Vereinbarung zur Datenverarbeitung
Dieser Text ist eine Übersetzung des englischen Originals. Für weitere Informationen kontaktieren Sie unseren Support.
Diese Vereinbarung zur Datenverarbeitung (diese „DPA“) wurde geschlossen zwischen Billogram AB, Unternehmens-ID Nr. 556801–7155 (der „Auftragsverarbeiter“ oder „Billogram“) und dem Kunden, der Vertragspartei des Servicevertrags ist (der „Verantwortliche“ oder „Kunde“).
Der Auftragsverarbeiter und der Verantwortliche werden gemeinsam als (die „Parteien“) und jeweils als (eine „Partei“) bezeichnet.
Diese DPA regelt die Rechte und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung des Services des Auftragsverarbeiters.
Diese DPA stellt die gesamte DPA und Vereinbarung der Parteien in Bezug auf diesen Gegenstand dar und ersetzt alle vorherigen Vereinbarungen und Verständigungen, ob schriftlich oder mündlich, die sich auf diesen Gegenstand beziehen.
1. Definitionen
Soweit die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, nachstehend als Datenschutz-Grundverordnung („DSGVO“) bezeichnet, Begriffe enthält, die den in dieser DPA verwendeten Begriffen ähneln, sollen diese Begriffe die gleiche Bedeutung wie in der DSGVO haben. Zusätzlich zu den in dieser DPA fortlaufend definierten Begriffen sollen die folgenden Begriffe die unten angegebene Bedeutung haben.
| Begriff | Definition |
|---|---|
| Verantwortlicher | Eine natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. |
| Kundendaten | Personenbezogene Daten in Bezug auf die Kunden des Kunden. |
| Datenschutzgesetze | Alle Datenschutz- und personenbezogenen Daten-Gesetze sowie sonstige Gesetze (einschließlich Verordnungen und Richtlinien), die für die im Rahmen dieser DPA durchgeführte Verarbeitung gelten, einschließlich nationaler und EU-Gesetzgebung, insbesondere der DSGVO. |
| Betroffene Person | Eine natürliche Person, deren personenbezogene Daten verarbeitet werden. |
| Anweisungen | Die schriftlichen Anweisungen, die den Gegenstand, die Dauer, Art und Zweck der Verarbeitung personenbezogener Daten sowie die Kategorien der betroffenen Personen und besondere Anforderungen an die Verarbeitung, wie in Anhang 1 festgelegt, genauer definieren. |
| Personenbezogene Daten | Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wobei eine identifizierbare natürliche Person eine Person ist, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind. |
| Verletzung des Schutzes personenbezogener Daten | Ein Sicherheitsverstoß, der zu einer zufälligen oder unrechtmäßigen Zerstörung, einem Verlust, einer Veränderung, einer unbefugten Offenlegung oder einem unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt. |
| Verarbeitung | Jeder Vorgang oder jede Reihe von Vorgängen, die an personenbezogenen Daten oder an Datensätzen mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob sie automatisiert erfolgen, wie das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder eine andere Form der Bereitstellung, Abgleichen oder Verbinden, Einschränken, Löschen oder Vernichten. |
| Auftragsverarbeiter | Eine natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. |
| Service | Der Service von Billogram, wie im Servicevertrag definiert. |
| Servicevertrag | Die Vereinbarung zwischen den Parteien, die den Service regelt. |
| Unterauftragsverarbeiter | Eine natürliche oder juristische Person, Behörde, Agentur oder andere Stelle, die als Unterauftragnehmer des Auftragsverarbeiters personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. |
| Drittland | Ein Land, das kein Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) ist. |
2. Hintergrund und Zweck
2.1 Die Parteien haben den Servicevertrag abgeschlossen.
2.2 Die Verpflichtungen des Auftragsverarbeiters gemäß dem Servicevertrag umfassen die Verarbeitung personenbezogener Daten als Auftragsverarbeiter im Auftrag des Verantwortlichen.
2.3 Um den Service bereitzustellen, verarbeitet Billogram auch Kundendaten für eigene Zwecke, wie in Abschnitt B näher beschrieben.
2.4 Die Parteien haben diese DPA abgeschlossen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Einklang mit den Datenschutzgesetzen erfolgt.
2.5 Ziel dieser DPA ist es, die aktuellen Anforderungen an eine Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 28 DSGVO zu erfüllen und die Freiheiten und Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu schützen.
2.6 Durch diese DPA, die Anweisungen und eine Liste der Unterauftragsverarbeiter (wobei die Anweisungen und die Liste der Unterauftragsverarbeiter als Teil dieser DPA gelten), regelt der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen.
2.7 Im Falle eines Widerspruchs zwischen dieser DPA und dem Servicevertrag hat diese DPA Vorrang.
2.8 Jeder Verweis in dieser DPA auf nationale oder unionsweite Gesetzgebung bezieht sich auf die jeweils geltenden Bestimmungen.
Abschnitt A: Billogram als Auftragsverarbeiter
3. Verarbeitung personenbezogener Daten und Spezifikationen
3.1 Der Verantwortliche beauftragt hiermit den Auftragsverarbeiter, gemäß den Bestimmungen dieser DPA im Auftrag des Verantwortlichen eine Verarbeitung zum Zweck der Bereitstellung des Services gemäß dem Servicevertrag durchzuführen.
3.2 Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten in Übereinstimmung mit dieser DPA sowie seinen eigenen Verpflichtungen gemäß den Datenschutzgesetzen zu verarbeiten.
