Dieser Auftragsverarbeitungsvertrag (nachfolgend „AVV") konkretisiert die datenschutzrechtlichen Pflichten der Vertragsparteien, die sich aus der Nutzung der Software „Minalove" ergeben. Er gilt ergänzend zu den Allgemeinen Geschäftsbedingungen und wird mit Abschluss des Nutzungsvertrags wirksam.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Auftrag und nach Weisung des Verantwortlichen. Der Verantwortliche bleibt für die Rechtmäßigkeit der Verarbeitung verantwortlich.
(1) Gegenstand des Auftrags ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Bereitstellung und des Betriebs der Software Minalove (Software as a Service) für den Verantwortlichen.
(2) Die Dauer dieses AVV entspricht der Laufzeit des Nutzungsvertrags. Endet der Nutzungsvertrag, endet auch dieser AVV, unbeschadet fortbestehender Pflichten zur Löschung und Vertraulichkeit.
(1) Art und Zweck der Verarbeitung ergeben sich aus dem Funktionsumfang der Software. Die Verarbeitung dient der digitalen Verwaltung studiobezogener Abläufe, insbesondere der Termin-, Kunden-, Mitarbeiter-, Vertrags-, Abrechnungs- und Kommunikationsverwaltung.
(2) Die Verarbeitung umfasst das Erheben, Erfassen, Speichern, Anpassen, Auslesen, Verwenden, Übermitteln (innerhalb der Software-Funktionen) und Löschen personenbezogener Daten.
(3) Die Verarbeitung findet innerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums statt. Soweit einzelne Unterauftragsverarbeiter Verarbeitungen in einem Drittland vornehmen, erfolgt dies nur auf Grundlage geeigneter Garantien nach Art. 44 ff. DSGVO (insbesondere Standardvertragsklauseln).
(1) Gegenstand der Verarbeitung sind je nach Nutzung folgende Datenarten:
(2) Kategorien betroffener Personen sind insbesondere:
Verarbeitet der Verantwortliche besondere Kategorien personenbezogener Daten (z.B. Gesundheitsdaten), hat er eigenverantwortlich für eine Rechtsgrundlage nach Art. 9 DSGVO zu sorgen.
(1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Verantwortlichen, sofern er nicht durch Rechtsvorschriften zu einer anderweitigen Verarbeitung verpflichtet ist.
(2) Die Weisungen des Verantwortlichen erfolgen grundsätzlich durch die Nutzung und Konfiguration der Software sowie im Übrigen in Textform (z.B. per E-Mail). Mündliche Weisungen sind unverzüglich in Textform zu bestätigen.
(3) Hält der Auftragsverarbeiter eine Weisung für rechtswidrig, teilt er dies dem Verantwortlichen mit. Er ist berechtigt, die Durchführung der betreffenden Weisung bis zu deren Bestätigung auszusetzen.
Der Auftragsverarbeiter verpflichtet sich insbesondere:
Der Auftragsverarbeiter trifft die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Die Maßnahmen können im Laufe des Vertragsverhältnisses an den technischen Fortschritt angepasst werden, sofern das vereinbarte Schutzniveau nicht unterschritten wird.
(1) Der Verantwortliche stimmt dem Einsatz der in Anlage 2 aufgeführten Unterauftragsverarbeiter zu. Diese sind sorgfältig ausgewählt und vertraglich auf ein angemessenes Datenschutzniveau verpflichtet.
(2) Der Auftragsverarbeiter informiert den Verantwortlichen über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern. Der Verantwortliche kann einer Änderung aus wichtigem datenschutzrechtlichem Grund widersprechen.
(3) Leistungen Dritter, die der Auftragsverarbeiter als reine Nebenleistung in Anspruch nimmt (z.B. Telekommunikation, Reinigung), gelten nicht als Unterauftragsverhältnisse im Sinne dieses AVV.
Wenden sich betroffene Personen mit Anliegen zur Wahrnehmung ihrer Rechte (z.B. Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) unmittelbar an den Auftragsverarbeiter, leitet dieser das Anliegen unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten und durch die Funktionen der Software (z.B. Export- und Löschfunktionen) bei der Erfüllung dieser Rechte.
(1) Der Auftragsverarbeiter meldet dem Verantwortlichen unverzüglich jede ihm bekannt gewordene Verletzung des Schutzes personenbezogener Daten, die die im Auftrag verarbeiteten Daten betrifft.
(2) Die Meldung enthält, soweit verfügbar, eine Beschreibung der Art der Verletzung, der betroffenen Datenkategorien, der wahrscheinlichen Folgen sowie der ergriffenen oder vorgeschlagenen Gegenmaßnahmen.
(3) Die Pflicht zur Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und gegebenenfalls an die betroffenen Personen (Art. 34 DSGVO) obliegt dem Verantwortlichen.
(1) Der Auftragsverarbeiter weist die Einhaltung der getroffenen Maßnahmen auf Anforderung in geeigneter Weise nach, etwa durch Auskünfte oder aktuelle Bescheinigungen und Nachweise (einschließlich solcher der Unterauftragsverarbeiter).
(2) Der Verantwortliche ist berechtigt, sich von der Einhaltung der getroffenen Maßnahmen zu überzeugen. Kontrollen werden rechtzeitig angekündigt, erfolgen zu üblichen Geschäftszeiten und ohne vermeidbare Störung des Betriebsablaufs.
(1) Nach Beendigung des Auftrags löscht der Auftragsverarbeiter die im Auftrag verarbeiteten personenbezogenen Daten oder gibt sie nach Wahl des Verantwortlichen zurück, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht.
(2) Der Verantwortliche kann seine Daten während der Vertragslaufzeit über die in der Software vorgesehenen Funktionen exportieren. Die Löschung erfolgt nach einer angemessenen Frist nach Vertragsende.
Für die Haftung gelten die Regelungen der Allgemeinen Geschäftsbedingungen sowie Art. 82 DSGVO. Im Verhältnis der Parteien haftet jede Partei für Schäden, die durch eine ihr zuzurechnende Verletzung dieses AVV oder der datenschutzrechtlichen Vorschriften entstehen.
(1) Bei Widersprüchen zwischen diesem AVV und anderen Vereinbarungen der Parteien gehen die Regelungen dieses AVV in datenschutzrechtlicher Hinsicht vor.
(2) Änderungen und Ergänzungen bedürfen der Textform. Dies gilt auch für die Aufhebung dieses Schriftformerfordernisses.
(3) Sollte eine Bestimmung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Es gilt das Recht der Bundesrepublik Deutschland.
Zum Betrieb der Software werden folgende Unterauftragsverarbeiter eingesetzt:
Mit allen genannten Unterauftragsverarbeitern bestehen Verträge zur Auftragsverarbeitung gemäß Art. 28 DSGVO. Bei Übermittlungen in Drittländer sind geeignete Garantien nach Art. 44 ff. DSGVO vereinbart.
Dieser AVV ist eine sorgfältig erstellte Standardvereinbarung und stellt keine Rechtsberatung dar. Für die verbindliche Beurteilung im Einzelfall sowie für die Aktualität der Angaben zu Unterauftragsverarbeitern empfiehlt sich eine anwaltliche Prüfung.