Ausfüllhilfe zum Vertrag zur Datenverarbeitung - Sendinblue
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Ausfüllhilfe zum Vertrag
zur Datenverarbeitung
1. Bitte füllen Sie alle gelb markierten Stellen im nachfolgenden AV aus
2. Drucken Sie den vollständig ausgefüllten AV zweimal aus und lassen Sie beide
Exemplare von einer zeichnungsberechtigten Person unterzeichnen.
Alternative: Sie können den AV auch digital unterzeichnen und uns per E-Mail an
datenschutz@sendinblue.com schicken.
3. Füllen Sie beide Anschreiben aus und drucken Sie diese aus.
4. Sobald wir die AV erhalten und geprüft haben, schicken wir Ihnen zeitnah ein
gegengezeichnetes Exemplar zurück.
Vielen Dank für Ihre Mitarbeit.
Viele Grüße
Ihre Sendinblue Datenschutzbeauftragte
……………………………………………………………..
Sendinblue GmbH Erstes Anschreiben von Ihnen an
z.HD. Datenschutzbeauftragten Sendinblue mit dem zweifach unter-
Köpenicker Str. 126 schriebenen ADV in der Anlage.
10179 Berlin
………………………………….
Ort, Datum
AV Sendinblue
Sehr geehrte/r Datenschutzbeauftrage/r,
anbei übersenden wir Ihnen:
o Ausgefülltes Anschreiben für den Rückversand
o Zwei Exemplare des von uns unterschriebenen AV
Wir würden Sie bitten, den AV schnellstmöglich gegenzuzeichnen und an die Adresse in
dem beigefügten Anschreiben zurück zu schicken.
Vielen Dank.
Beste Grüße,
…………………………………………………..Sendinblue GmbH, Köpenicker Str.126, 10179 Berlin
………………………………………………… Zweites Anschreiben für Rückversand
………………………………………………… des ADV.
………………………………………………… Bitte geben Sie links die Adresse an, an
………………………………………………… die wir den ADV zurückschicken sollen.
…………………………………………………
Berlin, ………………….
AV Sendinblue
Sehr geehrter Kunde,
anbei übersenden wir Ihnen ein gegengezeichnetes Exemplar des AV. Vielen Dank für
Ihre Mitarbeit. Wir wünschen viel Erfolg beim Versand.
Beste Grüße,
Ihre Sendinblue DatenschutzbeauftragteVertrag zur Auftragsverarbeitung i.S.d. Art. 28 Datenschutz
Grundverordnung (DS-GVO)
zwischen dem Auftraggeber / der Auftraggeberin:
Firmenname:
____________________________________________
Firmenanschrift: ____________________________________________
____________________________________________
Im Folgenden auch „Auftraggeber“ genannt, und der
Auftragnehmerin:
Sendinblue GmbH (ehemals Newsletter2Go GmbH)
Köpenicker Str. 126, 10179 Berlin im Folgenden auch
"Sendinblue" genannt.
§ 1 Gegenstand und Dauer des Auftrags Die durch den Umgang mit ihren personenbezogenen
Daten im Rahmen dieses Auftrags Betroffenen sind
Der Auftragnehmer verarbeitet personenbezogene Kunden, Geschäftskontakte und Interessenten vom
Daten im Auftrag des Auftraggebers. Auftraggeber.
Gegenstand des Auftrags ist die Verwendung von Die verarbeiteten Arten von Daten sowie die
Adressdaten des Auftraggebers zur Versendung von Kategorien betroffener Personen ergeben sich aus
Newslettern per E-Mail und transaktionalen E-Mails. §15 dieses Vertrages.
Die Einzelheiten der Leistungen ergeben sich aus den § 3 Technische und organisatorische
Allgemeinen Geschäftsbedingungen Maßnahmen, Folgenabschätzung
(https://de.sendinblue.com/legal/termsofuse/), die bei
der Registrierung für Sendinblue ausdrücklich vom Der Auftragnehmer ist verpflichtet, die nach Art. 32
Auftraggeber akzeptiert werden. Auf diese Leistungen DSGVO erforderlichen technischen und
wird hier verwiesen (im Folgenden organisatorischen Maßnahmen vor Beginn der
Leistungsvereinbarung). Erhebung, Verarbeitung, oder Nutzung der
personenbezogenen Daten – unter besonderer
Die Dauer dieses Auftrags (Laufzeit) entspricht der Berücksichtigung der konkreten Auftragsdurchführung
Laufzeit der Leistungsvereinbarung. Die Regelungen – zu dokumentieren und dem Auftraggeber diese
zur Kündigung der Leistungsvereinbarung gelten auch Dokumentation auf Anfrage zur Verfügung zu stellen.