3.3 Der Auftragsverarbeiter verpflichtet sich ferner, personenbezogene Daten nur gemäß den dokumentierten Anweisungen des Verantwortlichen zu verarbeiten, es sei denn, die Datenschutzgesetze sehen etwas anderes vor.
3.4 Die Anweisungen des Verantwortlichen an den Auftragsverarbeiter sind in dieser DPA und in Anhang 1 dieser DPA festgelegt. Der Verantwortliche ist dafür verantwortlich, dass die Anweisungen den Verpflichtungen des Verantwortlichen gemäß den Datenschutzgesetzen entsprechen.
3.5 Der Verantwortliche bestätigt, dass die in dieser DPA festgelegten Verpflichtungen des Auftragsverarbeiters, einschließlich der Anweisungen, die vollständigen und umfassenden Anweisungen darstellen, denen der Auftragsverarbeiter zu folgen hat.
3.6 Der Verantwortliche verpflichtet sich, den Auftragsverarbeiter unverzüglich über alle Änderungen in der Verarbeitung zu informieren, die die Verpflichtungen des Auftragsverarbeiters gemäß den Datenschutzgesetzen beeinflussen könnten.
3.7 Der Auftragsverarbeiter unterstützt den Verantwortlichen in dem Umfang, wie es gemäß den Datenschutzgesetzen erforderlich ist, und entsprechend den Anweisungen des Verantwortlichen in jedem Einzelfall, um die rechtlichen Verpflichtungen des Verantwortlichen gemäß den Datenschutzgesetzen zu erfüllen.
3.8 Der Verantwortliche ist dafür verantwortlich, die betroffenen Personen über die Verarbeitung zu informieren und die Rechte der betroffenen Personen gemäß den Datenschutzgesetzen zu wahren sowie alle weiteren Maßnahmen zu ergreifen, die von ihm gemäß den Datenschutzgesetzen gefordert werden.
3.9 Sollte der Auftragsverarbeiter die Anweisungen als unklar, im Widerspruch zu den Datenschutzgesetzen stehend oder nicht vorhanden betrachten und der Meinung sein, dass neue oder ergänzende Anweisungen erforderlich sind, um seinen Verpflichtungen gemäß dieser DPA und den Datenschutzgesetzen nachzukommen, wird der Auftragsverarbeiter den Verantwortlichen hierüber unverzüglich informieren.
3.10 Im Falle von Änderungen des Services, die neue oder geänderte Anweisungen mit sich bringen und der Verantwortliche diesen neuen oder geänderten Verarbeitungen berechtigterweise widerspricht, kann der Verantwortliche diese DPA und den Servicevertrag mit einer schriftlichen Kündigungsfrist von dreißig (30) Kalendertagen ohne Kündigungskosten beenden.
4. Sicherheitsmaßnahmen
4.1 Der Auftragsverarbeiter gewährleistet, dass er die gemäß den Datenschutzgesetzen erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen implementiert hat, um Verletzungen des Schutzes personenbezogener Daten zu verhindern und die Rechte der betroffenen Personen zu schützen.
4.2 Der Auftragsverarbeiter hat die in den Anweisungen festgelegten technischen und organisatorischen Maßnahmen umgesetzt und verpflichtet sich, diese nicht wesentlich zu ändern oder die Sicherheitsmaßnahmen in einer Weise anzupassen, die zu einem geringeren Schutzniveau der Informationssicherheit als in Abschnitt 4.1 oder den Anweisungen vorgesehen führt, ohne die vorherige schriftliche Zustimmung des Verantwortlichen einzuholen.
4.3 Der Auftragsverarbeiter stellt fortlaufend sicher, dass die technischen und organisatorischen Sicherheitsmaßnahmen in Bezug auf die Verarbeitung ein angemessenes Maß an Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit aufrechterhalten.
5. Anfragen nach Informationen und Offenlegung personenbezogener Daten
5.1 Der Auftragsverarbeiter verpflichtet sich, ohne die vorherige schriftliche Zustimmung des Verantwortlichen keine personenbezogenen Daten, die im Rahmen dieser DPA verarbeitet werden, offenzulegen oder Dritten zugänglich zu machen, es sei denn, schwedisches oder europäisches Recht, gerichtliche oder behördliche Entscheidungen sehen etwas anderes vor. Ungeachtet dessen ist der Auftragsverarbeiter berechtigt, personenbezogene Daten ohne vorherige Genehmigung des Verantwortlichen an Drittparteien weiterzugeben, die Clearing-Systeme, Banken und/oder Zahlungsdienstleister sind oder bereitstellen, soweit dies erforderlich ist, um Zahlungen gemäß dem Servicevertrag abzuwickeln. Diese Drittparteien gelten in Bezug auf die erhaltenen personenbezogenen Daten als Verantwortliche.
5.2 Der Auftragsverarbeiter trifft alle angemessenen Maßnahmen (i) zur Wahrung der Vertraulichkeit der personenbezogenen Daten, (ii) um sicherzustellen, dass nur die Mitarbeiter und sonstigen Vertreter des Auftragsverarbeiters, die Zugang zu personenbezogenen Daten benötigen, um die Verpflichtungen des Auftragsverarbeiters gemäß dieser DPA und dem Servicevertrag zu erfüllen, Zugang zu den personenbezogenen Daten haben, (iii) um die Zuverlässigkeit solcher Mitarbeiter und Vertreter des Auftragsverarbeiters sicherzustellen und (iv) um sicherzustellen, dass alle Mitarbeiter und Vertreter schriftlich zugestimmt haben, die Vertraulichkeit der personenbezogenen Daten zu wahren.
