Auftragsverarbeitungsvertrag (AVV) – CARE
Zwischen Auftragsverarbeiter und Verantwortlichem im Sinne der DSGVO. Die englische Fassung (DPA) dient der Information.
zwischen
Intelygence GmbH
Messdorfer Str. 12
53121 Bonn
Deutschland
(nachfolgend „Auftragsverarbeiter“)
und
dem Kunden (nachfolgend „Verantwortlicher“)
1. Gegenstand und Geltungsbereich
(1) Dieser Vertrag regelt die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO.
(2) Der Auftragsverarbeiter erbringt Leistungen im Rahmen der Plattform CARE (Software-as-a-Service).
(3) Dieser AVV ist Bestandteil der AGB und gilt für alle Kunden einheitlich.
2. Gegenstand und Dauer der Verarbeitung
(1) Gegenstand der Verarbeitung ist die strukturierte Erfassung, Speicherung und Analyse von Daten, die durch den Verantwortlichen in CARE eingegeben werden.
(2) Die Verarbeitung erfolgt ausschließlich im Rahmen der Nutzung der Plattform.
(3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.
3. Art und Zweck der Verarbeitung
(1) Die Verarbeitung umfasst insbesondere:
- Speicherung von Daten
- Strukturierung und Organisation
- Analyse und Darstellung
(2) Der Zweck der Verarbeitung ist ausschließlich die Bereitstellung der Plattformfunktionalität.
(3) Eine Nutzung der Daten zu eigenen Zwecken erfolgt nicht.
4. Art der Daten und Kategorien betroffener Personen
(1) Die verarbeiteten Daten werden durch den Verantwortlichen bestimmt und können insbesondere umfassen:
- Namen
- geschäftliche Kontaktdaten
- sonstige Inhalte, die durch den Verantwortlichen eingegeben werden
(2) Betroffene Personen können insbesondere sein:
- Mitarbeiter
- Geschäftspartner
- sonstige durch den Verantwortlichen erfasste Personen
5. Pflichten des Verantwortlichen
(1) Der Verantwortliche ist für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
(2) Der Verantwortliche stellt sicher, dass:
- eine gültige Rechtsgrundlage besteht
- keine unzulässigen Daten verarbeitet werden
- insbesondere keine besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO ohne entsprechende Grundlage verarbeitet werden
(3) Der Verantwortliche bleibt allein verantwortlich für die Inhalte.
6. Weisungsrecht
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen.
(2) Als Weisungen gelten insbesondere die Nutzung der Plattformfunktionen gemäß AGB.
(3) Einzelweisungen außerhalb der Plattform sind ausgeschlossen, soweit sie nicht ausdrücklich vereinbart werden.
7. Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verpflichtet sich:
- Daten nur im Rahmen dieses Vertrags zu verarbeiten
- Vertraulichkeit sicherzustellen
- geeignete technische und organisatorische Maßnahmen (TOM) umzusetzen
(2) Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei:
- Anfragen von betroffenen Personen
- Meldung von Datenschutzverletzungen
(3) Eine darüber hinausgehende Unterstützung erfolgt nicht.
8. Technische und organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter setzt angemessene Maßnahmen um, insbesondere:
- Zugriffskontrolle (Authentifizierung)
- Verschlüsselung (Transport)
- Datensicherung
- Systemüberwachung
- Trennung von Daten
Die Maßnahmen orientieren sich am Stand der Technik.
9. Unterauftragsverarbeiter
(1) Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter (z. B. Hosting-Anbieter) einzusetzen.
(2) Diese werden vertraglich gemäß Art. 28 DSGVO verpflichtet.
(3) Eine aktuelle Liste kann auf Anfrage bereitgestellt werden.
10. Datenübermittlung in Drittländer
(1) Eine Übermittlung in Drittländer erfolgt nur, wenn geeignete Garantien gemäß DSGVO bestehen.
(2) Dies kann insbesondere durch Standardvertragsklauseln erfolgen.
11. Löschung und Rückgabe von Daten
(1) Nach Beendigung des Vertrags werden personenbezogene Daten gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten bestehen.
(2) Eine gesonderte Datenrückgabe erfolgt nicht, sofern sie nicht technisch vorgesehen ist.
12. Kontrolle und Nachweise
(1) Der Auftragsverarbeiter stellt dem Verantwortlichen auf Anfrage Informationen zur Verfügung, die zur Prüfung der Einhaltung dieses Vertrags erforderlich sind.
(2) Vor-Ort-Audits sind ausgeschlossen.
13. Haftung
Es gelten die Haftungsregelungen der AGB.
14. Schlussbestimmungen
(1) Es gilt deutsches Recht.
(2) Änderungen dieses AVV erfolgen einheitlich für alle Kunden.