für diesen Vertrag. Eine Beendigung der Die nach Art. 32 DSGVO erforderlichen technischen
Leistungsvereinbarung berechtigt beide Parteien zur und organisatorischen Maßnahmen sind zu dem im
Kündigung dieses Vertrages vorgenannten Zweck in dem als Anlage 1 beigefügten
Datensicherheitskonzept aufgeführt und sind Teil
Darüber hinaus sind sich die Parteien darüber einig, dieser Vereinbarung.
dass frühere Verträge zur Auftragsdatenverarbeitung
oder Auftragsverarbeitung mit Abschluss dieses Die technischen und organisatorischen Maßnahmen
Vertrages einvernehmlich beendet werden. unterliegen dem technischen Fortschritt und der
Weiterentwicklung; insoweit ist es dem Auftragnehmer
gestattet, alternative adäquate Maßnahmen
§ 2 Konkretisierung des Auftragsinhalts umzusetzen, sofern dabei das Sicherheitsniveau der
(Umfang, Art und Zweck der festgelegten Maßnahmen nicht unterschritten wird.
Datenverarbeitung, Art der Daten, Kreis der Der Auftragnehmer hat technische und
Betroffenen) organisatorische Maßnahmen zu treffen, die die
Vertraulichkeit, Integrität, Verfügbarkeit und
Umfang, Art und Zweck der Datenverarbeitung Belastbarkeit der Systeme und Dienste im
beschränken sich auf die Nutzung von Adressdaten Zusammenhang mit der Verarbeitung auf Dauer
zur Versendung von Newslettern per E-Mail. sicherstellen. Dem Auftraggeber sind diese
technischen und organisatorischen Maßnahmen
Gegenstand der Verarbeitung personenbezogener bekannt und er trägt die Verantwortung dafür, dass
Daten sind Kundendaten vom Auftraggeber.diese für die Risiken der zu verarbeitenden Daten ein • Die Durchführung der Auftragskontrolle mittels
angemessenes Schutzniveau bieten. regelmäßiger Prüfungen durch den
Auftragnehmer im Hinblick auf die
Für die Einhaltung der vereinbarten Vertragsausführung bzw. -erfüllung,
Schutzmaßnahmen und deren geprüfte Wirksamkeit insbesondere Einhaltung und ggf. notwendige
wird auf die vorliegende Zertifizierung durch den TÜV Anpassung von Regelungen und Maßnahmen zur
Rheinland verwiesen, deren Vorlage dem Durchführung des Auftrags.
Auftragnehmer für den Nachweis geeigneter
Garantien ausreicht (vgl. Anlage § 6 Unterauftragsverhältnisse
3).
Der Auftragnehmer ist berechtigt, sich für die
§ 4 Berichtigung, Löschung und Sperrung Erfüllung der Leistungsvereinbarung und/oder dieses
von Daten Vertrages Unterauftragnehmer zu bedienen.
Voraussetzung ist die Zustimmung des
Der Auftragnehmer hat nur auf Weisung des Auftraggebers. Die Zustimmung gilt für die zum
Auftraggebers die personenbezogenen Daten, die im Zeitpunkt des Vertragsschlusses beauftragten
Auftrag erhoben, verarbeitet oder genutzt werden, zu Unterauftragnehmer als erteilt. Die Liste der
berichtigen, zu löschen oder zu sperren. Soweit ein Unterauftragnehmer ist in Anlage 2 und gild ferner
Betroffener sich unmittelbar an Sendinblue zwecks als erteilt, wenn
Berichtigung, Löschung oder Sperrung seiner Daten
wenden sollte, ist der Auftragnehmer verpflichtet,
dieses Ersuchen unverzüglich nach Erhalt an den • dem Auftraggeber die Identität des
Auftraggeber weiterzuleiten. Etwaige dafür anfallende Unterauftragnehmers in Textform mitgeteilt wird
Kosten trägt der Auftraggeber. (Anlage 2)
• die vertraglichen Vereinbarungen mit dem
§ 5 Datenschutzkontrolle und Unterauftragnehmer so gestaltet sind, dass sie
Informationspflicht den Datenschutzbestimmungen im
Vertragsverhältnis zwischen Auftraggeber und
Auftragnehmer entsprechen
Der Auftragnehmer hat nach Art. 28 ff DSGVO
• bei der Unterbeauftragung dem Auftraggeber
folgende Pflichten: Kontroll- und Überprüfungsrechte entsprechend
dieser Vereinbarung eingeräumt werden. Dies
• Schriftliche Bestellung – soweit gesetzlich umfasst insbesondere das Recht des
vorgeschrieben – eines Auftraggebers, vom Auftragnehmer auf
Datenschutzbeauftragten. Dessen Kontaktdaten schriftliche Anforderung Auskunft über den
werden dem Auftraggeber auf Anforderung wesentlichen Vertragsinhalt und die Umsetzung
mitgeteilt. der datenschutzrelevanten Verpflichtungen im
• Wahrung der Vertraulichkeit der Daten Unterauftragsverhältnis, erforderlichenfalls durch
entsprechend Art. 29 DSGVO. Alle Personen, die Einsicht in die relevanten Vertragsunterlagen, zu
auftragsgemäß auf personenbezogene Daten erhalten.