5.3 Sollten betroffene Personen Informationen zur Verarbeitung personenbezogener Daten vom Auftragsverarbeiter anfordern, verweist der Auftragsverarbeiter diese Anfragen unverzüglich an den Verantwortlichen.
5.4 Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich und unter Berücksichtigung der Art der Verarbeitung, bei der Erfüllung der Pflichten des Verantwortlichen, um Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß der DSGVO (wie Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Zugriffsanforderungen) gemäß Abschnitt 7 unten zu erfüllen.
5.5 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Verpflichtung zur Durchführung von Datenschutz-Folgenabschätzungen für die im Rahmen dieser DPA erfolgte Verarbeitung, wenn diese Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt.
5.6 Fordern zuständige Behörden Informationen vom Auftragsverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten gemäß dieser DPA oder dem Servicevertrag an, verweist der Auftragsverarbeiter diese Anfragen unverzüglich an den Verantwortlichen. Der Auftragsverarbeiter darf keinesfalls im Namen oder als Vertreter des Verantwortlichen handeln und personenbezogene Daten oder sonstige Informationen im Zusammenhang mit der Verarbeitung personenbezogener Daten nicht ohne vorherige Anweisung des Verantwortlichen an Dritte übermitteln oder anderweitig offenlegen, es sei denn, schwedisches oder europäisches Recht, gerichtliche oder behördliche Entscheidungen sehen etwas anderes vor. Der Auftragsverarbeiter unterstützt den Verantwortlichen durch Bereitstellung der erforderlichen Informationen, Unterstützung und Ressourcen, die erforderlich sein könnten, um die Verpflichtung des Verantwortlichen zur Information und Dokumentation gegenüber den zuständigen Behörden zu erfüllen.
5.7 Falls der Auftragsverarbeiter nach geltendem schwedischen oder europäischem Recht verpflichtet ist, personenbezogene Daten offenzulegen, die der Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich darüber zu informieren, sofern nicht durch schwedisches oder europäisches Recht, gerichtliche oder behördliche Entscheidungen etwas anderes bestimmt ist, und gleichzeitig Vertraulichkeit im Zusammenhang mit der Offenlegung der angeforderten Informationen zu beantragen.
6. Audits
6.1 Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter unverzüglich Informationen über die technischen und organisatorischen Sicherheitsmaßnahmen zur Verfügung, die sicherstellen, dass die Verarbeitung den Anforderungen dieser DPA und den Datenschutzgesetzen entspricht, und ermöglicht und unterstützt Audits, die vom Verantwortlichen oder einem vom Verantwortlichen beauftragten Prüfer durchgeführt werden, vorausgesetzt, dass die Personen, die die Audits durchführen, angemessene Vertraulichkeitsvereinbarungen mit dem Auftragsverarbeiter abschließen.
6.2 Solche Audits müssen mit einer Frist von mindestens dreißig (30) Geschäftstagen schriftlich angekündigt werden und dürfen einmal pro Kalenderjahr durchgeführt werden, es sei denn, der Verantwortliche hält ein zusätzliches Audit aufgrund berechtigter Bedenken hinsichtlich der Einhaltung dieser DPA durch den Auftragsverarbeiter für erforderlich oder im Falle einer Sicherheitsverletzung, die solche Bedenken vernünftigerweise auslösen könnte. Bei einem Antrag auf ein zusätzliches Audit wird der Verantwortliche die Gründe für den Antrag, seine Bedenken und sonstige relevante Informationen bei der Ankündigung des zusätzlichen Audits an den Auftragsverarbeiter mitteilen.
6.3 Alle Informationen, die als Geschäftsgeheimnis betrachtet werden oder aufgrund von Gesetzen oder Vereinbarungen der Vertraulichkeit unterliegen, werden von dem Audit ausgeschlossen, und der Verantwortliche hat kein Recht auf Zugriff, Prüfung oder Inspektion solcher Informationen.
6.4 Informationen, die der Verantwortliche oder ein beauftragter Prüfer des Verantwortlichen während eines Audits im Rahmen dieser DPA sammelt, müssen vom Verantwortlichen gelöscht werden, sobald sie für den Zweck des Audits nicht mehr erforderlich sind, und der Verantwortliche bestätigt dies schriftlich gegenüber dem Auftragsverarbeiter.
6.5 Der Auftragsverarbeiter informiert den Verantwortlichen, falls er der Meinung ist, dass die Anweisungen des Verantwortlichen im Rahmen der Ausübung der Rechte des Verantwortlichen gegen die Datenschutzgesetze verstoßen.
6.6 Audits werden während der normalen Geschäftszeiten durchgeführt, um Störungen im Geschäftsbetrieb des Auftragsverarbeiters zu minimieren. Der Verantwortliche stellt dem Auftragsverarbeiter umgehend eine Kopie der Ergebnisse des Audits zur Verfügung.
6.7 Ungeachtet anderer Bestimmungen in dieser DPA ist der Auftragsverarbeiter nicht verpflichtet, einem Dritten, der ein Wettbewerber des Auftragsverarbeiters ist, Zugang für ein Audit zu gewähren.
6.8 Der Auftragsverarbeiter ermöglicht der Aufsichtsbehörde oder einer anderen Behörde mit rechtlicher Befugnis, jederzeit auf Anfrage ein Audit durchzuführen und in Übereinstimmung mit den Datenschutzgesetzen, auch wenn ein solches Audit ansonsten gegen die Bestimmungen dieser DPA verstoßen würde.
