PRÄAMBEL:
1. In Anbetracht des Dienstleistungsvertrags („Rahmenvertrag“) nutzt der Verantwortliche (Kunde) die Dienste des Auftragsverarbeiters (Dienstleisters);
2. Da der Dienstleister als Auftragsverarbeiter und der Kunde als Verantwortlicher handelt, hat der Auftragsverarbeiter Zugang zu personenbezogenen Daten des Verantwortlichen;
3. Diese Vereinbarung ist Bestandteil des Dienstleistungsvertrags.
4. Diese Vereinbarung berücksichtigt die Datenschutzgrundsätze gemäß der Verordnung (EU) 2016/679, die ab dem 25. Mai 2018 gilt („DSGVO“), insbesondere die Anforderungen an die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragsverarbeiter im Namen des Verantwortlichen.
Die Parteien haben sich darauf geeinigt, diesen Anhang mit den folgenden Bestimmungen abzuschließen:
1. Definitionen
| „Dienstleistungsvertrag“ oder „Rahmenvertrag“ | Dies ist der Vertrag zwischen Fx Studio Software SRL und seinen Kunden (Nutzer der App „Zen Agenda“), durch den Letztere eine technische Lösung zur Verwaltung von Online- oder SMS-Terminvereinbarungen erhalten. Der Vertrag kann entweder physisch durch Unterzeichnung durch beide Parteien oder elektronisch durch Annahme der Allgemeinen Geschäftsbedingungen in der „Zen Agenda“-App abgeschlossen werden. |
„Verantwortlicher“ | bezeichnet die Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. |
| „Betroffene Person“ | ist jede identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen. |
| „DSGVO“ | bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG. |
| „Personenbezogene Daten“ | sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. |
| „Verarbeitung“ | bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. |
| „Auftragsverarbeiter“ | bezeichnet die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. |
| „Besondere Kategorien personenbezogener Daten“ | sind Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung. |
| „Unterauftragsverarbeiter“ | bezeichnet jede Person, die vom Auftragsverarbeiter oder in dessen Namen zur Verarbeitung personenbezogener Daten beauftragt wird. |
| „Aufsichtsbehörde“ | bezeichnet die Nationale Aufsichtsbehörde für den Schutz personenbezogener Daten oder jede andere Behörde, der Datenschutzaufgaben gemäß der DSGVO zugewiesen wurden. |
2. GEGENSTAND DER VEREINBARUNG
2.1. Gegenstand dieser Vereinbarung ist die Verarbeitungstätigkeit, die vom Auftragsverarbeiter im Zusammenhang mit dem Dienstleistungsvertrag durchgeführt wird.
2.2. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag des Verantwortlichen und nur zu den in diesem Anhang genannten Zwecken, es sei denn, gesetzliche Bestimmungen verpflichten ihn zur Verarbeitung für eigene Zwecke. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung, es sei denn, das Gesetz untersagt die Information aus Gründen des öffentlichen Interesses.
2.3. Jegliche Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, einschließlich Berichtigung, Löschung, Sperrung und Übermittlung, erfolgt gemäß den Anweisungen des Verantwortlichen, sofern in dieser Vereinbarung nichts anderes festgelegt ist.
2.4. Die Bestimmungen dieser Vereinbarung haben Vorrang vor den Regelungen im Rahmenvertrag in Bezug auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Auftragsverarbeiter im Namen des Verantwortlichen. Alle diesbezüglichen Klauseln im Rahmenvertrag werden ab dem Inkrafttreten dieser Vereinbarung durch deren Bestimmungen ersetzt.
2.5. Die für die Verarbeitung erforderlichen personenbezogenen Daten sowie die betroffenen Personengruppen und Einzelheiten zur Datenerhebung und -verarbeitung sind nachstehend aufgeführt.
2.6. Die Parteien verstehen, dass die vom Auftragsverarbeiter im Namen des Verantwortlichen verarbeiteten personenbezogenen Daten Eigentum des Verantwortlichen und der betroffenen Personen bleiben und die Verarbeitung keinen Eigentumsübergang an den Daten beinhaltet.
3. DAUER DER VEREINBARUNG
3.1. Diese Vereinbarung tritt mit dem Login des Nutzers in die Anwendung in Kraft, wobei deren Annahme Voraussetzung für die Nutzung der Anwendung ist, und bleibt bis zur Beendigung des Dienstleistungsvertrags in Kraft.