des Auftraggebers zugreifen können, werden auf • der Auftraggeber nicht binnen einer Woche ab
die Vertraulichkeit der Daten verpflichtet und über Mitteilung schriftlich widersprochen hat. Der
die sich aus diesem Auftrag ergebenden Auftraggeber darf einen Widerspruch gegen die
besonderen Datenschutzpflichten sowie die Einschaltung eines Unterauftragnehmers nur aus
bestehende Weisungs- bzw. Zweckbindung wichtigem Grund erheben.
belehrt.
• Unverzügliche Information des Auftraggebers
über Kontrollhandlungen und Maßnahmen der Erbringt ein Unterauftragnehmer die vereinbarte
Aufsichtsbehörde nach Art. 57 DSGVO. Dies gilt Leistung außerhalb der EU/des EWR, stellt der
auch, soweit eine zuständige Behörde nach Art. Auftragnehmer die datenschutzrechtliche Zulässigkeit
83 DSGVO beim Auftragnehmer ermittelt. der Verarbeitung durch entsprechende Maßnahmen,
• Erstattung von Meldungen an den Auftraggeber in insbesondere durch die Standarddatenschutzklauseln
allen Fällen, in denen durch ihn oder die bei ihm der Kommission gemäß Art. 46 DSGVO sicher.
beschäftigten Personen oder
Unterauftragnehmer Verstöße gegen Vorschriften
zum Schutz personenbezogener Daten des
Nicht als Unterauftragsverhältnisse im Sinne dieser
Auftraggebers oder gegen die im Auftrag
Regelung sind solche Dienstleistungen zu verstehen,
getroffenen Festlegungen vorgefallen sind. Dies
die der Auftragnehmer bei Dritten als Nebenleistung
gilt auch im Falle des Abhandenkommens oder
zur Unterstützung bei der Auftragsdurchführung in
der unrechtmäßigen Übermittlung oder
Anspruch nimmt. Dazu zählen z.B.
Kenntniserlangung von personenbezogenen
Telekommunikationsleistungen, Wartung und
Daten und bei schwerwiegenden Störungen des
Benutzerservice, Reinigungskräfte, Prüfer oder die
Betriebsablaufs, bei Verdacht auf sonstige
Entsorgung von Datenträgern. Der Auftragnehmer ist
Verletzungen gegen Vorschriften zum Schutz
jedoch verpflichtet, zur Gewährleistung des Schutzes
personenbezogener Daten oder anderen
und der Sicherheit der Daten des Auftraggebers auch
Unregelmäßigkeiten beim Umgang mit
bei fremd vergebenen Nebenleistungen angemessene
personenbezogenen Daten des Auftraggebers.
2und gesetzeskonforme vertragliche Vereinbarungen berechtigt, sie an Dritte weiterzugeben. Kopien und
zu treffen sowie Kontrollmaßnahmen zu ergreifen. Duplikate werden ohne Wissen des Auftraggebers
nicht erstellt. Hiervon ausgenommen sind
Sicherheitskopien, soweit sie zur Gewährleistung
§ 7 Pflichten des Auftraggebers
einer ordnungsgemäßen Datenverarbeitung
Der Auftraggeber ist für die Einhaltung der erforderlich sind, sowie Daten, die im Hinblick auf die
gesetzlichen Bestimmungen zum Datenschutz, Einhaltung gesetzlicher Aufbewahrungspflichten
insbesondere für die Rechtmäßigkeit der erforderlich sind.
Datenverarbeitung durch den Auftragnehmer allein
verantwortlich und somit „Verantwortlicher“ im Sinne Der Auftragnehmer ist verpflichtet, die zur Verfügung
von Art. 4 Nr. 7 DSGVO. gestellten personenbezogenen Daten ausschließlich
zur vertraglich vereinbarten Leistung zu verwenden
Die Verantwortlichkeit betrifft auch und insbesondere außer es liegt ein Ausnahmefall im Sinne des Artikel
eine etwaige Pflicht zur Führung eines Verzeichnisses 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer
nach Art. 30 DSGVO und die Informationspflichten informiert den Auftraggeber unverzüglich, wenn er der
nach Art. 12 - 14 DSGVO. Auffassung ist, dass eine Weisung gegen anwendbare
Gesetze verstößt. Der Auftragnehmer darf die
Im Falle einer Inanspruchnahme des Auftraggebers Umsetzung der Weisung solange aussetzen, bis sie
durch eine betroffene Person hinsichtlich etwaiger vom Auftraggeber bestätigt oder abgeändert wurde.
