Datenschutzerklärung

Standard-Vertragsklauseln Für die Zwecke von Artikel 28 Absatz 3 der Verordnung 2016/679 (GDPR) zum Zweck der Verarbeitung der personenbezogenen Daten durch den Auftragsverarbeiter.

Diese Standardvertragsklauseln (die Klauseln) sind ein Zusatz zum CleanManager-Abonnementvertrag (nachfolgend die "Applikation") zwischen den Parteien, der auf den zu jeder Zeit anwendbaren AGB für die Applikation basiert, und bilden einen integralen Bestandteil davon.
Die Klauseln werden durch Ankreuzen von "Hiermit bestätige ich, dass ich die AGB für die Verwendung von CleanManager gelesen und akzeptiert habe" auf dem Bestellformular akzeptiert und gelten zwischen den folgenden Parteien:

Kunde, der die AGB für die Applikation akzeptiert

(der "für die Datenverarbeitung Verantwortliche")

und

CleanManager ApS
CVR 39 23 09 92
Holkebjergvej 74
5250 Odense SV
Dänemark

(der Auftragsverarbeiter)

jeweils eine „Partei“; zusammen „die Parteien“

Diese Klauseln wurden zuletzt am 30. März 2023 überarbeitet.

1 Inhalt

1. Präambel
2. Die Rechte und Pflichten des Verantwortlichen
3. Der Auftragsverarbeiter handelt weisungsgemäß
4. Vertraulichkeit
5. Sicherheit der Verarbeitung
6. Einsatz von Unterauftragsverarbeitern
7. Übermittlung von Daten in Drittländer oder an internationale Organisationen
8. Unterstützung des Verantwortlichen
9. Meldung von Verletzungen des Schutzes personenbezogener Daten
10. Löschung und Rückgabe von Daten
11. Prüfung und Inspektion
12. Die Absprache der Parteien über sonstige Bedingungen
13. Beginn und Kündigung
14. Kontaktpersonen/Kontaktstellen für den Verantwortlichen und den Auftragsverarbeiter

1. Informationen über die Verarbeitung
2. Genehmigte Unterauftragsverarbeiter
3. Anweisung hinsichtlich der Verwendung von personenbezogenen Daten
4. Die Vereinbarungsbedingungen der Parteien in Bezug auf andere Themen

2 Präambel

2.1 In diesen Vertragsklauseln (den Klauseln) sind die Rechte und Pflichten des Verantwortlichen und des Auftragsverarbeiters bei der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen niedergelegt.

2.2 Die Klauseln sollen sicherstellen, dass die Parteien Artikel 28 Absatz 3 der Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) einhalten.

2.3 Im Zusammenhang mit der Bereitstellung des Abonnements für die Anwendung CleanManager (im Folgenden "die Applikation") verarbeitet der Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Datenverarbeitung Verantwortlichen gemäß den Klauseln.

2.4 Die Klauseln haben Vorrang vor etwaigen ähnlichen Bestimmungen, die in anderen Vereinbarungen zwischen den Parteien enthalten sind.

2.5 Vier Unterlagen liegen den Klauseln als Anlage bei und bilden einen festen Bestandteil derselben.

2.6 Anlage A enthält Einzelheiten über die Verarbeitung von personenbezogenen Daten, einschließlich des Zwecks und der Art der Verarbeitung, der Art von personenbezogenen Daten, der Kategorien von betroffenen Personen und der Dauer der Verarbeitung.

2.7 Anlage B enthält die Bedingungen des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern seitens des Auftragsverarbeiters sowie eine Liste von durch den Verantwortlichen zugelassenen Unterauftragsverarbeitern.

2.8 Anlage C enthält die Anweisungen des Verantwortlichen hinsichtlich der Verarbeitung von personenbezogenen Daten und der vom Auftragsverarbeiter umzusetzenden Mindestsicherheitsmaßnahmen sowie dazu, wie Prüfungen des Auftragsverarbeiters und etwaiger Unterauftragsverarbeiter durchzuführen sind.

