Über uns
Bewertungen
Über uns
Bewertungen
AnmeldenKostenlos testen

Data Processing Agreement

Data Processing Agreement

 

Die vorliegende Vereinbarung zum Schutz personenbezogener Daten wird zwischen dem Lieferanten, wie nachstehend definiert, und dem Kunden, der diese Vereinbarung akzeptiert, geschlossen. 
Unter „Lieferant” oder „Vertragspartner” versteht man:
MPskin GmbH, mit Sitz in Eppan, 39057, Bozner Str. 40, Steuernummer und Umsatzsteuer-ID IT03102550211;  
und die im Vertrag als Kunde bezeichnete Person (im Folgenden „Kunde“), im Folgenden gemeinsam als „Parteien“ oder einzeln als „Partei“ bezeichnet 

Vorausgeschickt, dass

  • Diese Vereinbarung ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen und der besonderen Bedingungen für Webdienste der MPskin GmbH/srl (im Folgenden „Dienstleistung“ oder „Hauptvertrag“).
  • Diese Vereinbarung beschreibt die spezifischen Pflichten, Aufgaben und Anforderungen für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter.
  • Im Falle von Widersprüchen zwischen diesem Dokument und dem Hauptvertrag hat diese Vereinbarung Vorrang.
  • Jeder Verstoß gegen diese Vereinbarung stellt einen wesentlichen Verstoß gegen den Hauptvertrag dar.
  • Das Kundenunternehmen übernimmt gemäß Art. 4 DSGVO die Rolle des Verantwortlichen für die Verarbeitung personenbezogener Daten und MPskin GmbH die Rolle des Auftragsverarbeiters (im Folgenden „die Parteien“).

Vor diesem Hintergrund und als integraler Bestandteil dieser Vereinbarung vereinbaren die Parteien Folgendes:

1. Genehmigung

Der Datenverantwortliche ermächtigt den Datenverarbeiter, personenbezogene Daten im Rahmen der in der Einleitung genannten Dienstleistung zu verarbeiten. Der für die Verarbeitung personenbezogener Daten Verantwortliche verpflichtet sich, die Daten rechtmäßig, fair und unter vollständiger Einhaltung aller Bestimmungen zur Verarbeitung personenbezogener Daten sowie der folgenden spezifischen Anweisungen zu verarbeiten.
Der Verantwortliche erklärt außerdem, dass er ausreichende Garantien bieten kann, um technische und organisatorische Maßnahmen so umzusetzen, dass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte der betroffenen Personen gewährleistet.

2. Gegenstand

Gegenstand dieser Vereinbarung ist die Festlegung der Methoden und Bedingungen für die Datenverarbeitung, die der Auftragsverarbeiter im Auftrag des Verantwortlichen in Bezug auf den in der Einleitung genannten Dienstleistungsvertrag durchführt. Mit der Unterzeichnung dieser Vereinbarung verpflichten sich die Parteien, die geltenden nationalen oder supranationalen Rechtsvorschriften zum Schutz personenbezogener Daten von natürlichen Personen einzuhalten. Die Parteien erkennen an und akzeptieren, dass jeder Verstoß gegen diese Vereinbarung durch den Auftragsverarbeiter oder den Verantwortlichen einen Verstoß gegen den Dienstleistungsvertrag darstellt und dass in diesem Fall und unbeschadet anderer Rechte oder Rechtsmittel der Verantwortliche oder der Auftragsverarbeiter den Hauptvertrag gemäß den darin enthaltenen Kündigungsbestimmungen mit sofortiger Wirkung kündigen kann. 

3. Laufzeit

Diese Vereinbarung gilt zwischen den Parteien für die gesamte Laufzeit des Dienstleistungsvertrags mit MPskin GmbH und tritt mit der Kündigung oder dem Wunsch des Kunden, den Hauptvertrag zu beenden, außer Kraft.

4. Herkunft der Daten

Der Datenverantwortliche gewährleistet, dass die von dieser Vereinbarung erfassten Daten rechtmäßig und in Übereinstimmung mit den geltenden Rechtsvorschriften erhoben wurden und dass die an den Datenverantwortlichen übermittelten Informationen in keiner Weise die Rechte der betroffenen Personen verletzen.

