Fillsend Datenschutzvereinbarung

im Sinne des Art. 28 Abs. 3 Datenschutzgrundverordnung (DSGVO)

Präambel

Der Auftragnehmer hat vom Auftraggeber die nachfolgend beschriebene Aufgabe übernommen:
a. Erbringung von einzeln beauftragten Logistikleistungen.

Der Auftragnehmer verarbeitet Informationen des Auftraggebers mit dem Charakter von personenbezogenen Daten. Im Rahmen der Leistungserbringung gegenüber dem Auftraggeber nimmt der Auftragnehmer zu diesem Zweck Zugriff auf die personenbezogenen Daten.

Die Parteien schließen daher diese Datenschutzvereinbarung, um die rechtmäßige Verarbeitung von personenbezogenen Daten durch den Auftragnehmer zu gewährleisten. Die Vereinbarung konkretisiert insoweit die datenschutzrechtlichen Verpflichtungen des Auftragnehmers.

Dies vorausgeschickt vereinbaren die Parteien Folgendes:

§ 1 Anwendungsbereich

1.1 Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers zur Erfüllung der ihm aufgrund des Hauptvertrags obliegenden Leistungspflichten.

1.2 Der Auftragnehmer verarbeitet die Daten nach den Regelungen des Hauptvertrags, dieser Vereinbarung und auf dokumentierte Weisung des Auftraggebers hin.

1.3 Ist der Auftragnehmer der Ansicht, eine Weisung des Auftraggebers verstoße gegen die Datenschutzgrundverordnung (DSGVO) oder gegen andere Datenschutzbestimmungen der Europäischen Union oder deren Mitgliedstaaten, wird er den Auftraggeber darauf hinweisen. Der Auftragnehmer ist in diesen Fällen berechtigt, die Durchführung der Weisung auszusetzen, bis der Auftraggeber die Weisung bestätigt oder abändert.

§ 2 Pflichten des Auftraggebers

2.1 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung und die Wahrung der Rechte der Betroffenen verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO). Sollten Dritte gegen den Auftragnehmer aufgrund der Verarbeitung ihrer Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragnehmer von allen solchen Ansprüchen auf erstes Anfordern freistellen.

2.2 Der Auftraggeber ist Inhaber aller etwaigen erforderlichen Rechte, welche die Daten betreffen.

2.3 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung der Daten durch den Auftragnehmer im Rahmen dieser Vereinbarung oder seiner Weisungen feststellt.

§ 3 Pflichten des Auftragnehmers

3.1 Der Auftragnehmer verarbeitet die Daten im Rahmen des Hauptvertrags, dieser Vereinbarung sowie der speziellen Einzelweisungen des Auftraggebers. Er ist nicht berechtigt, die Daten unbefugt an Dritte weiterzugeben. Dies gilt nicht, wenn dies im Einklang mit der Vereinbarung und dem Hauptvertrag geschieht, vom Auftraggeber schriftlich verlangt wird oder aufgrund gesetzlicher oder rechtlicher Anforderungen erforderlich ist. Der Auftragnehmer wird in solchen Fällen, soweit dies das anwendbare Recht zulässt, den Auftraggeber vorab über die beabsichtigte Weitergabe informieren und sich mit diesem abstimmen. Der Auftragnehmer stellt sicher, dass alle Personen, die Zugang zu den Daten haben, diese entsprechend den Weisungen des Auftraggebers verarbeiten.

3.2 Der Auftragnehmer unterstützt den Auftraggeber bei Kontrollen durch die Aufsichtsbehörden im Rahmen des Zumutbaren und Erforderlichen, soweit diese Kontrollen die Datenverarbeitung durch den Auftragnehmer betreffen. Er wird dem Auftraggeber die Informationen zur Verfügung stellen, die dieser benötigt, um nachzuweisen, dass er hinsichtlich dieser Auftragsverarbeitung die Anforderungen des anwendbaren Datenschutzrechts erfüllt hat.

3.3 Der Auftragnehmer unterstützt den Auftraggeber außerdem — unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen — auf Anforderung bei der Einhaltung folgender Pflichten:

  • 3.3.1 Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten,
  • 3.3.2 Meldung der Verletzung des Schutzes personenbezogener Daten an Aufsichtsbehörden und betroffene Personen,
  • 3.3.3 ggf. Durchführung einer Datenschutzfolgenabschätzung, soweit die Datenverarbeitung durch den Auftragnehmer davon betroffen ist,
  • 3.3.4 ggf. Durchführung einer erforderlichen vorherigen Konsultation der Datenschutzbehörde, soweit die Datenverarbeitung durch dem Auftragnehmer davon betroffen ist.

3.4 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm ein Verstoß gegen das Datenschutzrecht im Rahmen seiner Auftragsverarbeitung für den Auftraggeber bekannt wird.

3.5 Der Auftragnehmer verpflichtet die bei der Verarbeitung der Daten beschäftigten Personen auf den vertraulichen Umgang mit den Daten.