2.9 Anlage D enthält Bestimmungen für andere Aktivitäten, die von den Klauseln nicht abgedeckt werden.

2.10 Die Klauseln werden zusammen mit den Anhängen von beiden Parteien in schriftlicher Form, einschließlich auf elektronischem Wege, gespeichert.

2.11 Die Klauseln befreien den Auftragsverarbeiter nicht von Pflichten, die dem Auftragsverarbeiter gemäß der Datenschutz-Grundverordnung (DSGVO) oder anderen Rechtsvorschriften obliegen.

3 Die Rechte und Pflichten des Verantwortlichen

3.1 Der Verantwortliche trägt die Verantwortung für die Sicherstellung, dass die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO (siehe Artikel 24 DSGVO), den einschlägigen Datenschutzbestimmungen der Union oder Mitgliedstaaten[ Soweit in diesen Klauseln auf „Mitgliedstaaten“ Bezug genommen wird, ist dies als Bezugnahme auf „EWR-Mitgliedstaaten“ zu verstehen.] und den Klauseln erfolgt.

3.2 Der Verantwortliche hat das Recht und die Pflicht, Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen.

3.3 Der Verantwortliche trägt u. a. die Verantwortung für die Sicherstellung, dass die Verarbeitung personenbezogener Daten, mit der der Auftragsverarbeiter beauftragt wird, auf einer rechtlichen Grundlage erfolgt.

4 Der Auftragsverarbeiter handelt weisungsgemäß

4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist. Derartige Weisungen gehen aus Anlagen A und C hervor. Nachfolgende Weisungen durch den Verantwortlichen können auch während der Dauer der Verarbeitung personenbezogener Daten erfolgen. Solche Weisungen werden jedoch stets in schriftlicher Form, einschließlich auf elektronischem Wege, in Verbindung mit den Klauseln dokumentiert und gespeichert.

4.2 Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn vom Verantwortlichen erteilte Weisungen nach Ansicht des Auftragsverarbeiters gegen die DSGVO oder die einschlägigen Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

5 Vertraulichkeit

5.1 Der Auftragsverarbeiter gewährt nur Personen unter der Verantwortung des Auftragsverarbeiters, die sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und nur, wenn dies unbedingt erforderlich ist, Zugang zu personenbezogenen Daten, die im Auftrag des Verantwortlichen verarbeitet werden. Die Liste der Personen, denen Zugang gewährt wurde, ist in regelmäßigen Abständen zu überprüfen. Auf der Grundlage dieser Prüfung kann Zugang zu personenbezogenen Daten entzogen werden, wenn dieser Zugang nicht mehr erforderlich ist; diese Personen haben folglich keinen weiteren Zugang zu personenbezogenen Daten.

5.2 Nach Aufforderung durch den Verantwortlichen weist der Auftragsverarbeiter nach, dass die betreffenden Personen unter der Verantwortung des Auftragsverarbeiters der oben genannten Verschwiegenheitspflicht unterliegen.

6 Sicherheit der Verarbeitung

6.1 Gemäß Artikel 32 DSGVO treffen der Verantwortliche und der Auftragsverarbeiter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Der Verantwortliche evaluiert die mit der Verarbeitung einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen und ergreift Maßnahmen zur Minimierung dieser Risiken. Je nach ihrer Relevanz können die Maßnahmen Folgendes einschließen:

1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

6.2 Gemäß Artikel 32 DSGVO evaluiert auch der Auftragsverarbeiter – unabhängig vom Verantwortlichen – die mit der Verarbeitung einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen und ergreift Maßnahmen zur Minimierung dieser Risiken. Dazu gibt der Verantwortliche dem Auftragsverarbeiter alle Informationen, die zum Erkennen und Evaluieren derartiger Risiken notwendig sind.

6.3 Ferner unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Gewährleistung der Einhaltung der Pflichten des Verantwortlichen gemäß Artikel 32 DSGVO, indem er dem Verantwortlichen zusammen mit allen anderen Informationen, die der Verantwortliche braucht, um seine Pflicht gemäß Artikel 32 DSGVO zu erfüllen, u. a. Informationen über die technischen und organisatorischen Maßnahmen gibt, die vom Auftragsverarbeiter gemäß Artikel 32 DSGVO bereits umgesetzt worden sind.

