Besuche uns auf unserem virtuellen Messestand Melde dich jetzt kostenlos zum LIVE Online-Event THE NEXT STEP am 25.09. an Jetzt Termin vereinbaren

ADV

Vereinbarung zur Auftragsdatenverarbeitung

PARAGRAPHEN

KLARTEXT

Präambel


Der Auftragnehmer bietet seinen Kunden verschiedene Rechenzentrumsdienstleistungen an (sogenannte Cloud-IT-Dienstleistungen), insbesondere fällt darunter der Betrieb virtueller Server-, Netzwerkund Datenspeicher-Infrastrukturen (IaaS). Diese Cloud-IT-Dienstleistungen erbringt der Auftragnehmer auf Basis der mit dem Auftraggeber vereinbarten Nutzungsbedingungen und Leistungsbeschreibungen. Soweit die Parteien ein Auftragsdatenverarbeitungsverhältnis gemäß § 11 Bundesdatenschutzgesetz (BDSG) bzw. – ab dem Anwendungszeitpunkt der Neufassung des BDSG (im Folgenden „BDSG neu“) entsprechend den Vorgaben der Datenschutzgrundverordnung (EU-Verordnung 2016/679, im Folgenden „DSGVO“) – gemäß Art. 28 DSGVO eingehen, konkretisiert diese Vereinbarung zur Auftragsdatenverarbeitung („ADV“) die datenschutzrechtlichen Verpfl ichtungen der Vertragsparteien, die sich aus den einzelnen, vom Auftraggeber beim Auftragnehmer gebuchten Leistungen (nachfolgend zusammengefasst „Hauptvertrag“ genannt) ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragsnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können. Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieser ADV-Vereinbarung. Eine isolierte Kündigung dieser ADV-Vereinbarung ist ausgeschlossen. Eine Kündigung aus wichtigem Grund bleibt unberührt.


In anderen Worten

wir bieten dir unterschiedliche Dienstleistungen aus der Cloud an. Dazu hast du mit uns ein Vertragsverhältnis geschlossen. Solltest du nun mit unseren Dienstleistungen selber personenbezogene Daten erheben, verarbeiten und speichern, so möchten wir dir diese Vereinbarung zur Auftragsdatenverarbeitung anbieten. Diese Vereinbarung regelt wichtige Rechte und Pfl ichten zwischen uns, damit du nachweisen kannst, dass du dich gesetzeskonform verhältst.

1


Anwendungsbereich & Verantwortlichkeit

1.1
Die Vereinbarung fi ndet Anwendung auf alle Tätigkeiten, die Gegenstand der Leistungsvereinbarung sind und bei deren Verrichtung Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer nach Maßgabe dieser Vereinbarung beauftragte Dritte mit personenbezogenen Daten in Berührung kommen, für die der Auftraggeber die gemäß § 3 Abs. 7 BDSG verantwortliche Stelle bzw. der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO ist.

1.2
Im Falle von Regelungswidersprüchen zwischen der Leistungsvereinbarung und der ADV-Vereinbarung gehen die Bestimmungen der ADV-Vereinbarung vor.


In anderen Worten

diese Vereinbarung gilt ergänzend zu unserem abgeschlossenen Vertragsverhältnis immer dann, wenn wir für dich irgendeine Tätigkeit ausführen oder durch einen Auftragnehmer ausführen lassen und dabei die Möglichkeit besteht, dass wir oder jemand anderes mit personenbezogenen Daten in Berührung kommt.

2


Begriffsbestimmung

2.1
Diese Vereinbarung bezieht sich nur auf die Durchführung der technischen Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Sinne des § 3 Abs. 1 BDSG bzw. Verarbeitung nach Art. 4 Nr. 2 DSGVO (nachfolgend „Daten“ genannt) durch den Auftragnehmer im Auftrag des Auftraggebers im Rahmen der Erfüllung der Leistungsvereinbarung (Auftragsdatenverarbeitung oder Auftragsverarbeitung). Eine weitergehende inhaltliche Übertragung von Aufgaben wird mit dieser Vereinbarung nicht getroffen.