3.6 Für die Mitwirkungsleistungen nach Ziffern 3.2 und 3.3 kann der Auftragnehmer eine angemessene Vergütung verlangen. Für die Mitwirkungsleistung nach Ziffer 3.3.2 allerdings nicht, wenn die Verletzung auf seinem Verschulden beruht.

§ 4 Unterauftragsverhältnisse

4.1 Der Auftragnehmer darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung der Daten begründen. Dies gilt insbesondere hinsichtlich der Erbringung von Logistikleistungen.

4.2 Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung eines Unterauftragnehmers oder einen neuen Unterauftragnehmer unterrichten.

4.3 Der Auftragnehmer wird die in dieser Vereinbarung festgelegten Verpflichtungen, einschließlich der Gewährleistung der technischen und organisatorischen Maßnahmen, an seine Unterauftragnehmer weitergeben. Die technischen und organisatorischen Maßnahmen müssen den Anforderungen des anwendbaren Datenschutzrechts entsprechen.

4.4 Der Auftragnehmer wird mit den Unterauftragnehmern eine Vertraulichkeits- bzw. Geheimhaltungsvereinbarung treffen, wenn diese nicht einer gesetzlichen Vertraulichkeits- bzw. Geheimhaltungspflicht unterliegen.

§ 5 Rechte von betroffenen Personen

5.1 Die Rechte betroffener Personen sind gegenüber dem Auftraggeber geltend zu machen.

5.2 Soweit eine betroffene Person ihre Rechte gegenüber dem Auftragnehmer geltend macht, wird dieser das Ersuchen zeitnah an den Auftraggeber weiterleiten.

5.3 Soweit eine betroffene Person ihre Rechte gegenüber dem Auftraggeber geltend macht, wird der Auftragnehmer den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung dieser Ansprüche angemessen und im erforderlichen Umfang unterstützen, wenn der Auftraggeber den Anspruch ohne die Unterstützung des Auftragnehmers nicht erfüllen kann.

5.4 Der Auftragnehmer kann für die Unterstützungshandlungen nach § 5 dieser Vereinbarung eine angemessene Vergütung verlangen.

§ 6 Haftung

6.1 Für die Verletzung von datenschutzrechtlichen Vorschriften und der Regelungen dieser Vereinbarung haftet der Auftragnehmer gegenüber dem Auftraggeber wie im Hauptvertrag vereinbart.

6.2 Sollte der Auftragnehmer aufgrund einer Verletzung von Datenschutzgesetzen durch den Auftraggeber von Dritten in Anspruch genommen werden, stellt der Auftraggeber den Auftragnehmer auf erstes Anfordern von der Haftung frei. Außerdem steht der Auftraggeber dem Auftragnehmer bei der Rechtsverteidigung im erforderlichen Umfang bei und erstattet dem Auftragnehmer alle aus dem Vorfall entstandenen Schäden, einschließlich der angemessenen Kosten einer Rechtsverteidigung.

§ 7 Vertragsdauer und Rückgabe bzw. Löschung der Daten

7.1 Die Vereinbarung tritt mit ihrer Unterzeichnung durch die Parteien in Kraft und läuft auf unbestimmte Zeit. Die Vereinbarung endet mit Beendigung des Dienstleistungsvertrages, der der Datenverarbeitung durch den Auftragnehmer zugrunde liegt.

7.2 Die Parteien werden bei Bedarf angemessene Überleitungsregelungen vereinbaren, um die Ordnungsmäßigkeit der zugrundeliegenden Verarbeitungsprozesse ggf. auch über das Ende des Hauptvertrags hinaus sicherzustellen.

7.3 Dokumentation, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dient, ist durch den Auftragnehmer entsprechend den jeweils maßgeblichen Aufbewahrungsfristen über die Laufzeit der Vereinbarung hinaus aufzubewahren. Gleiches gilt für sonstige Unterlagen, die rechtlichen Aufbewahrungspflichten (z. B. aus dem Steuerrecht) unterliegen.

§ 8 Sonstiges

8.1 Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegen.

8.2 Bei Änderungen der tatsächlichen Ausgestaltung der Leistungsbeziehungen zwischen den Parteien werden die Parteien alle Anlagen entsprechend anpassen und einvernehmlich austauschen. Mit Unterzeichnung der geänderten Anlage durch die Parteien wird diese wirksam und ersetzt insoweit die bislang geltende Anlage.

8.3 Auf die Vereinbarung findet das Recht der Bundesrepublik Deutschland Anwendung. Gerichtsstand für alle Streitigkeiten in Zusammenhang mit dieser Vereinbarung ist Münster.

8.4 Änderungen oder Ergänzungen der Vereinbarung bedürfen der Schriftform. Dies gilt für Änderung oder Aufhebung des vorstehenden Schriftformerfordernisses entsprechend.

8.5 Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der Vereinbarung im Übrigen unberührt. An die Stelle der unwirksamen Bestimmung tritt eine wirksame Regelung, die in ihrem wirtschaftlichen Gehalt der unwirksamen Bestimmung möglichst nahekommt. Entsprechendes gilt im Falle von Regelungslücken.