Ansprüche nach Art. 82 DSGVO, gilt § 8 Abs. 9 Offensichtlich datenschutzwidrige Weisungen muss
entsprechend. der Auftragnehmer nicht ausführen.
Der Auftraggeber informiert den Auftragnehmer (2) Der Auftragnehmer unterstützt soweit
unverzüglich, wenn er Fehler oder vereinbart den Auftraggeber im Rahmen seiner
Unregelmäßigkeiten im Zusammenhang mit der Möglichkeiten bei der Erfüllung der Anfragen und
Verarbeitung personenbezogener Daten durch den Ansprüche betroffener Personen gemäß Kapitel III der
Auftragnehmer feststellt. DSGVO sowie bei der Einhaltung der in Art. 33-36
DSGVO genannten Pflichten. Für die Erbringung
Der Auftraggeber nennt dem Auftragnehmer den dieser Unterstützungsleistungen berechnen wir eine
Ansprechpartner für im Rahmen des Vertrages Vergütung von 75 Euro je angefangener
anfallende Datenschutzfragen. Arbeitsstunde.
§ 8 Weisungsbefugnis des Auftraggebers/ (3) Der Auftragnehmer gewährleistet, dass es
den mit der Verarbeitung der Daten des Auftraggebers
Pflichten des Auftragnehmers
befassten Mitarbeiter untersagt ist, die Daten
(1) Der Auftragnehmer darf Daten von betroffenen außerhalb der Weisung zu verarbeiten. Ferner
Personen nur im Rahmen des Auftrages und der gewährleistet der Auftragnehmer, dass sich die zur
Weisungen des Auftraggebers verarbeiten, außer es Verarbeitung der personenbezogenen Daten befugten
liegt ein Ausnahmefall des Art. 28 Abs. 3 a) DSGVO Personen zur Vertraulichkeit verpflichtet haben oder
vor. einer angemessenen gesetzlichen
Verschwiegenheitspflicht unterliegen. Die
Der Auftraggeber behält sich im Rahmen der in dieser Vertraulichkeits-/ Verschwiegenheitspflicht besteht
Vereinbarung getroffenen Auftragsbeschreibung ein auch nach Beendigung des Auftrags fort.
umfassendes Weisungsrecht über Art, Umfang und
Verfahren der Datenverarbeitung vor, das er durch (4) Der Auftragnehmer unterrichtet den
Einzelweisungen konkretisieren kann. Änderungen Auftraggeber unverzüglich, wenn ihm Verletzungen
des Verarbeitungsgegenstandes und des Schutzes personenbezogener Daten des
Verfahrensänderungen sind gemeinsam abzustimmen Auftraggebers bekannt werden.
und zu dokumentieren. Auskünfte an Dritte oder den
Betroffenen darf der Auftragnehmer nur nach Der Auftragnehmer trifft die erforderlichen
vorheriger schriftlicher Zustimmung durch den Maßnahmen zur Sicherung der Daten und zur
Auftraggeber erteilen. Minderung möglicher nachteiliger Folgen der
betroffenen Personen und spricht sich hierzu
Weisungen, die im Vertrag nicht vorgesehen sind, unverzüglich mit dem Auftraggeber ab.
werden als Antrag auf Leistungsänderung behandelt.
Erteilt der Auftraggeber Einzelweisungen hinsichtlich (5) Der Auftragnehmer nennt dem Auftraggeber
des Umgangs mit personenbezogenen Daten, die den Ansprechpartner für im Rahmen des Vertrages
über den vertraglich vereinbarten Leistungsumfang anfallende Datenschutzfragen.
hinausgehen, sind die dadurch begründeten Kosten
(6) Der Auftragnehmer gewährleistet, seinen
vom Auftraggeber zu tragen.