Wenn es später nach dem Dafürhalten des Verantwortlichen für die Minimierung der erkannten Risiken erforderlich ist, dass der Auftragsverarbeiter zusätzlich zu den von ihm gemäß Artikel 32 DSGVO bereits ergriffenen weitere Maßnahmen ergreift, spezifiziert der Verantwortliche diese zusätzlichen zu ergreifenden Maßnahmen in Anlage C.

7 Einsatz von Unterauftragsverarbeitern

7.1 Zur Inanspruchnahme eines weiteren Auftragsverarbeiters (eines Unterauftragsverarbeiters) erfüllt der Auftragsverarbeiter die in Artikel 28 Absatz 2 und Absatz 4 DSGVO genannten Anforderungen.

7.2 Ohne die vorherige allgemeine schriftliche Genehmigung des Verantwortlichen nimmt der Auftragsverarbeiter daher keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) für die Erfüllung der Klauseln in Anspruch.

7.3 Der Auftragsverarbeiter hat die allgemeine Genehmigung des Verantwortlichen für die Inanspruchnahme von Unterauftragsverarbeitern. Der Auftragsverarbeiter setzt den Verantwortlichen mindestens zwei Monate vorher schriftlich von etwaigen beabsichtigten Änderungen bei der Hinzufügung oder dem Ersetzen von Unterauftragsverarbeitern in Kenntnis, wodurch der Verantwortliche die Möglichkeit erhält, vor der Inanspruchnahme des/der betreffenden Unterauftragsverarbeiter(s) gegen derartige Änderungen Einwand zu erheben. In Anlage B können längere Fristen für die Vorankündigung spezifischer Unterauftragsverarbeitungsdienste vorgesehen werden. Die Liste von bereits vom Verantwortlichen genehmigten Unterauftragsverarbeitern ist in Anlage B zu finden.

7.4 Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter zur Durchführung spezifischer Verarbeitungsaktivitäten im Auftrag des Verantwortlichen in Anspruch nimmt, werden diesem Unterauftragsverarbeiter über einen Vertrag oder einen anderen Rechtsakt gemäß EU oder Mitgliedstaatsrecht dieselben wie bereits in den Klauseln festgelegten Datenschutzpflichten auferlegt, insbesondere das Gewähren hinreichender Garantien über das Treffen geeigneter technischer und organisatorischer Maßnahmen, sodass die Verarbeitung die Anforderungen der Klauseln und der DSGVO erfüllt.

Der Auftragsverarbeiter trägt daher die Verantwortung, von dem Unterauftragsverarbeiter zu verlangen, dass dieser zumindest die Pflichten erfüllt, denen der Auftragsverarbeiter gemäß den Klauseln und der DSGVO unterliegt.

7.5 Auf Anforderung des Verantwortlichen wird dem Verantwortlichen eine Kopie einer derartigen Unterauftragsverarbeitervereinbarung und nachfolgender Änderungen vorgelegt, wodurch der Verantwortliche die Gelegenheit erhält zu gewährleisten, dass dem Unterauftragsverarbeiter dieselben Datenschutzpflichten, wie sie in den Klauseln niedergelegt sind, auferlegt werden. Klauseln im Zusammenhang mit geschäftlichen Themen, die keinen Einfluss auf den gesetzlichen Datenschutzinhalt der Unterauftragsverarbeitervereinbarung haben, müssen dem Verantwortlichen nicht vorgelegt werden.

7.6 Wenn der Unterauftragsverarbeiter seine Datenschutzpflichten nicht erfüllt, haftet der Auftragsverarbeiter gegenüber dem Verantwortlichen vollumfänglich für die Erfüllung der Pflichten des Unterauftragsverarbeiters. Dies lässt die in der DSGVO, insbesondere in Artikeln 79 und 82 DSGVO, vorgesehenen Rechte der betroffenen Personen gegen den Verantwortlichen und den Auftragsverarbeiter, einschließlich des Unterauftragsverarbeiters, unberührt.

