer diepersonenbezogenen Daten übertragen werden, es sei denn, das geltende Recht verbietet eine solche Mitteilung.

5. Verteilung der Verantwortung

5.1 WebinarGeek stellt Software zur Verfügung, die der Kunde selbst für die Speicherung von personenbezogenen Daten nutzen kann. DerKunde gewährleistet, dass eine rechtsgültige Grundlage für die Speicherung von personenbezogenen Daten durch die Software vorhanden ist.

5.2 WebinarGeek ist nur für die Verarbeitung der personenbezogenen Daten im Rahmen dieses Auftragsverarbeitungsvertrags, gemäß den Anweisungen desKunden und unter der ausdrücklichen (End-)Verantwortung des Kunden verantwortlich.

5.3 WebinarGeek stellt dem Kunden verschiedene Instrumente zur Verfügung, um seinen Verpflichtungen aus der DSGVO nachzukommen. So kann der Kunde beispielsweisepersonenbezogene Daten durch die Nutzung der Software anonymisieren und kann WebinarGeek bei der Beantwortung eines Auskunftsersuchens einerbetroffenen Person mitwirken.

5.4 Der Kunde garantiert, dass der Inhalt, die Verwendung und der Auftrag zu Verarbeitungen der personenbezogenen Daten, auf die in diesemAuftragsverarbeitungsvertrag Bezug genommen wird, nicht rechtswidrig sind und keine Rechte Dritter verletzen.

Einschaltung von Unterauftragsverarbeitern

6.1 WebinarGeek ist berechtigt, bei der Verarbeitung personenbezogener Daten Unterauftragsverarbeiter einzuschalten. Der Kunde erteiltWebinarGeek die ausdrückliche Genehmigung, die in der Liste der Unterauftragsverarbeiter aufgeführten Unterauftragsverarbeiter einzuschalten.

6.2 Beabsichtigt WebinarGeek, neue Unterauftragsverarbeiter einzuschalten, die nicht in der Liste der Unterauftragsverarbeiter aufgeführt sind, informiertWebinarGeek den Kunden im Voraus über die Absicht von WebinarGeek, neue Unterauftragsverarbeiter einzuschalten.

6.3 Der Kunde hat das Recht, der Einschaltung Dritter durch WebinarGeek bei Vorliegen eines wichtigen Grundes innerhalb von 14 Tagen schriftlich zu widersprechen. In diesem Fall setzensich die Vertragsparteien zusammen, um eine einvernehmliche Lösung zu finden.

6.4 Können sich die Vertragsparteien nicht über den einzuschaltenden Unterauftragsverarbeiter einigen, ist WebinarGeek berechtigt, denUnterauftragsverarbeiter einzuschalten, und ist der Kunde berechtigt, den Vertrag zu dem Datum zu kündigen, an dem der neueUnterauftragsverarbeiter eingeschaltet wird.

6.5 Widerspricht der Kunde der Einschaltung eines neuen Unterauftragsverarbeiters nicht innerhalb von 14 Tagen nach der Ankündigung, wird davon ausgegangen, dass derKunde der Beauftragung des neuen Unterauftragsverarbeiters zustimmt.

6.6 WebinarGeek stellt sicher, dass Unterauftragsverarbeiter sich schriftlich zu ähnlichen Pflichten verpflichten, wie sie zwischen WebinarGeek und demKunden vereinbart wurden.

6.7 WebinarGeek stellt dem Kunden über die Website eine Liste der eingeschalteten Dritten zur Verfügung. WebinarGeek wird die Liste aufder Website in Übereinstimmung mit diesem Artikel aktualisieren.

7. Sicherheit

7.1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontextes und der Verarbeitungszwecke sowie der unterschiedlichen Risiken für die Rechte und Freiheiten natürlicher Personenim Hinblick auf Wahrscheinlichkeit und Schwere, setzt WebinarGeek geeignete technische und organisatorische Maßnahmen ein, um ein risikoangemessenes Sicherheitsniveau gemäß Artikel 32 DSGVO zu gewährleisten.

7.2 WebinarGeek wird die Informationssicherheitspolitik in regelmäßigen Abständen überprüfen und bei Bedarf anpassen.

7.3 Die Vertragsparteien unterrichten einander unverzüglich über vermeintliche Schwachstellen in der Sicherheit der anderen Vertragspartei.

7.4 Der Kunde stellt WebinarGeek personenbezogene Daten nur dann zur Verfügung, wenn er sich davon überzeugt hat, dass die erforderlichen Sicherheitsmaßnahmen getroffen wurden.

