Vereinbarungen zur Auftragsverarbeitung

Diese Autragsbearbeitungsvereinbarung gilt für jedes geschlossene Abonnement auf eines der Dienste von DifferentLab B.V.

Version: 20 Mei 2018

Vereinbarungen zur Auftragsverarbeitung

  • DifferentLab verarbeitet personenbezogene Daten, unter den Namen ‘PersoneelsSysteem’, ‘HorecaSysteem’, ‘ShiftTime’, ‘ZorgSysteem’, sowie einigen White-Label-Services für und Namens der Kunden, weil der Kunde (direkt oder indirekt) ein Software-Abonnement (Nutzungsvereinbarung) bei DifferentLab hat.
  • Der Service von DifferentLab betrifft eine Standardanwendung mit dem zugehörigen Standarddienst (Software als Dienstleistung), im Folgenden: „die Anwendung“. DifferentLab B.V. hat in diesem Zusammenhang eine Auftragsvereinbarung zu einer Bedingung gemacht und findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
  • DifferentLab ist also im Sinne der allgemeinen Datenschutzverordnung (‘EU-DSGVO’) betrachtet als ‚Auftragnehmer‘ und der Kunde ist verantwortlich für die Verarbeitung von personenbezogenen Daten im Sinne der EU-DSGVO.
  • In dieser Auftragsverarbeitung (im Folgenden ‘Auftragsverarbeitung’) sind die Vereinbarungen zwischen DifferentLab B.V. und seinen Kunden festgelegt hinsichtlich der Handlungen, die DifferentLab B.V als Auftragnehmer von personenbezogenen Daten bei der Erbringung der vereinbarten Dienste ausführt, dh der Nutzung der Anwendung und der zugehörigen Dienste.
  • DifferentLab B.V. (im Folgenden: ‘Auftragnehmer’) und der Kunde (im Folgenden: ‘Auftraggeber’) verpflichten sich, um sich an die allgemeine Datenschutzverordnung (EU-DSGVO) zu halten. Für die Definitionen von Konzepten steht das EU-DSGVO zur Verfügung.

Artikel 1. Art und Zweck der Verarbeitung

  1. Der Auftragnehmer verpflichtet sich, gemäß den Bedingungen dieser Auftragsverarbeitung, im Namen des Auftraggebers, um die vom Auftraggeber eingegebenen persönlichen Daten zu verarbeiten. Der Auftragnehmer verarbeitet nur die vom Auftraggeber eingegebenen persönlichen Daten für und im Auftrag des Auftraggebers und um die Vereinbarung umzusetzen: Die Verarbeitung erfolgt nur für die Verarbeitung von Daten von Mitarbeitern des Auftraggebers und/oder anderer personenbezogener Daten, die vom Auftraggeber in die Anwendung eingegeben werden und damit verbundene (Online-) Dienste sowie die Zwecke, die in einem vernünftigem Zusammenhang stehen oder mit weiterer Zustimmung des Auftraggebers festgelegt werden. Zu den Aktivitäten von Auftragnehmer gehören Anwendungsmanagement im weitesten Sinne (wie z. Bsp.: technische Verwaltung, Datenbankverwaltung, Backups), Hosting, Nachrichtenverkehr und Kundenservicedienste. Für die Verwendung derAnwendung sind folgende personenbezogenen Daten erforderlich:
    – Vor- und Nachname von Personen
    – E-Mail-Adressen von Personen
  2. Innerhalb der Anwendung gibt es verschiedene Möglichkeiten, andere Arten von persönlichen Daten zu erfassen, einschließlich sensibler Daten. Der Auftraggeber ist sich bewusst, dass der Auftragnehmer diese Angaben dann bearbeiten wird. Der Auftraggeber ist selber und ausdrücklich dafür verantwortlich, zu beurteilen, ob der Zweck und die Art der Verarbeitung zu den vom Auftragnehmer (Auftragnehmer) erbrachten Dienstleistungen passen, und die betroffenen Personen zu informieren und die Erlaubnis einzuholen, um diese Daten verarbeitet zu lassen. Für die Verarbeitung personenbezogener Daten, einschließlich, jedoch nicht beschränkt auf die Erhebung personenbezogener Daten durch den Auftraggeber, die Erhebung personenbezogener Daten durch den Auftraggeber, die Verarbeitung zu Zwecken, die der Auftragegeber nicht an den Auftragnehmer übermittelt hat, Verarbeitung durch Dritte und/oder für andere Zwecke als die, für die der Anwendung vorgesehen ist, ist der Auftragnehmer ausdrücklich nicht verantwortlich oder haftbar.
  3. Der Auftraggeber garantiert, dass der Inhalt, die Verwendung und die Anweisungen für die Verarbeitung der personenbezogenen Daten, auf die in diesem Verarbeitungsvertrag Bezug genommen wird, nicht rechtswidrig sind und keine Rechte Dritter verletzt. Der Auftraggeber garantiert, dass die personenbezogenen Daten auf der Basis einer in der EU-DSGVO genannten Grundlage verarbeitet werden dürfen.
  4. Der Auftragnehmer verarbeitet die persönlichen Daten zu keinem anderen Zweck als dem vom Auftraggeber festgelegten Zweck. Der Auftraggeber informiert den Auftragnehmer über die Verarbeitungszwecke, sofern diese nicht bereits in dieser Auftragsverarbeitung erwähnt wurden. Der Auftragnehmer wird keine Daten hinzufügen, ändern oder löschen, ohne dass der Auftraggeber hierfür spezifische Anweisungen gegeben hat. Diese Anweisung kann über eine Anfrage oder über die Anwendung erteilt werden.
  5. Der Auftragnehmer sammelt anonyme Daten über die Verwendung der Anwendung (Software). Die anonymisierten Daten werden nur zur Verbesserung der Anwendung verwendet. Der Auftragnehmer verwendet die gesammelten Statistiken nicht für kommerzielle Zwecke.
  6. Die personenbezogenen Daten, die auf Anweisung des Auftraggebers verarbeitet werden sollen, bleiben Eigentum des Auftraggebers und/oder der betroffenen Personen.

