Contracts
Auftragsverarbeitungsvereinbarung
Version 6.4
Effective January 16, 2024
DownloadTable of Contents
Anlage 1: Auftragsverarbeitungsvereinbarung
Präambel
Diese Vereinbarung zur Auftragsverarbeitung („AVV“) regelt in ihrem Teil I die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der von Choco (nachfolgend „Auftragnehmer“) für den Lieferanten (nachfolgend „Auftraggeber“) verarbeiteten personenbezogenen Daten unter dem zwischen den Parteien geschlossenen Software-as-a-Service-Vertrag (nachfolgend „Hauptvertrag“).
In ihrem Teil II regelt die AVV die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung personenbezogener Daten als gemeinsam für die Verarbeitung Verantwortliche im Sinne von Artikel 26 der EU-Verordnung 2016/679. Im Rahmen des Hauptvertrags kann der Auftraggeber den Auftragnehmer mit der Erbringung der in den Integrations-AGB beschriebenen Integrationsdiensten ("Integrationsdienste") beauftragen, so dass der Auftraggeber mit der Schaffung der technischen Infrastruktur als Ergebnis der Erbringung dieser Integrationsdienste in die Lage versetzt wird, Informationen und Daten an den Auftragnehmer zu übermitteln und von diesem zu empfangen ("Integrierte Dienste").
Im Fall von Widersprüchen zwischen dieser AVV und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser AVV vor. Änderungen und Nebenabreden dieser AVV bedürfen der Schriftform. Dies gilt auch für diese Schriftformklausel. Rechtswahl und Gerichtsstandsvereinbarungen aus dem Hauptvertrag gelten für diese AVV entsprechend.
Begriffsbestimmungen
Für die Zwecke dieser AVV bedeutet "Datenschutzgesetze" alle anwendbaren Gesetze und Vorschriften in allen relevanten Rechtsordnungen, die sich auf die Verwendung oder Verarbeitung personenbezogener Daten beziehen, einschließlich: (i) EU-Verordnung 2016/679 (nachfolgend "DSGVO"), ii) alle Gesetze und/oder Verordnungen, die die DSGVO ratifizieren, umsetzen, annehmen, ergänzen oder ersetzen, iii) alle Gesetze und/oder Verordnungen, die zur Umsetzung der EU-Richtlinie 2002/58/EG (in der durch 2009/136/EG geänderten Fassung) erlassen wurden; und (vi) in Deutschland das Telekommunikation-Telemedien-Datenschutz-Gesetz (nachfolgend "TTDSG"), und zwar jeweils in der aktualisierten, geänderten oder ersetzten Fassung, und die Begriffe "betroffene Person", "personenbezogene Daten", "Verarbeitung", "Auftragsverarbeiter", "gemeinsam Verantwortliche" und "Verantwortlicher" haben die in der DSGVO festgelegte Bedeutung.
Teil I
Auftragnehmer als Auftragsverarbeiter
1 Anwendungsbereich
Bei der Erbringung von Leistungen auf der Grundlage des Hauptvertrags (mit Ausnahme der Integrierten Dienste) verarbeitet der Auftragnehmer personenbezogene Daten, die der Auftraggeber zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn oder als Auftragsverarbeiter für andere Auftragsverarbeiter oder Verantwortliche fungiert („Auftraggeber-Daten“). Im Fall von Widersprüchen zwischen dieser AVV und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus dieser AVV vor.
2 Gegenstand und Umfang der Beauftragung / Weisungsbefugnisse des Auftraggebers
2.1 Der Auftragnehmer wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern der Auftragnehmer nicht durch das Recht der Europäischen Union oder eines Mitgliedsstaates gesetzlich zur Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2.2 Die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer erfolgt ausschließlich in der Art, dem Umfang und zu dem Zweck, wie sie in Anhang 1 (Teil I) zu dieser AVV spezifiziert sind. Die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen.
2.3 Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.
2.4 Es ist dem Auftragnehmer gestattet, Auftraggeber-Daten außerhalb des Europäischen Wirtschaftsraums („EWR“) zu verarbeiten oder durch weitere Auftragsverarbeiter gemäß Ziffer 5 verarbeiten zu lassen, wenn die Voraussetzungen der Art. 44 bis 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.
2.5 Die Weisungen ergeben sich aus dem Hauptvertrag. Der Auftraggeber ist zur Erteilung von weiteren Weisungen über Art, Umfang, Zwecke und Mittel der Verarbeitung von Auftraggeber-Daten nur berechtigt, wenn solche Weisungen nach dem Recht der Europäischen Union oder eines Mitgliedstaates oder aufgrund gerichtlicher oder behördlicher Anordnung erforderlich sind.