8 Übermittlung von Daten in Drittländer oder an internationale Organisationen

8.1 Etwaige Übermittlungen von personenbezogenen Daten durch den Auftragsverarbeiter in Drittländer oder an internationale Organisationen erfolgen nur auf der Grundlage von dokumentierten Weisungen des Verantwortlichen und unter Einhaltung von Kapitel V DSGVO.

8.2 Falls gemäß EU oder Mitgliedstaatsrecht, das für den Auftragsverarbeiter gilt, Übermittlungen in Drittländer oder an internationale Organisationen erforderlich sind, für deren Durchführung der Auftragsverarbeiter keine Weisung vom Verantwortlichen erhalten hat, setzt der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung von dieser gesetzlichen Anforderung in Kenntnis, wenn dieses Inkenntnissetzen nicht aus wichtigen Gründen des öffentlichen Interesses gemäß diesem Recht untersagt ist.

8.3 Ohne dokumentierte Weisungen vom Verantwortlichen ist dem Auftragsverarbeiter im Rahmen der Klauseln daher Folgendes nicht gestattet:

1. Übermitteln personenbezogener Daten an einen Verantwortlichen oder einen Auftragsverarbeiter in einem Drittland oder in einer internationalen Organisation

2. Übertragen der Verarbeitung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland

3. Veranlassen, dass die personenbezogenen Daten von dem Auftragsverarbeiter in einem Drittland verarbeitet werden.

8.4 Die Weisungen des Verantwortlichen bezüglich der Übermittlung personenbezogener Daten in ein Drittland, gegebenenfalls einschließlich des Übermittlungs-Tools gemäß Kapitel V DSGVO, auf dem sie beruhen, sind in Anlage C.6 niedergelegt.

8.5 Die Klauseln dürfen nicht mit Standarddatenschutzklauseln im Sinne von Artikel 46 Absatz 2 Buchstabe c und Buchstabe d DSGVO verwechselt werden und die Parteien können sich nicht auf die Klauseln als ein Übermittlungs-Tool gemäß Kapitel V DSGVO berufen.

9 Unterstützung des Verantwortlichen

9.1 Angesichts der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannten Rechte der betroffenen Person nachzukommen.

Dazu gehört, dass der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit bei der Einhaltung von Folgendem unterstützt:

1. dem Recht, unterrichtet zu werden, wenn personenbezogene Daten von der betroffenen Person erhoben werden

2. dem Recht, unterrichtet zu werden, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden

3. dem Auskunftsrecht der betroffenen Person

4. dem Recht auf Berichtigung

5. dem Recht auf Löschung („Recht auf Vergessenwerden“)

6. dem Recht auf Einschränkung der Verarbeitung

7. der Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

8. dem Recht auf Datenübertragbarkeit

9. dem Recht auf Widerspruch

10. dem Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden

9.2 Zusätzlich zu der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 6.4 zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen den Verantwortlichen nach Möglichkeit bei der Einhaltung von Folgendem:

1. der Pflicht des Verantwortlichen, die Aufsichtsbehörde, die dänische Datenschutzbehörde Datatilsynet, von der Verletzung des Schutzes personenbezogener Daten unverzüglich und, falls möglich, binnen höchstens 72 Stunden, nachdem ihm die Verletzung bekannt wurde, zu unterrichten, es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen;

2. der Pflicht des Verantwortlichen, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt;

3. der Pflicht des Verantwortlichen, eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen (eine Datenschutz-Folgenabschätzung);

4. der Pflicht des Verantwortlichen, vor der Verarbeitung die Aufsichtsbehörde, die dänische Datenschutzbehörde Datatilsynet, zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

9.3 Die Parteien legen in Anlage C die geeigneten technischen und organisatorischen Maßnahmen, durch die der Auftragsverarbeiter den Verantwortlichen zu unterstützen verpflichtet ist, sowie den Gegenstand und Umfang der erforderlichen Unterstützung fest. Dies gilt für die in Klauseln 9.1 und 9.2 vorgesehenen Verpflichtungen.

