Datenschutz
-
Anwendungsbereich
Bei der Erbringung der Leistungen gemäß dem Hauptvertrag verarbeitet die SBK-Tech GmbH, Inhaber Herr Mathias Meindl, Am Bahnhof 9, 94501 Aidenbach, die als Auftragnehmer personenbezogene Daten, die der Auftraggeber zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“). Diese Datenschutzerklärung spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der Auftraggeber-Daten zu Erbringung der Leistungen nach dem Hauptvertrag.
-
Umfang der Beauftragung/Weisungsbefugnisse des Auftraggebers
2.1.Der Auftragnehmer wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern der Auftragnehmer nicht gesetzlich dazu verpflichtet ist. Im letzteren Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Gesetz eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2.2.Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages
2.3.Der Auftraggeber behält sich das Recht zur Erteilung von Weisungen über Art, Umfang, Zweck und Mittel der Verarbeitung von Auftraggeber-Daten vor.
-
Anforderungen an Personal
3.1.Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit anzuhalten.
3.2.Der Auftragnehmer stellt sicher, dass ihm unterstellte natürliche Personen, die Zugang zu Auftraggeber-Daten haben, diese nur auf seine Anweisung verarbeiten, es sei denn, sie sind nach dem Recht der Union und der Mitgliedstaaten zur Verarbeitung verpflichtet.
-
Sicherheit der Verarbeitung
4.1.Der Auftragnehmer ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.
4.2.Der Auftragnehmer hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten alle technischen und organisatorischen Maßnahmen zu ergreifen und während des Hauptvertrages aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.
-
Inanspruchnahme weiterer Vertragsverarbeiter
5.1.Der Auftraggeber genehmigt hiermit in allgemeiner Weise die Inanspruchnahme weiterer Vertragsverarbeiter durch den Auftragnehmer.
5.2.Der Auftragnehmer wird den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung weiterer Auftragsverarbeiter informieren. Der Auftraggeber ist berechtigt gegen jede beabsichtigte Änderung Einspruch zu erheben. Erhebt der Auftraggeber Einspruch, ist dem Auftragnehmer die beabsichtigte Änderung untersagt.
5.3.Der Auftragnehmer wird jedem weiteren Auftragsverarbeiter vertraglich dieselben Datenschutzpflichten auferlegen, die in dieser Anlage in Bezug auf die Auftragnehmerin festgelegt sind.
5.4.Der Auftragnehmer wird vor jeder Beauftragung sowie regelmäßig während der Beauftragung überprüfen, dass die weiteren Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergriffen haben und diese so durchgeführt werden, dass die Verarbeitung der Auftraggeber-Daten gemäß dieser Anlage erfolgt.
-
Rechte der betroffenen Personen
6.1.Der Auftragnehmer wird den Auftraggeber im Rahmen des zumutbaren mit technischen und organisatorischen Maßnahmen dabei unterstützen, seine Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der ihnen zustehenden Rechte betroffener Personen nachzukommen.
6.2.Der Auftragnehmer wird insbesondere:
- den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an den Auftragnehmer wenden sollte;
- dem Auftraggeber auf Anfrage alle bei ihm vorhandenen Informationen über die Verarbeitung von Auftraggeber-Karten geben, die der Auftraggeber zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Auftraggeber nicht selbst verfügt.
-
Sonstige Unterstützungspflichten des Auftragnehmers
7.1.Der Auftragnehmer meldet dem Auftraggeber, unverzüglich nach dem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Änderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu Auftraggeber-Daten führen. Die Meldung enthält nach Möglichkeit eine Beschreibung:
- der Art der Verletzung des Schutzes der Auftraggeber-Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Person, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
- der wahrscheinlichen Folgen der Verletzung des Schutzes der Auftraggeber-Daten;
- der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes der Auftraggeber-Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
7.2.Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder Betroffenen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer den Auftraggeber auf dessen Anfrage unterstützen, diese Pflichten einzuhalten.
7.3.Der Auftragnehmer wird den Auftraggeber im Rahmen des zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
-
Datenlöschung und -zurückgabe
Der Auftragnehmer wird auf die Anweisung des Auftraggebers hin mit Beendigung des Hauptvertrages alle Auftraggeber-Daten entweder vollständig und unwiderruflich löschen oder an den Auftraggeber zurückgeben, sofern nicht gesetzlich eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.
-
Nachweis und Überprüfungen
9.1.Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten mit dieser Anlage, einschließlich des in Anhang 1 festgelegten Umfangs der Verarbeitung der Auftraggeber-Daten, sowie den Weisungen des Auftraggebers in Einklang steht.
9.2.Der Auftragnehmer wird die Umsetzung der Pflichten nach dieser Datenschutzerklärung in geeigneter Weise dokumentieren und dem Auftraggeber entsprechende Nachweise auf dessen ausdrückliche Anfrage vorlegen. Der Auftragnehmer wird insbesondere dokumentieren:
- alle Vertraulichkeitsverpflichtungen von Personen, die Auftraggeber-Daten verarbeiten;
- alle sich in einem Einwirkungsbereich ereignenden Verletzungen des Schutzes von Auftraggeber-Daten einschließlich aller damit in Zusammenhang stehenden Fakten, deren Auswirkungen und von ihm ergriffenen Abhilfemaßnahmen;
- alle auf Weisung des Auftraggebers erfolgten Löschungen von Auftraggeber-Daten.