Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag (dieser "AVV") wurde zwischen Billogram AB, Firmen-ID-Nr. 556801-7155 (der "Auftragsverarbeiter" oder "Billogram") und dem Kunden, der Vertragspartei des Dienstleistungsvertrags ist (der "Verantwortliche" oder "Kunde"), abgeschlossen.

Der Auftragsverarbeiter und der Verantwortliche werden gemeinsam als (die "Parteien") und jeweils als ("Partei") bezeichnet.

Dieser AVV regelt die Rechte und Pflichten in Bezug auf die Verarbeitung personenbezogener Daten im Zusammenhang mit der Nutzung des Dienstes des Auftragsverarbeiters.

Dieser AVV stellt den gesamten AVV und das Verständnis der Parteien in Bezug auf den Vertragsgegenstand dar und ersetzt alle vorherigen schriftlichen oder mündlichen Vereinbarungen und Absprachen in Bezug auf diesen Gegenstand.

  1. DEFINITIONEN

Soweit die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, im Folgenden als Datenschutz-Grundverordnung ("DSGVO") bezeichnet, ähnliche Begriffe wie die in diesem AVV verwendeten enthält, haben diese Begriffe die gleiche Bedeutung wie in der DSGVO. Zusätzlich zu den Begriffen, die kontinuierlich durch diesen AVV definiert werden, haben die folgenden Begriffe die unten angegebene Bedeutung.

Begriff

Verantwortlicher

Bedeutung

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

Begriff

Kundendaten

Bedeutung

Personenbezogene Daten in Bezug auf die Kunden des Kunden.

Begriff

Datenschutzgesetze

Bedeutung

Alle Gesetze zum Schutz der Privatsphäre und personenbezogener Daten sowie alle anderen Gesetze (einschließlich Verordnungen und Richtlinien), die für die Verarbeitung gemäß diesem AVV gelten, einschließlich nationaler und EU-Gesetzgebung, insbesondere der DSGVO.

Begriff

Betroffene Person

Bedeutung

Eine natürliche Person, deren personenbezogene Daten verarbeitet werden.

Begriff

Anweisungen

Bedeutung

Die schriftlichen Anweisungen, in denen der Gegenstand, die Dauer, die Art und der Zweck der Verarbeitung personenbezogener Daten sowie die Kategorien der betroffenen Personen und die besonderen Anforderungen, die für die Verarbeitung gelten, genauer definiert sind, wie in Anhang 1 beigefügt.

Begriff

Personenbezogene Daten

Bedeutung

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wenn eine identifizierbare natürliche Person eine Person ist, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die für die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind.

Begriff

Verletzung des Schutzes personenbezogener Daten

Bedeutung

Eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt.

Begriff

Verarbeitung

Bedeutung

Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Begriff

Auftragsverarbeiter

Bedeutung

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.

Begriff

Dienstleistung

Bedeutung

Dienstleistung gemäß der Definition im Dienstleistungsvertrag.

Begriff

Dienstleistungsvertrag

Bedeutung

Der Vertrag zwischen den Parteien, der die Dienstleistung regelt.

Begriff

Unterauftragsverarbeiter

Bedeutung

Eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die als Subunternehmer des Auftragsverarbeiters personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Begriff

Drittland

Bedeutung

Ein Land, das nicht Mitglied der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) ist.

2. HINTERGRUND UND ZWECK

  1. Die Parteien haben den Dienstleistungsvertrag abgeschlossen. 

  2. Zu den Verpflichtungen des Auftragsverarbeiters im Rahmen des Dienstleistungsvertrags gehört die Verarbeitung personenbezogener Daten als vom Verantwortlichen beauftragter Auftragsverarbeiter.

  3. Die Parteien haben diesen AVV abgeschlossen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter in Übereinstimmung mit den Datenschutzgesetzen erfolgt.  

  4. Ziel dieses AVV ist es, die aktuellen Anforderungen an eine Vereinbarung zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Artikel 28 DSGVO zu erfüllen und die Freiheiten und Rechte der betroffenen Person gemäß den Datenschutzgesetzen zu wahren.

  5. Durch diesen AVV, die Anweisungen und eine Liste der Unterauftragsverarbeiter (wobei die Anweisungen und die Liste der Unterauftragsverarbeiter als in diesem AVV enthalten gelten) regelt der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. 

  6. Im Falle eines Widerspruchs zwischen diesem AVV und dem Dienstleistungsvertrag hat dieser AVV Vorrang.

  7. Jede Bezugnahme in diesem AVV auf nationale oder Unionsgesetze bezieht sich auf die jeweils geltenden Bestimmungen. 

3. VERARBEITUNG PERSONENBEZOGENER DATEN UND SPEZIFIKATION

  1. Der Verantwortliche beauftragt hiermit den Auftragsverarbeiter gemäß den Bestimmungen dieses AVV mit der Verarbeitung im Auftrag des Verantwortlichen zum Zwecke der Erbringung der Dienstleistung gemäß dem Dienstleistungsvertrag. 

  2. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten in Übereinstimmung mit diesem AVV sowie seinen eigenen Verpflichtungen gemäß den Datenschutzgesetzen zu verarbeiten.

  3. Der Auftragsverarbeiter verpflichtet sich außerdem, personenbezogene Daten nur in Übereinstimmung mit den dokumentierten Anweisungen des Verantwortlichen zu verarbeiten, sofern die Datenschutzgesetze nichts anderes vorsehen. 

