Pidoco. Dein Wireframing Tool.

Vereinbarung zur Auftragsverarbeitung

 

der Pidoco GmbH, Amtsgericht Berlin Charlottenburg, HRB 115010 B

E-Mail: kontakt@pidoco.com, Tel. +49 30 4881 6385

 

 

1. Geltungsbereich und Gegenstand der Vereinbarung

 

1. Diese Vereinbarung zur Auftragsverarbeitung („AVV“) wird zwischen uns, der Pidoco GmbH, Amtsgericht Berlin Charlottenburg, HRB 115010 B (nachfolgend „Pidoco“), als Auftragnehmerin und Ihnen als Auftraggeberin/Auftraggeber geschlossen. Sie regelt unsere gegenseitigen Pflichten hinsichtlich des Datenschutzes bei der Verarbeitung von personenbezogenen Daten in Ihrem Auftrag und gilt für jegliche Verarbeitung von personenbezogenen Daten („Daten“ bzw. „Datenverarbeitung“), die wir für Sie im Rahmen unserer Vereinbarung über Ihre Nutzung unseres Produkts ausführen („Hauptvertrag“).

 

2. Pidoco verarbeitet personenbezogene Daten für Sie.

 

3. Der Auftrag umfasst folgende Arbeiten und / oder Leistungen:

 

a) Gegenstand des Auftrages:

 

Speicherung von Kontaktdaten von Ihnen gewählter Dritter und Versand von Nachrichten an diese.

 

b) Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung:

 

Sie geben elektronische Kontaktdaten zum Zwecke der Versendung von E-Mail-Nachrichten an andere Nutzer unseres Dienstes ein, um diese zur späteren Begutachtung, Kommentierung und/oder Bearbeitung von (Software-)Designs einzuladen (falls der/die Eingeladene das möchte).

 

c) Art der Daten:

 

E-Mail-Adresse, Name der eingeladenen Person.

 

d) Kreis der Betroffenen:

 

Empfänger der E-Mail.

 

 

2. Ihre Rechte und Pflichten

 

1. Sie sind für die Einhaltung der anwendbaren datenschutzrechtlichen Vorschriften, einschließlich der Beurteilung der Zulässigkeit der Datenverarbeitung sowie der Wahrung der Rechte des Betroffenen allein verantwortliche Stelle (Art. 28 DS-GVO). Betroffenenrechte sind gegenüber Ihnen wahrzunehmen.

 

2. Sie erteilen alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen den Parteien dieser Vereinbarung abzustimmen und entsprechend § 1 Nr. 3 dieser Vereinbarung festzulegen.

 

3. Sie haben hat sich sowohl vor Beginn der Datenverarbeitung, als auch regelmäßig danach, von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Sie sind insoweit verpflichtet, das Ergebnis in geeigneter Weise zu dokumentieren.

 

4. Sie haben das Recht, uns Weisungen in Bezug auf die Verarbeitung der vom Auftrag erfassten Daten zu erteilen. Mündliche Weisungen oder Weisungen in Textform (z.B. durch E-Mail) sind unverzüglich schriftlich zu bestätigen. Uns soll eine angemessene Frist zur Umsetzung der Weisungen eingeräumt werden.

 

5. Sie informieren uns unverzüglich, wenn Sie Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse bzw. bei der Verarbeitung personenbezogener Daten durch uns feststellen.

 

6. Sie sind verpflichtet, alle im Rahmen der Vereinbarung erlangten Kenntnisse von unseren Geschäftsgeheimnissen und Datensicherheitsmaßnahmen vertraulich zu behandeln.

 

 

3. Unsere Pflichten

 

1. Wir sowie unsere Mitarbeiter oder andere für uns tätige Personen verarbeiten personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Ihren Weisungen, vorbehaltlich des Vorliegens eines Ausnahmefalls nach Art. 28 Abs. 3 lit. a) DS-GVO. Wir haben personenbezogene Daten zu berichtigen, zu löschen und in der Verarbeitung einzuschränken, wenn Sie dies in der getroffenen Vereinbarung oder einer Weisung verlangen. Wir werden die Daten nicht eigenmächtig berichtigen, löschen oder in der Verarbeitung einschränken. Wir verwenden die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Ohne Ihr Wissen werden keine Kopien oder Duplikate erstellt, es sei denn, es handelt sich um Sicherheitskopien, die zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind oder Daten, die erforderlich sind um eine gesetzliche Aufbewahrungspflicht zu erfüllen.

 

2. Datenträger, die vom Ihnen stammen bzw. für Sie genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden automatisierten Verwaltung. Eingang und Ausgang werden dabei dokumentiert.

 

3. Wir sichern im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Wir sichern dabei zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

 

4. Wir werden Sie unverzüglich darauf aufmerksam machen, wenn eine von Ihnen erteilte Weisung unserer Meinung nach gegen gesetzliche Bestimmungen verstößt. Wir sind dabei berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis diese durch Sie bestätigt oder geändert wird.