5. Art und Beschaffenheit der personenbezogenen Daten

Der Auftragsverarbeiter verarbeitet keine anderen personenbezogenen Daten als diejenigen, die für die Erfüllung des Hauptvertrags erforderlich sind, es sei denn, die Verarbeitung ist aufgrund der für den Auftragsverarbeiter geltenden Datenschutzgesetze und -vorschriften erforderlich. Der Verantwortliche weist den Auftragsverarbeiter an, personenbezogene Daten nur in dem Umfang zu verarbeiten, der für die Erbringung der Dienstleistung erforderlich ist, und in Übereinstimmung mit den Bedingungen des Hauptvertrags und dieser Vereinbarung. Die Art der personenbezogenen Daten, die für die Erbringung der Dienstleistung durch MPskin GmbH erforderlich sind, sind neben den Kontaktdaten personenbezogene Daten. Die Art der mit den personenbezogenen Daten durchgeführten Verarbeitungen bezieht sich auf die Wartung, Unterstützung und Aktualisierung der Dienstleistung. Für die Erfüllung des Hauptvertrags stellt der Verantwortliche dem Auftragsverarbeiter alle erforderlichen Informationen zur Verfügung.

6. Personal des Auftragsverarbeiters

Die Datenverarbeitung wird ausschließlich von Mitarbeitern des Auftragsverarbeiters durchgeführt, die zuvor gemäß Art. 29 DSGVO und Art. 2-quaterdecies des Gesetzesdekrets 196/2003 zur Verarbeitung autorisiert und ordnungsgemäß über ihre Pflichten unterrichtet wurden. Der Verantwortliche garantiert, dass das mit der Ausführung des Hauptvertrags betraute Personal über die Vertraulichkeit der vom Verantwortlichen erhaltenen Informationen informiert wurde. Der Auftragsverarbeiter garantiert außerdem, dass der Zugang zu personenbezogenen Daten auf das Personal beschränkt ist, das Zugang zu den relevanten personenbezogenen Daten benötigt, und zwar in dem Umfang, der für die im Hauptvertrag und in dieser Vereinbarung festgelegten Zwecke unbedingt erforderlich ist. 

7. Pflichten des Verantwortlichen

Der mit der Datenverarbeitung im Auftrag des Verantwortlichen beauftragte Auftragsverarbeiter verpflichtet sich, bei der Ausführung des Hauptvertrags die folgenden Pflichten einzuhalten:

7.1 Anweisungen des Verantwortlichen
Der Verantwortliche muss die Daten für die oben angegebenen Zwecke und für die Ausführung der vertraglich vereinbarten Leistungen verarbeiten. Der Auftragsverarbeiter muss die Daten gemäß den Bestimmungen des Art. 32 DSGVO verarbeiten.

7.2 Ort der Datenverarbeitung
Die Daten werden vom Auftragsverarbeiter innerhalb des europäischen Hoheitsgebiets gespeichert und verarbeitet. Sollte die Verarbeitung in Zukunft in Nicht-EU-Ländern erfolgen, wird der Auftragsverarbeiter den Verantwortlichen darüber informieren, um die geeigneten Garantien zu vereinbaren, die dieser je nach Ort der Verarbeitung verlangt. Für den Fall, dass der Auftragsverarbeiter aufgrund der Rechtsvorschriften der Union oder des Herkunftsmitgliedstaats verpflichtet ist, Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss er den Verantwortlichen über diese Verpflichtung informieren, um vor der Übermittlung eine Genehmigung einzuholen. Personenbezogene Daten werden im Auftrag des Verantwortlichen in den folgenden Rechenzentren gespeichert:

   Hetzner Data Center, Am Datacenter-Park 1, 08223 Falkenstein/Vogtland, Deutschland
   Technische Informationen zu Hetzner:  https://www.hetzner.com/unternehmen/rechenzentrum/
   Zertifizierungen Hetzner: https://www.hetzner.com/unternehmen/zertifizierung

   DPA Hetzner:  Download
   Tüf Hetzner Audit: Download
   DPA Subcontractor Serveradmin: Asisto des Stefan Pürgstaller

7.3 Vertraulichkeit
Der Datenverarbeiter garantiert die Vertraulichkeit der im Rahmen der Ausführung des Hauptvertrags verarbeiteten personenbezogenen Daten. Der Datenverarbeiter garantiert, dass sein autorisiertes Personal eine gesetzliche Vertraulichkeitsverpflichtung unterzeichnet hat und dass es die erforderlichen Schulungen im Bereich der Verarbeitung und des Schutzes personenbezogener Daten erhalten hat.