4. VERARBEITUNGSTÄTIGKEIT DES AUFTRAGSVERARBEITERS
- Adresse
- Alter
- Staatsangehörigkeit
- Personalausweisnummer
- Position im Unternehmen
- Authentifizierungsdaten (PIN/Passwort)
- Authentifizierungsdaten (Benutzername)
- Kredit-/Debitkartendaten
- Finanzdaten des Kunden
- Geburtsdatum
- Ausbildung
- Mitarbeiter-ID
- Finanzdaten des Mitarbeiters
- Faxnummer
- Vor- und/oder Nachname
- Geschlecht
- Geolokalisierungsdaten
- IBAN
- Bild
- IP-Adresse
- Berufsbezeichnung
- Familienstand
- Kopien persönlicher Dokumente
- Telefonnummer(n) (Kontakt)
- Geburtsort
- Ergebnisse der Datenerhebung zur Profilerstellung
- Seriennummer und Nummer des Personalausweises, Reisepasses und/oder Führerscheins
- Unterschrift (handschriftlich, elektronische Kopien)
- Social-Media-Konten (Facebook, LinkedIn, Instagram, Yahoo usw.)
- Fahrzeugkennzeichen
- Web-Cookies
- Termine für Beratungen/Besprechungen
4.2. Betroffene Personen, deren personenbezogene Daten vom Auftragsverarbeiter verarbeitet werden:
- Einzelkunden;
- Vertreter oder Kontaktpersonen von juristischen Personen (Firmenkunden);
- Mitarbeiter der Kunden;
- Kunden der Kunden;
- Vertreter/Agenten/Kontaktpersonen von Geschäftspartnern
- Website-Besucher
- Weitere betroffene Personen ….. (bitte angeben)
4.3. Die Zwecke der Verarbeitung sind wie folgt:
- Abschluss und Erfüllung des Dienstleistungsvertrags;
- Technischer Support für die Nutzung der Anwendung;
- Rechnungsstellung und Zahlungen.
5. PFLICHTEN
5.1. Verarbeitung. Der Auftragsverarbeiter verarbeitet die von dieser Vereinbarung betroffenen personenbezogenen Daten nur auf Anweisung des Verantwortlichen. Aufgrund dieser Vereinbarung ist der Auftragsverarbeiter nicht berechtigt, personenbezogene Daten für eigene Zwecke zu erheben, zu verarbeiten oder zu nutzen.
5.2. Vertraulichkeit. Der Auftragsverarbeiter stellt sicher, dass sein mit der Verarbeitung personenbezogener Daten betrautes Personal über die Vertraulichkeit solcher Daten informiert wurde, eine angemessene Schulung zu ihren Pflichten erhalten hat und schriftliche Vertraulichkeitsvereinbarungen unterzeichnet hat.
5.3. Sicherheitsmaßnahmen. Der Auftragsverarbeiter stimmt zu und garantiert, dass er geeignete Sicherheitsmaßnahmen getroffen hat, um personenbezogene Daten vor zufälliger oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff sowie allen anderen rechtswidrigen Verarbeitungsformen zu schützen. Diese Maßnahmen gewährleisten ein angemessenes Sicherheitsniveau entsprechend den Risiken der Verarbeitung und der Art der zu schützenden personenbezogenen Daten unter Berücksichtigung des Stands der Technik und der Implementierungskosten. Der Auftragsverarbeiter wird technische und organisatorische Maßnahmen umsetzen und aufrechterhalten, um die personenbezogenen Daten des Verantwortlichen gemäß den gesetzlichen Bestimmungen angemessen zu schützen und deren Einhaltung sicherzustellen.
5.4. Datenschutz-Folgenabschätzung und vorherige Konsultation. Der Auftragsverarbeiter unterstützt den Verantwortlichen auf dessen Anfrage bei der Einhaltung der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO durch Bereitstellung relevanter Informationen zum Verarbeitungszweck. Gegebenenfalls unterstützt der Auftragsverarbeiter den Verantwortlichen auch bei der vorherigen Konsultation der Aufsichtsbehörde gemäß Artikel 36 DSGVO.
5.5. Anfragen betroffener Personen. Innerhalb von höchstens 4 (vier) Werktagen nach Eingang informiert der Auftragsverarbeiter den Verantwortlichen über jegliche Anfrage einer betroffenen Person zur Ausübung ihrer Rechte gemäß der DSGVO. Der Auftragsverarbeiter antwortet auf eine solche Anfrage nur mit vorheriger Zustimmung des Verantwortlichen. Auf Anforderung leistet der Auftragsverarbeiter dem Verantwortlichen angemessene Unterstützung bei der Bearbeitung solcher Anfragen. Der Verantwortliche bleibt jedoch allein verantwortlich für die Information der betroffenen Personen und die Wahrung ihrer Rechte gemäß der Datenschutz-Grundverordnung.