  4. Die ersten Anweisungen des Verantwortlichen an den Auftragsverarbeiter sind in diesem AVV und in Anhang 1 dieses AVV dargelegt. Der Verantwortliche ist dafür verantwortlich, sicherzustellen, dass die Anweisungen den Verpflichtungen des Verantwortlichen durch die Datenschutzgesetze entsprechen.

  5. Der Verantwortliche bestätigt, dass die in diesem AVV dargelegten Verpflichtungen des Auftragsverarbeiters, einschließlich der Anweisungen, die vollständigen zu befolgenden Anweisungen darstellen. Alle Änderungen der Anweisungen des Verantwortlichen sind in Anhang 1 dieses AVV schriftlich zu dokumentieren und von beiden Parteien ordnungsgemäß zu unterzeichnen.

  6. Der Verantwortliche verpflichtet sich, den Auftragsverarbeiter unverzüglich über alle Änderungen in der Verarbeitung zu informieren, die sich auf die Verpflichtungen des Auftragsverarbeiters gemäß den Datenschutzgesetzen auswirken können.

  7. Der Auftragsverarbeiter unterstützt den Verantwortlichen, soweit dies nach den Datenschutzgesetzen erforderlich ist, und in Übereinstimmung mit den Anweisungen des Verantwortlichen bei der Erfüllung seiner gesetzlichen Verpflichtungen gemäß den Datenschutzgesetzen.

  8. Der Verantwortliche ist dafür verantwortlich, die betroffenen Personen über die Verarbeitung zu informieren und die Rechte der betroffenen Personen gemäß den Datenschutzgesetzen zu schützen sowie alle anderen Maßnahmen zu ergreifen, die von dem für die Verarbeitung Verantwortlichen gemäß den Datenschutzgesetzen verlangt werden.

  9. Wenn der Auftragsverarbeiter feststellt, dass die Anweisungen unvollständig oder unklar sind, oder gegen die Datenschutzgesetze verstoßen, und der Auftragsverarbeiter der Ansicht ist, dass neue oder ergänzende Anweisungen erforderlich sind, um seine Verpflichtungen aus diesem AVV und den Datenschutzgesetzen zu erfüllen, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren. 

  10. Für den Fall, dass der Verantwortliche dem Auftragsverarbeiter neue oder geänderte Anweisungen zur Verfügung stellt, teilt der Auftragsverarbeiter dem Verantwortlichen innerhalb einer angemessenen Frist mit, ob die Umsetzung der neuen Anweisungen geänderte Kosten für den Auftragsverarbeiter mit sich bringt. 

4. SICHERHEITSMAßNAHMEN

  1. Für die Dauer der Laufzeit der AVV ergreift der Auftragsverarbeiter die nach den Datenschutzgesetzen vorgeschriebenen geeignete technische und organisatorische Sicherheitsmaßnahmen, um Verletzungen des Schutzes personenbezogener Daten zu verhindern und sicherzustellen, dass die Rechte der betroffenen Personen geschützt sind. 

  2. Mit in Kraft treten der AVV wendet der Auftragsverarbeiter die in der Anweisung dargelegten technischen und organisatorischen Maßnahmen an. Der Auftragsverarbeiter verpflichtet sich, diese, ohne vorherige schriftliche Zustimmung des Verantwortlichen nicht wesentlich zu ändern oder die Sicherheitsmaßnahmen anderweitig in einer Weise zu verändern, die zu einem geringeren Maß an Informationssicherheit führt als in Abschnitt 4.1 oder den Anweisungen beabsichtigt.

  3. Der Auftragsverarbeiter stellt kontinuierlich sicher, dass die technischen und organisatorischen Sicherheitsmaßnahmen im Zusammenhang mit der Verarbeitung ein angemessenes Maß an Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit behalten. 

  4. Alle zukünftigen oder geänderten Anforderungen an Schutzmaßnahmen, die vom Verantwortlichen nach Abschluss dieses AVV durch die Parteien gestellt werden, gelten als neue Anweisungen. 

5. AUSKUNFTSERSUCHEN UND OFFENLEGUNG PERSONENBEZOGENER DATEN

  1. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten, die im Rahmen dieses AVV verarbeitet werden, ohne vorherige schriftliche Zustimmung des Verantwortlichen nicht an Dritte weiterzugeben oder anderweitig zur Verfügung zu stellen, es sei denn, schwedisches oder europäisches Recht, Gerichts- oder Verwaltungsentscheidungen sehen etwas anderes vor. Ungeachtet des Vorstehenden hat der Auftragsverarbeiter das Recht, (i) personenbezogene Daten an nach Abschnitts 9 dieses AVV beauftragte Unterauftragsverarbeiter und (ii) ohne vorherige Zustimmung des Verantwortlichen, personenbezogene Daten an Drittempfänger weiterzugeben, die Clearingsysteme, Banken und/oder Zahlungssystemanbieter sind oder bereitstellen, soweit dies für Zahlungen gemäß dem Dienstleistungsvertrag erforderlich ist. Solche Drittempfänger personenbezogener Daten sind Verantwortliche für die so erhaltenen personenbezogenen Daten.

  2. Der Auftragsverarbeiter unternimmt alle angemessenen Schritte, (i) um die Vertraulichkeit der personenbezogenen Daten zu wahren, (ii) um sicherzustellen, dass nur diejenigen Mitarbeiter und andere Vertreter des Auftragsverarbeiters, die Zugang zu personenbezogenen Daten benötigen, um die Verpflichtungen des Auftragsverarbeiters aus diesem AVV und dem Dienstleistungsvertrag zu erfüllen, (iii) um die Zuverlässigkeit dieser Mitarbeiter und anderer Vertreter des Auftragsverarbeiters zu gewährleisten und (iv) um sicherzustellen, dass alle diese Mitarbeiter und Vertretergesetzlich oder vertraglich zur Einhaltung der Vertraulichkeit von personenbezogenen Daten verpflichtet sind und sich der Bedeutung dieser Verpflichtung bewusst sind.