2.6 Weisungen sollen in Schrift- oder Textform erfolgen. Mündliche Weisungen wird der Auftraggeber schriftlich oder per E-Mail bestätigen.
2.7 Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diese AVV, die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, wird er den Auftraggeber hierüber unverzüglich in Schrift- oder Textform informieren. Der Auftragnehmer ist berechtigt, die Ausführung einer solchen Weisung solange auszusetzen, bis der Auftraggeber sie in Schrift- oder Textform bestätigt hat. Besteht der Auftraggeber trotz der vom Auftragnehmer vorgebrachten Bedenken auf der Durchführung einer Weisung, stellt der Auftraggeber den Auftragnehmer von sämtlichen Schäden und Kosten frei, die dem Auftragnehmer durch die Ausführung der Weisung des Auftraggebers entstehen. Der Auftragnehmer wird den Auftraggeber über gegen ihn geltend gemachte Schäden und ihm entstehende Kosten informieren und Ansprüche Dritter nicht ohne Zustimmung des Auftraggebers anerkennen und die Verteidigung nach Wahl des Auftragnehmers in Abstimmung mit dem Auftraggeber vornehmen oder diesem überlassen.
3 Anforderungen an Personal
3.1 Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, zur Vertraulichkeit zu verpflichten, soweit diese nicht einer angemessenen gesetzlichen Verschwiegenheit unterliegen.
3.2 Der Auftragnehmer stellt sicher, dass ihm unterstellte Personen, die Zugang zu Auftraggeber-Daten haben, diese nur nach Maßgabe dieser AVV sowie nach Weisungen des Auftraggebers verarbeiten, es sei denn, sie sind nach dem Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
4 Sicherheit der Verarbeitung
4.1 Der Auftragnehmer ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und – soweit dem Auftragnehmer bekannt – der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.
4.2 Der Auftragnehmer hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die unter https://legal.choco.com/de#tom zu dieser AVV spezifizierten technischen und organisatorischen Maßnahmen („TOM“) zu ergreifen und während der Dauer des Hauptvertrags aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.
4.3 Es obliegt dem Auftraggeber, die von dem Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen zu überprüfen, insbesondere ob diese auch im Hinblick auf Umstände der Datenverarbeitung ausreichend sind, die dem Auftragnehmer nicht bekannt sind.
4.4 Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist der Auftragnehmer berechtigt und verpflichtet, alternative, adäquate Maßnahmen umzusetzen, um das Sicherheitsniveau der festgelegten TOM nicht zu unterschreiten. Nimmt der Auftragnehmer wesentliche Änderungen an den festgelegten TOM vor, wird er den Auftraggeber hierüber vorab informieren.
5 Inanspruchnahme weiterer Auftragsverarbeiter
5.1 Der Auftragnehmer setzt bei der Verarbeitung der Auftraggeber-Daten die unter https://legal.choco.com/de#subprocessors aufgelisteten weiteren Auftragsverarbeiter ein. Diese gelten mit Abschluss der AVV als genehmigt.
5.2 Der Auftragnehmer darf zur Verarbeitung von Auftraggeber-Daten weitere Auftragsverarbeiter unter folgender Maßgabe in Anspruch nehmen: Der Auftragnehmer informiert den Auftraggeber mindestens 30 Tage vor der Inanspruchnahme eines weiteren Auftragsverarbeiters in Text- oder Schriftform an eine vom Auftraggeber für diese Zwecke benannte Adresse. Soweit der Auftraggeber nicht innerhalb von 14 Tagen Einspruch erhebt, gilt die Inanspruchnahme als genehmigt.
5.3 Wenn der Auftraggeber Einspruch erhebt, ist der Auftragnehmer berechtigt, entweder seine aufgrund des Hauptvertrags geschuldeten Leistungen ohne den Einsatz des abgelehnten weiteren Auftragsverarbeiters zu erbringen oder den Hauptvertrag und diese AVV zu kündigen.
5.4 Der Auftragnehmer hat jedem weiteren Auftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten aufzuerlegen, die gemäß Teil I der AVV für den Auftragnehmer gelten.
5.5 Der Auftragnehmer ist verpflichtet, nur solche weiteren Auftragsverarbeiter auszuwählen und in Anspruch zu nehmen, die hinreichende Garantien dafür bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung der Auftraggeber-Daten entsprechend den Anforderungen der DSGVO und dieser AVV erfolgt.