5.6. Aufsichtsbehörde. Jede Inspektion, Informationsanfrage oder andere Maßnahme der Aufsichtsbehörde im Zusammenhang mit personenbezogenen Daten wird vom Auftragsverarbeiter dem Verantwortlichen innerhalb von höchstens 10 (zehn) Werktagen mitgeteilt.
5.7. Verzeichnis der Verarbeitungstätigkeiten. Der Auftragsverarbeiter erstellt, pflegt und aktualisiert fortlaufend ein Verzeichnis der Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO.
5.8. Ort der Verarbeitung. Der Auftragsverarbeiter verpflichtet sich, die Verarbeitung nicht außerhalb des Europäischen Wirtschaftsraums vorzunehmen, es sei denn, eine solche Übermittlung ist gemäß DSGVO oder anderen Vorschriften rechtmäßig.
5.9. Unterauftragsverarbeiter. Der Auftragsverarbeiter darf seine Verpflichtungen aus dieser Vereinbarung an einen Unterauftragsverarbeiter oder Dritten weitergeben, ohne dass eine vorherige Zustimmung oder Formalität seitens des Verantwortlichen erforderlich ist.
6. BEENDIGUNG DIESER VEREINBARUNG UND IHRE FOLGEN
6.1. Diese Vereinbarung endet wie folgt:
(a) Durch schriftliche Mitteilung mit sofortiger Wirkung seitens des Verantwortlichen, ohne Einschaltung eines Gerichts oder Einhaltung weiterer Formalitäten, wenn der Auftragsverarbeiter gegen Verpflichtungen aus dieser Vereinbarung oder gegen Anforderungen des nationalen oder europäischen Datenschutzrechts verstößt. Die Mitteilung wird 10 Tage nach ihrem Zugang wirksam.
(b) Mit Beendigung des Dienstleistungsvertrags, unabhängig vom Grund.
6.2. Die Beendigung dieser Vereinbarung und/oder des Rahmenvertrags, unabhängig vom Grund, hat die Rückgabe sämtlicher personenbezogener Daten durch den Auftragsverarbeiter an den Verantwortlichen sowie deren Löschung im gesetzlich zulässigen Umfang zur Folge. Auf mobilen Speichermedien gespeicherte Daten sind vor deren Entsorgung physisch zu löschen. Der Auftragsverarbeiter ist dafür verantwortlich, dass keine personenbezogenen Daten des Verantwortlichen an Dritte weitergegeben werden und dass auf Hardware gespeicherte Daten, die weitergegeben werden sollen, vorab vollständig gelöscht werden.
7. SCHADENSERSATZ
7.1. Erleidet eine Partei infolge eines Verstoßes der anderen Partei gegen diese Vereinbarung einen Schaden – unabhängig vom Verschulden –, so hat die geschädigte Partei Anspruch auf vollständigen Ersatz aller Verluste, einschließlich sämtlicher Kosten und Ausgaben, und kann alle verfügbaren Rechtsmittel in Anspruch nehmen, um in den Zustand versetzt zu werden, in dem sie sich ohne den Verstoß befunden hätte.
7.2. Im Sinne dieser Vereinbarung bezeichnet „Schäden“ sämtliche Entschädigungen, Bußgelder, Gebühren, Strafen, Investitionen sowie aktuelle und zukünftige Ausgaben, die einer Partei infolge eines Verstoßes der anderen Partei gegen diese Vereinbarung entstehen.
8. SCHLUSSBESTIMMUNGEN
8.1 Diese Vereinbarung ist gemeinsam mit dem Dienstleistungsvertrag zu lesen. Im Konfliktfall hat diese Vereinbarung Vorrang.
8.2 Änderungen dieser Vereinbarung erfolgen schriftlich in Form eines von beiden Parteien unterzeichneten Nachtrags.
8.3 Jede Mitteilung zwischen den Parteien ist per Einschreiben mit Rückschein an die im Rahmenvertrag angegebenen Adressen zu senden.
8.4 Diese Vereinbarung unterliegt dem rumänischen Recht. Die Parteien bemühen sich um eine gütliche Einigung. Ist dies nicht möglich, wird der Streitfall von den zuständigen rumänischen Gerichten entschieden.
Letzte Aktualisierung: 27.01.2025
