Allgemeine
Geschäftsbedingungen (AGB)

1. Gegenstand und Dauer des Auftrags

1.1 Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragsverarbeiter:

1.1.1 EYEMAIL - In diesem Mailingsystem übersendet der Verantwortliche dem Auftragsverarbeiter online Adressdaten seiner Kunden. Die Online-Software ist HTTPS-verschlüsselt und der Optiker hat einen entsprechenden personalisierten Zugang dazu. Nach dem Upload werden die Daten von dem System automatisiert verarbeitet und automatisch die Druckdaten generiert. Diese Druckdaten (personalisierte Briefbögen) holt sich dann der Lettershop des Auftragsverarbeiters, der ebenfalls einen Zugang zu dem System hat, aus diesem ab und produziert die Briefe. Die Original-Adressdatei des Verantwortlichen wird 30 Tage nach dem Upload vom System automatisiert gelöscht und die Druckdateien aus Qualitätssicherungsgründen nach 90 Tagen.

1.1.2 EYEMARKET - In diesem Analyse-Tool übersendet der Verantwortliche dem Auftragsverarbeiter über das unter 1.2.1 genannte Online-System wie bei 1.2.1 entsprechende Adressdaten. In diesem Fall werden allerdings keine Briefe gedruckt, sondern nur eine Auswertung der Daten vorgenommen. Dabei lädt der Verantwortliche seine Original-Adressdatei hoch, die auch wieder 30 Tage gespeichert und danach automatisch gelöscht wird. Für die Auswertung selbst werden die Adressen pseudonymisiert und in der Datenbank des Auftragsverarbeiters bleibt dann nur noch dieses Pseudonym übrig sowie das Geburtsdatum, die Geo-Koordinaten per Adresse sowie das Auftragsdatum. Der Klarname des Kunden wird nicht mehr gespeichert. Diese pseudonymisierten Datensätze werden solange gespeichert, wie der Verantwortliche mit dem Auftragsverarbeiter eine Geschäftsbeziehung hat.

1.1.3 EYEQUBE - In diesem Analyse-Tool übersendet der Verantwortliche dem Auftragsverarbeiter über eine API-Schnittstelle des ERP-Systems des Augenoptikers personenbezoene Daten der Kunden sowie der Mitarbeiter. In diesem Fall werden allerdings keine Briefe gedruckt, sondern nur eine Auswertung der Daten vorgenommen.

1.1.4 MAILINGS / POSTKARTEN - Jeder Verantwortliche kann beim Auftragsverarbeiter ein Mailing oder Postkarten bestellen. In diesen Fällen übersendet der Verantwortliche dem Auftragsverarbeiter die Adressen in der Regel per E-Mail. Der Auftragsverarbeiter empfiehlt dem Verantwortlichen die Daten als verschlüsseltes ZIP zuzusenden. Diese Daten werden beim Auftragsverarbeiter nach 30 Tagen automatisiert gelöscht. Dies betrifft sowohl die E-Mail als auch die Adressdaten die zur Verarbeitung auf dem internen File-Server des Auftragsverarbeiters liegen. Die Weitergabe an den Lettershop des Auftragsverarbeiters läuft entweder per SFTP oder - wenn das nicht möglich ist - als verschlüsseltes ZIP per E-Mail.

1.2 Die Dauer dieses Auftrags (Laufzeit) ist befristet bis zur Kündigung der Leistungsvereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter bzw. bis zur Erfüllung des Auftrags.

2. Konkretisierung des Auftragsinhalts

2.1 Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter für den Verantwortlichen sind konkret beschrieben in der Leistungsvereinbarung bzw. im Auftrag.

• Personenstammdaten der Kunden des Verantwortlichen (Vorname, Name, Adresse, PLZ, Ort)
• Auftragsdatum (Brillen- oder Kontaktlinsenauftrag)
• Geburtsdatum

2.3 Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

• Kunden und Interessenten des Verantwortlichen
• Mitarbeiter des Kunden

2.4 Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen ausdrücklichen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

3. Technisch-organisatorische Maßnahmen

3.1 Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben. Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

3.2 Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 Buchst. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen (Einzelheiten in Anlage 1).

3.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung und Löschung von Daten, Einschränkung der Verarbeitung

4.1 Der Auftragsverarbeiter darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Verantwortlichen berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragsverarbeiter wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

4.2 Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Verantwortlichen unmittelbar durch den Auftragsverarbeiter sicherzustellen.