In anderen Worten

diese Vereinbarung umfasst nur bestimmte Vorgänge in Zusammenhang mit personenbezogenen Daten, für die du uns explizit beauftragst.

3


Konkretisierung des Auftragsinhalts, der Art, Umfang und Zweck der Auftrags-datenverarbeitung

3.1
Der Gegenstand und die Dauer der Auftragsdatenver-arbeitung sowie Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten sind im Hauptvertrag geregelt.

3.2
Gegenstand der Erhebung, Verarbeitung und/oder Nut-zung durch den Auftragnehmer sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer be-stimmten oder bestimmbaren natürlichen Person.

3.3
Folgende Datenarten oder –kategorien sind Gegenstand der Erhebung, Verarbeitung und/oder Nutzung durch den Auftragnehmer:

  • Personenstammdaten, z. B.:
    Name, Adresse, Geburtsdatum, Arbeitgeber, Position
  • Kundenstammdaten, z. B.:
    Name, Adresse, Geburtsdatum
  • Kommunikationsdaten, z. B.:
    Telefonnummern, E-Mail-Adressen
  • Unternehmensdaten, z. B.:
    Mitarbeiter, Adressen, Bankverbindungen, Geschäftsberichte
  • Lieferantenstammdaten, z. B.:
    Mitarbeiter, Adressen, Bankverbindungen, Bewertungen
  • Vertragsstammdaten, z. B.:
    Ansprechpartner, Vertragsbeziehungen
  • Vertragsbezogene Dokumente, z. B.:
    AGB, Verträge, Bestellungen, Rechnungen
  • Logdaten, z. B.:
    Änderungshistorie, Bestellhistorie, Anmelde- historie, Legitimationen
  • Kommunikationsdaten, z. B.:
    Chats, Notizen zu Gesprächen und Telefonaten, E-Mail-Verkehr, sonstiger SchriftverkehrEine Kündigung aus wichtigem Grund bleibt unberührt.

In anderen Worten

vereinbaren wir, dass die Dauer der Gültigkeit dieser ADV sich nach der Laufzeit unseres Vertragsverhältnisses rich-tet. Im Regelfall gilt diese ADV also unbegrenzt, bis du das Vertragsverhältnis mit uns kündigst.Aus unserem Vertragsverhältnis und aus den von dir ge-buchten Cloud-Leistungen ergibt sich im Einzelnen, für welchen Zweck und zu welcher Nutzung personenbezoge-ne Daten gespeichert werden.Abgesehen von den personenbezogenen Daten die du mit Hilfe unserer Services speicherst oder verarbeitest, erheben wir personenbezogene Daten über dich und über jede Person, die du beauftragst mit uns zusammen zu arbeiten.

4


Verantwortlichkeit und Weisungen des Auftraggebers

4.1
Der Auftraggeber ist für die Einhaltung der datenschutz-rechtlichen Bestimmungen, insbesondere für die Recht-mäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Er kann jederzeit die Herausgabe, Berich-tigung, Löschung und Sperrung der Daten verlangen. So-weit ein Betrof ener sich zwecks Löschung oder Berichtung seiner Daten unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen schnellstmöglich an den Auftraggeber weiterleiten.

4.2
Der Auftragnehmer darf Daten ausschließlich im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Eine Weisung ist die auf einen bestimmten Umgang des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche gesetzeskonforme Anord-nung des Auftraggebers. Die Weisungen werden zunächst durch den Hauptvertrag defi niert und können von dem Auftraggeber danach in schriftlicher Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden (Einzelanweisung). Weisungen, die über die vertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

4.3
Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber schriftlich bestätigt oder geändert wird.

4.4
Änderungen des Verarbeitungsgegenstandes mit Ver-fahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betrof enen darf der Auftragnehmer nur nach vorheriger schrift-licher Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke und ist nicht berechtigt, sie an Dritte weiterzuge-ben. Kopien werden ohne Wissen des Auftraggebers nicht erstellt.

4.5
Der Auftraggeber führt das Verfahrensverzeichnis gem. § 4g Abs. 2 Satz 2 BDSG bzw. Art. 30 DSGVO. Der Auftrag-nehmer stellt dem Auftraggeber auf dessen Aufforderung die notwendigen Informationen zur Aufnahme in das Verfahrensverzeichnis zur Verfügung.