8. Verletzung des Schutzes personenbezogener Daten

8.1 Der Kunde ist jederzeit dafür verantwortlich, eine Verletzung des Schutzes personenbezogener Daten (auch als „Datenschutzverletzung“ bezeichnet) derAufsichtsbehörde und den betroffenen Personen zu melden. Um den Kunden in die Lage zu versetzen, dieser gesetzlichen Verpflichtung nachzukommen, wird WebinarGeek denKunden ohne unangemessene Verzögerung über die Datenschutzverletzung informieren.

8.2 Bei der Meldung einer Datenschutzverletzung an den Kunden wird WebinarGeek, soweit diese Informationen verfügbar sind, dem Kunden injedem Fall die folgenden Informationen zur Verfügung stellen:

  • 8.2.1 die Art der Datenschutzverletzung, soweit möglich mit Angabe der Kategorien und der Anzahl der betroffenen Personen und personenbezogenen Daten, die davon berührt sind;
  • 8.2.2 den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • 8.2.3 die wahrscheinlichen Folgen der Datenschutzverletzung;
  • 8.2.4 die Maßnahmen, die WebinarGeek zur Behebung der Datenschutzverletzung empfiehlt oder getroffen hat, darunter gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligenAuswirkungen inbegriffen.

9. Bearbeitung von Anträgen betroffener Personen

9.1 Stellt eine betroffene Person einen Antrag an WebinarGeek zur Ausübung ihrer gesetzlichen Rechte (gemäß Artikel 15 bis 22 DSGVO), leitet WebinarGeek den Antrag an denKunden weiter. Die weitere Bearbeitung des Antrags obliegt dem Kunden. WebinarGeek ist berechtigt, die betreffende Person darüber zu informieren, dass der Antragan den Kunden weitergeleitet wurde.

9.2 Sollte eine betroffene Person einen Antrag auf Ausübung ihrer gesetzlichen Rechte an den Kunden richten, wird WebinarGeek, sofern der Kunde dies wünscht, beider Erfüllung dieses Antrags mitwirken. Jede Vertragspartei trägt ihre eigenen Kosten.

10. Überprüfung

10.1 Der Kunde hat das Recht, die Einhaltung der Vereinbarungen in diesem Auftragsverarbeitungsvertrag durch einen unabhängigen, zur Vertraulichkeit verpflichteten Prüfer kontrollierenzu lassen.

10.2 Die Überprüfung findet erst statt, nachdem der Kunde die bei WebinarGeek vorliegenden, vergleichbaren, relevanten Prüfungsberichte angefordert, beurteilt und angemessene Argumentefür eine vom Kunden veranlasste Überprüfung vorgelegt hat. Eine Überprüfung ist gerechtfertigt, wenn die vorliegenden Prüfungsberichte keine oder nur unzureichende Informationen über die Einhaltung diesesAuftragsverarbeitungsvertrages oder der DSGVO liefern.

10.3 Die vom Kunden veranlasste Überprüfung findet nur bei einem konkreten und schriftlich dargelegten Verdacht auf Missbrauch personenbezogener Daten statt, frühestens jedoch vierWochen nach vorheriger Ankündigung.

10.4 WebinarGeek wird bei der Überprüfung mitwirken und alle für die Prüfung relevanten Informationen sowie seine Mitarbeiter für die Überprüfung zur Verfügung stellen.

10.5 Die Ergebnisse der durchgeführten Überprüfung werden von den Vertragsparteien in gemeinsamen Gesprächen bewertet. Anschließend werden gegebenenfalls von einer oder beiden Parteien gemeinsam Änderungenvorgenommen.

10.6 Die Kosten der Überprüfung gehen zu Lasten von WebinarGeek, sollte sich herausstellen, dass der Auftragsverarbeitungsvertrag nicht eingehalten wurde, und/oder Fehler in denFeststellungen gefunden werden, die WebinarGeek zuzurechnen sind. In allen anderen Fällen trägt der Kunde seine eigenen Kosten.

Anhang 1: Spezifizierung der personenbezogenen Daten

WebinarGeek verarbeitet unter anderem die folgenden Arten von personenbezogenen Daten im Auftrag des Kunden:

  • Vorname
  • E-Mail-Adresse
  • IP-Adresse
  • Alle personenbezogenen Daten, die WebinarGeek über vom Kunden zu definierende Eingabefelder zur Verfügung gestellt werden

Diese Verarbeitungen beziehen sich auf die folgende Gruppen betroffener Personen:

  • Personen, die an vom Kunden organisierten Webinaren teilnehmen möchten.