5. Sonstige Pflichten des Auftragsverarbeiters

5.1 Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

5.2 Schriftliche Benennung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 DSGVO ausübt. Als Datenschutzbeauftragte(r) ist beim Auftragsverarbeiter

dp.institute
Data Protection Consulting GmbH
Kaiserplatz 2
80803 München
Telefon: 0 89 . 46 22 73 22
E-Mail: info@dp.institute

benannt. Ein Wechsel des Datenschutzbeauftragten ist dem Verantwortlichen unverzüglich mitzuteilen.

5.3 Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 Buchst. b, 29, 32 Abs. 4 DSGVO. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragsverarbeiter und jede dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Verantwortlichen verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

5.4 Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 Satz 2 Buchst. c, Art. 32 DSGVO [Einzelheiten in Anlage 1]

5.5 Der Verantwortliche und der Auftragsverarbeiter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen

5.6 Die unverzügliche Information des Verantwortlichen über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragsverarbeiter ermittelt.

5.7 Soweit der Verantwortliche seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragsverarbeiter ausgesetzt ist, hat ihn der Auftragsverarbeiter nach besten Kräften zu unterstützen.

5.8 Der Auftragsverarbeiter kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

5.9 Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6. Anfragen betroffener Personen

6.1 Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragsverarbeiter, wird der Auftragsverarbeiter die betroffene Person an den Verantwortlichen verweisen, sofern eine Zuordnung an den Verantwortlichen nach Angaben der betroffenen Person möglich ist. Der Auftragsverarbeiter leitet den Antrag der betroffenen Person unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter unterstützt den Verantwortlichen im Rahmen seiner Möglichkeiten auf Weisung. Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom Verantwortlichen nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

7. Unterauftragsverhältnisse

7.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragsverarbeiter z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Verantwortlichen auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

7.2 Der Auftragsverarbeiter darf Unterauftragsverarbeiter (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Verantwortlichen beauftragen. Die Auslagerung auf Unterauftragsverarbeiter oder der Wechsel des bestehenden Unterauftragsverarbeiters sind zulässig, soweit:

• der Auftragsverarbeiter eine solche Auslagerung auf Unterauftragsverarbeiter dem Verantwortlichen eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
• der Verantwortliche nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
• eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2 bis 4 DSGVO zugrunde gelegt wird.

7.3 Die Weitergabe von personenbezogenen Daten des Verantwortlichen an den Unterauftragsverarbeiter und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

7.4 Erbringt der Unterauftragsverarbeiter die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragsverarbeiter die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

7.5 Eine weitere Auslagerung durch den Unterauftragsverarbeiter bedarf der ausdrücklichen Zustimmung des Hauptauftragsverarbeiters (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragsverarbeiter aufzuerlegen.

8. Kontrollrechte des Verantwortlichen

8.1 Der Verantwortliche hat das Recht, im Benehmen mit dem Auftragsverarbeiter Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter in dessen Geschäftsbetrieb zu überzeugen.

8.2 Der Auftragsverarbeiter stellt sicher, dass sich der Verantwortliche von der Einhaltung der Pflichten des Auftragsverarbeiters nach Art. 28 DSGVO überzeugen kann. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

8.3 Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann nach Wahl des Auftragsverarbeiters erfolgen durch

• die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
• die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
• aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
• eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz oder ISO 27001).

9. Mitteilung bei Verstößen des Auftragsverarbeiters

9.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

• die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
• die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Verantwortlichen zu melden
• die Verpflichtung, dem Verantwortlichen im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
• die Unterstützung des Verantwortlichen für dessen Datenschutz-Folgenabschätzung
• die Unterstützung des Verantwortlichen im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde

10. Weisungsbefugnis des Verantwortlichen

10.1 Mündliche Weisungen bestätigt der Verantwortliche unverzüglich (mindestens in Textform).

10.2 Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

11. Löschung und Rückgabe von personenbezogenen Daten

11.1 Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

11.2 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

11.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungs-fristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlicher übergeben.

12. Informationspflichten, Schriftformklausel, Rechtswahl

12.1 Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren. Der Auftragsverarbeiter wird alle in diesem Zusammenhang Beteiligten unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Verantwortlichen im Sinne der Datenschutz-Grundverordnung (Auftraggeber) liegen.

12.2 Änderungen und Ergänzungen dieser Vereinbarung zur Auftragsverarbeitung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung der Bedingungen dieser Vereinbarung zur Auftragsverarbeitung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

12.3 Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zur Auftragsverarbeitung den Regelungen der Leistungsvereinbarung vor. Sollten einzelne Teile dieser Vereinbarung zur Auftragsverarbeitung unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.

12.4 Es gilt deutsches Recht.