Pflichten nach Art. 32 Abs. 1 lit d) DSGVO
nachzukommen, ein Verfahren zur regelmäßigen
Überprüfung der Wirksamkeit der technischen und
Mündliche Weisungen wird der Auftraggeber organisatorischen Maßnahmen zur Gewährleistung
unverzüglich schriftlich oder per E-Mail (in Textform) der Sicherheit der Verarbeitung einzusetzen.
bestätigen. Der Auftragnehmer verwendet die Daten
für keine anderen Zwecke und ist insbesondere nicht (7) Der Auftragnehmer berichtigt oder löscht die
vertragsgegenständlichen Daten, wenn der
3Auftraggeber dies anweist und dies vom § 10 Löschung der personenbezogenen
Weisungsrahmen umfasst ist. Ist eine Daten nach Beendigung des
datenschutzkonforme Löschung oder eine zugrundeliegenden Auftrags
entsprechende Einschränkung der Datenverarbeitung
nicht möglich, übernimmt der Auftragnehmer die Nach Abschluss der vertraglichen Arbeiten oder früher
datenschutzkonforme Vernichtung von Datenträgern nach Aufforderung durch den Auftraggeber –
und sonstigen Materialien auf Grund einer spätestens mit Beendigung der
Einzelbeauftragung durch den Auftraggeber oder gibt Leistungsvereinbarung – hat der Auftragnehmer
diese Datenträger an den Auftraggeber zurück, sofern sämtliche in seinen Besitz gelangte Unterlagen,
nicht im Vertrag bereits vereinbart. Für die Erbringung erstellte Verarbeitungs- und Nutzungsergebnisse
dieser Unterstützungsleistungen berechnen wir eine sowie Datenbestände, die im Zusammenhang mit dem
Vergütung von 75 Euro je angefangener Auftragsverhältnis stehen, dem Auftraggeber
Arbeitsstunde. auszuhändigen oder nach vorheriger Zustimmung
datenschutzgerecht zu vernichten. Gleiches gilt für
In besonderen, vom Auftraggeber zu bestimmenden Test- und Ausschussmaterial. Das Protokoll der
Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Löschung ist auf Anforderung vorzulegen.
Eine Vergütung sowie Schutzmaßnahmen sind hierzu
gesondert zu vereinbaren, sofern nicht im Vertrag Dokumentationen, die dem Nachweis der auftrags-
bereits vereinbart. Für die Erbringung dieser und ordnungsgemäßen Datenverarbeitung dienen,
Schutzmaßnahmen berechnen wir eine Vergütung sind durch den Auftragnehmer entsprechend der
von 75 Euro je angefangener Arbeitsstunde. Die jeweiligen Aufbewahrungsfristen über das
Kosten für die geschäftliche Aufbewahrung von Daten Vertragsende hinaus aufzubewahren. Er kann sie zu
bestimmen sich nach der Größe der Daten sowie der seiner Entlastung bei Vertragsende dem Auftraggeber
Dauer der Aufbewahrung. Soweit die Aufbewahrung übergeben.
gewünscht ist, ist hierzu eine einzelvertragliche
Regelung zu treffen. § 11 Nachweismöglichkeiten
(8) Daten, Datenträger sowie sämtliche sonstige (1) Der Auftragnehmer weist dem Auftraggeber
Materialien sind nach Auftragsende auf Verlangen des die Einhaltung der in diesem Vertrag niedergelegten
Auftraggebers entweder herauszugeben oder zu Pflichten mit geeigneten Mitteln nach.
löschen.
(2) Sollten im Einzelfall Inspektionen durch den
Entstehen zusätzliche Kosten durch abweichende Auftraggeber oder einen von diesem beauftragten
Vorgaben bei der Herausgabe oder Löschung der Prüfer erforderlich sein, werden diese zu den üblichen
Daten, so trägt diese der Auftraggeber. Geschäftszeiten ohne Störung des Betriebsablaufs
nach Anmeldung unter Berücksichtigung einer
(9) Im Falle einer Inanspruchnahme des
angemessenen Vorlaufzeit durchgeführt. Der
Auftraggebers durch eine betroffene Person
Auftragnehmer darf diese von der vorherigen
hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO,
Anmeldung mit angemessener Vorlaufzeit und von der
verpflichtet sich der Auftragnehmer den Auftraggeber
Unterzeichnung einer Verschwiegenheitserklärung
bei der Abwehr des Anspruches im Rahmen seiner
hinsichtlich der Daten anderer Kunden und der
Möglichkeiten zu unterstützen. Für die Erbringung
eingerichteten technischen und organisatorischen
dieser Unterstützungsleistungen berechnen wir eine
Maßnahmen abhängig machen. Sollte der durch den
Vergütung von 75 Euro je angefangener
Auftraggeber beauftragte Prüfer in einem
Arbeitsstunde.
Wettbewerbsverhältnis zu dem Auftragnehmer
stehen, hat der Auftragnehmer gegen dieses ein
§ 9 Anfragen betroffener Personen Einspruchsrecht.
