ADV Wie wir deine Studiodaten verarbeiten

Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 DSGVO

Das Studio und Magicline haben eine Vereinbarung geschlossen, welche das Studio zur Nutzung der Magicline Verwaltungssoftware in Form eines „Software as a Service“-Dienstes sowie zur Inanspruchnahme sonstiger Serviceleistungen berechtigt („Hauptvertrag“). Die Erfüllung der auf Basis des Hauptvertrages seitens Magicline geschuldeten Leistungen bedingt, dass Magicline mit personenbezogenen Daten des Studios umgeht. Dieser Vertrag konkretisiert die für beide Parteien insoweit im Rahmen einer sogenannten Auftragsdatenverarbeitung gemäß Art. 28 DSGVO geltenden datenschutzrechtlichen Rechte und Pflichten.

§ 1 Gegenstand des Vertrags, Art der Daten, Kreis der Betroffenen

(1) Magicline erbringt gegenüber dem Studio folgende Dienstleistungen:

(i) Hosting und Support der seitens des Studios zur Verfügung gestellten Daten

(ii) Verarbeitung der vom Studio zur Verfügung gestellten Daten zur Erstellung von anonymisierten Marktanalysen

(2) Magicline ist verpflichtet, sämtliche personenbezogenen Daten, auf welche Magicline im Zuge der Erfüllung der nach diesem Vertrag geschuldeten Leistungen Zugriff erlangt, nach Vorgaben des Studios streng räumlich getrennt von jedweden Daten von Magicline sowie Daten Dritter zu verarbeiten.

(3) Von der Auftragsdatenverarbeitung sind Daten folgender Personengruppen betroffen:

(i) Mitarbeiter des Studios und

(ii) Kunden des Studios (nachfolgend „Mitglieder des Studios“). Es handelt sich dabei ausnahmslos um folgende personenbezogenen Daten des vorbezeichneten Kreises der Betroffenen:

(i) Bezüglich Mitarbeitern des Studios:

  • Name, Adresse, IBAN, BIC des jeweiligen Mitarbeiters
  • Geburtsdatum des jeweiligen Mitarbeiters
  • Foto des jeweiligen Mitarbeiters
  • Vertragslaufzeit und Zahlungsmodalitäten des jeweiligen Mitarbeiters
  • offene Verbindlichkeiten des jeweiligen Mitarbeiters
  • Daten über Art und Umfang der Nutzung der vom Studio angebotenen Leistungen durch der Mitarbeiter (Häufigkeit und Dauer der Nutzung)

(ii) Bezüglich Mitgliedern des Studios:

  • Name, Adresse, IBAN, BIC des jeweiligen Mitglieds
  • Geburtsdatum des jeweiligen Mitglieds
  • Foto des jeweiligen Mitglieds
  • Vertragslaufzeit und Zahlungsmodalitäten des jeweiligen Mitglieds
  • offene Verbindlichkeiten des jeweiligen Mitglieds
  • Daten über Art und Umfang der Nutzung der vom Studio angebotenen Leistungen durch den das Mitglied (Häufigkeit und Dauer der Nutzung)

(4) Zweck der Verarbeitung der vorbezeichneten Daten ist zum einen die Unterstützung des Studios bei der Verwaltung der mit den Mitgliedern des Studios geschlossenen Verträge (Mitgliederverwaltung). Zweck ist zum anderen, dem Studio für dessen Marktanalysen in anonymisierter Form interne und externe Marktdaten unter Nutzung der Daten der Mitglieder des Studios zur Verfügung zu stellen. Zweck der Verarbeitung der Mitarbeiterdaten ist eine technische Unterstützung des Studios bei der Personalverwaltung.

§ 2 Weisungsbefugnis

(1) Magicline verarbeitet Daten ausschließlich gemäß den Regelungen des mit dem Studio geschlossenen Vertrages sowie im Rahmen der vom Studio erteilten Weisungen. Magicline verwendet die zur Datenverarbeitung überlassenen Daten nicht anderweitig und bewahrt sie nicht länger auf, als es das Studio bestimmt.

(2) Für die Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Personen, deren Daten verarbeitet werden (den Betroffenen) nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich.

(3) Magicline wird den Auftraggeber bei der Erfüllung von Pflichten gegenüber den Betroffenen unterstützen.

