CiviCRM Spark-Datenverarbeitungsvertrag

WENN

• (A) Das Unternehmen handelt als Datenverarbeiter.
• (B) Der Kunde handelt als für die Datenverarbeitung Verantwortlicher.
• (C) Die Vertragsparteien wollen bestimmte Dienstleistungen, die die Verarbeitung personenbezogener Daten beinhalten, an Unterauftragnehmer vergeben.
• (D) Die Parteien streben die Umsetzung einer Datenverarbeitungsvereinbarung an, die den Anforderungen des derzeitigen Rechtsrahmens für die Datenverarbeitung und der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Europäischen Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) entspricht.
• (E) Die Vertragsparteien legen ihre Rechte und Pflichten fest.

WIRD WIE FOLGT VEREINBART:

• 1. Definitionen und Auslegung
• 1.1 Sofern hierin nicht anders definiert, haben die in diesem Vertrag verwendeten Begriffe und Ausdrücke in Großbuchstaben die folgende Bedeutung:
• 1.1.1 “Vertrag” bezeichnet diesen Datenverarbeitungsvertrag und alle Anhänge;
• 1.1.2 “Personenbezogene Daten des Unternehmens” sind alle personenbezogenen Daten, die von einem Auftragsverarbeiter im Namen des Unternehmens gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden;
• 1.1.3 “Auftragsverarbeiter” ist ein Unterauftragsverarbeiter;
• 1.1.4 “Datenschutzgesetze” sind die EU-Datenschutzgesetze und, soweit anwendbar, die Datenschutzgesetze eines anderen Landes;
• 1.1.5 “EWR” bezeichnet den Europäischen Wirtschaftsraum;
• 1.1.6 “EU-Datenschutzgesetze” bezeichnet die EU-Richtlinie 95/46/EG in der in den einzelnen Mitgliedstaaten in nationales Recht umgesetzten Fassung, die von Zeit zu Zeit geändert, ersetzt oder ersetzt wird, einschließlich der DSGVO und der Gesetze zur Umsetzung oder Ergänzung der DSGVO;
• 1.1.7 “GDPR” bezeichnet die EU-Datenschutzgrundverordnung 2016/679;
• 1.1.8 “Datenübertragung” bedeutet:
• 1.1.8.1 eine Übertragung personenbezogener Unternehmensdaten vom Unternehmen an einen Auftragsverarbeiter; oder
• 1.1.8.2 eine Weitergabe von personenbezogenen Daten des Unternehmens von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines Auftragsverarbeiters, wenn eine solche Weitergabe durch Datenschutzgesetze (oder durch die Bedingungen von Datenübertragungsvereinbarungen, die eingerichtet wurden, um die Datenübertragungsbeschränkungen der Datenschutzgesetze zu umgehen) untersagt ist;
• 1.1.9 “Dienste” oder “Abonnementdienst” bezeichnet die CiviCRM Spark-Dienste, die das Unternehmen anbietet.
• 1.1.10 “Unterauftragsverarbeiter” bezeichnet jede Person, die vom oder im Namen des Auftragsverarbeiters mit der Verarbeitung personenbezogener Daten im Auftrag des Unternehmens in Verbindung mit dem Vertrag beauftragt wird.
• 1.2 Die Begriffe “Kommission”, “für die Verarbeitung Verantwortlicher”, “betroffene Person”, “Mitgliedstaat”, “personenbezogene Daten”, “Verletzung des Schutzes personenbezogener Daten”, “Verarbeitung” und “Aufsichtsbehörde” haben die gleiche Bedeutung wie in der DSGVO, und die entsprechenden Begriffe sind entsprechend auszulegen.