Wendet sich eine betroffene Person mit Forderungen Für die Unterstützung bei der Durchführung einer
zur Berichtigung, Löschung oder Auskunft an den Inspektion verlangt der Auftragnehmer eine Vergütung
Auftragnehmer, wird der Auftragnehmer die betroffene in Höhe von 600 Euro pro Arbeitstag verlangen. Der
Person an den Auftraggeber verweisen, sofern eine Aufwand einer Inspektion ist für den Auftragnehmer
Zuordnung an den Auftraggeber nach Angaben der grundsätzlich auf einen Tag pro Kalenderjahr
betroffenen Person möglich ist. Der Auftragnehmer begrenzt.
leitet den Antrag der betroffenen Person unverzüglich
an den Auftraggeber weiter. Der Auftragnehmer (3) Sollte eine Datenschutzaufsichtsbehörde
unterstützt den Auftraggeber im Rahmen seiner oder eine sonstige hoheitliche Aufsichtsbehörde des
Möglichkeiten auf Weisung soweit vereinbart. Der Auftraggebers eine Inspektion vornehmen, gilt
Auftragnehmer haftet nicht, wenn das Ersuchen der grundsätzlich Absatz 2 entsprechend. Die
betroffenen Person vom Auftraggeber nicht, nicht Unterzeichnung einer Verschwiegenheitsverpflichtung
richtig oder nicht fristgerecht beantwortet wird. ist nicht erforderlich, wenn diese Aufsichtsbehörde
einer berufsrechtlichen oder gesetzlichen
Verschwiegenheit unterliegt, bei der ein Verstoß nach
dem Strafgesetzbuch strafbewehrt ist.
4§ 12 Hinweis auf rechtskonformes Verhalten § 15 Daten
Der Auftragnehmer weist darauf hin, dass keine Die folgenden Arten von personenbezogenen Daten
Werbung unter Verstoß gegen gesetzliche werden im Rahmen dieser Vereinbarung verarbeitet.
Vorschriften durch die Auftraggeber versandt werden Arten von Daten:
darf. Die Auftraggeber tragen die Verantwortung für
die Zulässigkeit der Datenerhebung, -verarbeitung
und -nutzung. Dies betrifft auch die Verpflichtung der
Auftraggeber nach dem Gesetz gegen unlauteren
Wettbewerb (insbesondere nach § 7 UWG). Darüber
hinaus weist der Auftragnehmer den Auftraggeber auf
dessen Pflicht zur Wahrung des
Fernmeldegeheimnisses gemäß
Telekommunikationsgesetz (§ 88 TKG).
§ 13 Informationspflichten,
Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Auftraggebers beim
Auftragnehmer durch Pfändung oder
Beschlagnahme, durch ein Insolvenz- oder
Vergleichsverfahren oder durch sonstige Darüber hinaus sind die folgenden Kategorien
Ereignisse oder Maßnahmen Dritter gefährdet natürlicher Personen betroffen:
werden, so hat der Auftragnehmer den
Auftraggeber unverzüglich darüber zu informieren.
Der Auftragnehmer wird alle in diesem
Zusammenhang Verantwortlichen unverzüglich
darüber zu informieren, dass die Hoheit und das
Eigentum an den Daten ausschließlich bei
Auftraggeber als “Verantwortlicher“ im Sinne der
Datenschutz-Grundverordnung liegen.
(2) Änderungen und Ergänzungen dieser
standardisierten Vereinbarung und aller ihrer
Bestandteile - einschließlich etwaiger
Zusicherungen des Auftragnehmers - bedürfen
einer separaten, schriftlichen Vereinbarung und
des ausdrücklichen Hinweises darauf, dass es sich
Anlage 1: Datensicherheitskonzept
um eine Änderung bzw. Ergänzung dieser
Vereinbarung handelt. Dies gilt auch für den
Anlage 2: Benennung Unterauftragnehmer
Verzicht auf dieses Formerfordernis.
Eine Vereinbarung in elektronischem Format Anlage 3: Zertifikat TÜV Rheinland
(Textform) wird von den Vertragsparteien ebenso als
wirksam anerkannt.
(3) Sollten einzelne Teile dieses Vertrages unwirksam
sein, so berührt dies die Wirksamkeit des
Vertrages im Übrigen nicht. Anstelle der
unwirksamen Teile finde die entsprechende
gesetzliche Regelung Anwendung.
(4) Es gilt deutsches Recht.
(5) Gerichtsstand ist Berlin.
§ 14 Haftung und Schadensersatz
Auftraggeber und Auftragnehmer haften gegenüber
betroffenen Personen entsprechend der in Art. 82
DSGVO getroffenen Regelung.