7.4 Sicherheit
Der Datenverantwortliche wird die Datenverarbeitung unter Einhaltung der gemäß Art. 32 DSGVO erforderlichen Maßnahmen vornehmen. Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um die Sicherheit, Vertraulichkeit und Integrität der personenbezogenen Daten zu gewährleisten. Diese Maßnahmen umfassen gegebenenfalls:

  • die Bewertung des angemessenen Sicherheitsniveaus, insbesondere aller Risiken, die mit der Verarbeitung verbunden sind, beispielsweise durch versehentliche oder unrechtmäßige Zerstörung, Verlust oder Veränderung, Speicherung, Zugriff, Übermittlung oder unberechtigten oder unrechtmäßigen Zugriff auf personenbezogene Daten;
  • Die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste dauerhaft zu gewährleisten;
  • die Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls zeitnah wiederherzustellen;
  • ein Verfahren zur Prüfung, Feststellung und regelmäßigen Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten;
  • Maßnahmen zur Ermittlung von Schwachstellen in Bezug auf die Verarbeitung personenbezogener Daten in den Systemen, die zur Erbringung der Dienstleistung für den Verantwortlichen verwendet werden.

Der Auftragsverarbeiter berücksichtigt die Risiken der Verarbeitung personenbezogener Daten, insbesondere um Sicherheitsverletzungen oder andere im Wesentlichen ähnliche Ereignisse im Sinne der Datenschutzgesetze und -vorschriften zu verhindern.

7.5 Information
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Anweisung des Verantwortlichen von der DSGVO oder anderen Datenschutzbestimmungen der Mitgliedstaaten oder anderen geltenden Rechtsvorschriften abweicht.

7.6 Folgenabschätzung und vorherige Konsultation
Der Auftragsverarbeiter leistet dem Verantwortlichen angemessene Unterstützung bei jeder gemäß Artikel 35 der DSGVO erforderlichen Datenschutz-Folgenabschätzung und nach Konsultation einer Aufsichtsbehörde durch den Verantwortlichen gemäß Artikel 36 der DSGVO, in jedem Fall jedoch nur in Bezug auf die Verarbeitung der personenbezogenen Daten des Verantwortlichen durch den Auftragsverarbeiter.

7.7 Verhaltenskodizes
Auf Verlangen des Verantwortlichen muss der Auftragsverarbeiter alle gemäß Artikel 40 der DSGVO genehmigten Verhaltenskodizes einhalten und alle gemäß Artikel 42 der EU-DSGVO genehmigten Zertifizierungen in Bezug auf die Verarbeitung der personenbezogenen Daten des Verantwortlichen einholen.

7.8 Audit
Der Auftragsverarbeiter muss dem Verantwortlichen auf Anfrage alle Informationen zur Verfügung stellen, die erforderlich sind, um die Einhaltung der in dieser Vereinbarung festgelegten Verpflichtungen nachzuweisen, und die vom Verantwortlichen oder einer von ihm benannten Person durchgeführten Auditaktivitäten, einschließlich Inspektionen, an jedem Ort, an dem die Verarbeitung personenbezogener Daten des Verantwortlichen stattfindet, zu ermöglichen und daran mitzuwirken. Jede Audit-Tätigkeit des Verantwortlichen muss mit dem Auftragsverarbeiter abgestimmt werden. Wenn diese Tätigkeiten Kosten und Aufwendungen mit sich bringen, die nicht in dieser Vereinbarung oder im Hauptvertrag vorgesehen sind, müssen alle Anfragen des Verantwortlichen auf Projektebene mit einer Schätzung der für ihre Durchführung erforderlichen Kosten (unabhängig davon, ob es sich um Penetrationstests, Schwachstellenanalysen oder andere Tätigkeiten handelt) bearbeitet werden.