• 2. Verantwortlichkeiten bei der Verarbeitung personenbezogener Daten des Unternehmens
• 2.1 Die Parteien sind verpflichtet:
• 2.1.1 Bei der Verarbeitung personenbezogener Daten alle geltenden Datenschutzgesetze einhalten.
• 2.1.2 Das Unternehmen weist den Auftragsverarbeiter an, personenbezogene Daten im Rahmen der Zweckbestimmung der Software zu verarbeiten.
• 2.2. In Anbetracht der Tatsache, dass alle vom Datenverarbeiter gespeicherten personenbezogenen Daten vom Kunden bereitgestellt werden:
• 2.2.1 Im Rahmen des Vertrages und bei der Nutzung der Dienstleistungen ist der Kunde für die Einhaltung aller Anforderungen verantwortlich, die für ihn nach den geltenden Datenschutzgesetzen in Bezug auf die Verarbeitung personenbezogener Daten und die Anweisungen, die er dem Unternehmen erteilt, gelten.
• 2.2.2 Insbesondere, aber unbeschadet der Allgemeingültigkeit des Vorstehenden, erkennt der Kunde an und erklärt sich damit einverstanden, allein verantwortlich zu sein für: (i) die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten und der Mittel, mit denen personenbezogene Daten erhoben werden; (ii) die Einhaltung aller erforderlichen Transparenz- und Rechtmäßigkeitsanforderungen gemäß den geltenden Datenschutzgesetzen für die Erhebung und Verwendung der personenbezogenen Daten, einschließlich der Einholung aller erforderlichen Zustimmungen und Genehmigungen (insbesondere für die Verwendung durch den Kunden zu Marketingzwecken); (iii) die Sicherstellung, dass er das Recht hat, die personenbezogenen Daten an das Unternehmen zur Verarbeitung gemäß den Bedingungen der Vereinbarung (einschließlich dieser DSGVO) zu übermitteln oder Zugang dazu zu gewähren; (iv) sicherzustellen, dass die dem Unternehmen erteilten Anweisungen bezüglich der Verarbeitung personenbezogener Daten mit den geltenden Gesetzen, einschließlich der Datenschutzgesetze, übereinstimmen; und (v) alle Gesetze (einschließlich der Datenschutzgesetze) einzuhalten, die auf E-Mails oder andere Inhalte anwendbar sind, die über die Abonnementdienste erstellt, versandt oder verwaltet werden, einschließlich derjenigen, die sich auf die Einholung von Zustimmungen (sofern erforderlich) für den Versand von E-Mails, den Inhalt der E-Mails und die E-Mail-Bereitstellungspraktiken beziehen. Der Kunde wird das Unternehmen unverzüglich informieren, wenn er nicht in der Lage ist, seinen Pflichten nachzukommen.

• 3. Personal des Verarbeiters
• 3.1 Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit aller Mitarbeiter, Bevollmächtigten oder Auftragnehmer eines Auftragsverarbeiters, die Zugang zu den personenbezogenen Daten des Unternehmens haben, zu gewährleisten, wobei in jedem Fall sichergestellt wird, dass der Zugang streng auf die Personen beschränkt ist, die die betreffenden personenbezogenen Daten des Unternehmens kennen bzw. darauf zugreifen müssen, soweit dies für die Zwecke des Hauptvertrags unbedingt erforderlich ist, und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Personen gegenüber dem Auftragsverarbeiter einzuhalten, wobei sichergestellt wird, dass alle diese Personen Vertraulichkeitsverpflichtungen oder beruflichen oder gesetzlichen Verschwiegenheitspflichten unterliegen.

• 4. Sicherheit
• 4.1 Unter Berücksichtigung der bewährten Verfahren, der Implementierungskosten und der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung sowie der unterschiedlichen Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ergreift der Auftragsverarbeiter in Bezug auf die personenbezogenen Daten des Unternehmens geeignete technische und organisatorische Maßnahmen, um ein diesem Risiko angemessenes Sicherheitsniveau zu gewährleisten, gegebenenfalls einschließlich der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.
• 4.2 Bei der Beurteilung des angemessenen Sicherheitsniveaus hat der Auftragsverarbeiter insbesondere die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere aus einer Verletzung des Schutzes personenbezogener Daten.