  3. Wenn betroffene Personen vom Auftragsverarbeiter Informationen über die Verarbeitung personenbezogener Daten anfordern, leitet der Auftragsverarbeiter diese Anfrage unverzüglich an den Verantwortlichen weiter. 

  4. Der Auftragsverarbeiter unterstützt den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen, soweit möglich und unter gebührender Berücksichtigung der Art der Verarbeitung, bei der Erfüllung seiner Verpflichtungen zur Erfüllung der Anträge der betroffenen Personen auf Ausübung ihrer Rechte gemäß der DSGVO (wie Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Auskunftsbegehren) gemäß Abschnitt 7.

  5. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung seiner Verpflichtung zur Durchführung von Datenschutz-Folgenabschätzungen für die Verarbeitung im Rahmen dieses AVV, wenn eine solche Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

  6. Wenn die zuständigen Behörden vom Auftragsverarbeiter Informationen über die Verarbeitung personenbezogener Daten gemäß dieses AVV oder des Dienstleistungsvertrags anfordern, leitet der Auftragsverarbeiter diese Anfrage unverzüglich an den Verantwortlichen weiter. Der Auftragsverarbeiter darf in keiner Weise im Namen oder als Vertreter des Verantwortlichen handeln und darf ohne vorherige Weisung des Verantwortlichen personenbezogene Daten oder andere Informationen im Zusammenhang mit der Verarbeitung personenbezogener Daten nicht an Dritte weitergeben oder auf andere Weise offenlegen, es sei denn, das schwedische oder europäische Recht und Gerichts- oder Verwaltungsentscheidungen sehen etwas anderes vor. Der Auftragsverarbeiter unterstützt den Verantwortlichen, indem er ihm die Informationen, Unterstützung und Ressourcen zur Verfügung stellt, die vernünftigerweise erforderlich sind, um die Verpflichtung des Verantwortlichen zur Bereitstellung von Informationen und Unterlagen an die zuständigen Behörden zur vorherigen Konsultation zu erfüllen. 

  7. Für den Fall, dass der Auftragsverarbeiter gemäß den geltenden schwedischen oder europäischen Gesetzen und Vorschriften verpflichtet ist, personenbezogene Daten offenzulegen, die der Auftragsverarbeiter im Auftrag des Verantwortlichen verarbeitet, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich darüber zu informieren, sofern das schwedische oder europäische Recht, gerichtliche oder behördliche Entscheidungen nichts anderes vorsehen, und im Zusammenhang mit der Offenlegung der angeforderten Informationen Vertraulichkeit zu verlangen.

6. AUDITS

  1. Auf Verlangen des Verantwortlichen stellt der Auftragsverarbeiter unverzüglich Informationen über die technischen und organisatorischen Sicherheitsmaßnahmen zur Verfügung, die verwendet werden, um sicherzustellen, dass die Verarbeitung den Anforderungen dieses AVV und der Datenschutzgesetze entspricht, und ermöglicht und trägt dazu bei, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden, vorausgesetzt, dass die Personen, die die Audits durchführen, angemessene Vertraulichkeitsvereinbarungen mit dem Auftragsverarbeiter abschließen.

  2. Solche Audits müssen mindestens zehn (10) Werktage im Voraus schriftlich angekündigt werden und können einmal pro Kalenderjahr durchgeführt werden, es sei denn, der Verantwortliche hält eine zusätzliche Prüfung aufgrund echter Bedenken hinsichtlich der Einhaltung dieses AVV durch den Auftragsverarbeiter für erforderlich oder im Falle einer Sicherheitsverletzung, die vernünftigerweise solche Bedenken aufwerfen würde. Im Falle eines Antrags auf ein zusätzliches Audit teilt der Verantwortliche seine Gründe für den Antrag, Bedenken und andere relevante Informationen mit, wenn er den Auftragsverarbeiter über das zusätzliche Audit informiert.

  3. Alle Informationen über andere Kunden des Auftragsverarbeiters, die als Geschäftsgeheimnis angesehen werden können oder anderweitig gesetzlich oder vertraglich der Vertraulichkeit unterliegen, werden von der Prüfung ausgeschlossen, und der Verantwortliche hat kein Recht, auf diese Informationen zuzugreifen, sie zu prüfen oder einzusehen.

  4. Informationen, die der Verantwortliche oder ein anderer vom Verantwortlichen beauftragter Prüfer während seiner Prüfung im Rahmen dieses AVV sammelt, müssen vom Verantwortlichen gelöscht werden, sobald sie für die Zwecke des Audits nicht mehr erforderlich sind, und der Verantwortliche bestätigt dem Auftragsverarbeiter schriftlich, dass dies geschehen ist.

  5. Audits werden während der normalen Geschäftszeiten so durchgeführt, dass die Unterbrechung des Geschäftsbetriebs des Auftragsverarbeiters minimiert wird, und der Verantwortliche stellt dem Auftragsverarbeiter unverzüglich eine Kopie der Ergebnisse des Audits zur Verfügung. 

  6. Trotz anderer Bestimmungen in diesem AVV ist der Auftragsverarbeiter nicht verpflichtet, einem externen Prüfer, der ein Mitbewerber des Auftragsverarbeiters ist, Zugang zu dem Audit zu gewähren.