7.9 Rechte der betroffenen Personen
Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich im Rahmen der gesetzlichen Bestimmungen benachrichtigen, wenn er Anfragen von betroffenen Personen bezüglich ihres Rechts auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung („Recht auf Vergessenwerden“ ), auf Datenübertragbarkeit, auf Widerspruch gegen die Verarbeitung oder auf das Recht, nicht einer automatisierten Entscheidungsfindung unterworfen zu werden, oder bei sonstigen Fragen oder Auskunftsersuchen zu den vom Auftragsverarbeiter gemäß den Bestimmungen des Hauptvertrags verarbeiteten personenbezogenen Daten. Auf Verlangen des Verantwortlichen hat der Auftragsverarbeiter den Verantwortlichen bei der Beantwortung der Anfragen der betroffenen Personen zu unterstützen. Unter Berücksichtigung der Art der Verarbeitung hat der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen so weit wie möglich bei der Erfüllung der Verpflichtungen des Verantwortlichen gegenüber den betroffenen Personen gemäß den geltenden Datenschutzgesetzen und -vorschriften zu unterstützen.

8. Kontakte

Zur Ausübung Ihrer Rechte und für jede andere Art der Kommunikation im Zusammenhang mit dem Datenschutz genügt es, eine E-Mail an info@mpskin.com zu schreiben.

9. Unterbeauftragte

Der Auftragsverarbeiter darf nur mit ausdrücklicher schriftlicher Genehmigung des Kunden auf einen anderen Verarbeiter zurückgreifen. Der Auftragsverarbeiter ist in jedem Fall verpflichtet, den Verantwortlichen über die Auswahl, Hinzuziehung oder Ersetzung eines Unterauftragsverarbeiters zu informieren, damit dieser dies beurteilen und gegebenenfalls ablehnen kann. Bevor der Auftragsverarbeiter dem Unterauftragsverarbeiter Zugang zu personenbezogenen Daten gewährt, muss er sicherstellen, dass dieser Unterauftragsverarbeiter durch einen schriftlichen Vertrag oder eine andere Rechtshandlung gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten verpflichtet ist, die gleichen oder strengeren Verpflichtungen hinsichtlich des Schutzes der in diesem Vertrag enthaltenen Daten zu erfüllen. Insbesondere muss der Auftragsverarbeiter im letzteren Fall ausreichende Garantien bieten, dass der Unterauftragsverarbeiter angemessene technische und organisatorische Maßnahmen trifft, um die gesetzlichen Anforderungen zu erfüllen. Der Auftragsverarbeiter haftet für die Handlungen und Unterlassungen aller Unterauftragsverarbeiter.

10. Datenschutzverletzung

Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen bei der Erfüllung der in den Artikeln 32 bis 36 DSGVO festgelegten Pflichten. Der Auftragsverarbeiter muss den Verantwortlichen unverzüglich, spätestens jedoch innerhalb von vierundzwanzig (24) Stunden, nachdem er eine Verletzung des Schutzes personenbezogener Daten festgestellt oder vernünftigerweise vermutet hat, unterrichten. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die dieser benötigt, um seinen Meldepflichten gemäß den geltenden Rechtsvorschriften nachzukommen. Diese Mitteilung muss Folgendes enthalten:

  • die Art der Verletzung des Schutzes personenbezogener Daten, die Kategorien und die Anzahl der betroffenen Personen sowie die Kategorien und die Anzahl der von der Verletzung betroffenen Datensätze beschreiben;
  • das geschätzte Risiko und die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten beschreiben;
  • die getroffenen oder vorgeschlagenen Maßnahmen zur Bewältigung der Verletzung des Schutzes personenbezogener Daten beschreiben.

11. Datenübermittlung

Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen ausschließlich zum Zweck der Erfüllung des Hauptvertrags. Der Auftragsverarbeiter darf die personenbezogenen Daten des Verantwortlichen nicht verarbeiten, übertragen, ändern, berichtigen oder verändern oder an Dritte weitergeben oder deren Weitergabe ermöglichen, es sei denn, dies erfolgt gemäß den dokumentierten Anweisungen des Verantwortlichen oder die Verarbeitung ist erforderlich. der EU und/oder den Gesetzen des Mitgliedstaats, dem der Verarbeiter unterliegt, und/oder allen Rechtsvorschriften, auch supranationalen, denen der Verarbeiter unterliegt. Der Auftragsverarbeiter informiert den Verantwortlichen, soweit dies nach diesen Gesetzen zulässig ist, vor der Verarbeitung personenbezogener Daten über diese gesetzlichen Anforderungen und befolgt die Anweisungen des Verantwortlichen, um den Umfang der Offenlegung so weit wie möglich zu beschränken. 

