Vereinbarung zur Auftragsverarbeitung

EU-Datenschutz-Grundverordnung (DS-GVO)

Vertragspartner sind die fino kanzleidrive GmbH (im Folgenden fino oder Auftragsverarbeiter genannt) Universitätsplatz 12, 34127 Kassel und der Kunde.

– gemeinsam „Parteien“ genannt –

1. Gegenstand der Verarbeitung

  • fino verarbeitet personenbezogene Daten im Auftrag des Kunden (Auftragsverarbeitung). Dies umfasst alle Tätigkeiten, die fino gemäß jeweiligen vertraglichen Vereinbarungen mit dem Kunden (Geschäftsbedingungen der fino, Bestellungen von Standardprodukten und Verträge über individuelle Leistungen) erbringt und die eine Auftragsverarbeitung darstellen. Dies gilt auch, sofern die jeweiligen vertraglichen Vereinbarungen nicht ausdrücklich Bezug nehmen auf diese Vereinbarung zur Auftragsverarbeitung.
  • Diese Vereinbarung zur Auftragsverarbeitung enthält in Ziffer 15 Regelungen und Vereinbarungen zu weiteren Vertragszwecken. Der Kunde stimmt diesen weiteren Vertragszwecken mit Annahme dieser Vereinbarung zur Auftragsverarbeitung zu.
  • Im Übrigen gelten nachrangig die Regelungen der Geschäftsbedingungen der fino, welche über den nachfolgend genannten Link im Internet einsehbar sind: https://kanzleidrive.de/agb


2. Dauer der Verarbeitung

Die Verarbeitung erfolgt zeitlich unbefristet, sofern dies in den jeweiligen vertraglichen Vereinbarungen nicht anders vereinbart ist. Die in den jeweiligen vertraglichen Vereinbarungen geregelten Kündigungsfristen bleiben unberührt.

3. Art und Zweck der Verarbeitung

  • Die Art der Verarbeitung umfasst alle Arten von Verarbeitungen im Sinne der DS-GVO.
  • Zwecke der Verarbeitung sind alle zur Erbringung der vertraglich vereinbarten Leistung erforderlichen und alle in Ziffer 15 dieser Vereinbarung zur Auftragsverarbeitung vereinbarten weiteren Vertragszwecke.


4. Art der personenbezogenen Daten und Kategorien betroffener Personen

  • Art der personenbezogenen Daten sind alle Arten personenbezogener Daten, die fino im Auftrag des Kunden verarbeitet.
  • Hinsichtlich der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DS-GVO ist der Kunde verpflichtet, in eigener Verantwortung dafür Sorge zu tragen, dass die hierzu geltenden gesetzlichen Vorgaben eingehalten werden.
  • Kategorien betroffener Personen sind insbesondere
  1. Beschäftigte und Geschäftspartner/Mandanten des Kunden,
  2. Beschäftigte, Familienangehörige und Geschäftspartner des Geschäftspartners/Mandanten,
  3. Beschäftigte des Geschäftspartners des Geschäftspartners/Mandanten,
  4. andere Personen, ggf. auch als Verbraucher, sofern sie Nutzer einer fino-Leistung sind.


5. Pflichten und Rechte des Kunden

  • Der Kunde ist im Rahmen dieser Vereinbarung zur Auftragsverarbeitung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an fino sowie für die Rechtmäßigkeit der Verarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung und die Beschreibung der betroffenen Daten.
  • Der Kunde hat fino unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.
  • Der Kunde nennt fino bei Bedarf den Ansprechpartner für im Rahmen dieser Vereinbarung zur Auftragsverarbeitung anfallende Datenschutzfragen.
  • Weitere Pflichten und Rechte des Kunden ergeben sich aus den nachfolgenden Regelungen dieser Vereinbarung zur Auftragsverarbeitung und der DS-GVO sowie den dazugehörigen gesetzlichen Bestimmungen.