• 5. Weiterverarbeitung
• 5.1 Zustimmung zur Beauftragung von Unterauftragsverarbeitern (Subprozessoren). Das Unternehmen schränkt den Einsatz von Unterauftragsverarbeitern so weit wie möglich ein, genehmigt der Kunde ausdrücklich die Beauftragung von Unterauftragsverarbeitern zur Verarbeitung personenbezogener Daten in seinem Namen. Unterauftragsverarbeiter beschränken sich in der Regel auf die Zahlungsabwicklung, den Versand von E-Mails oder andere Funktionen, die direkt mit CiviCRM selbst zusammenhängen. Das Unternehmen hat derzeit die in Anhang 1 zu dieser DSGVO aufgeführten Dritten als Unterauftragsverarbeiter benannt. Die Firma benachrichtigt den Kunden, wenn ein Unterauftragsverarbeiter hinzugefügt oder ersetzt wird, mindestens 30 Tage vor solchen Änderungen, wenn der Kunde sich dafür entscheidet, solche E-Mails vor solchen Änderungen zu erhalten. Klicken Sie hier, um sich anzumelden.
• 5.2 Wenn das Unternehmen Unterauftragsverarbeiter einsetzt, bieten die Datenschutzbestimmungen für die Unterauftragsverarbeiter mindestens das gleiche Maß an Schutz für personenbezogene Daten wie die Bestimmungen dieser DSGVO (gegebenenfalls einschließlich der Standardvertragsklauseln), soweit dies auf die Art der von diesen Unterauftragsverarbeitern erbrachten Dienstleistungen zutrifft. Das Unternehmen bleibt für die Einhaltung der Bestimmungen durch die Unterauftragsverarbeiter verantwortlich.
• 5.3 Der Kunde ist für jeden anderen Unterauftragsverarbeiter, den er beauftragt, verantwortlich.

• 6. Ersuchen der betroffenen Person
• 6.1 Der Abonnementdienst stellt Ihnen eine Reihe von Kontrollmöglichkeiten zur Verfügung, mit denen Sie personenbezogene Daten abrufen, korrigieren, löschen oder einschränken können, die der Kunde nutzen kann, um ihn bei der Erfüllung seiner Verpflichtungen im Rahmen der Datenschutzgesetze zu unterstützen, einschließlich der Verpflichtungen im Zusammenhang mit der Beantwortung von Anfragen von betroffenen Personen zur Ausübung ihrer Rechte gemäß den geltenden Datenschutzgesetzen (“Anfragen von betroffenen Personen”).
• 6.2 Soweit der Kunde nicht in der Lage ist, eine Anfrage der betroffenen Person über den Abonnementdienst selbst zu bearbeiten, wird das Unternehmen auf Ihre schriftliche Anfrage hin angemessene Unterstützung leisten, um dem Kunden bei der Beantwortung von Anfragen der betroffenen Person oder von Datenschutzbehörden im Zusammenhang mit der Verarbeitung personenbezogener Daten im Rahmen des Vertrags zu helfen. Der Kunde erstattet dem Unternehmen die wirtschaftlich angemessenen Kosten, die durch diese Unterstützung entstehen.
• 6.3 Wenn eine Anfrage der betroffenen Person oder eine andere Mitteilung bezüglich der Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung direkt an das Unternehmen gerichtet wird, wird das Unternehmen den Kunden unverzüglich informieren und die betroffene Person auffordern, ihre Anfrage an den Kunden zu richten. Der Kunde ist allein verantwortlich für die inhaltliche Beantwortung solcher Anfragen oder Mitteilungen, die personenbezogene Daten betreffen.

• 7. Verletzung des Schutzes personenbezogener Daten
• 7.1 Alle Parteien benachrichtigen die andere Partei unverzüglich, sobald der Auftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, und stellen der anderen Partei ausreichende Informationen zur Verfügung, damit alle Parteien ihren Verpflichtungen zur Meldung oder Information der betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten gemäß den Datenschutzgesetzen nachkommen können.
• 7.2 Alle Parteien arbeiten zusammen und unternehmen angemessene kommerzielle Schritte, um bei der Untersuchung, Abschwächung und Behebung einer solchen Verletzung des Schutzes personenbezogener Daten zu helfen.

• 8. Datenschutz-Folgenabschätzung und vorherige Konsultation der Aufsichtsbehörden.
• 8.1. Das Unternehmen unterstützt den Kunden in angemessener Weise bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die der Kunde nach vernünftigem Ermessen gemäß Artikel 35 oder 36 der DSGVO oder gleichwertigen Bestimmungen anderer Datenschutzgesetze für erforderlich hält, und zwar in jedem Fall ausschließlich in Bezug auf die Verarbeitung personenbezogener Daten durch die Auftragsverarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den Auftragsverarbeitern vorliegenden Informationen.