12. Systemadministratoren

In Bezug auf die vom Datenverantwortlichen ausgeführten Tätigkeiten, mit Bezug auf die Aufbewahrung von Daten und systemische Tätigkeiten zur Wartung und Aktualisierung von Systemen und Datenbanken, wird das dem Datenverantwortlichen zugewiesene Personal mit der Funktion des Systemadministrators betraut. Der Auftragsverarbeiter hat vor der Zuweisung der Funktion die subjektiven Eigenschaften der Systemadministratoren bewertet, um die von ihnen ausgeführten Tätigkeiten zu überprüfen und die entsprechenden Zugriffe auf die Informationssysteme zu registrieren, wie dies in der Bestimmung der italienischen Datenschutzbehörde vom 27.11.2008 vorgesehen und vorgeschrieben ist. Auf Verlangen des Verantwortlichen teilt der Auftragsverarbeiter die aktualisierte Liste der Systemadministratoren mit. 

13. Löschung oder Rückgabe personenbezogener Daten

Der Datenverarbeiter muss bei Beendigung der Erbringung der im Hauptvertrag genannten Dienstleistungen oder bei Rücktritt von diesen alle personenbezogenen Daten, die er erhalten hat, zurückgeben oder löschen und alle vorhandenen digitalen oder papiergebundenen Kopien vernichten. Nach Beendigung des Dienstleistungsvertrags hat der Auftragnehmer dem Auftraggeber alle Dokumente, Verarbeitungs- und Verwendungsergebnisse sowie Daten im Zusammenhang mit dem Vertragsverhältnis, die er erhalten hat, zu übergeben oder mit dessen Zustimmung gemäß den Datenschutzbestimmungen zu vernichten. Der Datenverantwortliche ist sich bewusst, dass er jederzeit selbst die Löschung der Daten veranlassen kann. Aus Gründen der Sicherheit seiner Informationssysteme weist der Auftragsverarbeiter darauf hin, dass die Daten des Datenverantwortlichen für einen Zeitraum von 12 Monaten ab Beendigung des Hauptvertrags auf Sicherungsmedien gespeichert werden, die nach Ablauf dieses Zeitraums überschrieben werden. Der Auftragsverarbeiter darf die Daten darüber hinaus nur in dem Umfang und für den Zeitraum aufbewahren, der nach dem Recht der Union oder des Mitgliedstaats erforderlich ist, und zwar stets unter der Voraussetzung, dass der Auftragsverarbeiter die Vertraulichkeit aller personenbezogenen Daten gewährleistet und garantiert, dass diese ausschließlich für die in den Rechtsvorschriften der Union oder der Mitgliedstaaten festgelegten Zwecke und für keine anderen Zwecke verarbeitet werden.  

14. Kontrollen

Der Datenverantwortliche behält sich das Recht vor, die rechtzeitige Einhaltung der gesetzlichen Bestimmungen über die Verarbeitung der Daten durch den Datenverarbeiter und die Einhaltung seiner in dieser Vereinbarung enthaltenen Anweisungen zu überwachen.

15. Sonstige Vereinbarungen – Gebühren

Für diesen Auftrag werden keine Gebühren erhoben. Wenn der Kunde Unterstützung bei der Beantwortung von Anfragen interessierter Parteien benötigt, erstattet er die entstandenen Kosten entsprechend. Soweit der Kunde Kontrollrechte ausübt, richtet sich die Höhe der im Voraus zu vereinbarenden Vergütung nach einem für den vom Auftragnehmer mit der Unterstützung beauftragten Mitarbeiter festzulegenden Stundensatz. Erteilt der Kunde dem Auftragnehmer Weisungen, so hat der Kunde alle durch diese Weisungen entstandenen Kosten zu erstatten. 

16. Vertragslaufzeit

Dieser Vertrag ist abhängig vom Bestehen eines Hauptvertragsverhältnisses oder vom Bestehen eines aktiven MPskin-Abonnements. Die Kündigung oder sonstige Beendigung des Hauptvertragsverhältnisses oder des Abonnements führt zur gleichzeitigen Beendigung dieses Vertrags. Das Recht zur isolierten und außerordentlichen Kündigung dieses Vertrags und die Ausübung gesetzlicher Widerrufsrechte, die speziell für den Vertrag vorgesehen sind, bleiben unberührt. 

17. Rechtswahl

Es gilt italienisches Recht. 

18. Gerichtsstand

Die Parteien vereinbaren, dass der Gerichtsstand der Gerichtsstand der MPskin GmbH in Bozen/Bolzano oder Italien ist.