6 Rechte der betroffenen Personen
6.1 Der Auftragnehmer wird alle zumutbaren technischen und organisatorischen Maßnahmen treffen, um den Auftraggeber dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der ihnen zustehenden Rechte nachzukommen.
6.2 Der Auftragnehmer wird insbesondere:
a) den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an den Auftragnehmer wenden sollte;
b) dem Auftraggeber auf dessen Anfrage alle bei ihm vorhandenen Informationen über die Verarbeitung von Auftraggeber-Daten geben, die der Auftraggeber zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Auftraggeber nicht selbst verfügt;
c) Auftraggeber-Daten auf Weisung des Auftraggebers unverzüglich berichtigen, löschen oder in der Verarbeitung einschränken, soweit der Auftraggeber dies nicht selbst vornehmen kann und dies dem Auftragnehmer technisch möglich ist;
d) den Auftraggeber soweit erforderlich unterstützen, die im Verantwortungsbereich des Auftragnehmers verarbeiteten Auftraggeber-Daten – soweit dies dem Auftragnehmer technisch möglich ist – in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, soweit eine betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten geltend macht.
7 Sonstige Unterstützungspflichten des Auftragnehmers
7.1 Der Auftragnehmer meldet dem Auftraggeber, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen. Die Meldung enthält nach Möglichkeit eine Beschreibung:
a) der Art der Verletzung des Schutzes der Auftraggeber-Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen;
b) der wahrscheinlichen Folgen der Verletzung des Schutzes der Auftraggeber-Daten;
c) der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Auftraggeber-Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
7.2 Der Auftragnehmer ist verpflichtet, bei allen Verletzungen des Schutzes von Auftraggeber-Daten unverzüglich sämtliche erforderlichen und zumutbaren Maßnahmen zur Behebung der Verletzung des Schutzes der Auftraggeber-Daten und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen zu ergreifen.
7.3 Ist der Auftraggeber gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit im Rahmen seiner Möglichkeiten zu unterstützen.
7.4 Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 DSGVO genannten Pflichten, soweit ihm dies unter Berücksichtigung der ihm zur Verfügung stehenden Informationen über die konkrete Nutzung der Leistungen des Auftraggebers möglich ist.
7.5 Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder betroffene Personen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer im Rahmen des Möglichen den Auftraggeber auf dessen Anfrage unterstützen, diese Pflichten einzuhalten. Der Auftragnehmer ist insbesondere verpflichtet, sämtliche Verletzungen des Schutzes von Auftraggeber-Daten einschließlich aller damit im Zusammenhang stehenden Fakten in einer Weise zu dokumentieren, die dem Auftraggeber den Nachweis der Einhaltung etwaiger einschlägiger gesetzlicher Meldepflichten ermöglicht.
7.6 Der Auftragnehmer wird den Auftraggeber mit den ihm zur Verfügung stehenden Informationen und im Rahmen des Zumutbaren bei etwaigen von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
8 Datenlöschung und -zurückgabe
8.1 Der Auftragnehmer hat mit Beendigung des Hauptvertrages alle Auftraggeber-Daten vollständig zu löschen sofern nicht nach dem Recht der Europäischen Union oder eines Mitgliedsstaates eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.
8.2 Der Auftragnehmer ist jedoch berechtigt, für einen Zeitraum von 30 Tagen Sicherungskopien der Auftraggeber-Daten aufzubewahren soweit eine Löschung der Auftraggeber-Daten aus diesen Sicherungskopien technisch oder im Hinblick auf Art. 32 DSGVO nicht geboten ist. Für diesen Zeitraum gelten die Rechte und Pflichten der Parteien aus dieser AVV in Bezug auf die Sicherungskopien abweichend von Ziffer 2.3 fort.
8.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeber-Daten dienen, sind durch den Auftragnehmer entsprechend der gesetzlichen Aufbewahrungsfristen über das Vertragsende dieser AVV hinaus aufzubewahren.
9 Nachweise und Überprüfungen
9.1 Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten mit dieser AVV, dem Hauptvertrag sowie den Weisungen des Auftraggebers in Einklang steht.
9.2 Der Auftragnehmer wird die Umsetzung der Pflichten nach dieser AVV in geeigneter Weise dokumentieren und dem Auftraggeber alle erforderlichen Nachweise über die Einhaltung der Pflichten des Auftragnehmers nach der DSGVO und dieser AVV auf dessen Anfrage vorlegen.