 

5. Wir sind verpflichtet, Sie bei der Einhaltung der Pflichten zur Sicherheit personenbezogener Daten, den Meldepflichten bei Datenpannen nach Art. 33 DS-GVO und Art. 34 DS-GVO, den Datenschutz-Folgeabschätzungen und vorherigen Konsultationen zu unterstützen. Zu unseren Pflichten gehören u.a. aber nicht ausschließlich,

 

  • ein angemessenes Schutzniveau durch technische und organisatorische Maß-nahmen sicherzustellen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen, 

  • Ihnen jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen unverzüglich mitzuteilen, 

  • Sie im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unter-stützen und Ihnen in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen, 

  • die Unterstützung für Ihre Datenschutz-Folgenabschätzung (wenn und soweit einschlägig) und 

  • die Unterstützung im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde. 

 

Für Unterstützungsleistungen, welche nicht in der Leistungsvereinbarung zwischen uns oder auf andere Weise vereinbart sind oder die nicht auf eine schuldhafte Pflichtverletzung unsererseits zurückzuführen sind, können wir eine Vergütung beanspruchen

 

6. Wir sind damit einverstanden, dass Sie jederzeit berechtigt sind, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen getroffenen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme.

 

7. Wir bestätigen, dass wir einen betrieblichen Datenschutzbeauftragten, der seine Tätigkeit nach Art. 38 DS-GVO und Art. 39 DS-GVO ausübt, bestellt haben, und benennen diesen auf unserer Webseite.

 

8. Mit Löschung des Nutzerkontos löschen wir auch die betreffenden personenbezogenen Daten, sofern uns nicht Aufbewahrungspflichten treffen.

 

9. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf Ihrer vorherigen Zustimmung und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.

 

10. Die Beauftragung von Subunternehmern ist zulässig. Wir haben in diesem Falle vertraglich sicherzustellen, dass die vereinbarten Regelungen auch gegenüber Subunter-nehmern gelten. Wir haben die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Verpflichtung nach Art. 28 DS-GVO erfüllt hat. Sie stimmen der Beauftragung der in Anlage 2 genannten Subunternehmer unter den Bedingungen einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis Abs. 4 DS-GVO zu. Auch die Subunternehmer verarbeiten die betreffenden Daten nur in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Eine weitere Auslagerung durch den Subunternehmer bedarf unserer Zu-stimmung mindestens in Textform. Subunternehmer in diesem Sinne sind dabei nur Anbieter, deren Dienstleistungen sich auf die unmittelbare Erbringung der Hauptleistung beziehen. Nebenleistungen wie Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartungen, Benutzerservice oder die Entsorgung von Datenträgern sowie alle Maßnahmen zur Sicherstellung von Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit von Hard- und Software fallen nicht unter diese Regelungen.

 

11. Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung unter dieser Vereinbarung und zu den angewandten Verfahren sind mit Ihnen abzustimmen.

 

12. Wir sichern zu, dass wir Sie über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden informieren, soweit sie diesen Auftrag zum Gegenstand haben. Dies gilt auch, soweit eine Behörde im Rahmen ihrer Zuständigkeit wegen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung bei uns ermittelt. Soweit Sie in einem derartigen Verfahren oder einem zivilrechtlichen Anspruch einer betroffenen Person oder eines Dritten im Zusammenhang mit der Auftragsverarbeitung ausgesetzt sind, verpflichtet wir uns, Sie nach besten Kräften zu unterstützen.

 

13. Wir verpflichten uns, interne Prozesse und die technischen und organisatorischen Maßnahmen (s. Anlage 1) regelmäßig zu überprüfen, um sicherzustellen, dass Datenverarbeitungen durch sie jederzeit im Einklang mit dem geltenden Datenschutzrecht erfolgen.

 

 

4. Datengeheimnis

 

1. Wir verpflichten uns, bei der auftragsgemäßen Verarbeitung der vereinbarungsgegenständlichen personenbezogenen Daten die Vertraulichkeit im Sinne der Art. 28 Abs. 3 S. 2 lit. b), Art. 29 und Art. 32 Abs. 4 DS-GVO zu wahren. Wir verpflichten uns, die gleichen Geheimnisschutzregeln zu beachten, wie sie uns selbst obliegen. Sie sind verpflichtet, uns etwaige besondere Geheimnisschutzregeln mitzuteilen.

 

2. Wir bestätigen, dass uns die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Wir sichern zu, dass wir die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut machen. Wir überwachen die Einhaltung der datenschutzrechtlichen Vorschriften.

 

 

 

 

5. Wahrung der Betroffenenrechte

 

1. Sie sind für die Wahrung der Betroffenenrechte allein verantwortlich. Wendet sich eine betroffene Person unmittelbar an uns, um die Betroffenenrechte geltend zu machen, leiten wir dieses Begehren unmittelbar an Sie weiter.

 

2. Soweit eine Mitwirkung unsererseits für die Wahrung der Betroffenenrechte durch Sie erforderlich ist, werden wir die jeweils erforderlichen Maßnahmen nach Ihrer Weisung treffen. Eine Mitwirkung ist dabei insbesondere in der Gewährleistung der Rechte auf Auskunft, Berichtigung, Einschränkung der Datenverarbeitung, Widerspruch oder Löschung zu sehen.