4.6
Die Personen des Auftraggebers, welche berechtigt sind,Weisungen gemäß dieser Regelung zu erteilen, werden durch den Auftraggeber bestimmt. Ist eine der genann-ten Personen auf längere Zeit verhindert, scheidet aus dem Unternehmen aus oder steht aus sonstigen Gründen nicht mehr zur Verfügung, ist rechtzeitig eine Ersatzperson zu bestellen und der anderen Vertragspartei unverzüglich in Textform mitzuteilen.

4.7
Die Meldung von Weisungen gemäß dieser Regelungerfolgt an compliance@gridscale.io


In anderen Worten

bist du dafür verantwortlich, was du im Detail mit unseren Angeboten machst, welche personenbezogene Daten du erhebst, verarbeitest oder speicherst. Wir stellen dir APIs und Tools bereit, die dir jederzeit die volle Kontrolle über alle von dir auf unseren Services gespeicherten Daten geben.Wir werden niemals ohne deinen expliziten Auftrag Daten für dich erheben, verarbeiten oder verändern.Niemals werden wir deine Daten (ob vertraulich, personen-bezogen oder nicht) für Zwecke verwenden, zu denen du uns nicht beauftragt hast oder irgendeiner Dritten Partei aushändigen.Du musst uns Personen bekannt geben, die in deinem Namen oder im Namen deines Unternehmens Aufträge an uns erteilen dürfen.

5


Pflichten des Auftragnehmers

5.1
Neben den vertraglichen Regelungen dieser Vereinba-rung und dem Hauptvertrag wird der Auftragnehmer im Rahmen der Auftragsdatenverarbeiten und der Auftrags-verarbeitung alle einschlägigen gesetzlichen Pfl ichten einhalten.

5.2
Der Auftragnehmer ist verpfl ichtet, das Datengeheim-nis zu wahren. Er stellt ferner sicher, dass seine mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter entsprechend zur Vertraulichkeit, insbesondere auf das Datengeheimnis sowie die Einhaltung der Rechte und Pflichten dieser ADV verpfl ichtet werden oder einer angemessenen gesetzlichen Verschwiegenheitspfl icht unterliegen und in die Schutzbestimmungen des BDSG bzw. BDSG neu eingewiesen worden sind. Dies umfasst auch die Belehrung über die in diesem Auftragsdatenver-arbeitungsverhältnis bestehenden Weisungs- und Zweck-bindung. Auf Anforderung des Auftraggebers wird der Auftragnehmer eine explizite Erklärung nach § 5 BDSG bzw. Art. 28 Abs. 3 S. 2 lit. b) DSGVO vorlegen (bspw. durch explizite Bestätigung, dass arbeitsvertragliche Regelungen geschlossen worden sind).

5.3
Der Auftragnehmer hat nach Maßgabe des § 4f BDSG bzw. Art. 37 DSGVO einen Datenschutzbeauftragten zu bestellen, der seine Tätigkeit gemäß §§ 4f und 4g BDSG bzw. Art. 39 DSGVO ausübt, sofern eine gesetzliche Ver-pflichtung besteht. Sofern der Auftragnehmer keinen Datenschutzbeauftragten bestellt hat, benennt er einen für den Datenschutz zuständigen Mitarbeiter. Die Kontakt-daten eines bestellten Datenschutzbeauftragten bzw. des für den Datenschutz zuständigen Mitarbeiters werden dem Auftraggeber auf Nachfrage mitgeteilt.

5.4
Der Auftragnehmer informiert den Auftraggeber unver-züglich über Kontrollen, Ermittlungen und Maßnahmen durch die Aufsichtsbehörden. Der Auftragnehmer ist verpfl ichtet, Anfragen von den Datenschutzaufsichtsbehörden unverzüglich an den Datenschutzbeauftragten des Auf-traggebers oder an den Auftraggeber weiterzuleiten. Der Auftragnehmer wird den Auftraggeber bei der Erstellung erforderlicher Datenschutzdokumentationen sowie der Beantwortung von Anfragen von Datenschutzaufsichts-behörden nach seinen Möglichkeiten gegen Entgelt nach vorherigem Angebot und Beauftragung durch den Auf-traggeber unterstützen.