• 9. Löschung oder Rückgabe von personenbezogenen Daten

• 9.1 Das Unternehmen wird alle Kundendaten, einschließlich personenbezogener Daten (einschließlich Kopien davon), die gemäß dieser DSGVO verarbeitet wurden, bei Beendigung oder Ablauf Ihres Abonnementdienstes in Übereinstimmung mit unseren produktspezifischen Bedingungen löschen oder zurückgeben. Dies gilt nicht, wenn wir nach geltendem Recht verpflichtet sind, einige oder alle Kundendaten aufzubewahren, oder wenn wir Kundendaten auf Backup-Systemen archiviert haben; diese Daten werden wir sicher isolieren und vor jeglicher weiteren Verarbeitung schützen und gemäß unseren Löschverfahren löschen. Sie können die Löschung Ihres CiviCRM Spark-Hostings nach Ablauf oder Kündigung Ihres Abonnements beantragen, indem Sie eine Anfrage an spark@civicrm.org senden. Sie können Ihre Kundendaten von Ihrem CiviCRM Spark-Dienst abrufen, indem Sie ein Backup von der CiviCRM-Verwaltungsoberfläche herunterladen.

• 10. Nachweis der Übereinstimmung, Auditrechte

• 10.1 Das Unternehmen stellt dem Kunden auf Anfrage alle Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieses Vertrags nachzuweisen, und ermöglicht Prüfungen durch einen vom Kunden beauftragten Prüfer in Bezug auf die Verarbeitung personenbezogener Daten durch die Auftragsverarbeiter und trägt zu diesen Prüfungen bei.
• 10.2 Auf schriftlichen Antrag des Kunden wird das Unternehmen (auf vertraulicher Basis) alle angemessenen Informationsanfragen beantworten, die zur Bestätigung der Einhaltung der DSGVO erforderlich sind, vorausgesetzt, der Kunde macht von diesem Recht nicht öfter als einmal pro Kalenderjahr Gebrauch, es sei denn, der Kunde hat berechtigten Grund zu der Annahme, dass die DSGVO nicht eingehalten wird.

• 11. Datenübertragung
• 11.1 Das Unternehmen darf ohne vorherige schriftliche Zustimmung des Kunden keine Daten in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übertragen oder deren Übertragung genehmigen. Werden personenbezogene Daten, die im Rahmen dieses Vertrags verarbeitet werden, aus einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt, stellen die Parteien sicher, dass die personenbezogenen Daten angemessen geschützt sind. Zu diesem Zweck stützen sich die Parteien, sofern nicht anders vereinbart, auf von der EU genehmigte Standardvertragsklauseln für die Übermittlung personenbezogener Daten.

• 12. Allgemeine Begriffe
• 12.1 Vertraulichkeit. Jede Partei muss diese Vereinbarung und die Informationen, die sie im Zusammenhang mit dieser Vereinbarung über die andere Partei und deren Geschäfte erhält (“vertrauliche Informationen”), vertraulich behandeln und darf diese vertraulichen Informationen nicht ohne die vorherige schriftliche Zustimmung der anderen Partei verwenden oder offenlegen, es sei denn, dass: (a) die Offenlegung gesetzlich vorgeschrieben ist; (b) die betreffenden Informationen bereits öffentlich bekannt sind.
• 12.2 Bekanntmachungen. Alle Mitteilungen im Rahmen dieser Vereinbarung bedürfen der Schriftform und werden persönlich zugestellt oder per E-Mail an die in der Überschrift dieser Vereinbarung angegebene E-Mail-Adresse oder an eine andere, von den Parteien von Zeit zu Zeit mitgeteilte Adresse gesendet.

• 13. Geltendes Recht und Gerichtsstand
• 13.1 Diese Klauseln unterliegen dem Recht eines der EU-Mitgliedstaaten, sofern dieses Recht die Rechte von Drittbegünstigten zulässt. Die Parteien vereinbaren, dass diese Klauseln gemäß dem Abschnitt “Vertragspartner; Anwendbares Recht; Bekanntmachung” der Besonderen Bedingungen für den Gerichtsstand oder, wenn in diesem Abschnitt kein EU-Mitgliedstaat angegeben ist, gemäß dem Recht der Republik Irland (ohne Bezugnahme auf die Grundsätze des Kollisionsrechts) geregelt werden.
• 13.2 Für alle Streitigkeiten, die sich aus diesen Klauseln ergeben, sind die Gerichte eines EU-Mitgliedstaates zuständig.

Anhang 1 – Liste der Unterauftragsverarbeiter