9.3 Der Auftraggeber ist berechtigt, den Auftragnehmer bezüglich der Einhaltung der Regelungen dieser AVV, insbesondere der Umsetzung der TOM, zu überprüfen oder durch einen qualifizierten und zur Verschwiegenheit verpflichteten Prüfer überprüfen zu lassen. Dies beinhaltet das Recht zur Durchführung von Vor-Ort-Prüfungen (Inspektionen). Der Auftragnehmer ermöglicht solche Überprüfungen und unterstützt diese durch zweckmäßige und zumutbare Maßnahmen, insbesondere durch die Gewährung der notwendigen Zugangs- und Zugriffsrechte und die Bereitstellung aller notwendigen Informationen.
9.4 Die Überprüfungen und Inspektionen sollen den Auftragnehmer in seinem normalen Geschäftsbetrieb nach Möglichkeit nicht behindern und diesen nicht über Gebühr belasten. Insbesondere sollen Inspektionen bei dem Auftragnehmer ohne konkreten Anlass nicht mehr als einmal im Kalenderjahr und nur während der üblichen Geschäftszeiten des Auftragnehmers stattfinden. Der Auftraggeber hat dem Auftragnehmer Inspektionen, mindestens 30 (dreißig) Tage im Voraus in Schrift- oder Textform anzukündigen. Der Auftraggeber informiert den Auftragnehmer über den Umfang und die Dauer der Inspektion sowie den Inspektionsplan. Auftraggeber und Auftragnehmer arbeiten nach Treu und Glauben zusammen und vereinbaren gemeinsam den Umfang, die Dauer und den Zeitpunkt des Beginns der Inspektion. Alle Kosten, die dem Auftragnehmer für eine Inspektion vor Ort entstehen und die nicht offensichtlich unverhältnismäßig oder übermäßig sind, gehen zu Lasten des Auftraggebers.
9.5 Gemäß den Bestimmungen der DSGVO unterliegen der Auftraggeber und der Auftragnehmer öffentlichen Kontrollen durch die zuständige Aufsichtsbehörde. Auf Anforderung durch den Auftraggeber wird der Auftragnehmer die gewünschten Informationen an die Aufsichtsbehörde liefern und dieser die Möglichkeit zur Prüfung einräumen; davon umfasst sind Inspektionen beim Auftragnehmer durch die Aufsichtsbehörde oder die von ihr benannten Personen. Der Auftragnehmer gewährt der zuständigen Aufsichtsbehörde in diesem Rahmen die erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.
Teil II
Gemeinsam für die Verarbeitung Verantwortliche
1.Anwendungsbereich
Für die Erbringung der Integrierten Dienste verarbeiten die Parteien personenbezogene Daten ("gemeinsame Daten") als gemeinsam für die Verarbeitung Verantwortliche und legen in diesem Zusammenhang gemeinsam die Zwecke und Mittel für die Verarbeitung personenbezogener Daten fest.
2. Gegenstand und Umfang der gemeinsamen Verarbeitung
2.1 Die Parteien verarbeiten die gemeinsamen Daten zu dem in Anhang 1 (Teil II) dieser AVV genannten Zweck. Die Verarbeitung der gemeinsamen Daten bezieht sich ausschließlich auf die darin genannten Arten personenbezogener Daten und Kategorien von betroffenen Personen.
2.2 Die Dauer der Verarbeitung der gemeinsamen Daten entspricht der Dauer des Hauptvertrags.
2.3 Die Parteien verarbeiten die gemeinsamen Daten unter Einhaltung ihrer jeweiligen Verpflichtungen als für die Verarbeitung Verantwortliche gemäß den Datenschutzgesetzen. Jede Partei erfüllt ihre Verpflichtungen, die sich aus Teil II dieser AVV ergeben, auf eigene Kosten.
3. Verpflichtungen
3.1 Jede Partei muss:
a) sicherstellen, dass sie über alle erforderlichen Mitteilungen und Rechtsgrundlagen für die Verarbeitung der gemeinsamen Daten verfügt;
b) jeder betroffenen Person, deren personenbezogene Daten gemäß Teil II dieser AVV verarbeitet werden können, alle in Teil II dieser AVV aufgeführten Informationen gemäß Artikel 13 und 14 der DSGVO zur Verfügung stellen;
c) allen Anfragen von betroffenen Personen gemäß den Artikeln 15 bis 22 der DSGVO nachzukommen;
d) sicherstellen, dass alle Personen, die zum Zugriff auf die gemeinsamen Daten berechtigt sind, zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen, wenn sie die gemeinsamen Daten verarbeiten;
e) geeignete technische und organisatorische Maßnahmen zu ergreifen, die erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die gemeinsamen Daten zu gewährleisten, wobei der Stand der Technik, die Kosten der Umsetzung, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung der gemeinsamen Daten sowie die unterschiedliche Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen berücksichtigt werden;
f) sicherstellen, dass gemeinsame Daten nicht außerhalb des EWR übermittelt werden, darauf zugegriffen wird, diese verarbeitet werden oder diesbezüglich Datenverarbeiter beauftragt werden, es sei denn, die Übermittlung oder Beauftragung ist nach den Datenschutzgesetzen zulässig.