  7. Der Auftragsverarbeiter ermöglicht es der Aufsichtsbehörde oder einer anderen Regierungsbehörde mit rechtlichen Befugnissen, auf Verlangen der Behörde und gemäß den Datenschutzgesetzen jederzeit Audits durchzuführen, auch wenn eine solche Prüfung andernfalls gegen die Bestimmungen dieses AVV verstoßen würde. Im Zusammenhang mit der Durchführung von Audits im Sinne dieses Abschnitts 6.7 ist der Auftragsverarbeiter berechtigt, gegen Regelungen dieser AVV zu verstoßen. Der Auftragsverarbeiter ist von etwaigen Strafen und Sanktionen aufgrund solcher Verstöße befreit. 


7. BEARBEITUNG VON KORREKTUREN, LÖSCHUNGEN ETC.  

  1. Für den Fall, dass der Verantwortliche aufgrund einer fehlerhaften Verarbeitung durch den Auftragsverarbeiter oder aufgrund eines Antrags einer betroffenen Person eine Berichtigung oder Löschung beantragt hat, ergreift der Auftragsverarbeiter unverzüglich, spätestens jedoch innerhalb von dreißig (30) Kalendertagen ab dem Datum, an dem der Auftragsverarbeiter die erforderlichen Informationen vom Verantwortlichen erhalten hat, geeignete Maßnahmen. Wenn der Verantwortliche die Löschung beantragt hat, darf der Auftragsverarbeiter die Verarbeitung der betreffenden personenbezogenen Daten nur im Rahmen des Korrektur- oder Löschungsprozesses oder gemäß den Datenschutzgesetzen oder anderen geltenden Gesetzen durchführen.

8. VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN

  1. Der Auftragsverarbeiter muss in der Lage sein, die Verfügbarkeit und den Zugriff auf personenbezogene Daten im Falle eines physischen oder technischen Vorfalls gemäß Artikel 32 Absatz 1 Buchstabe c der DSGVO zeitnah wiederherzustellen.

  2. Der Auftragsverarbeiter verpflichtet sich, den Verantwortlichen bei der Erfüllung seiner Verpflichtungen im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit der Verarbeitung zu unterstützen. Auf Verlangen des Verantwortlichen hilft der Auftragsverarbeiter auch bei der Untersuchung des Verdachts der unbefugten Verarbeitung und/oder des unbefugten Zugriffs auf personenbezogene Daten. 

  3. Wenn der Auftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, hat der Auftragsverarbeiter den Verantwortlichen unverzüglich schriftlich darüber zu informieren. Der Auftragsverarbeiter stellt dem Verantwortlichen vorbehaltlich der ihm zur Verfügung stehenden Informationen eine schriftliche Beschreibung der Verletzung des Schutzes personenbezogener Daten zur Verfügung. 

  4. Eine Benachrichtigung gemäß Abschnitt 8.3 enthält alle Informationen, die der für die Verarbeitung Verantwortliche vernünftigerweise benötigt, um seinen Verpflichtungen gemäß den Datenschutzgesetzen nachzukommen. Zu diesen Informationen gehören z. B. eine Beschreibung von: 

  5. der Art der Verletzung des Schutzes personenbezogener Daten, die Kategorien und die ungefähre Anzahl der betroffenen Personen, die Kategorien und die ungefähre Anzahl der enthaltenen personenbezogenen Daten;

  6. wahrscheinliche Folgen infolge der Verletzung des Schutzes personenbezogener Daten; und

  7. eine Beschreibung der Maßnahmen, die ergriffen wurden, um die Verletzung des Schutzes personenbezogener Daten zu beheben oder ihre potenziellen nachteiligen Auswirkungen zu mildern. 

  8. Wenn es dem Auftragsverarbeiter nicht möglich ist, alle erforderlichen Informationen gleichzeitig mit der Benachrichtigung über die Verletzung des Schutzes personenbezogener Daten bereitzustellen, kann die Beschreibung schrittweise ohne unangemessene zusätzliche Verzögerung bereitgestellt werden.

  9. Soweit eine Verletzung des Schutzes personenbezogener Daten aufgrund einer Handlung oder Unterlassung des Verantwortlichen oder anderweitig als Folge von Umständen auf Seiten des Verantwortlichen aufgetreten ist, an denen der Auftragsverarbeiter nicht beteiligt oder verantwortlich ist, wird jede vom Verantwortlichen angeforderte Unterstützung durch den Auftragsverarbeiter vom Auftragsverarbeiter auf Zeit- und Materialbasis in Rechnung gestellt. 

  10. Der Verantwortliche entschädigt den Auftragsverarbeiter für alle direkten Kosten, die dem Auftragsverarbeiter gemäß dieses Abschnitts 8 dadurch entstehen, dass der Verantwortliche die Datenschutzgesetze oder diesen AVV nicht einhält. 

9. UNTERAUFTRAGSVERARBEITER

  1. Der Auftragsverarbeiter darf nur die in Anhang 2 aufgeführten Unterauftragsverarbeiter mit der Erfüllung seiner Verpflichtungen aus diesem AVV beauftragen. Dem Unterauftragsverarbeiter werden in einem schriftlichen Vertrag Datenschutzverpflichtungen auferlegt, die denen des Auftragsverarbeiters aus diesem AVV gleichwertig sind. 

  2. Wenn der Auftragsverarbeiter beabsichtigt, einen neuen Unterauftragsverarbeiter zu beauftragen oder einen bestehenden zu ersetzen, überprüft der Auftragsverarbeiter die Kapazität und Fähigkeit des Unterauftragsverarbeiters, seinen Verpflichtungen in Übereinstimmung mit den Datenschutzgesetzen nachzukommen. 