5.5
Der Auftragnehmer ist vorbehaltlich einer gesetzlichen oder behördlichen Verpfl ichtung ohne entsprechende Weisung des Auftraggebers nicht befugt, Dritten oder dem Betrof enen Auskunft über die verarbeiteten Daten zu geben. Auskunftsersuchen wird der Auftragnehmer unverzüglich an den Auftraggeber weiterleiten. Für die Wahrung der Betrof enenrechte ist der Auftraggeber ver-antwortlich. Der Auftragnehmer wird jedoch angesichts der Art der Verarbeitung den Auftraggeber nach Möglich-keit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, dessen Pfl icht zur Be-antwortung von Anträgen auf Wahrnehmung der Betrof enenrechte in Kapitel III der DSGVO nachzukommen.

5.6
Der Auftragnehmer wird den Auftraggeber nach dem An-wendungszeitpunkt der DSGVO bzw. des BDSG neu unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pfl ichten zur Sicherheit personenbezogener Daten nach seinen Möglichkeiten gegen Entgelt nach vorherigem Angebot und Beauftragung durch den Auftraggeber unterstützen.


In anderen Worten

wir halten uns an das Gesetz. Wir verpfl ichten uns, das Datengeheimnis zu wahren und gewährleisten dir, dass alle unsere Mitarbeiter geschult und besonders sensibi-lisiert sind. Wenn das Gesetz es verlangt, bestellen wir einen Datenschutzbeauftragten. Andernfalls benennen wir einen für den Datenschutz zuständigen Mitarbeiter. Sollten wir einmal in ein Ermittlungsverfahren durch die zuständigen Aufsichtsbehörden geraten, dann informieren wir dich unverzüglich darüber. Wir helfen dir weiter, wenn du selber Auskünfte (bspw. einer Behörde gegenüber) erteilen musst. Sollten uns dadurch Aufwände erstellen, werden wir uns vorher mit dir über die Kosten abstimmen.Du bist für die sogenannten Betroffenenrechte verant-wortlich. Damit sind die Rechte der Person gemeint, deren Daten du speicherst oder verarbeitest. Wenn sich ein Betrof ener bei uns meldet, können wir keine Auskünfte erteilen oder Weisungen entgegennehmen. Stattdessen leiten wir das an uns herangetragene Anliegen umgehend an dich weiter.

6


Technisch-organisatorische Maßnahmen und deren Kontrolle

6.1
Die Vertragsparteien vereinbaren die im Anhang Technisch-organisatorische Maßnahmen zu dieser Verarbeitung niedergelegten konkreten technischen und organisatorischen Sicherheitsmaßnahmen.

6.2
Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu tref enden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Einzelheiten im Anhang Technisch-organisatorische Maßnahmen.

6.3
Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der in dem Anhang Technisch-organisatorische Maßnahmen festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

6.4
Der Auftragnehmer wird dem Auftraggeber auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte geben und die Implementierung der vereinbarten technischen und organisatorischen Maßnahmen bestätigen.

6.5
Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig (in der Regel mit mindestens 20 Werktagen Vorlauf) anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überprüfen. Eine Überprüfung hat ohne Störung des Betriebsablaufs innerhalb der üblichen Geschäftszeiten zu erfolgen. Dies gilt auch für die Überprüfung von Unterauftragnehmern, die mit der (vollständigen oder teilweisen) Erbringung der vom Auftragnehmer geschuldeten Leistungen beauftragt worden sind. Der Auftraggeber hat hierbei angemessene Rücksicht auf die Betriebsabläufe zu nehmen sowie Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse des Auftragnehmers zu wahren. Der Auftragnehmer wird den Auftraggeber bei der Auftragskontrolle angemessen unterstützen und auf Anforderung hierfür erforderliche Auskünfte bereitstellen. Eine Überprüfung durch Dritte für den Auftraggeber bedarf der vorherigen schriftlichen Zustimmung des Auftragnehmers. Beauftragt der Auftraggeber mit Zustimmung des Auftragnehmers einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich zur Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Geheimhaltungsverpfl ichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich, vor Beginn der der Überprüfung, vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.