6. Geheimhaltungspflichten

 

1. Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieser Vereinbarung erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung dieser Vereinbarung zu verwenden. Keine der Parteien ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Informationen Dritten zugänglich zu machen.

 

2. Die Verpflichtung der Parteien erstreckt sich nicht auf Tatsachen und / oder Unterlagen,

 

  • die im Zeitpunkt ihrer Offenbarung durch die andere Partei bereits allgemein zugänglich oder bekannt sind, ohne dass dies auf einem Verstoß einer Partei gegen diese Verpflichtung beruht; 

  • wenn für diese Tatsachen beziehungsweise Unterlagen die andere Partei zuvor ihr schriftliches Einverständnis zur Bekanntgabe erteilt hat; 

  • oder wenn dies in rechtlicher Hinsicht aufgrund einer behördlichen oder gerichtlichen Anordnung oder Auskunftspflicht gegenüber einer Behörde erforderlich ist. Für den Fall, dass diese Voraussetzung vorliegt, wird die betreffende Partei die andere Partei hiervon unterrichten, soweit dies rechtlich zulässig ist. 

 

 

7. Datensicherungsmaßnahmen

 

1. Wir verpflichten uns gegenüber Ihnen zur Einhaltung der in Anlage 1 aufgeführten technischen und organisatorischen Maßnahmen.

 

2. Wir stellen die Sicherheit der Verarbeitung gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO her. Wir treffen Maßnahmen, um die Datensicherheit und ein dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme zu gewährleisten. Wir berücksichtigen hierbei den Stand der Technik, die Implementierungskosten und die Art, den Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO.

 

3. Wir dürfen Maßnahmen, die nicht nur den konkreten Auftrag betreffen, nachweisen, indem wir genehmigte Verhaltensregeln gemäß Art. 40 DS-GVO einhalten, uns nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO zertifizieren lassen, aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) einholen oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) durchführen lassen.

 

4. Da technische und organisatorische Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen, dürfen wir alternative adäquate technische und organisatorische Maßnahmen ergreifen, um ein angemessenes Schutzniveau zu gewährleisten. Das hier festgelegte Sicherheitsniveau darf dabei aber nicht unterschritten werden. Wir haben alle nicht nur unwesentlichen Änderungen zu dokumentieren.

 

 

8. Haftung

Sie und wir haften gegenüber betroffenen Personen entsprechend der in Art. 82 DS-GVO getroffenen Regelung.

 

 

9. Laufzeit

 

Die Laufzeit dieser Vereinbarung bestimmt sich nach der Laufzeit des zugrundeliegenden Vertrags über die Nutzung unseres Produkts.

 

 

10. Schlussbestimmungen

 

1. Sollten Ihre Daten bei uns durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so haben wir Sie unverzüglich zu verständigen.

 

2. Für Nebenabreden ist die Schriftform erforderlich. Dies gilt auch für die Abweichung von diesem Schriftformerfordernis.

 

3. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

 

4. Diese Vereinbarung unterliegt deutschem Recht.

 

 

 

 

Stand: Mai 2018

 

 

Anlage 1 - Technische und organisatorische Maßnahmen

 

 

Pseudonymisierung

 

  • Nicht einschlägig. 

 

Verschlüsselung

 

  • Verschlüsselung von Datenleitungen mittels HTTPS 

  • Verschlüsselung von Backups 

 

Gewährleistung der Vertraulichkeit

 

  • Zutrittskontrolle mittels dokumentierter Schlüsselvergabe und Richtlinien zur Begleitung von Gästen 

  • Zugangskontrolle mittels passwortgeschützten personalisierten Benutzerzugänge mit Mindestpasswortanforderungen 

  • Zugriffskontrolle mittels Rollenkonzept und streng begrenztem Personenkreis 

  • Vertraulichkeitsvereinbarungen sowie Verpflichtung zur Einhaltung der datenschutz-rechtlichen Anforderungen 

 

Gewährleistung der Integrität

 

  • Eingabe erfolgt ausschließlich durch den Nutzer 

  • Verarbeitung erfolgt automatisiert ohne manuelle Eingriffe (Eingabekontrolle) 

  • Regelmäßige Schulungen der Mitarbeiter zum Datenschutzrecht und Vorgehensweisen  

 

Gewährleistung der Verfügbarkeit und Belastbarkeit der Systeme

 

  • Ausfallsicherheit durch redundante IT-Systeme 

 

Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall

 

  • Verfügbarkeit durch redundante Datenhaltung im Livebetrieb 

  • Backup-Konzept mit regelmäßiger mind. täglicher Sicherung an physisch unabhängi-gem Standort 

 

Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung oder Wirksamkeit der technischen und organisatorischen Maßnahmen

 

  • Regelmäßige interne Evaluierung der getroffenen Schutzmaßnahmen 

 

 

 

Stand: Mai 2018

 

 

Anlage 2 – Subunternehmer

 

[derzeit nicht belegt]

 

 

 

 

 

Stand: Mai 2018