Trustlinks free webinar: Turning regulation into resilience – Register now

Trustlinks logo white.
Demo buchen
Demo buchen

ANHANG 1 – AUFTRAGSVERARBEITUNGSVERTRAG

Dieser Auftragsverarbeitungsvertrag (der „Auftragsverarbeitungsvertrag“ oder „AVV“) regelt die Verarbeitung personenbezogener Daten, die sich aus der Nutzung von Trustlinks durch den Kunden gemäß dem Vertrag ergibt, und ist integraler Bestandteil des Vertrages. Die vom Kunden in Trustlinks eingegebenen Kundendaten werden verschlüsselt. Wir haben keinen Zugriff auf diese Informationen, mit Ausnahme der Tatsache, dass wir die Daten auf unseren Servern speichern und in Ausnahmefällen im Rahmen von Supportleistungen Unterstützung leisten müssen. Durch diese Speicherung gelten wir gemäß der Datenschutz-Grundverordnung (EU) 2016/679 („DSGVO“) als Verarbeiter personenbezogener Daten im Auftrag des Kunden und sind damit Auftragsverarbeiter, während der Kunde in seiner Rolle als Verantwortlicher handelt. Begriffe in diesem Auftragsverarbeitungsvertrag sind im Einklang mit der DSGVO sowie den jeweils anwendbaren nationalen Umsetzungsvorschriften und Datenschutzregelungen (zusammen die „Datenschutzvorschriften“) auszulegen. Soweit nicht ausdrücklich anders bestimmt, haben die Begriffe die Bedeutung, die ihnen vorrangig in den Datenschutzvorschriften und im Übrigen im Vertrag zukommt.

1.Verantwortlichkeit und Weisungen

Art der Daten, Kategorien betroffener Personen, Zweck, Art, Dauer und Gegenstand der Verarbeitung im Rahmen dieses Auftragsverarbeitungsvertrages sind in Ziffer 5 beschrieben. Der Kunde stellt sicher, dass der Auftragsverarbeiter keine anderen als die in Ziffer 5 genannten Kategorien personenbezogener Daten verarbeitet.

Dem Kunden ist bekannt, dass Trustlinks eine Plattform ist, die einer Vielzahl von Kunden zur Verfügung gestellt wird. Daher ist es dem Auftragsverarbeiter nicht in jedem Fall möglich, Weisungen zu befolgen, die nicht unmittelbar aus der Verpflichtung des Kunden zur Einhaltung der Datenschutzvorschriften resultieren. Erteilt der Kunde Weisungen, die vom Auftragsverarbeiter nicht umgesetzt werden können, verpflichtet sich der Kunde, die Eingabe und den Export der hiervon betroffenen Kundendaten zu unterlassen. Dies stellt weder eine Vertragsverletzung noch eine Einschränkung der Verfügbarkeit von Trustlinks dar.

Der Kunde ist Verantwortlicher für sämtliche personenbezogenen Daten, die der Auftragsverarbeiter im Auftrag des Kunden verarbeitet. Der Kunde ist somit für die Einhaltung der Datenschutzvorschriften verantwortlich und verpflichtet sich, die jeweils geltenden Nutzungsrichtlinien für Trustlinks einzuhalten.

Mit Abschluss dieses Vertrages erkennt der Kunde die jeweils aktuellen technischen und organisatorischen Maßnahmen von Trustlinks als angemessen für die beabsichtigte Nutzung von Trustlinks an.

 

2. Verpflichtungen des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  1. über angemessene technische und organisatorische Sicherheitsmaßnahmen zu verfügen und die in den jeweils aktuellen organisatorischen und technischen Maßnahmen von Trustlinks (abrufbar unter Trustlinks.com/measures) sowie in Art. 32 DSGVO genannten Maßnahmen umzusetzen, einschließlich einer angemessenen Vertraulichkeitsverpflichtung für alle zur Datenverarbeitung befugten Personen;
  2. den Kunden bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO geregelten Pflichten zu unterstützen (insbesondere hinsichtlich technischer und organisatorischer Maßnahmen, Meldung von Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorheriger Konsultation) sowie bei der Erfüllung der Pflichten im Zusammenhang mit den Betroffenenrechten gemäß Kapitel III DSGVO (z. B. Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch, automatisierte Entscheidungen);
  3. dem Kunden auf Anfrage alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung dieses Auftragsverarbeitungsvertrages zu überprüfen, und Prüfungen (einschließlich Inspektionen) durch den Kunden oder einen von ihm beauftragten Prüfer zu ermöglichen und zu unterstützen;
  4. Anfragen von betroffenen Personen, Aufsichtsbehörden oder sonstigen Dritten, die die Verarbeitung personenbezogener Daten betreffen, an den Kunden weiterzuleiten und den Kunden unverzüglich über Kontakte von Aufsichtsbehörden zu informieren, sofern diese für die Verarbeitung relevant sind oder sein können;
  5. nach Wahl des Kunden sämtliche personenbezogenen Daten bei Vertragsbeendigung – unabhängig vom Grund – zu löschen, zu anonymisieren oder an den Kunden zurückzugeben, einschließlich der Löschung aller Kopien, soweit keine gesetzliche Aufbewahrungspflicht besteht;
  6. dem Kunden Zugang zu allen Informationen zu gewähren, die dieser benötigt, um seinen Verpflichtungen als Verantwortlicher gegenüber Aufsichtsbehörden und/oder betroffenen Personen nachzukommen;
  7. personenbezogene Daten nicht in Drittländer oder an internationale Organisationen zu übermitteln, es sei denn, dies ist nach den Datenschutzvorschriften erforderlich; in diesem Fall wird der Kunde unverzüglich informiert, sofern dies rechtlich zulässig ist.