(4) Der Auftraggeber erteilt alle Weisungen in der Regel schriftlich oder per E-Mail. Mündlich erteilte Weisungen müssen unverzüglich schriftlich oder per E-Mail bestätigt werden.

§ 3 Datenschutzbeauftragter von Magicline, Verzeichnis der Verarbeitungstätigkeit

(1) Bei Magicline ist als betrieblicher Datenschutzbeauftragter bestellt:
Marc Althaus, DS Extern GmbH, Bredkamp 53a, 22589 Hamburg, https://www.dsextern.de/anfragen

(2) Der Datenschutzbeauftragte hat die Ausführungen der EU-DSGVO sowie andere Vorschriften über den Datenschutz im Hinblick auf das Auftragsverhältnis sicherzustellen. Hierzu führt der Datenschutzbeauftragte regelmäßige Kontrollen durch. Über die Kontrollen wird ein Protokoll angefertigt. Stellt der Datenschutzbeauftragte im Rahmen seiner Aufgaben Unregelmäßigkeiten bei der Datenverarbeitung fest, so informiert er unverzüglich die Geschäftsführung von Magicline. Ein Wechsel des Datenschutzbeauftragten wird dem Studio unverzüglich mitgeteilt.

§ 4 Vertraulichkeit

(1) Magicline darf ohne schriftliche Weisung des Studios die überlassenen personenbezogenen Daten nicht an Dritte weitergeben.

(2) Magicline muss alle im Rahmen des Auftrages überlassenen Unterlagen, Dokumente und andere Informationsträger absolut vertraulich behandeln. Dies gilt auch für alle weiteren Informationen, die Magicline bei der Durchführung des Auftrages bekannt werden. Diese Verpflichtung gilt während und auch nach Beendigung des Vertrages.

(3) Magicline verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers Vertraulichkeit im Sinne von Art. 28 Abs. 3 b) DSGVO zu wahren. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

§ 5 Berichtigung, Sperrung und Löschung von Daten

In Bezug auf die Berichtigung, Sperrung und Löschung von Daten wird Magicline nur auf Weisung des Studios tätig. Soweit ein Betroffener sich unmittelbar an Magicline zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird Magicline dieses Ersuchen unverzüglich an das Studio weiterleiten.

§6 Unterauftragsverhältnisse

(1) Zum Zeitpunkt des Abschlusses dieses Vertrages sind die in der Anlage 2 aufgeführten Unternehmen als Unterauftragnehmer für Teilleistungen für den Auftragnehmer tätig und verarbeiten und/oder nutzen in diesem Zusammenhang auch unmittelbar die Auftragsdaten. Für diese Unterauftragnehmer gilt die Einwilligung für das Tätigwerden als erteilt. Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff DSGVO erfüllt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

(2) Der Auftragnehmer informiert den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von anderen als den in Anlage 2 genannten Unterauftragnehmern, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Gleiches gilt, wenn der Auftragnehmer zur Erfüllung seiner vertraglich übernommenen Leistungspflichten sonstige dritte Unternehmen zur Leistungserfüllung heranzieht. Hierbei muss jeder neue Unterauftragnehmer vor Beauftragung dem Auftraggeber schriftlich angezeigt werden, sodass der Auftraggeber gegen die Beauftragung innerhalb von 1 Woche nach Zugang der Anzeige Einspruch erheben kann.

(3) Verweigert der Auftraggeber durch seinen Einspruch die Zustimmung aus anderen als aus wichtigen Gründen, kann der Auftragnehmer den Vertrag mit dem Auftraggeber zum Zeitpunkt des geplanten Einsatzes des Unterauftragnehmers kündigen, ohne dass dem Auftraggeber gegen den Auftragnehmer in diesem Zusammenhang Schadensersatz- oder sonstige Zahlungsansprüche zustehen.

(4) Der Auftragnehmer muss jeden Unterauftragnehmer unter besonderer Berücksichtigung der Eignung hinsichtlich der Erfüllung der zwischen dem Auftraggeber und dem Auftragnehmer vereinbarten technischen und organisatorischen Maßnahmen gewissenhaft auswählen.