5Auftraggeber
Ort Datum
Unterschrift Funktion des Auftraggebers/der Auftraggeberin im Betrieb
Sendinblue GmbH:
Berlin
Ort Datum
Dariia Ieremenko Datenschutzbeauftragte
Unterschrift Sendinblue Funktion bei Sendinblue
6Anlage 1
Datensicherheitskonzept
Maßnahmen zur Datenschutzkontrolle gemäß Art. 32 DS-GVO
7Stand 20.12.2017 Der Auftragnehmer sichert dem Auftraggeber zu, dass
Unbefugten durch folgende Maßnahmen der Zutritt
Bei Fragen zur Sendinblue Informationssicherheit sowie der Zugang zu den Datenverarbeitungsanlagen
wenden Sie sich bitte an die verantwortliche Stelle verwehrt wird, mit denen personenbezogene Daten
verarbeitet oder gesichert werden:
Kontakt
● Zutritt zu den Büroräumen nur durch oder in
Sendinblue GmbH Begleitung von berechtigten Personen
Datenschutzbeauftragter ● Zentrale Zutrittsregelung für Büroräume
Köpenicker Str. 126 (Schlüsselkonzept)
10179 Berlin ● Brandmeldeanlage
Tel.: +49 (0) 30 311 99 510 ● Lagerung von vertraulichen Dokumenten
E-Mail: datenschutz@sendinblue.com ausschließlich unter Verschluss in
abschließbaren, massiven Schränken.
Datenschutzmaßnahmen Der Auftragnehmer sichert darüber hinaus zu, dass
Unbefugte durch folgende Maßnahmen an der
Die von Sendinblue getätigten Benutzung der Datenverarbeitungssysteme gehindert
Datenschutzmaßnahmen haben das Ziel der werden:
Sicherstellung der Verfügbarkeit der Daten, Integrität,
Vertraulichkeit, Nichtverkettbarkeit durch ● Passwortschutz: Passwörter mit min. 8 Zeichen
Zweckbestimmung, Tranzparenz durch Prüffähigkeit inkl. zwei Sonderzeichen. Passwörter werden alle
und Intervenierbarkeit durch Ankerpunkte. 90 Tage ändert.
● persönlicher und individueller User-Log-In bei
Es werden Maßnahmen der Pseudonymisierung und Anmeldung am System bzw.
Verschlüsselung personenbezogener Daten Unternehmensnetzwerk
durchgeführt, welche ein aktuelles Schutzniveau ● ein Benutzerstammsatz pro User
gewährleisten. Ebenso haben unsere Maßnahmen zur ● IP-beschränkter Zugriff auf Server
Datensicherheit das Ziel einer dauerhaften, hohen ● Berechtigungskonzept für digitale
Belastbarkeit unserer Systeme und Dienste Zugriffsmöglichkeiten
hinsichtlich der damit verbundenen
Datenverarbeitung. Wir stellen die Fähigkeit sicher, Die im Unternehmen getroffenen Maßnahmen der
die Verfügbarkeit der personenebezogenen Daten Vertraulichkeit und Integrität gewährleisten, dass die
und den Zugang zu ihnen bei einem physischen oder zur Benutzung eines Datenverarbeitungssystems
technischen Zwischenfall rasch wiederherzustellen. Berechtigten ausschließlich auf die ihrer
Ferner verwenden wir ein Verfahren zur regelmäßigen Zugriffsberechtigung unterliegenden Daten zugreifen
Überprüfung, Bewertung und Evaluierung der können. Darüber hinaus wird sichergestellt, dass
Wirksamkeit der technischen und organisatorischen personenbezogene Daten bei der Verarbeitung,
Maßnahmen zur Gewährleistung der Sicherheit der Nutzung und nach der Speicherung nicht unbefugt
Verarbeitung. Überdies unternehmen der gelesen, kopiert, verändert oder entfernt werden
Verantwortliche sowie der Auftragsverarbeiter können.
Schritte, um sicherzustellen, dass ihnen unterstellte
natürliche Personen, die Zugang zu Die Geschäftsprozesse von Sendinblue werden durch
personenbezogenen Daten haben, diese nur auf die nachfolgend aufgeführten Maßnahmen unterstützt:
Anweisung des Verantwortlichen verarbeiten, es sei
denn, sie sind nach dem Recht der Union oder der ● differenzierte und aufgabenbezogene
Mitgliedstaaten zur Verarbeitung verpflichtet. Berechtigungen, Profile
● regelmäßige Sichtung von Logfiles
Die Geschäftsprozesse von Sendinblue orientieren ● Verpflichtung aller Mitarbeiter auf das
sich an den Vorgaben des Art. 32 der Datenschutz- Datenschutzgeheimnis und
Grundverordnung (DS-GVO). Telekommunikationsgeheimnis.