7. Handhabung von Berichtigungen, Löschungen etc.
7.1 Wenn der Verantwortliche eine Berichtigung oder Löschung aufgrund einer fehlerhaften Verarbeitung durch den Auftragsverarbeiter oder aufgrund einer Anfrage einer betroffenen Person angefordert hat, ergreift der Auftragsverarbeiter unverzüglich angemessene Maßnahmen, spätestens jedoch innerhalb von dreißig (30) Kalendertagen ab dem Datum, an dem der Auftragsverarbeiter die erforderlichen Informationen vom Verantwortlichen erhalten hat. Hat der Verantwortliche eine Löschung angefordert, darf der Auftragsverarbeiter die betreffenden personenbezogenen Daten nur im Rahmen des Berichtigungs- oder Löschprozesses oder soweit dies durch die Datenschutzgesetze oder andere anwendbare Gesetze erforderlich ist, verarbeiten.
8. Verletzungen des Schutzes personenbezogener Daten
8.1 Der Auftragsverarbeiter muss in der Lage sein, die Verfügbarkeit und den Zugang zu personenbezogenen Daten rechtzeitig wiederherzustellen, falls es zu einem physischen oder technischen Vorfall kommt, wie in Artikel 32(1)(c) der DSGVO vorgesehen.
8.2 Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen im Falle einer Verletzung des Schutzes personenbezogener Daten, die die Verarbeitung betrifft, bei der Erfüllung seiner Pflichten zu unterstützen. Auf Anfrage des Verantwortlichen unterstützt der Auftragsverarbeiter auch bei der Untersuchung von Verdachtsfällen auf unbefugte Verarbeitung und/oder unbefugten Zugriff auf personenbezogene Daten.
8.3 Wenn der Auftragsverarbeiter Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, wird er den Verantwortlichen unverzüglich schriftlich darüber informieren. Der Auftragsverarbeiter stellt dem Verantwortlichen, soweit ihm Informationen zur Verfügung stehen, eine schriftliche Beschreibung der Verletzung des Schutzes personenbezogener Daten zur Verfügung.
8.4 Eine Benachrichtigung gemäß Abschnitt 8.3 enthält alle Informationen, die der Verantwortliche vernünftigerweise benötigt, um seine Pflichten gemäß den Datenschutzgesetzen zu erfüllen. Dazu gehören beispielsweise:
a) die Art der Verletzung des Schutzes personenbezogener Daten, Kategorien und die ungefähre Anzahl betroffener betroffener Personen sowie Kategorien und die ungefähre Anzahl eingeschlossener personenbezogener Daten;
b) die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; und
c) eine Beschreibung der ergriffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten oder zur Abschwächung ihrer potenziellen negativen Auswirkungen.
8.5 Falls es dem Auftragsverarbeiter nicht möglich ist, alle erforderlichen Informationen gleichzeitig mit der Benachrichtigung über die Verletzung des Schutzes personenbezogener Daten bereitzustellen, kann die Beschreibung stufenweise und ohne unnötige zusätzliche Verzögerung erfolgen.
8.6 Soweit eine Verletzung des Schutzes personenbezogener Daten aufgrund eines Handelns oder Unterlassens des Verantwortlichen oder aufgrund anderer Umstände auf Seiten des Verantwortlichen erfolgt, mit denen der Auftragsverarbeiter nichts zu tun hat oder für die er keine Verantwortung trägt, wird jegliche vom Verantwortlichen angeforderte Unterstützung des Auftragsverarbeiters nach dem tatsächlichen Zeit- und Materialaufwand berechnet.
8.7 Der Verantwortliche entschädigt den Auftragsverarbeiter für alle direkten Kosten, die dem Auftragsverarbeiter gemäß diesem Abschnitt 8 entstehen, wenn der Verantwortliche die Datenschutzgesetze oder diese DPA nicht einhält.
9. Unterauftragsverarbeiter
9.1 Der Auftragsverarbeiter darf nur die in Anhang 2 aufgeführten Unterauftragsverarbeiter zur Erfüllung seiner Verpflichtungen im Rahmen dieser DPA einsetzen. Jeder Einsatz eines Unterauftragsverarbeiters im Rahmen dieser DPA setzt voraus, dass dieser sich schriftlich zu den gleichen Datenschutzverpflichtungen wie in dieser DPA festgelegt verpflichtet.
9.2 Beabsichtigt der Auftragsverarbeiter, einen neuen Unterauftragsverarbeiter zu beauftragen oder einen bestehenden zu ersetzen, überprüft der Auftragsverarbeiter die Fähigkeit und Kapazität des Unterauftragsverarbeiters, seine Verpflichtungen gemäß den Datenschutzgesetzen zu erfüllen.
9.3 Der Verantwortliche kann Einwände gegen neue Unterauftragsverarbeiter erheben, vorausgesetzt, der Verantwortliche hat einen objektiv gerechtfertigten Grund, den neuen Unterauftragsverarbeiter nicht zu genehmigen, und erhebt den Einwand innerhalb von vierzehn (14) Kalendertagen nach Benachrichtigung des Auftragsverarbeiters über die Absicht, den Unterauftragsverarbeiter einzusetzen. Erhebt der Verantwortliche innerhalb der festgelegten Frist keinen schriftlichen Einwand, gilt der Unterauftragsverarbeiter als genehmigt. Wenn der Verantwortliche berechtigterweise Einwände gegen einen neuen Unterauftragsverarbeiter erhebt, kann der Verantwortliche diese DPA und den Servicevertrag mit einer Frist von dreißig (30) Kalendertagen schriftlich und ohne Kündigungskosten beenden.
9.4 Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für jegliche Verarbeitung, die durch einen Unterauftragsverarbeiter durchgeführt wird, so als ob es sich um die eigene Verarbeitung des Auftragsverarbeiters handelt.