6. Verarbeitung auf dokumentierte Weisung

  • fino – und jede ihr unterstellte Person – darf die personenbezogenen Daten nur im Rahmen der jeweiligen vertraglichen Vereinbarungen zwischen fino und dem Kunden und der Weisungen des Kunden verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 Satz 2 lit.a DS-GVO vor. fino nimmt Weisungen des Kunden in schriftlicher Form sowie über die hierfür von fino angebotenen elektronischen Formate entgegen. Mündliche Weisungen sind durch den Kunden unverzüglich schriftlich oder in einem hierfür von fino angebotenen elektronischen Format zu bestätigen.
  • fino informiert den Kunden unverzüglich, wenn sie der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. fino darf die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde.
  • Sind die Weisungen des Kunden nicht vom vertraglich vereinbarten Leistungsumfang umfasst, werden diese als Antrag auf Leistungsänderung behandelt. Bei Änderungsvorschlägen teilt fino dem Kunden mit, welche Auswirkungen sich auf die vereinbarten Leistungen, insbesondere die Möglichkeit der Leistungserbringung, Termine und Vergütung ergeben. Ist fino die Umsetzung der Weisung nicht zumutbar, so ist fino berechtigt, die Verarbeitung zu beenden. Im Übrigen gelten die jeweiligen vertraglichen Vereinbarungen.
  • Die Parteien vereinbaren, dass fino berechtigt ist, die personenbezogenen Daten – unter Beachtung der zwingend anwendbaren Vorschriften – an Dienstleister in einem Drittland zu übermitteln.


7. Verpflichtung zur Vertraulichkeit

fino gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

8. Maßnahmen zur Sicherheit der Verarbeitung

  • fino gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung gemäß den Anforderungen der DS-GVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. fino ergreift in ihrem Verantwortungsbereich alle gemäß Art. 32 DS-GVO erforderlichen Maßnahmen.
  • Die jeweils aktuell geltenden technischen und organisatorischen Maßnahmen kann der Kunde unter https://kanzleidrive.de/tom Der Kunde informiert sich vor Abschluss der Vereinbarung zur Auftragsverarbeitung und anschließend in regelmäßigen Abständen über diese technischen und organisatorischen Maßnahmen. Der Kunde trägt die Verantwortung dafür, dass die jeweils aktuell geltenden, vertraglich vereinbarten technischen und organisatorischen Maßnahmen für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
  • Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt fino vorbehalten, sofern das Schutzniveau nach DS-GVO nicht unterschritten wird.


9. Weitere Auftragsverarbeiter

  • Der Kunde erteilt fino die allgemeine Genehmigung, weitere Auftragsverarbeiter im Sinne des Art. 28 DS-GVO in Anspruch zu nehmen.
  • Die jeweils aktuell eingesetzten, weiteren Auftragsverarbeiter kann der Kunde unter https://kanzleidrive.de/weitere-auftragsverarbeiter/
  • fino informiert den Kunden, wenn sie eine Änderung in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter beabsichtigt. Kunde kann gegen derartige Änderungen Einspruch erheben.
  • Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 4 Wochen nach Zugang der Information über die Änderung gegenüber fino zu erheben. Im Fall des Einspruchs kann fino nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder – sofern die Erbringung der Leistung ohne die beabsichtigte Änderung fino nicht zumutbar ist – die von der Änderung betroffene Leistung gegenüber dem Kunden innerhalb von 4 Wochen nach Zugang des Einspruchs kündigen.
  • Erteilt fino Aufträge an weitere Auftragsverarbeiter, so obliegt es fino, ihre datenschutzrechtlichen Pflichten aus diesem Vertrag auf den weiteren Auftragsverarbeiter zu übertragen.


10. Unterstützung des Verantwortlichen (Kunden) im Hinblick auf Betroffenenrechte

  • Bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DS-GVO genannten Rechte der betroffenen Person unterstützt fino den Kunden nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen.
  • fino ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen.


11. Unterstützung des Verantwortlichen (Kunden) im Hinblick auf die Sicherheit
personenbezogener Daten

  • fino unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten Pflichten.
  • fino unterstützt den Verantwortlichen im Falle von Verletzungen des Schutzes personenbezogener Daten gem. Art. 33 und 34 DSGVO und hat die Verpflichtung, Verletzungen des Schutzes personenbezogener Daten unverzüglich an den Verantwortlichen zu melden.
  • fino ist berechtigt, für diese Leistungen eine angemessene Vergütung vom Kunden zu verlangen.


12. Umgang mit den Daten nach Abschluss der Erbringung der Verarbeitungsleistungen

Nach Abschluss der Erbringung der Verarbeitungsleistungen löscht fino nach Wahl des Kunden entweder alle personenbezogenen Daten oder gibt sie dem Kunden zurück, sofern nicht nach dem Unionsrecht oder nach deutschem Recht eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht oder sich aus den Leistungsbeschreibungen und den jeweiligen vertraglichen Vereinbarungen etwas anderes ergibt.