(5) Ist der Auftragnehmer im Sinne dieser Vereinbarung befugt, die Dienste eines Unterauftragnehmers in Anspruch zu nehmen, um bestimmte Verarbeitungstätigkeiten zur Erfüllung der gegenüber dem Auftraggeber bestehenden Leistungspflichten auszuführen, so werden diesem Unterauftragnehmer im Wege eines Vertrags dieselben Pflichten auferlegt, die in diesem Vertrag zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind. Dies gilt insbesondere hinsichtlich der Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit sowie den in diesem Vertrag beschriebenen Kontroll- und Überprüfungsrechten des Auftraggebers. Hierbei müssen ferner hinreichend Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.

(6) Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über die datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen. Unter den in § 8 dieses Vertrages geregelten Voraussetzungen müssen Vor-Ort Kontrollen des Auftraggebers beim Unterauftragnehmer möglich sein.

(7) Ein zustimmungspflichtiges Unterauftragsverhältnis liegt nicht vor, wenn der Auftragnehmer Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei Personal-, Post- und Versanddienstleistungen. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. Die Nebenleistungen sind vorab detailliert zu benennen.

§ 7 Hinweispflicht von Magicline

(1) Ist Magicline der Ansicht, dass eine Weisung gegen das DSGVO oder andere Vorschriften über den Datenschutz verstößt, weist Magicline das Studio unverzüglich darauf hin.

(2) Die Pflichten des Auftragnehmers bei Störungen, Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung ergeben sich aus § 10 dieses Vertrages.

§ 8 Kontrolle durch das Studio sowie Mitwirkungs- und Duldungspflichten

(1) Der Auftraggeber ist berechtigt, durch einen zur Geheimhaltung verpflichteten Bevollmächtigten, vor Beginn der Dienstleistung sowie regelmäßig während der Dauer der Dienstleistung in angemessenen Abständen die Einhaltung der technischen und organisatorischen Maßnahmen zum Datenschutz und die Datenverarbeitung von Magicline und deren Unterauftragnehmern zu überprüfen.

(2) Anstatt einer Vor-Ort-Kontrolle darf Magicline den Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen auch durch die Vorlage eines geeigneten aktuellen Prüfberichts von unabhängigen Personen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragter oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit – z. B. nach BSI-Grundschutz – („Prüfungsbericht“) erbringen. Der Prüfungsbericht muss es dem Studio in angemessener Weise ermöglichen, sich von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen.

§ 9 Festlegung der technischen und organisatorischen Maßnahmen

(1) Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko für die Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die konkreten, vom Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen werden in Anlage 1 aufgelistet.

(2) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, darf der Auftragnehmer andere und gleichwertige Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 1 festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen der Maßnahmen müssen vom Auftragnehmer dokumentiert und dem Auftraggeber auf Anforderung zur Verfügung gestellt werden.

§ 10 Mitteilungs- und Unterstützungspflichten des Auftragnehmers bei Datensicherheitsvorfällen

(1) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er oder eine bei ihm beschäftigte Person gegen Vorschriften zum Schutz personenbezogener Daten, gegen Festlegungen nach diesem Vertrag oder gegen eine vom Verantwortliche erteilte Weisung verstoßen hat, wenn Anhaltspunkte dafür bestehen, dass ein Dritter – egal aus welchem Grund – unrechtmäßig Kenntnis von Auftragsdaten erlangt haben könnte, oder wenn in sonstiger Weise eine Gefährdung für die Integrität oder Vertraulichkeit der Auftragsdaten eingetreten ist („Datensicherheitsvorfall“).

(2) Die Information über den Datensicherheitsvorfall hat Angaben über den Zeitpunkt und die Art des Vorfalls (einschließlich einer Information, welche Auftragsdaten in welcher Form betroffen sind), das betroffene EDV-System, die betroffenen Personen, den Zeitpunkt der Entdeckung, denkbare nachteilige Folgen des Datensicherheitsvorfalls sowie die vom Auftragnehmer ergriffenen Maßnahmen und alle sonstigen in Art. 33 Abs. 3 DSGVO bezeichneten Informationen zu enthalten. Der Auftragnehmer hat des Weiteren konkret mitzuteilen, ob eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für Rechte und Freiheiten natürlicher Personen im Sinne des Art. 33 Abs. 1 Satz 1 DSGVO führt und ob das Risiko voraussichtlich hoch im Sinne von Art. 34 Abs. 1 DSGVO ist.