Artikel 2. Verpflichtungen Auftragnehmer

  1. Bei den in Artikel 1 genannten Verarbeitungen gewährleitet der Auftragnehmer, dass die anwendbaren Gesetze und Bestimmungen, einschließlich der Gesetze und Bestimmungen zum Schutz personenbezogener Daten, unter Beachtung der Bestimmungen dieser Auftragsverarbeitung eingehalten werden.
  2. Der Auftragsnehmer hat keinen Einfluss auf den Zweck und die Mittel der Verarbeitung und ist daher nicht befugt, über die Verwendung der personenbezogenen Daten, die Weitergabe personenbezogener Daten an Dritte und die Dauer der Speicherung der personenbezogenen Daten zu entscheiden. Der Auftragnehmer wird die Daten nicht an Dritte weitergeben oder für andere Zwecke verarbeiten, sofern dies nicht gesetzlich vorgeschrieben ist.
  3. Der Auftragesnehmer wird den Auftrageber über die Maßnahmen unterrichten, die er hinsichtlich seiner Verpflichtungen aus diesem Verarbeitervertrag getroffen hat, bei der ersten Anfrage.
  4. Die Pflichten des Auftragnehmers, die sich aus dieser Auftragsvereinbarung ergeben, gelten auch für diejenigen, die personenbezogene Daten unter der Aufsicht des Auftragnehmers verarbeiten, einschließlich, jedoch nicht beschränkt auf Mitarbeiter, im weitesten Sinne des Wortes.

Artikel 3. Weitergabe personenbezogener Daten

  1. Der Auftragnehmer ist nur berechtigt, nachdem er ausreichende rechtliche/vertragliche Maßnahmen getroffen hat, um personenbezogene Daten in einem Land außerhalb der Europäischen Union zu verarbeiten oder verarbeiten zu lassen. Der Auftragnehmer wird nur Dritte beauftragen, die nachweislich vollständig und ausnahmslos die EU-DSGVO und andere anwendbare Gesetze und Bestimmungen einhalten. Dem Auftragnehmer ist es nicht gestattet, Daten in einem Drittland,außerhalb des Europäischen Wirtschaftsraums (EWR) zu verarbeiten, wenn dieses Land kein angemessenes Schutzniveau im Sinne des EU-DSGVO bietet.
  2. Der Auftragnehmer verwendet Dritte nur dann als Subunternehmen, wenn diese auch an ähnliche Bestimmungen handhabt wie in dieser Auftragsverarbeitung. Auf jeden Fall stellt der Auftragnehmer sicher, dass sich der Dritte die Anweisungen des Auftraggebers und die Geheimhaltung einhält und die erforderlichen Sicherheitsmaßnahmen in Bezug auf die Datenverarbeitung trifft.
  3. Der Auftragnehmer führt eine Liste der aktiven Subunternehmen. (Passwort auf Anfrage)
  4. Der Auftragnehmer wird keine neuen Daten verarbeiten lassen, ohne dies dem Kunden mitzuteilen. Der Auftraggeber kann beim Auftragnehmer Einspruch einlegen gegen ein Subunternehmen. Der Autragsnehmer wird diese Einspruch auf Vorstandsebene behandeln. Wenn der Auftragnehmer trotzdem möchte, dass Daten vom neuen Subunternehmer verarbeitet werden, hat der Auftraggeber die Möglichkeit, die Benutzervereinbarung für die Anwendung sofort zu beenden.