9.5 Wenn der Auftragsverarbeiter die Nutzung eines Unterauftragsverarbeiters beendet, benachrichtigt er den Verantwortlichen schriftlich darüber.
9.6 Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter eine Kopie der Vereinbarung zur Verfügung, die die Verarbeitung personenbezogener Daten durch den Unterauftragsverarbeiter regelt.
10. Lokalisierung und Übermittlung personenbezogener Daten in ein Drittland
10.1 Der Auftragsverarbeiter stellt sicher, dass die personenbezogenen Daten hauptsächlich innerhalb der EU/des EWR von einer natürlichen oder juristischen Person verarbeitet werden, die in der EU/EWR ansässig ist, und dass jede Übermittlung personenbezogener Daten in ein Drittland zur Verarbeitung (z. B. für Service, Support, Wartung, Entwicklung, Betrieb oder ähnliche Zwecke) nur erfolgt, wenn eine solche Übermittlung den Datenschutzgesetzen entspricht und die in dieser DPA und den Anweisungen festgelegten Anforderungen an die Verarbeitung erfüllt sind. Dazu gehört unter anderem sicherzustellen, dass:
(i) die EU-Kommission festgestellt hat, dass das Schutzniveau im Drittland, in dem die personenbezogenen Daten verarbeitet werden, angemessen ist und daher eine Angemessenheitsentscheidung erteilt wurde; oder
(ii) die Verarbeitung durch die Standardvertragsklauseln (SCCs) der EU-Kommission für die Datenübermittlung in Drittländer abgedeckt ist; jeweils in der geltenden Fassung; oder
(iii) die Verarbeitung durch genehmigte verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) einer zuständigen Aufsichtsbehörde abgedeckt ist; und
(iv) der Auftragsverarbeiter vor der Übermittlung andere geeignete Schutzmaßnahmen ergriffen hat und dass diese Schutzmaßnahmen den Datenschutzgesetzen entsprechen.
10.2 Der Auftragsverarbeiter stellt sicher, dass keine Bestimmungen in den Standardvertragsklauseln oder den verbindlichen internen Datenschutzvorschriften im Widerspruch zu dieser DPA, einschließlich der Anweisungen, stehen.
11. Vergütung
11.1 Der Auftragsverarbeiter hat Anspruch auf eine Vergütung nach Zeit- und Materialaufwand und wendet die jeweils geltenden Servicegebühren des Auftragsverarbeiters für die Arbeiten an, die gemäß den Abschnitten 4.4, 6 und 8.6 dieser DPA durchgeführt werden. Darüber hinaus werden alle vom Auftragsverarbeiter in Verbindung mit diesen Arbeiten entstandenen Kosten oder Auslagen Dritter vom Verantwortlichen vollständig erstattet.
11.2 Der Auftragsverarbeiter hat keinen Anspruch auf eine andere Vergütung für die Verarbeitung personenbezogener Daten im Rahmen dieser DPA als die oben genannten.
Abschnitt B: Billogram als Verantwortlicher
12. Zweck der Verarbeitung
12.1 Zur Bereitstellung des Services verarbeitet Billogram auch Kundendaten, um Lastschriftmandate zu verwalten, die Funktionalität des Services sicherzustellen, die Leistung des Services zu analysieren, Fehler zu beheben und den Service zu verbessern, weiterzuentwickeln und dessen Nutzung zu messen. Wenn Billogram Kundendaten für die oben beschriebenen eigenen Zwecke verarbeitet, handelt Billogram in Bezug auf diese Verarbeitungstätigkeiten als Verantwortlicher.
12.2 Die Bestimmungen zur Verarbeitung von Kundendaten gemäß diesem Abschnitt bleiben so lange in Kraft, wie eine Offenlegung der Daten zu den zwischen den Parteien vereinbarten Zwecken erfolgt.
13. Umfang der Verarbeitung
13.1 Die folgende Tabelle beschreibt den Umfang der Verarbeitung durch Billogram als Verantwortlicher.
| Betroffene Personen | Zweck der Verarbeitung | Kategorien der betroffenen personenbezogenen Daten | Besondere Kategorien personenbezogener Daten | Art der Verarbeitung | Rechtsgrundlage für die Verarbeitung |
|---|---|---|---|---|---|
| Die Kunden der Kunden von Billogram, was im Rahmen dieser DPA sowohl Rechnungsempfänger als auch Zahler umfasst. | Zur Analyse der Leistung des Services, zur Fehlerbehebung sowie zur Verbesserung, Weiterentwicklung und Messung der Nutzung des Services. | Identifikationsdaten, Kontaktdaten, Rechnungs- und Zahlungsinformationen, Bankdaten (Bankleitzahl), Falldaten, Kommunikationsinformationen, Gerätedaten, durch die Nutzung des Services generierte Informationen | Können je nach Rechnungsinhalt auftreten, wie etwa Informationen, die eine Gewerkschaftszugehörigkeit offenbaren, oder Daten, die die Gesundheit betreffen. | Erhebung, Speicherung und Analyse | Berechtigtes Interesse |
| Zur Sicherstellung der Funktionalität und zur Verhinderung von Missbrauch des Services | Essenzielle Cookies und Präferenzen, die für das Benutzererlebnis grundlegend sind, Gerätedaten, durch die Nutzung des Services generierte Informationen | keine | Erhebung, Speicherung und Nutzung | Berechtigtes Interesse | |
13.2 Wenn der Kunde die in den Sonderbedingungen für Zahlungsdienste festgelegten Services nutzt, wird Billogram zusätzlich zur in Abschnitt 13.1 beschriebenen Verarbeitung personenbezogene Daten verarbeiten, wenn dies durch zwingendes Recht erforderlich ist, einschließlich, aber nicht beschränkt auf Geldwäschevorschriften. Diese Verarbeitung wird auf die Kategorien personenbezogener Daten beschränkt, die erforderlich sind, um die relevanten gesetzlichen Anforderungen gemäß dem anwendbaren Recht zu erfüllen.