3.2 Der Auftragnehmer stellt den betroffenen Personen allgemeine Informationen über die Erhebung, die Verarbeitung und den Austausch personenbezogener Daten mit dem Auftraggeber zur Verfügung, einschließlich eines aussagekräftigen Auszugs aus Teil II der AVV und gegebenenfalls einschließlich aller Empfänger personenbezogener Daten auf Seiten des Auftragnehmers;
3.3 Der Auftraggeber stellt den betroffenen Personen alle Informationen über die Erhebung, die Verarbeitung und den Austausch personenbezogener Daten mit dem Auftragnehmer zur Verfügung, einschließlich eines aussagekräftigen Auszugs aus Teil II der AVV und gegebenenfalls einschließlich aller Empfänger personenbezogener Daten auf Seiten des Auftraggebers;
4. Gegenseitige Unterstützung
Jede Partei unterstützt die andere in angemessener Weise bei der Einhaltung der geltenden Anforderungen der Datenschutzgesetze. Insbesondere wird jede Partei:
a) die andere Partei unverzüglich über den Erhalt von Anfragen von betroffenen Personen und anderen Personen, einschließlich Aufsichtsbehörden, Regulierungsbehörden und Gerichten, sowie über Kontrollen oder Inspektionen durch solche Behörden im Zusammenhang mit den gemeinsamen Daten informieren;
b) keine gemeinsamen Daten offenzulegen ändern oder löschen, ohne die andere Partei, soweit möglich, vorher zu informieren;
c) die andere Partei in angemessener Weise bei der Erfüllung der in den Artikeln 32 bis 36 der DSGVO festgelegten Anträge und Pflichten der betroffenen Personen unterstützen;
d) die andere Partei unverzüglich informieren, nachdem sie von der Verletzung der gemeinsamen Daten Kenntnis erhalten hat. Die Benachrichtigung sollte mindestens die in Artikel 33 Absatz 3 DSGVO genannten Informationen sowie alle Informationen enthalten, die für die Mitteilung einer Verletzung des Schutzes personenbezogener Daten an die betroffenen Personen erforderlich sind;
e) einander unverzüglich über alle Umstände unterrichten, die die rechtmäßige Verarbeitung der gemeinsamen Daten oder die Einhaltung der Datenschutzgesetze gefährdet haben oder gefährden können;
f) der anderen Partei die Kontaktdaten mindestens eines Arbeitnehmers als Ansprechpartner und Verantwortlicher für alle Anfragen der betroffenen Personen oder im Zusammenhang mit der AVV oder den Datenschutzgesetzen übermitteln.
Anhang 1 - Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kreis der betroffenen Personen
Teil I
Auftragnehmer als Auftragsverarbeiter
Zweck der Datenverarbeitung | Bereitstellung der Software und Onboarding- und Marketingdienstleistungen |
Art und Umfang der Datenverarbeitung | ●Bereitstellung der Software einschließlich der Übermittlung von Bestellungen und Nachrichten, Choco-AI und anderer zwischen den Parteien vereinbarter Funktionen ●Durchführung von Onboarding-Diensten für den Auftraggeber wie z. B. Kontaktaufnahme mit den Kunden des Auftraggebers, um die Software vorzustellen, Einrichtung des Kundenkonto |
Art der Daten | ●Namen ●E-Mail-Adressen ●Telefonnummern |
Kreis der betroffenen Personen | ●Mitarbeiter des Auftraggebers ●Kunden des Auftraggebers ●ggf. potenzielle Kunden des Auftraggebers |
Teil II
Gemeinsam für die Verarbeitung Verantwortliche
Zweck der Datenverarbeitung | Erbringung der Integrierten Dienste |
Art und Umfang der Datenverarbeitung | Übermittlung von personenbezogenen Daten, die in Bestellungen und anderen vereinbarten Informationen enthalten sind, zwischen dem ERP des Auftraggebers und der Software über die Integration. |
Art der Daten |
|
Kreis der betroffenen Personen |
|