Artikel 4. Sicherheit

  1. Der Auftragenehmer wird sich bemühen, um ausreichende technische und organisatorische Maßnahmen in Bezug auf die Verarbeitung personenbezogener Daten gegen Verlust oder gegen jegliche Form von rechtswidriger Verarbeitung (z. Bsp.: unbefugter Zugriff, Verletzung, Änderung oder Bereitstellung von personenbezogenen Daten) zu ergreifen.
  2. Die autorisierten Verarbeitungen werden von Mitarbeitern des Auftragnehmers in einer automatisierten Umgebung durchgeführt.
  3. Der Auftragnehmer stellt jederzeit sicher, dass :
    i. Unbefugte Personen und Mitarbeiter von Auftragnehmer, die nicht von Auftragnehmer als Personen für die Verarbeitung personenbezogener Daten (zusammenfassend als „unbefugte Personen“ bezeichnet) benannt wurden, haben keinen Zugriff auf die Ausrüstung, die für die Verarbeitung personenbezogener Daten erforderlich ist;
    ii. Nicht autorisierte Personen, die Ausrüstungen (Systeme) und andere Träger von persönlichen Daten nicht lesen, kopieren, ändern oder löschen können/werden;
    iii. Unbefugte Personen werden die Systeme, mit denen die personenbezogenen Daten mittels Datenübertragungseinrichtungen verarbeitet werden, nicht nutzen;
    iv. Der Auftragsnehmer anschließend prüfen und feststellen kann, an welche personenbezogenen Daten des Empfängers Daten übermittelt oder bereitgestellt wurden.Der Auftragnehmer hat auf jeden Fall die folgenden Maßnahmen ergriffen:

        • Logische Zugriffskontrolle auf die Anwendung im Allgemeinen durch Passwörter. Wenn dies im Konto feingesteltl wurde, ist die Multi-Faktor-Authentifizierung für (alle) Benutzer möglich, wie vom Auftraggeber in der Anwendung angestellt.
        • Verschlüsselung von Passwörtern.
        • Eingeschränkter (digitaler) Zugriff der Mitarbeiter des Auftragnehmers auf die Server (Datenbank), auf denen die persönlichen Daten gespeichert sind. Ein physischer Zugriff durch Mitarbeiter des Auftragnehmers ist nicht möglich.
        • Gesicherte Kommunikation mit dem Server (HTTPS/SSL).
        • Die Systeme werden mit dem Prinzip der “Least privilege principe” installiert. Mitarbeiter (mit Ausnahme von Administratoren) des Auftragnehmers haben erst nach ausdrücklicher Zustimmung des Auftraggebers (definiert in der Anwendung) und dann nur im Rahmen von Management- und Helpdesk-Diensten Zugriff auf die personenbezogenen Daten. Der Zugriff auf die personenbezogenen Daten ist ohne Zustimmung des Auftraggebers nur bei notwendiger technischer Verwaltung oder Fehlfunktionen bei der Protokollierung des Zugriffs zulässig.
        • Verschiedene Antiviren- und Anti-Malware-Maßnahmen.
        • Warnmechanismen basierend auf verdächtigen Protokollereignissen.
        • Scans/Base-lining auf bekannte Schwachstellen.
        • Richtlinien im Sicherheits-Patches und Software-Updates regelmäßig zu veröffentlichen.
        • Anwendungs- und Serverhärtung.

      Diese Maßnahmen gewährleisten, unter Berücksichtigung des Standes der Technik und der Kosten der Implementierung, ein angemessenes Sicherheitsniveau im Hinblick auf die mit der Verarbeitung verbundenen Risiken und die Art der zu schützenden Daten.

    • Der Auftraggeber stellt dem Auftragnehmer nur dann personenbezogene Daten zur Verarbeitung zur Verfügung, wenn er sichergestellt hat, dass die erforderlichen Sicherheitsmaßnahmen getroffen wurden. Die verantwortliche Partei ist für die Einhaltung der von den Parteien vereinbarten Maßnahmen verantwortlich.
    • Der Auftragnehmer hat die von ihm getroffenen Sicherheitsmaßnahmen in seinen Sicherheitsrichtlinien näher beschrieben.