(3) Eine erste Information des Auftraggebers hat unverzüglich, eine dezidierte Information, die sämtliche Informationen gemäß vorstehendem Abs. (2) enthalten muss, soweit möglich, innerhalb von 24 Stunden nach Kenntniserlangung von dem Datensicherheitsvorfall, zu erfolgen.

(4) Der Auftragnehmer wird nach Bekanntwerden eines Datensicherheitsvorfalls unverzüglich sämtliche zumutbaren Maßnahmen ergreifen, um die entstandenen Gefährdungen für die Integrität oder Vertraulichkeit der Auftragsdaten zu minimieren und zu beseitigen, die Auftragsdaten zu sichern und mögliche nachteilige Folgen für Betroffene zu verhindern oder in ihren Auswirkungen so weit wie möglich zu begrenzen.

(5) Der Auftragnehmer ist verpflichtet, den Auftraggeber im Falle eines Datensicherheitsvorfalls bei seinen diesbezüglichen Aufklärungs-, Abhilfehandlungen, einschließlich aller Handlungen zur Erfüllung gesetzlicher Verpflichtungen, auf erstes Anfordern, im Rahmen des Zumutbaren, zu unterstützen.

(6) Der Auftragnehmer ist verpflichtet, unverzüglich nach Kenntniserlangung von einem Datensicherheitsvorfall eine Analyse der Ursachen durchzuführen, diese zu dokumentieren und dem Auftraggeber die Dokumentation auf Verlangen auszuhändigen. Stellt der Auftragnehmer im Rahmen der Analyse fest, dass die technischen und organisatorischen Maßnahmen die bislang zum Schutz der Auftragsdaten ergriffen wurden, nicht ausreichen um ein angemessenes Schutzniveau herzustellen, wird er auf eigene Kosten erforderliche zusätzliche technischen und organisatorischen Maßnahmen umzusetzen.

§ 11 Laufzeit dieses Vertrages

(1) Dieser Vertrag beginnt mit Unterzeichnung und wird für die Dauer der Laufzeit des Hauptvertrages abgeschlossen (auflösende Befristung).

(2) Die fristlosen Kündigungsrechte der Parteien bleiben hiervon unberührt. Das Studio ist berechtigt, diesen Vertrag fristlos zu kündigen, wenn ein schwerwiegender Verstoß von Magicline gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, Magicline eine Weisung des Studios nicht ausführen kann oder will oder die Wahrnehmung von Kontrollrechten durch das Studio vertragswidrig verweigert.

(3) Jede Partei ist berechtigt, diesen Vertrag mit einer Frist von zwei Wochen zum Ende eines Kalendermonats zu kündigen, wenn die Durchführung des Hauptvertrages und/oder die Durchführung dieses Vertrages von einer hierfür zuständigen Aufsichtsbehörde (insbesondere der zuständigen Datenschutzbehörde) beanstandet wird und eine von dieser Behörde zur Abstellung festgestellter Mängel gesetzte Frist erfolglos verstreicht oder mindestens eine der Parteien von der hierfür zuständigen Behörde die weitere Durchführung des Partnerschaftsvertrages und/oder dieses Vertrages untersagt wird.

(4) Jede Kündigung bedarf der Schriftform.

§ 12 Regelungen zur Berichtigung, Löschung und Sperrung von Daten

(1) Magicline hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder zu sperren, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.

(2) Bei Beendigung dieses Vertrags oder früher nach Aufforderung durch den Auftraggeber muss Magicline sämtliche Unterlagen und Daten, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber aushändigen oder nach vorheriger Zustimmung datenschutzgerecht vernichten.

(3) Dokumentationen, die für Magicline als Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, dürfen durch Magicline entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.

§ 13 Sonstiges

(1) Mündliche Nebenabreden sind nicht getroffen. Änderungen und Ergänzungen dieses Vertrages bedürfen der in § 28 Abs. 9 DSGVO geregelten Form. Dies gilt auch für eine Änderung des Schriftformerfordernisses selbst.

(2) Sollte eine Bestimmung des Vertrages unwirksam sein oder werden, so verpflichten sich die Parteien, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Willen der Parteien möglichst nahekommt. Das Gleiche gilt im Falle einer Regelungslücke.

(3) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Hamburg. Die Parteien vereinbaren die Anwendbarkeit des deutschen Rechts.