  3. Der Verantwortliche kann neuen Unterauftragsverarbeitern widersprechen, sofern der Verantwortliche einen objektiv gerechtfertigten Grund hat, den neuen Unterauftragsverarbeiter nicht zuzulassen, und sofern der Verantwortliche der Beauftragung eines solchen Unterauftragsverarbeiters innerhalb von vierzehn (14) Kalendertagen nach Mitteilung des Auftragsverarbeiters über die Absicht, den Unterauftragsverarbeiter zu beauftragen, widerspricht. Wenn der Verantwortliche nicht innerhalb der festgelegten Frist schriftlich widerspricht, wird davon ausgegangen, dass der Verantwortliche den Unterauftragsverarbeiter genehmigt hat.  Wenn der Verantwortliche einem neuen Unterauftragsverarbeiter in angemessener Weise widerspricht, kann der Verantwortliche diesen AVV und den Dienstleistungsvertrag schriftlich mit einer Frist von dreißig (30) Kalendertagen ohne Kündigungskosten kündigen. 

  4. Der Auftragsverarbeiter ist in Bezug auf den Verantwortlichen für jede Verarbeitung verantwortlich, die von einem Unterauftragsverarbeiter durchgeführt wird, als ob es sich um die eigene Verarbeitung des Auftragsverarbeiters handeln würde. 

  5. Wenn der Auftragsverarbeiter die Verwendung eines Unterauftragsverarbeiters einstellt, hat der Auftragsverarbeiter den Verantwortlichen schriftlich darüber zu informieren. 

  6. Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter eine Kopie der Vereinbarung zur Verfügung, die die Verarbeitung personenbezogener Daten durch den Unterauftragsverarbeiter regelt.

10. LOKALISIERUNG UND ÜBERMITTLUNG PERSONENBEZOGENER DATEN IN EIN DRITTLAND  

  1. Der Auftragsverarbeiter stellt sicher, dass die personenbezogenen Daten in erster Linie innerhalb der EU/des EWR von einer natürlichen oder juristischen Person verarbeitet werden, die in der EU/im EWR ansässig ist, und dass jede Übermittlung personenbezogener Daten in ein Drittland zur Verarbeitung (z. B. für Service, Support, Wartung, Entwicklung, Betrieb oder andere ähnliche Verarbeitung) nur dann erfolgt, wenn eine solche Übermittlung den Datenschutzgesetzen entspricht und die Anforderungen für die Verarbeitung in diesem AVV und den Anweisungen erfüllt, einschließlich, aber nicht beschränkt auf die Sicherstellung, dass:

  2. die EU-Kommission in einem Angemessenheitsbeschluss festgestellt hat, dass das Schutzniveau in dem Drittland, in dem die personenbezogenen Daten verarbeitet werden, angemessen ist; oder 

  3. die Übermittlung an einen Empfänger in einem Drittland erfolgt, in dem der Empfänger einem Angemessenheitsbeschluss der EU-Kommission in Bezug auf bestimmte Datenschutzregelungen (wie das Data Privacy Framework) unterliegt, oder

  4. die Übermittlung durch die Standardvertragsklauseln (Standard Contractual Clauses, kurz: SCCs) der EU-Kommission für die Datenübermittlung in Drittländer abgedeckt ist; wie zu einem bestimmten Zeitpunkt anwendbar; oder 

  5. die Übermittlung durch verbindliche unternehmensinterne Vorschriften abgedeckt ist, die von einer zuständigen Aufsichtsbehörde genehmigt wurden; oder

  6. die Übermittlung erfolgt gemäß den in Artikel 49 der DSGVO dargelegten Ausnahmen für bestimmte Fälle, und

  7. der Auftragsverarbeiter vor der Übermittlung zusätzliche Sicherheitsvorkehrungen getroffen hat die nach den anwendbaren Datenschutzgesetzen anwendbar sein könnten. 

  8. Der Auftragsverarbeiter stellt sicher, dass keine der Bestimmungen in den Standardvertragsklauseln oder den verbindlichen unternehmensinternen Vorschriften im Widerspruch zu diesem AVV, einschließlich der Anweisungen, steht.

11. KOMPENSATION

  1. Der Auftragsverarbeiter hat Anspruch auf eine Entschädigung auf Zeit- und Materialbasis, wobei die jeweils geltenden Dienstleistungsgebühren des Auftragsverarbeiters für die gemäß den Abschnitten 3.10, 4.4, 6 und 8.6 ausgeführten Arbeiten dieses AVV angewendet werden. Darüber hinaus sind alle Kosten oder Aufwendungen Dritter, die dem Auftragsverarbeiter im Zusammenhang mit solchen Arbeiten entstehen, vom Verantwortlichen in voller Höhe zu erstatten.

  2. Der Auftragsverarbeiter hat keinen Anspruch auf eine andere Vergütung für die Verarbeitung personenbezogener Daten im Rahmen dieses AVV als die oben beschriebenen.

12. HAFTUNG FÜR SCHÄDEN IM ZUSAMMENHANG MIT DER VERARBEITUNG

  1. Für den Fall, dass der betroffenen Person aufgrund eines Verstoßes gegen diesen AVV und/oder die geltende Bestimmung der Datenschutzgesetze durch ein rechtskräftiges Urteil oder einen Vergleich ein Schadensersatz im Zusammenhang mit der Verarbeitung zusteht und geschuldet wird, gilt Artikel 82 der DSGVO.