14. Verpflichtungen von Billogram
14.1 Billogram stellt sicher, dass es die geltenden Datenschutzgesetze sowie seine Verpflichtungen als Verantwortlicher in Bezug auf die Verarbeitung von Kundendaten einhält.
14.2 Billogram verpflichtet sich, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die verarbeiteten personenbezogenen Daten gemäß den geltenden Datenschutzgesetzen zu schützen.
14.3 Billogram stellt sicher, dass Kundendaten, soweit möglich, anonymisiert oder auf aggregierter Ebene verarbeitet werden.
14.4 Billogram stellt sicher, dass das Personal, das personenbezogene Daten verarbeitet, mit den geltenden Datenschutzgesetzen vertraut ist und personenbezogene Daten entsprechend verarbeitet.
14.5 Billogram stellt sicher, dass das Personal, das personenbezogene Daten für einen bestimmten Zweck verarbeitet, zuverlässig ist und durch angemessene Vertraulichkeitsverpflichtungen, sei es durch Gesetz oder Vereinbarung, gebunden ist. Billogram stellt außerdem sicher, dass dieses Personal die Bedeutung der Vertraulichkeitsverpflichtung versteht.
14.6 Billogram wird in seiner Funktion als Verantwortlicher Kundendaten nur gemäß Abschnitt 12.1 verwenden und Kundendaten nicht an Dritte in deren Funktion als Verantwortlicher weitergeben.
15. Rechte und Information der betroffenen Personen
15.1 Billogram ist dafür verantwortlich, die betroffene Person bei der Ausübung ihrer Rechte gemäß der DSGVO zu unterstützen.
15.2 Der Kunde informiert die betroffenen Personen über die Datenweitergabe gemäß den geltenden Datenschutzgesetzen. Billogram veröffentlicht auf seiner Website eine Datenschutzerklärung, die die in den geltenden Datenschutzgesetzen festgelegten Informationspflichten erfüllt, und der Kunde verweist in seiner eigenen Datenschutzerklärung darauf.
15.3 Die Parteien arbeiten gegebenenfalls zusammen, um sicherzustellen, dass die betroffene Person ihre Rechte gemäß der DSGVO ausüben kann.
Abschnitt C: Allgemeine Bestimmungen
16. Haftung für Schäden im Zusammenhang mit der Verarbeitung
16.1 Im Falle einer Entschädigung für Schäden im Zusammenhang mit der Verarbeitung, die der betroffenen Person aufgrund eines rechtskräftigen Urteils oder einer Einigung wegen eines Verstoßes gegen diese DPA und/oder geltende Bestimmungen der Datenschutzgesetze zusteht und geschuldet wird, gilt Artikel 82 der DSGVO.
16.2 Geldbußen gemäß Artikel 83 der DSGVO oder Kapitel 6 des Datenschutzgesetzes (2018:218) sind von der Partei dieser DPA zu zahlen, die mit einer solchen Gebühr belegt wurde.
16.3 Vorbehaltlich der Bestimmungen in 16.1 und 16.2 sowie der Haftungsbeschränkung im Servicevertrag haftet der Verantwortliche für Schäden, Kosten oder Verluste, die dem Auftragsverarbeiter entstehen oder für die der Auftragsverarbeiter haftbar gemacht werden könnte, wenn der Verantwortliche seine Verpflichtungen gemäß dieser DPA nicht erfüllt. Ebenso haftet der Auftragsverarbeiter für Schäden, Kosten oder Verluste, die dem Verantwortlichen entstehen oder für die der Verantwortliche haftbar gemacht werden könnte, wenn der Auftragsverarbeiter seine Verpflichtungen gemäß dieser DPA nicht erfüllt.
16.4 Zur Klarstellung: Nichts in dieser DPA schränkt die allgemeine gesetzliche Verpflichtung der Parteien ein, jeden Verlust zu minimieren, den sie aufgrund eines Ereignisses erleiden oder erleiden könnten, das zu einem Anspruch im Rahmen dieser DPA führen kann.
16.5 Zur Klarstellung und ungeachtet der Bestimmungen des Servicevertrags haben die Abschnitte 16.1 und 16.2 dieser DPA Vorrang vor anderen Regelungen zur Verteilung der Haftung zwischen den Parteien bei Ansprüchen im Zusammenhang mit der Verarbeitung.
17. Anwendbares Recht und Streitbeilegung
17.1 Die im Servicevertrag festgelegten Bestimmungen zur Streitbeilegung und zur Rechtswahl gelten auch für diese DPA.
18. Abschluss, Laufzeit und Beendigung der DPA
18.1 Diese DPA tritt in Kraft, sobald die Parteien durch die Annahme der Nutzungsbedingungen auf der Website des Auftragsverarbeiters durch den Verantwortlichen eine Vereinbarung geschlossen haben, und bleibt in Kraft, solange der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
18.2 Ungeachtet des Vorstehenden bleiben Abschnitt 5.2 und Abschnitt 16 dieser DPA in Kraft, auch wenn die DPA anderweitig nicht mehr gilt.