Der Auftragsverarbeiter verpflichtet sich ferner, personenbezogene Daten stets in Übereinstimmung mit den Datenschutzvorschriften zu verarbeiten. Dies umfasst insbesondere die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten, die Bereitstellung entsprechender Auszüge auf Anfrage des Kunden sowie die unverzügliche Information des Kunden, wenn ein Risiko für die Rechte und Freiheiten betroffener Personen besteht.

 

3. Unterauftragsverarbeiter und Drittlandübermittlungen

Sofern der Auftragsverarbeiter (i) den Verantwortlichen rechtzeitig im Voraus über geplante Änderungen informiert und (ii) dem Verantwortlichen ein Widerspruchsrecht einräumt, ist der Auftragsverarbeiter allgemein berechtigt, Unterauftragsverarbeiter einzusetzen. Der Auftragsverarbeiter bleibt für deren Handlungen gegenüber dem Kunden voll verantwortlich.

Sofern der Auftragsverarbeiter (i) den Verantwortlichen mindestens 30 Tage im Voraus informiert und (ii) angemessene und DSGVO-konforme Schutzmaßnahmen anwendet, dürfen personenbezogene Daten außerhalb der EU/des EWR übermittelt werden.

Mit Abschluss dieses Vertrages genehmigt der Kunde die in Ziffer 5 genannten Unterauftragsverarbeiter. Zum Zeitpunkt des Vertragsschlusses erfolgen keine Übermittlungen in Drittländer.

 

4. Sonstige Bestimmungen

Die Bestimmungen des Vertrages gelten entsprechend auch für diesen Auftragsverarbeitungsvertrag.

Im Falle eines Widerspruchs zwischen dem Vertrag und diesem Auftragsverarbeitungsvertrag hat dieser Auftragsverarbeitungsvertrag Vorrang.

 

5. Weisungen (Verarbeitungsbeschreibung)

Diese Ziffer 5 stellt die initialen Weisungen des Kunden an den Auftragsverarbeiter dar und kann – vorbehaltlich Ziffer 1 – zu einem späteren Zeitpunkt ergänzt werden.

Kategorien betroffener Personen. Personen, die Trustlinks nutzen oder von der Nutzung betroffen sind, insbesondere Mitarbeitende, Berater, Partner sowie Personen, die in im System verwalteten Vorgängen oder Kommunikationsinhalten enthalten sind.

Zweck, Art und Gegenstand der Verarbeitung sowie Kategorien personenbezogener Daten. Die Verarbeitung erfolgt zur Unterstützung eines sicheren Compliance-Managements, einschließlich der Dokumentation von Richtlinien, Risikoregistern, internen Audits und Meldesystemen. Die Verarbeitungsvorgänge umfassen insbesondere Erhebung, Strukturierung, Speicherung, Abruf, Zugriffsbeschränkung, Zugriffskontrolle, Übermittlung, Kommunikation und Löschung personenbezogener Daten. Zu den verarbeiteten personenbezogenen Daten können insbesondere gehören: Namen, Funktionen, Kontaktdaten, Beschäftigungsinformationen, Kommunikationsinhalte, fallbezogene Notizen sowie weitere compliance-relevante Unterlagen. Abhängig von der Konfiguration durch den Kunden können auch besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten oder strafrechtliche Daten) gemäß den Anforderungen der DSGVO verarbeitet werden.

Datenspeicherung. Die Speicherung der Daten erfolgt für den vom Kunden innerhalb der Trustlinks-Plattform definierten Aufbewahrungszeitraum.

Unterauftragsverarbeiter. Zum Zeitpunkt des Vertragsschlusses werden folgende Unterauftragsverarbeiter eingesetzt (Änderungen gemäß Ziffer 3 vorbehalten):

SMSAPI (Polen)

Brevo (Frankreich)

OPSWAT (Deutschland)

Glesys (Schweden)

T-Systems International (Deutschland)

Drittlandübermittlungen. Zum Zeitpunkt des Abschlusses dieses Vertrages übermittelt der Auftragsverarbeiter keine personenbezogenen Daten außerhalb der EU/des EWR. Etwaige künftige Drittlandübermittlungen erfolgen ausschließlich gemäß Ziffer 3.

Demo buchen

Senden Sie uns eine Nachricht – unser Team meldet sich in Kürze bei Ihnen.

Trustlinks respektiert Ihre Privatsphäre. Wir kontaktieren Sie ausschließlich in Bezug auf unsere Lösungen.

Sprechen Sie mit Philipp Garz

philipp.garz@trustlinks.com
Philipp Garz.