In anderen Worten

wir vereinbaren mit dir sogenannte Technisch-organisatorische Maßnahmen, die unsere Vorkehrungen zum Schutz deiner Daten konkretisieren. Wir orientieren uns mit unseren Technisch-organisatorischen Maßnahmen an dem aktuellen Stand der Technik und gewährleisten ein sehr hohes Schutzniveau deiner bei uns gespeicherten Daten. Damit unsere Maßnahmen wirksam bleiben, passen wir diese von Zeit zu Zeit etwas an und entwickeln diese stetig weiter. Du hast das Recht die bei uns installierten Maßnahmen zu kontrollieren. Hierfür bitten wir dich um etwas Vorlauf für die Planung deiner Überprüfung.

7


Mitteilung bei Verstößen durch den Auftragnehmer

7.1
Bei datenschutzrelevanten Störungen oder Verdacht auf Datenschutzverletzungen bei der Verarbeitung der personenbezogenen Daten ist der Auftragnehmer verpfl ichtet, den Auftraggeber oder den Datenschutzbeauftragten des Auftraggebers unverzüglich zu informieren. Der Auftraggeber wird auf entsprechenden Hinweis des Auftragnehmers erforderliche Weisungen schriftlich erteilen.

7.2
Der Auftragnehmer hat im Benehmen mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen. Soweit den Auftraggeber im Zusammenhang mit den in dieser ADV-Vereinbarung zu verarbeitenden Daten Informationsoder Mitteilungspfl ichten nach § 42a BDSG oder Art. 33, 34 DSGVO tref en, wird der Auftragnehmer den Auftraggeber hierbei nach seinen Möglichkeiten gegen Entgelt nach separater Beauftragung unterstützen.

7.3
Die Personen des Auftraggebers, welche im Falle eines solchen Verstoßes zu informieren sind, werden dem Auftragnehmer separat mitgeteilt. Ist eine der darin genannten Personen auf längere Zeit verhindert, scheidet aus dem Unternehmen aus oder steht aus sonstigen Gründen nicht mehr zur Verfügung, ist rechtzeitig eine Ersatzperson zu bestellen und dem Auftragnehmer über eine E-Mail an compliance@gridscale.io unverzüglich mitzuteilen.


In anderen Worten

kommt es zu einem Vorfall, bei dem wir gegen unsere Vereinbarung zur Auftragsdatenverarbeitung verstoßen, dann verpfl ichten wir uns dich unverzüglich zu informieren. Sollte es zu einem solchen Vorfall kommen, unternehmen wir alles in unserer Macht stehende um Folgen für Betroffene zu minimieren und deine Daten zu schützen.

9


Unterauftragsverhältnisse

9.1
Als Unterauftragsverhältnisse im Sinne dieser Regelung sindsolche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung des Hauptvertrages beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistung, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Sicherstellung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

9.2
Der Auftragnehmer ist nur nach vorheriger schriftlicher Zustimmung des Auftraggebers berechtigt, Dritte mit der (vollständigen oder teilweisen) Erbringung der von ihm geschuldeten Leistungen zu beauftragen (Unterauftragsverhältnisse). Der Auftraggeber wird die Zustimmung aus unbilligen Gründen nicht verweigern. Die Zustimmung gilt als erteilt, sofern der Auftraggeber nicht binnen einer Frist von drei Werktagen auf die Mitteilung des Auftragnehmers über die vorgesehene Beauftragung eines Unterauftragnehmers die begründete Ablehnung der Zustimmung zumindest in Textform erklärt.

9.3
Wenn Unterauftragnehmer durch den Auftragnehmer eingeschaltet werden, hat der Auftragnehmer sicherzustellen, dass seine vertraglichen Vereinbarungen mit dem Unterauftragnehmer so gestaltet sind, dass das Datenschutzniveau mindestens der Vereinbarung zwischen dem Auftraggeber und dem Auftragnehmer entspricht und alle gesetzlichen sowie vertraglichen Pfl ichten beachtet werden. Ab dem Anwendungszeitpunkt der DSGVO wird der Auftragnehmer die in Art. 28 Abs. 2 und 4 DSGVO beschriebenen Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhalten. Kommt der Unterauftragnehmer seinen Datenschutzpfl ichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten jenes Unterauftragnehmers wie für sein eigenes Handeln.