19. Verstöße gegen die DPA
19.1 Sollte eine der Parteien Kenntnis davon erlangen, dass die andere Partei gegen diese DPA verstößt, ist die verletzende Partei unverzüglich über die betreffenden Handlungen zu informieren. Die informierende Partei ist berechtigt, die Erfüllung ihrer Verpflichtungen gemäß dieser DPA auszusetzen, bis die verletzende Partei erklärt hat, dass die Handlungen eingestellt wurden, und diese Erklärung von der beschwerdeführenden Partei akzeptiert wurde.
20. Maßnahmen im Falle der Beendigung der DPA
20.1 Nach Beendigung dieser DPA wird der Verantwortliche nach eigenem Ermessen und ohne unangemessene Verzögerung verlangen, dass der Auftragsverarbeiter alle personenbezogenen Daten entweder löscht oder an den Verantwortlichen zurückgibt, es sei denn, geltendes Recht erfordert eine weitere Verarbeitung. Bis zur Löschung oder Rückgabe der personenbezogenen Daten stellt der Auftragsverarbeiter weiterhin die Einhaltung dieser DPA sicher.
20.2 Übermittlungen und Löschungen gemäß Abschnitt 20.1 sind spätestens dreißig (30) Kalendertage nach Mitteilung der Beendigung der DPA durchzuführen, sofern nicht anders vereinbart.
21. Mitteilungen
21.1 Alle Mitteilungen müssen schriftlich erfolgen und in schwedischer oder englischer Sprache per E-Mail versandt werden, (i) im Falle des Verantwortlichen an die E-Mail-Adresse, die der Kunde bei der Registrierung des Benutzerkontos angegeben hat oder später spezifiziert hat, und (ii) im Falle des Auftragsverarbeiters an die E-Mail-Adresse legal@billogram.com. Mitteilungen, die in der vorgeschriebenen Weise versandt werden, gelten spätestens am nächsten Werktag als von der anderen Partei empfangen.
Anhang 1: Kontaktinformationen und Anweisungen
1. Kontaktinformationen
Kontaktdaten des Auftragsverarbeiters:
Billogram AB
Klara Södra Kyrkogata 1
111 52 Stockholm
E-Mail: legal@billogram.com
2. Anweisungen zur Verarbeitung personenbezogener Daten
Zweck der Verarbeitung ist es, dem Auftragsverarbeiter zu ermöglichen, seine Verpflichtungen gemäß dem Servicevertrag zu erfüllen und die darin festgelegten Maßnahmen zu ergreifen, unter anderem:
- Erstellung und Versand von Rechnungen
- Kontoführung und Zahlungsabwicklung für Rechnungen
- Verwaltung von Lastschriftmandaten
- Bereitstellung eines Kommunikationsmoduls für Endkunden
- Bereitstellung eines Vertriebs- und Angebotsmoduls
- Bereitstellung eines Endkunden-Supports
- Erstellung von Statistiken und Durchführung von Analysen
Dies umfasst auch die Verarbeitung aller unten aufgeführten Kategorien personenbezogener Daten, um den Service anzupassen, einschließlich der Profilerstellung, falls zutreffend, und die Einhaltung relevanter Gesetze und Vorschriften sicherzustellen.
Kategorien betroffener Personen: Kunden des Verantwortlichen.
Kategorien personenbezogener Daten:
- Identifikationsdaten
- Kontaktdaten
- Rechnungs- und Zahlungsinformationen
- Bankdaten
- Falldetails
- Kommunikationsinformationen
- Einwilligungsdetails
- Durch die Nutzung des Services generierte Informationen
Besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO, wie Informationen zur Gewerkschaftszugehörigkeit oder gesundheitsbezogene Daten, können je nach Inhalt der vom Verantwortlichen spezifizierten Rechnung verarbeitet werden.
Art der Verarbeitung: Durchführung der Verarbeitung, die für den oben genannten Zweck erforderlich ist, einschließlich unter anderem Erhebung, Aufzeichnung, Organisation, Strukturierung, Speicherung, Anpassung und Änderung, Abruf, Konsultation, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung, Ausrichtung oder Kombination, Einschränkung, Löschung oder Vernichtung.
Dauer der Verarbeitung: Die Verarbeitung ist auf die Zeit beschränkt, die zur Erbringung des Services gemäß dem Servicevertrag erforderlich ist. Für Buchhaltungsdokumente erfolgt dies in Übereinstimmung mit den nationalen Buchführungsvorschriften und für alle anderen Informationen so lange, wie es für den Zweck, für den die personenbezogenen Daten verarbeitet werden, erforderlich ist, sofern die Datenschutzgesetze nichts anderes vorsehen.
Ort der Verarbeitung: Innerhalb der EU/EWR.
Unterauftragsverarbeiter: Der Auftragsverarbeiter ist berechtigt, Unterauftragsverarbeiter innerhalb der EU/EWR sowie außerhalb der EU/EWR zu beauftragen, sofern diese Verarbeitung den Bestimmungen der DPA entspricht.
3. Technische und organisatorische Maßnahmen
Billogram setzt geeignete technische und organisatorische Maßnahmen um, die darauf ausgelegt sind, die Grundsätze des Datenschutzes effektiv einzuhalten und sicherzustellen, dass angemessene Schutzmaßnahmen in die Verarbeitung personenbezogener Daten integriert sind, um die Anforderungen der DSGVO zu erfüllen und die Rechte der betroffenen Personen zu schützen, wie unten beschrieben. Weitere Informationen zu den technischen und organisatorischen Maßnahmen sind auf Anfrage erhältlich.