13. Informationen und Überprüfungen zum Nachweis der Einhaltung der Pflichten

  • fino stellt dem Kunden alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen — einschließlich Inspektionen –, die vom Kunden oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und wirkt daran mit. Sofern hierbei die Kenntnisnahmemöglichkeit von vertraulichen Informationen besteht, ist fino berechtigt, eine Verschwiegenheitserklärung vom Kunden und von diesem beauftragten Prüfer zu verlangen.
  • Das Inspektionsrecht des Kunden hat das Ziel, die Einhaltung der einem Auftragsverarbeiter obliegenden Pflichten gemäß der DS-GVO und dieses Vertrages zu überprüfen. Der Nachweis soll primär durch unabhängige Prüfberichte und Zertifizierungen erbracht werden. Sofern der Kunde auf Basis tatsächlicher Anhaltspunkte berechtigte Zweifel daran geltend macht, dass diese Prüfberichte bzw. Zertifizierungen unzureichend oder unzutreffend sind, oder besondere Vorfälle im Sinne von Art. 33 Abs. 1 DS-GVO im Zusammenhang mit der Durchführung der Auftragsverarbeitung des Kunden dies rechtfertigen, kann er Vor-Ort-Kontrollen durchführen. Sofern solche Vor-Ort-Kontrollen durchgeführt werden, sind diese als Stichprobenkontrollen der für die Durchführung der Auftragsverarbeitung relevanten Bereiche auszugestalten und fino rechtzeitig im Voraus, in der Regel (Ausnahme z.B. bei besonderen Vorfällen) mindestens jedoch 14 Kalendertage, schriftlich anzumelden. Das Gleiche gilt für anlasslose Vor-Ort-Kontrollen. Die Ausübung des Inspektionsrechts darf den Geschäftsbetrieb von fino nicht über Gebühr stören oder missbräuchlich sein.
  • fino ist berechtigt, für Inspektionen eine angemessene Vergütung vom Kunden zu verlangen.

 
14. Gegenseitige Unterstützung

Im Fall des Art. 82 DS-GVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.

 15. Vereinbarung weiterer Vertragszwecke

  • fino ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zum Zweck der Fehlerbehebung in dem fino-Produkt, in dem die Daten gespeichert sind, zu verarbeiten. Die Verarbeitung findet nur nach ausdrücklicher Anweisung des Supports durch den Kunden statt, um den Fehler des jeweiligen Einzelfalles zu beheben. Eine Massenverarbeitung durch fino erfolgt nicht.
  • fino ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten in anonymisierter oder gehashter Form zum Zweck der Qualitätssicherung für das fino-Produkt, in dem die Daten gespeichert sind bzw. für eine neuere Version des fino-Produkts zu verarbeiten.
  • fino ist berechtigt, die von dieser Vereinbarung umfassten personenbezogenen Daten zu verarbeiten,
      • soweit sie dies für die Gewährleistung der Netz- und Informationssicherheit unbedingt notwendig und verhältnismäßig erachtet,
      • soweit dadurch die Fähigkeit eines Netzes oder Informationssystems gewährleistet wird, mit dem vereinbarten Grad der Zuverlässigkeit Störungen oder widerrechtliche oder mutwillige Eingriffe abzuwehren, die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit zusammenhängender Dienste, die über diese Netze oder Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigen.
  • Dies umfasst insbesondere auch, den Zugang Unbefugter zu elektronischen Kommunikationsnetzen und die Verbreitung schädlicher Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von Servern („Denial of service“-Angriffe) und Schädigungen von Computer- und elektronischen Kommunikationssystemen abzuwehren.


16. Salvatorische Klausel

Sollten sich einzelne Bestimmungen dieser Vereinbarung als ungültig erweisen, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ungültige Bestimmung ist durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Ungültigkeit des jeweiligen Punktes gedacht. Soweit diese Vereinbarung eine unbewusste Regelungslücke enthält, ist diese durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Regelungsbedürftigkeit des jeweiligen Punktes gedacht.

17. Formerfordernis

Änderungen und Ergänzungen dieser Vereinbarung zur Auftragsverarbeitung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – sind gemäß DS-GVO schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann, und bedürfen des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

18. Beginn der Vereinbarung, Auswirkung von Kündigungen

  • Diese Vereinbarung beginnt mit Bestätigung des Vertragsschlusses durch fino.
  • Nimmt der Kunde Änderungen am Vertragstext vor, beginnt diese Vereinbarung mit Annahme der geänderten Fassung durch fino; fino ist zur Annahme jedoch nicht verpflichtet.
  • Eine Annahme der geänderten Fassung durch fino erfolgt nicht bereits durch Leistungserbringung, sondern erfordert eine dem Formerfordernis des Art. 28 DS-GVO entsprechende Annahmeerklärung durch fino.
  • Die Annahme/Bestätigung des Vertragsschlusses durch fino kann in einem elektronischen Format erfolgen.


19. Verweise auf die DS-GVO

Alle in dieser Vereinbarung enthaltenen Verweise auf die DS-GVO gelten für die DS-GVO in ihrer jeweils aktuellen Fassung bzw. etwaige Nachfolgeregelungen.