  2. Geldbußen gemäß Artikel 83 der DSGVO oder Kapitel 6 des Bundesdatenschutzgesetzes (2018:218) sind von der Partei zu zahlen, die eine solche Gebühr erhoben hat.

  3. Vorbehaltlich der Bestimmungen in 12.1 und 12.2 oben und der im Dienstleistungsvertrag festgelegten Haftungsbeschränkung haftet der Verantwortliche für alle Schäden, Kosten oder Verluste, die dem Auftragsverarbeiter entstehen oder für die der Auftragsverarbeiter aufgrund einer Nichteinhaltung der Verpflichtungen aus diesem AVV durch den Verantwortlichen haftbar gemacht werden kann, und der Auftragsverarbeiter haftet für alle Schäden, Kosten oder Verluste, die dem Verantwortlichen entstehen oder für die der Verantwortliche aufgrund einer Nichteinhaltung der Verpflichtungen aus diesem AVV durch den Auftragsverarbeiter haftbar gemacht werden kann.

  4. Zur Vermeidung von Missverständnissen wird darauf hingewiesen, dass nichts in diesem AVV die allgemeine gesetzliche Verpflichtung der Parteien einschränkt oder beschränkt, Verluste zu mindern, die sie infolge eines Ereignisses erleiden, das zu einem Anspruch aus diesem AVV führen kann.

  5. Zur Vermeidung von Zweifeln und ungeachtet der Bestimmungen des Dienstleistungsvertrags haben die Abschnitte 12.1 und 12.2 dieses AVV Vorrang vor anderen Regeln bezüglich der Haftungsverteilung zwischen den Parteien für Ansprüche im Zusammenhang mit der Verarbeitung.


13. GELTENDES RECHT UND STREITBEILEGUNG

Was in dem Dienstleistungsvertrag festgelegt ist, gilt für die Streitbeilegung und die Rechtswahl.

14. ABSCHLUSS, LAUFZEIT UND BEENDIGUNG DES AVV   

  1. Dieser AVV tritt mit beidseitiger Unterzeichnung durch die Parteien  in Kraft und endet automatisch mit Eintritt der Voraussetzungen dieses Abschnitts 14.

  2. Dieser AVV endet zum späteren der folgenden Zeitpunkte: (i) dem Datum, an dem der Dienstleistungsvertrag ausläuft; und (ii) dem Datum, an dem der Datenverarbeiter die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen einstellt.

  3. Ungeachtet des Vorstehenden bleiben die Abschnitte 5.2 und 12 diesem AVV auch dann in Kraft, wenn der AVV anderweitig nicht mehr gilt. 

15. ÄNDERUNGEN

  1. Der Verantwortliche hat das Recht, die Anweisungen in Anhang 1 und den Inhalt dieses AVV zu ändern, soweit dies zur Einhaltung der Datenschutzgesetze erforderlich ist. Solche Änderungen treten spätestens dreißig (30) Kalendertage nachdem der Verantwortliche den Auftragsverarbeiter schriftlich über die Änderungen informiert hat in Kraft. Der Auftragsverarbeiter hat Anspruch auf Ersatz der tatsächlichen und nachgewiesenen zusätzlichen Kosten, die sich aus Änderungen ergeben, die der Verantwortliche gemäß diesem Abschnitt 15.1 mitgeteilt hat.

  2. Alle Änderungen an diesem AVV müssen schriftlich erfolgen und von beiden Parteien unterzeichnet werden. 

  3. Wenn eine Partei Kenntnis davon erlangt, dass die andere Partei gegen diesen AVV verstößt, wird die verletzende Partei unverzüglich über die betreffenden Handlungen informiert. Die informierende Partei ist berechtigt, die Erfüllung ihrer Verpflichtungen gemäß dieses AVV auszusetzen, bis die verletzende Partei erklärt hat, dass die Handlungen eingestellt wurden, und die Partei, die die Beschwerde eingereicht hat, die Erklärung akzeptiert hat. 

16. MAßNAHMEN IM FALLE DER KÜNDIGUNG DES AVV   

  1. Nach Erklärung der Kündigung oder Beendigung dieses AVV wird der Verantwortliche unverzüglich und nach seiner Wahl verlangen, dass der Auftragsverarbeiter alle personenbezogenen Daten löscht oder an den Verantwortlichen zurückgibt, es sei denn, das geltende Recht erfordert eine weitere Verarbeitung. Bis zur Löschung oder Rückgabe der personenbezogenen Daten stellt der Auftragsverarbeiter weiterhin die Einhaltung dieses AVV sicher.

  2. Die Rückgabe und/oder Löschung durch den Auftragsverarbeiter gemäß Ziffer 16.1 erfolgt spätestens dreißig (30) Kalendertage nach Zugang der Kündigung des AVV, sofern nichts anderes zwischen den Parteien vereinbart wird. 

17. BENACHRICHTIGUNGEN

Alle Mitteilungen müssen schriftlich und in schwedischer oder englischer Sprache erfolgen und per E-Mail gesendet werden, (i) in Bezug auf den Verantwortlichen an die E-Mail-Adresse, die der Kunde im Zusammenhang mit der Registrierung des Benutzerkontos angegeben hat, oder an die E-Mail-Adresse, die der Kunde zu einem späteren Zeitpunkt angegeben hat, und (ii) in Bezug auf den Auftragsverarbeiter, an die E-Mail legal@billogram.com. Mitteilungen, die in der vorgeschriebenen Weise versandt werden, gelten spätestens am nächsten Werktag als bei der anderen Vertragspartei eingegangen. 