§1 Schutz vor unbefugter Kenntniserlangung von Die im Unternehmen getroffenen Maßnahmen
Beschäftigten- und Kundendaten sowie anderer gewährleisten eine hinreichende Weitergabekontrolle.
schützenswerter personenbezogener Daten Personenbezogene Daten werden bei der
elektronischen Übertragung oder während ihres
Transports oder ihrer Speicherung auf Datenträger
Die im Unternehmen getroffenen Maßnahmen nicht unbefugt gelesen, kopiert, verändert oder
gewährleisten, dass Unbefugte nicht auf solche entfernt, ohne dass überprüft, festgestellt und
Datenverarbeitungsanlagen Einfluss nehmen können, unterbunden werden kann.
auf denen personenbezogene Daten verarbeitet oder
gespeichert werden. Sendinblue versichert hiermit, dass über die gesetzlich
vorgesehenen Ausnahmefälle hinaus keinerlei Daten
an Dritte weitergegeben werden. Die zur Erreichung
8dieses Ziels getroffenen Maßnahmen sind Der Auftragnehmer tätigt die folgenden Maßnahmen:
nachfolgend aufgeführt:
● Tägliches Backup-Verfahren
● Spiegeln von Festplatten beim
● 256-Bit-SSL-Verschlüsselung mit extended
Unterauftragnehmer (RAID-Verfahren)
validation
● Notstromversorgung beim
● es existieren Regelungen zur Datenvernichtung
Unterauftragnehmer(USV)
und Löschung (Löschkonzept) Die im
Unternehmen getroffenen Maßnahmen zu ● Virenschutz / Firewall sowohl beim
Datenintegrität gewährleisten eine hinreichende Unterauftragnehmer als auch bei Sendinblue
Eingabekontrolle. Es kann in den ● Notfallplan
Geschäftsprozessen von Sendinblue nachträglich ● Brandmeldeanlage
überprüft und festgestellt werden, ob und von
wem personenbezogene Daten in
Die im Unternehmen getroffenen Maßnahmen der
Datenverarbeitungssysteme eingegeben,
Trennungskontrolle gewährleisten darüber
verändert oder entfernt worden sind.
hinaus, dass zu unterschiedlichen Zwecken
Dies wird durch die nachfolgend aufgeführten erhobene personenbezogene Daten ebenfalls
Maßnahmen bewirkt: getrennt verarbeitet werden können.
● Gewährleistung durch Protokollierungs- und
Die nachfolgend aufgeführten Maßnahmen sind
Protokollauswertungssystem
zur Erreichung dieses Zwecks in die
● Regelungen der Zugriffsrechte Geschäftsabläufe von Sendinblue implementiert:
Die im Unternehmen getroffenen Maßnahmen ● Es ist mandantenfähige Software im Einsatz.
gewährleisten ebenfalls ein hohes Schutzniveau im ● Entwicklungs- und Testsysteme werden
Bereich Auftragskontrolle. Die im Auftrag ausschließlich mit Testdaten betrieben
verarbeiteten personenbezogenen Daten werden nur
entsprechend der Weisungen des Auftraggebers
verarbeitet. Dies wird durch die folgenden § 2 Zertifikat des TÜV-Rheinland
Maßnahmen unterstützt:
Als weitere Compliance-Maßnahme im Bereich
● schriftlicher Vertrag zur Auftragsverarbeitung
Datenschutz haben wir ein Zertifikat als
gem. Art 28 DS-GVO mit Regelungen zu den
„Dienstleister mit geprüftem Datenschutz-
Rechten und Pflichten des Auftragnehmers und
Management“ vom TÜV-
Auftraggebers
Rheinland erhalten.
● formalisierte Auftragserteilung
Im Rahmen des Datenschutz-Audits erfolgen
Die im Unternehmen getroffenen Maßnahmen zur neben der Nachbereitung der
Verfügbarkeitskontrolle gewährleisten, dass datenschutzrechtlichen Bestandsaufnahme
personenbezogene Daten gegen zufällige Zerstörung fortlaufende Maßnahmen zur Sicherstellung der
oder Verlust geschützt sind. datenschutzrechtlichen Vorgaben, welche durch
jährliche Tätigkeitsberichte nachgewiesen
werden.
9Anlage 2
Benennung Unterauftragnehmer
Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen Deutschland
Registergericht Ansbach,
HRB 3204 USt-Id Nr. DE 812871812
Die durch Hetzner erbrachte Teilleistung ist das Hosting der Server an Standorten innerhalb der
Bundesrepublik Deutschland.
10Anlage 3
Zertifikat TÜV Rheinland
(ausgestellt auf die Rechtsvorgängerin Newsletter2Go
GmbH)
1112
Sie können auch lesen