Artikel 5. Betroffenenrechte

  1. Für den Fall, dass eine betroffene Person eine Anfrage zur Überprüfung oder Verbesserung, Ergänzung, Änderung, Löschung oder Sperrung und/oder Einschränkung der Verarbeitung, wie in der EU-DSGVO bezeichnet, an den Autragnehmer sendet, wird der Autragnehmer die Anfrage nicht selber bearbeiten, sondern den Auftraggeber informieren. Der Auftraggeber entscheidet, ob und wie die Anfrage bearbeitet wird. Der Auftragnehmer gibt dem Auftraggeber immer die Möglichkeit, den gesetzlichen Verpflichtungen und Fristen nachzukommen, die im Rahmen der EU-DSGVO festgelegt sind.
  2. Der Auftragnehmer kann die Kosten für die Bearbeitung der Anfrage an den Auftraggeber weiterberechnen.

Artikel 6. Geheimhaltung und Meldepflicht von Datenlecks

  1. Alle personenbezogenen Daten, die Auftragenehmer vom Auftraggeber im Zusammenhang mit dieser Verarbeitungsvereinbarung erhält, unterliegen der Geheimhaltungspflicht gegenüber Dritten. Der Verarbeiter darf diese Informationen zu keinem anderen Zweck als zu dem Zweck verwenden, zu dem diese erlangt wurde, selbst wenn er in eine solche Form gebracht wurde, dass er nicht auf die betroffenen Personen zurückzuführen ist.
  2. Personen, die beim Auftragnehmer beschäftigt sind oder für diesen tätig sind, sowie der Auftragnehmer selbst sind zur Geheimhaltung der (persönlichen) Daten verpflichtet, die sie zur Kenntnis nehmen können. Diese Personen haben eine Geheimhaltungsvereinbarung unterzeichnet.
  3. Diese Geheimhaltungsverpflichtung gilt nicht, wenn der Auftraggeber ausdrücklich die Erlaubnis erteilt hat, Informationen an Dritte weiterzugeben, und wenn die Übermittlung der Informationen an Dritte aufgrund der Art der Abtretung und der Durchführung dieser Auftragsvereinbarung logisch notwendig ist oder wenn eine rechtliche Verpflichtung besteht, die Informationen einem Dritten zur Verfügung zu stellen. Wenn der Auftragnehmer aufgrund einer gesetzlichen Verpflichtung Daten an einen Dritten weitergeben muss, wird der Auftragnehmer dem Auftraggeber dies unverzüglich mitteilen, wenn möglich vor der Bereitstellung.
  4. Bei der ersten Entdeckung von Sicherheitsverletzungen oder Datenlecks, wird der Auftragnehmer dem Auftraggeber dies sofort (innerhalb von 48 Stunden) mitteilen. Um zu bestimmen, ob es sich um einen Datenverstoß handelt, werden die Richtlinienregeln für die Verpflichtung zur Meldung von Datenlecks als Richtlinie verwendet. Wenn der Auftragenehmer (Versuche zu) eine rechtswidrige oder anderweitig nicht autorisierte Verarbeitung oder Verletzung der Sicherheitsmaßnahmen der personenbezogenen Daten feststellt, muss er den Auftraggeber darüber informieren. Der Auftragnehmer stellt alle Informationen zur Verfügung, die der Auftraggeber für notwendig hält, um den Vorfall beurteilen zu können. Der Auftragnehmer stellt dem Auftraggeber die folgenden Informationen zur Verfügung:
    • Was ist die (angebliche) Ursache der Zuwiderhandlung;
    • Was ist die (bisher bekannte und/oder erwartete) Folge;
    • Was ist eine (mögliche) Lösung;
    • Kontaktangaben für das Follow-up der Meldung;
    • Anzahl der Personen (deren Daten), die von der Zuwiderhandlung betroffen sind;
    • eine Beschreibung der Personengruppe (deren Daten) die von der Zuwiderhandlung betroffen sind;
    • die Art oder Arten von personenbezogenen Daten, die an dem Verstoß beteiligt sind;
    • das Datum, an dem der Verstoß stattgefunden hat (wenn kein genaues Datum bekannt ist): der Zeitraum, in dem der Verstoß aufgetreten ist);
    • Datum und Uhrzeit, wann der Verstoß dem Autragsnehmer oder einem von ihm beauftragten Dritten oder Unterauftragnehmer bekannt wurde;
    • ob die Daten verschlüsselt, hashed oder sonst wie unverständlich oder unzugänglich gemacht sind für Unbefugten;
    • Was sind die bereits getroffenen Maßnahmen, um die Zuwiderhandlung zu beenden und die Folgen der Zuwiderhandlung zu begrenzen;
    Der Auftragnehmer wird auf seine Kosten alle angemessenen Maßnahmen treffen, um einen (weiteren) Verstoß gegen das EU-DSGVO in Bezug auf die Verarbeitung der personenbezogenen Daten zu verhindern oder einzuschränken. Ungeachtet den Verpflichtung des Auftraggebers gegenüber zum Ersatz von Schäden, die Personen entstehen, auf die sich die personenbezogenen Daten beziehen.
  5. Falls erforderlich, wird der Auftragnehmer, nachdem er vom Auftraggeber aufgefordert wurde, die betroffene Person, deren Daten im Auftrag des Auftraggeber verarbeitet werden, angemessene Informationen über die Verarbeitung personenbezogener Daten bereitstellen.