ANHANG 1: KONTAKTINFORMATIONEN UND ANWEISUNGEN

  1. KONTAKTINFORMATIONEN

Die Kontaktdaten des Auftragsverarbeiters:

Billogramm AB

Klara Södra Kyrkogata 1

111 52 Stockholm

E-Mail: legal@billogram.com

2. ANWEISUNGEN ZUR VERARBEITUNG PERSONENBEZOGENER DATEN

2.1. Gegenstand der Verarbeitung 

Den Auftragsverarbeiter in die Lage zu versetzen, seine Verpflichtungen aus dem Dienstleistungsvertrag zu erfüllen und die darin festgelegten Maßnahmen zu ergreifen.

2.2. Zweck der Verarbeitung

Die Ausstellung und Versendung von Rechnungen an die Kunden des Verantwortlichen, einschließlich der Verarbeitung, die für die Zahlungsabwicklung und die Verwaltung des Kontenbuchs erforderlich ist. 

2.3. Verarbeitungstätigkeiten (Art der Verarbeitung)

  • Rechnungserstellung und -verteilung

  • Kontenbuch- und Rechnungszahlungsvorgänge 

  • Verwaltung von Lastschriftmandaten

  • Kommunikation mit den Endkunden durch das Endkundenkommunikationsmodul sowie des Verkaufs- und Angebotsmoduls

  • [Optimierung von Konfigurationen und Arbeitsabläufen des Dienstes auf der Grundlage der Geschäfts- und Endkundentypen des Verantwortlichen, einschließlich Profilbildung, wo zutreffend]

  • Sicherstellung der Funktionalität und Verhinderung von Missbrauch des Dienstes

  • Einhaltung der geltenden Gesetze und Vorschriften

  • Bereitstellung von Endkundenbetreuung 

  • Erstellung von Statistiken und Durchführung von Analysen

2.4. Kategorien von betroffenen Personen

Die Kunden des Verantwortlichen. 

2.5. Kategorien personenbezogener Daten:

  • Identifikationsdaten

  • Kontaktangaben

  • Rechnungs- und Zahlungsinformationen

  • Bankverbindung

  • Details zum Fall

  • Kommunikationsinformationen

  • Details zur Einwilligung

  • Informationen, die durch die Nutzung des Dienstes generiert werden 

  • Optimierung des Dienstes

  • Sicherstellung der Funktionalität und Verhinderung des Missbrauchs des Dienstes

Billogram kann auch personenbezogene Daten im Zusammenhang mit der Beziehung des Verantwortlichen zu seinen Kunden verarbeiten, wie z. B. Informationen über die Fluktuation, um Statistiken im Auftrag des Verantwortlichen zu erstellen.

Besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 der DSGVO, wie z. B. Informationen über die Gewerkschaftszugehörigkeit oder Gesundheitsdaten, können abhängig von dem Inhalt der Rechnung, welcher vom Verantwortlichen angegebenen wird, verarbeitet werden. 

2.6. Die Dauer der Verarbeitung

Die Dauer der Verarbeitung ist auf den Zeitraum beschränkt, der für die Erbringung der Dienstleistung im Rahmen des Dienstleistungsvertrags erforderlich ist, der für Buchhaltungsdokumente und für alle anderen Informationen so lange erforderlich ist, wie es für den Zweck, für den die personenbezogenen Daten verarbeitet werden, erforderlich ist, sofern in den Datenschutzgesetzen nichts anderes festgelegt ist.

3. TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN

Billogram ergreift geeignete technische und organisatorische Maßnahmen, die darauf ausgelegt sind, die Datenschutzgrundsätze wirksam zu erfüllen, und stellt sicher, dass angemessene Sicherheitsvorkehrungen in die Verarbeitung personenbezogener Daten integriert werden, um die Anforderungen der DSGVO zu erfüllen und die Rechte der betroffenen Personen wie unten beschrieben zu schützen. Weitere Informationen zu technischen und organisatorischen Maßnahmen erhalten Sie auf Anfrage.

3.1. Datenschutzrechtliche Risikobewertung

Billogram führt eine Risikobewertung durch und dokumentiert sie, um zu entscheiden, welche Datensicherheitsmaßnahmen umgesetzt werden sollen. Ziel ist es, das angemessene Maß an Datensicherheitsmaßnahmen für jeden Teil des Dienstes zu definieren. In allen Fällen hat Billogram mindestens die im Kapitel "Sicherheit personenbezogener Daten" unten beschriebenen Sicherheitsmaßnahmen implementiert.

3.2. Sicherheitsmaßnahmen

Billogram hat ein Informationssicherheits-Managementsystem (ISMS) nach dem ISO27001 Standard implementiert. Im Rahmen des ISMS wurden in der gesamten Billogram-Organisation Sicherheits- und Datenschutzrichtlinien und -anweisungen erstellt und etabliert, die den Kunden auf Anfrage zur Verfügung stehen. Die Richtlinien werden durch eine breite Palette verbindlicher Vorschriften zu verschiedenen Aspekten des Datenschutzes und der Informationssicherheit unterstützt, um die Einhaltung der Datenschutzgesetze und dieses AVV zu gewährleisten. Zu diesen internen Dokumenten gehören z. B. Prozesse für das Management von Verletzungen des Schutzes personenbezogener Daten und Anfragen betroffener Personen. Die Dokumente unterliegen regelmäßigen internen Überprüfungs- und Genehmigungsprozessen.