Datenschutz-Risikoanalyse
Billogram führt eine Risikoanalyse durch und dokumentiert diese, um festzulegen, welche Datensicherheitsmaßnahmen umgesetzt werden sollen. Ziel ist es, für jeden Teil des Services das angemessene Sicherheitsniveau zu definieren. In jedem Fall hat Billogram mindestens die Sicherheitsmaßnahmen implementiert, die im Kapitel „Sicherheit personenbezogener Daten“ unten beschrieben sind.
Sicherheitsmaßnahmen
Billogram hat ein Informationssicherheits-Managementsystem (ISMS) gemäß dem ISO27001-Standard implementiert. Sicherheits- und Datenschutzrichtlinien sowie Anweisungen wurden als Teil des ISMS in der gesamten Organisation von Billogram etabliert und stehen Kunden auf Anfrage zur Verfügung. Die Richtlinien werden durch eine Vielzahl obligatorischer Regeln zu verschiedenen Aspekten des Datenschutzes und der Informationssicherheit unterstützt, um die Einhaltung der Datenschutzgesetze und dieser DPA sicherzustellen. Diese internen Dokumente umfassen z.B. Prozesse für das Management von Datenschutzverletzungen und Anfragen betroffener Personen und unterliegen regelmäßigen internen Überprüfungs- und Genehmigungsverfahren.
Sicherheit personenbezogener Daten
Billogram hat die folgenden Maßnahmen gemäß den Anforderungen in „Sicherheit der Verarbeitung“ (Artikel 32 der DSGVO) implementiert:
a) Pseudonymisierung und Verschlüsselung personenbezogener Daten
- Billogram verwendet Verschlüsselungs- und/oder Pseudonymisierungstechniken, um Datenschutzrisiken zu minimieren, sofern dies angemessen ist. Diese Techniken können je nach Service und Risikoanalyse variieren. Details sind auf Anfrage verfügbar.
b) Sicherung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste
- Die Sicherheit der personenbezogenen Daten wird durch das ISMS und mehrere Sicherheitskontrollen gewährleistet. Standardisierte Prozesse unterstützen die Qualitätssicherung des Services und den Schutz der personenbezogenen Daten.
- Der Zugang zur IT-Umgebung von Billogram wird kontrolliert und nur genehmigt, wenn eine gültige Begründung vorliegt. Der Zugriff auf Kundenschnittstellen wird gemäß gemeinsam mit dem Kunden festgelegten Prozessen genehmigt. Verbindungen zur IT-Umgebung von Billogram werden protokolliert. Mindestens sind alle Zugänge zur IT-Umgebung und zu den Services von Billogram gesichert und erfordern eine starke Authentifizierung. Weitere Sicherheitskontrollen werden entsprechend der Risikoanalyse implementiert.
- Unbefugten Personen wird der physische Zugang zu den Datenverarbeitungsanlagen verweigert. Physische und umweltbedingte Kontrollen schützen personenbezogene Daten vor zufälliger und unrechtmäßiger Zerstörung.
- Billogram sorgt für einen angemessenen Schutz von administrativen Verbindungen, Drittanbieterzugängen und Dateitransfers innerhalb der Billogram-Infrastruktur.
- Sicherheitsmaßnahmen schützen die Systemlandschaft vor Bedrohungen.
- Billogram plant und steuert geschäftsbezogene Kundenoperationen und stellt durch organisatorische Strukturierung ausreichende Besetzung und Effizienz sicher. Management stellt Autoritäten und Berichtslinien sicher, und Hintergrundüberprüfungen werden für Mitarbeiter basierend auf ihrer Position durchgeführt.
- Billogram überwacht die Einhaltung der Informationssicherheitsrichtlinie, bietet regelmäßige Sicherheitsschulungen an und führt Sicherheitsprüfungen durch, die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie die Einhaltung der Sicherheitsrichtlinie bewerten.
c) Sicherstellung der Verfügbarkeit und des Zugriffs auf personenbezogene Daten bei physischen oder technischen Zwischenfällen
- Billogram verfügt über Backup-Strategien, die eine schnelle Wiederherstellung geschäftskritischer Systeme sicherstellen.
- Geschäftsfortführungs- und Notfallwiederherstellungspläne werden für die Infrastruktur zur Servicebereitstellung regelmäßig aktualisiert und getestet.
d) Regelmäßige Tests, Bewertungen und Beurteilungen der technischen und organisatorischen Maßnahmen zur Sicherung der Verarbeitung
- Notfallprozesse, Pläne und Systeme werden regelmäßig getestet, um die Wirksamkeit der Maßnahmen zu überprüfen.
- Billogram führt interne Sicherheitstests und Schwachstellenscans durch und nutzt Sicherheitsdienstleister, einschließlich Penetrationstests, für besonders risikobehaftete Umgebungen.
Anhang 2: Autorisierte Unterauftragsverarbeiter
| Company name | Firmen ID | Service | Data Location |
|---|---|---|---|
| Amazon Web Services EMEA SARL | B186284 | Infrastruktur und Cloud-Speicherung | EU/EWR |
| Zendesk, Inc. | 519184 | Kundenservice | EU/EWR |
| Tieto Sweden AB | 556052-7466 | Rechnungsverteilung (Brief, EDI, E-Rechnung (schwedisch: E-faktura), digitale Mailbox) | EU/EWR UK |
| 46Elks AB | 556838-8184 | Rechnungsverteilung (SMS) | EU/EWR |
| Sendsafely Inc. | 83-3167288 | Kommunikationsdienst | EU/EWR |
Dieser Text ist eine Übersetzung des englischen Originals. Für weitere Informationen kontaktieren Sie unseren Support.