Artikel 7. Audit

  1. Der Auftraggeber ist jederzeit berechtigt, die Verarbeitung personenbezogener Daten zu überprüfen (nachstehend als „Audit“ bezeichnet). Der Auftraggeber wird den Auftragnehmer vor einer Prüfung innerhalb einer angemessenen Frist (drei Arbeitstage) darüber informieren, dass er eine Audit durchführen möchte. Der Auftragnehmer gibt dem Auftraggeber und/oder einem vom Controller beauftragten Dritten und/oder der einer zuständigen Regierungsbehörde den erforderlichen Zugang zu der Verwaltung und/oder den Systemen, die für die Auftragsverarbeitung relevant sind. Der Auftragnehmer verpflichtet sich, dem Auftraggeber und/oder dem vom Auftraggeber und/oder der zuständigen Regierungsbehörde beauftragten Dritten die erforderliche Unterstützung zu gewähren, sofern diese Unterstützung den normalen Betrieb des Auftragnehmer nicht unangemessen stört. Der Auftragnehmer verpflichtet sich, um dem Autfraggeber, dem vom Autfraggeber oder dem zuständigen Regierungsorgan beauftragten Dritten innerhalb einer vom Autfraggeber festgelegten Frist alle angeforderten Informationen zur Verfügung zu stellen.
  2. Die Kosten der Untersuchung für die verantwortliche Partei, dem Auftraggeber und den von ihm beauftragten Dritten sowie die angemessenen (extra) Kosten des Auftragnehmers werden von der verantwortlichen Partei (Auftraggeber) getragen.

Artikel 8. Haftung

  1. Der Verarbeiter haftet für Schäden oder Verluste, die auf die Nichteinhaltung oder Verletzung welche durch oder gemäß dem EU DSGVO erlassenen Vorschriften und/oder Nichteinhaltung der Bestimmungen dieser Verarbeitervereinbarung zurückzuführen sind, mit dem Verständnis, dass der Auftragnehmer nur für Schäden oder Verluste haftet,soweit diese sich ausschließlich aus ihren Tätigkeiten und/oder (Nicht-) Handlungen in ihrer Rolle als Arbeitsnehmer ergeben. Der Auftragnehmer haftet nicht für indirekte oder Folgeschäden, entgangenen Gewinn, Umsatz, Wert, Umsatz, Goodwill, Reputationsschäden und/oder Verlust von Kunden.

Artikel 9. Löschung/Rückgabe von Daten

  1. Im Falle der Kündigung dieser Autragsvereinbarung oder wenn der Autraggeber dies beantragt, wird der Auftragnehmer die personenbezogenen Daten auf Verlangen unverzüglich gemäß einer vom Auftragnehmer zu bezeichnenden Anweisung vernichten. In diesem Fall wird der Auftragnehmer dem Auftraggeber schriftlich erklären, dass dies geschehen ist.

Artikel 10. Dauer und Kündigung

  1. Diese Auftragsvereinbarung beginnt mit dem Datum des Beginns der Nutzungsvereinbarung für die Verwendung/Software und endet kraft Gesetzes mit der Kündigung der Nutzungsvereinbarung für den Antrag. Die Kündigung dieser Auftragsverarbeitung entbindet die Parteien nicht von ihren Verpflichtungen die sich aus diesem Auftragsverarbeitungsvertrag ergeben, die ihrer Natur nach auch nach der Kündigung fortbestehen.
  2. Diese Auftragsvereinbarung kann durch eine schriftliche Benachrichtigung des Auftraggebers mit einer Frist von einer Woche geändert werden.
  3. Für diese Vereinbarung zur Auftragsverabeitung gilt ausschließlich niederländisches Recht. Alle Streitigkeiten, die sich aus oder im Zusammenhang mit dieser Auftragsvereinbarung ergeben können, werden beim Bezirksgericht Den Haag eingereicht.