3.3. Sicherheit personenbezogener Daten

Billogram hat die folgenden Maßnahmen auf der Grundlage der Anforderungen der "Sicherheit der Verarbeitung" (Artikel 32 DSGVO) umgesetzt:

a) Die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

  • Billogram verwendet Verschlüsselung und/oder Pseudonymisierung in seinem Betrieb, um Datenschutzrisiken gegebenenfalls zu mindern. Verschlüsselungs- und Pseudonymisierungstechniken können je nach Dienstanforderungen und Datenschutzrisikobewertung zwischen den Diensten variieren. Einzelheiten zu den verwendeten Maßnahmen sind auf Anfrage erhältlich.

b) Die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

  • Der Schutz der personenbezogenen Daten erfordert die Implementierung mehrerer Sicherheitskontrollen, die vom ISMS abgedeckt werden. Standardisierte Prozesse tragen dazu bei, die Qualität des Dienstes zu sichern und die Verarbeitung personenbezogener Daten zu gewährleisten.

  • Der Zugriff auf die IT-Umgebung von Billogram wird kontrolliert. Um auf Billogram-Systeme zugreifen zu können, muss der Mitarbeiter einen triftigen Grund haben, und der Zugang zur Kundenschnittstelle wird nur durch die Verwendung eines gemeinsam mit dem Kunden vereinbarten Prozesses genehmigt. Verbindungen zur Billogram-IT-Umgebung werden protokolliert, um Audit-Trails für administrative Vorgänge in den Systemen bereitzustellen. Mindestens jeder Zugriff auf die IT-Umgebung und die Dienste von Billogram erfordert einen gesicherten Kanal und starke Authentifizierungsanforderungen. Andere Sicherheitskontrollen werden angewendet, wenn dies für die Datenschutzrisikobewertung erforderlich ist.

  • Unbefugten wird der physische Zugang zu den Datenverarbeitungsanlagen verwehrt. Physische und Umgebungskontrollen werden eingesetzt, um personenbezogene Daten vor versehentlicher und unrechtmäßiger Zerstörung zu schützen.

  • Billogram gewährleistet einen angemessenen Schutz von administrativen Verbindungen, Zugriffen Dritter und Dateiübertragungen, die innerhalb der Infrastruktur von Billogram eingesetzt werden.

  • Es wurden Sicherheitsmaßnahmen implementiert, um die Systemlandschaft vor Sicherheitsbedrohungen zu schützen.

  • Billogram plant, führt und steuert kundenbezogene Operationen. Die Organisationsstruktur weist Rollen und Verantwortlichkeiten zu, um eine angemessene Personalausstattung und Effizienz der operativen Fähigkeiten zu gewährleisten. Das Billogram-Management richtet Befugnisse und angemessene Berichtswege für Schlüsselpersonal ein. Als Teil des Einstellungsprozesses werden Hintergrundüberprüfungen durchgeführt, die auf der Position des Mitarbeiters und dem Zugang zu Billogram-Verarbeitungseinrichtungen und -systemen basieren.

  • Billogram pflegt und kontrolliert die Umsetzung der Billogram-Informationssicherheitsrichtlinie, bietet regelmäßige Sicherheitsschulungen für Mitarbeiter an und führt Anwendungssicherheitsüberprüfungen durch. Diese Überprüfungen bewerten die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sowie die Konformität mit der Informationssicherheitsrichtlinie.

c) Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

  • Billogram verfügt über Backup-Prozesse und -Strategien, die eine schnelle Wiederherstellung geschäftskritischer Systeme bei Bedarf gewährleisten. 

  • Billogram hat Business-Continuity- und Disaster-Recovery-Pläne für die Infrastruktur definiert und implementiert, die die Servicebereitstellung von Billogram für Kunden unterstützt. Diese Pläne werden regelmäßig aktualisiert und getestet. 

d) Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung;

  • Die Notfallprozesse, -pläne und -systeme von Billogram werden regelmäßig getestet, um die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten zu bewerten und zu beurteilen. 

  • Billogram führt interne Sicherheitstests und Schwachstellen-Scans durch. Für Umgebungen mit hohem Risiko nutzt Billogram Sicherheitstests, einschließlich Penetrationstests. Billogram führt auch Sicherheits- und Penetrationstests in den Teilen der IT-Umgebung durch, in denen das Risiko als hoch eingeschätzt wird.


ANHANG 2: AUTORISIERTE UNTERAUFTRAGSVERARBEITER 

USA

Firmenname

Amazon Web Services EMEA SARL

Firmen-ID/Kennung

B186284

Dienstleistung

Infrastruktur und Cloud-Speicher

Speicherort der Daten

EU/EEA

Firmenname

Zendesk, Inc.

Firmen-ID/Kennung

519184

Dienstleistung

Kundenbetreuung

Speicherort der Daten

EU/EEA

Firmenname

Tietoevry AB

Firmen-ID/Kennung

559435-9001

Dienstleistung

Rechnungsverteilung (Brief, EDI, digitales Postfach)

Speicherort der Daten

EU/EEA

Firmenname

46Elks AB

Firmen-ID/Kennung

556838-8184

Dienstleistung

Rechnungsverteilung (SMS)

Speicherort der Daten

EU/EEA

Firmenname

Tink AB

Firmen-ID/Kennung

556898-2192

Dienstleistung

Kontoinformationsdienste

Speicherort der Daten

EU/EEA

Firmenname

Sendsafely Inc.

Firmen-ID/Kennung

83-3167288

Dienstleistung

Kommunikationsdienste

Speicherort der Daten

EU/EEA

Firmenname

Stripe Payments Europe Ltd

Firmen-ID/Kennung

513174

Dienstleistung

Kartenzahlungen

Speicherort der Daten

USA