9.4
Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.


In anderen Worten

im Alltag greifen wir auf verschiedene Dienstleister zurück, die wir mit sogenannten Nebenleistungen – also zum Beispiel der Reinigung unseres Büros oder Postdienstleistungen – beauftragen. Nebendienstleister wählen wir sorgfältig aus und verpfl ichten sie auf Datenschutz und Vertraulichkeit. Über Nebendienstleister hinaus kann es im Einzelfall angebracht sein, Dienstleister mit der Erfüllung eines Teils der Leistungen zu beauftragen, die du bei uns in Auftrag gibst. Also sogenannte Unterauftragsverhältnisse. In diesem Fall informieren wir dich über die Beauftragung eines solchen Dienstleisters, damit du der Beauftragung zustimmen kannst. Wir stellen in jedem Fall sicher, dass ein Unterauftragnehmer mindestens einen Sicherheitsstandard gewährleistet, der dieser Vereinbarung entspricht. Wir gewährleisten durch Kontrolle und vertragliche Vereinbarung, dass der Unterauftragnehmer sich an gesetzliche Regelungen hält und deine Interessen wahrt. Wenn ein Unterauftragnehmer die beauftragten Leistungen außerhalb Europas erbringen möchte, stellen wir die datenschutzrechtliche Konformität sicher.

10


Änderungungsvorbehalte

10.1
Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers und dokumentiert das Ergebnis. Hierfür kann er Selbstauskünfte des Auftragnehmers einholen, sich vom Auftragnehmer eingeholte Sachverständigenberichte oder Prüfzertifikate vorlegen lassen oder auf eigene Kosten eine Prüfung durch einen zur Berufsverschwiegenheit verpflichteten Sachverständigen durchführen lassen. Eine solche Prüfung muss zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs erfolgen und bedarf einer angemessenen Vorankündigung.

10.2
Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.


In anderen Worten

vor dem Beginn der Datenverarbeitung auf gridscale sollst du uns gewissenhaft auf Eignung für dein Vorhaben überprüfen. Starte zum Beispiel damit, dass du dir unsere Technisch-organisatorischen Maßnahmen durchließt und dich bei uns meldest, wenn du Fragen hast. Prüfe die Zertifi kate unserer Rechenzentren und vergewissere dich davon, dass wir für dein Vorhaben der beste Anbieter sind. Wir werden dich bei alledem jederzeit gerne unterstützen.

11


Schriftformklausel, Rechtswahl, Schlussbestimmungen

11.1
Gerichtsstand für alle Streitigkeiten aus dieser ADV-Vereinbarung ist Köln.

11.2
Auf diese Vereinbarung fi ndet das deutsche Recht unter Ausschluss des internationalen Privatrechts Anwendung.

11.3
Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers - bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

11.4
Der Auftraggeber sowie jeder Nutzer erklärt sich damit einverstanden, dass der Auftragnehmer system- oder produktrelevante Information per E-Mail versendet. Diese Einwilligung kann jederzeit widerrufen werdeneine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

11.5
Sollten einzelne Bestimmungen dieser ADV-Vereinbarung ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Vertragsparteien verpfl ichten sich für diesen Fall, die ungültige Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der ungültigen Bestimmung möglichst nahe kommt. Entsprechendes gilt für etwaige Lücken der ADV-Vereinbarung.

11.6
Der Anhang Technisch-organisatorische Maßnahmen ist Bestandteil dieser Vereinbarung.


In anderen Worten

wir leben in Köln. Für diese Vereinbarung gilt deutsches Recht. Alle Änderungen an dieser Vereinbarung musst du mit uns schriftlich vereinbaren. Der Anhang Technisch-organisatorische Maßnahmen ist ein wichtiger Bestandteil dieser Vereinbarung.