10 Meldung von Verletzungen des Schutzes personenbezogener Daten

10.1 Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Auftragsverarbeiter dem Verantwortlichen die Verletzung des Schutzes personenbezogener Daten unverzüglich, nachdem ihm die Verletzung bekannt wurde.

10.2 Die Meldung des Auftragsverarbeiters an den Verantwortlichen erfolgt nach Möglichkeit innerhalb von 36 Stunden nachdem dem Auftragsverarbeiter die Verletzung des Schutzes personenbezogener Daten bekannt wurde, damit der Verantwortliche seiner Pflicht nachkommen kann, die zuständige Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten zu unterrichten, siehe Artikel 33 DSGVO.

10.3 Gemäß Klausel 9 Absatz 2 Buchstabe a unterstützt der Auftragsverarbeiter den Verantwortlichen dabei, die zuständige Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten zu unterrichten, das heißt, dass der Auftragsverarbeiter die Erlangung der unten aufgeführten Informationen, die gemäß Artikel 33 Absatz 3 DSGVO in der Mitteilung des Verantwortlichen an die zuständige Aufsichtsbehörde angegeben werden müssen, unterstützen muss:

1. die Art der personenbezogenen Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

2. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

3. die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

10.4 In Anlage D legen die Parteien alle Elemente fest, die der Auftragsverarbeiter zur Verfügung stellen muss, wenn er den Verantwortlichen bei der Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde unterstützt.

11 Löschung und Rückgabe von Daten

11.1 Nach Abschluss der Erbringung der Verarbeitungsleistungen in Bezug auf personenbezogene Daten ist der Auftragsverarbeiter verpflichtet, alle personenbezogenen Daten an den Verantwortlichen zurückzugeben und bestehende Kopien zu vernichten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

12 Prüfung und Inspektion

12.1 Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 und den Klauseln niedergelegten Pflichten zur Verfügung und ermöglicht und trägt zu Überprüfungen – einschließlich Inspektionen – bei, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden.

12.2 Die Verfahren, die für Prüfungen, einschließlich Inspektionen, des Auftragsverarbeiters und Unterauftragsverarbeiters durch den Verantwortlichen  gelten, sind in den Anhängen C.7. und C.6. genauer angegeben.

12.3 Der Auftragsverarbeiter muss den Aufsichtsbehörden, die gemäß geltendem Recht Zugang zu den Einrichtungen des Verantwortlichen und des Auftragsverarbeiters haben, oder Vertretern, die im Auftrag dieser Aufsichtsbehörden handeln, gegen Vorlage von entsprechenden Ausweispapieren Zugang zu den physischen Einrichtungen des Auftragsverarbeiters gewähren.

13 Die Absprache der Parteien über sonstige Bedingungen

13.1 Die Parteien können andere Klauseln über die Erbringung der Verarbeitungsleistungen in Bezug auf personenbezogene Daten vereinbaren, in denen z. B. Haftung festgelegt wird, solange diese weder mittelbar noch unmittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Person und den durch die DSGVO gewährten Schutz beschneiden.

14 Beginn und Kündigung

14.1 Diese Bedingungen treten in Kraft durch die Annahme der Abonnementsbedingungen zur Nutzung der Applikation.

14.2 Beide Parteien haben das Recht, die Neuaushandlung der Klauseln zu fordern, wenn Gesetzesänderungen oder Unzweckmäßigkeit der Klauseln Anlass zu einer derartigen Neuaushandlung geben.

14.3 Die Klauseln gelten während der Dauer der Erbringung der Verarbeitungsleistungen in Bezug auf personenbezogene Daten. Während der Dauer der Erbringung der Verarbeitungsleistungen in Bezug auf personenbezogene Daten können die Klauseln nur gekündigt werden, wenn andere, für die Erbringung von Verarbeitungsleistungen in Bezug auf personenbezogene Daten geltende Klauseln zwischen den Parteien vereinbart worden sind.

14.4 Wenn die Erbringung von Verarbeitungsleistungen in Bezug auf personenbezogene Daten beendet ist und die personenbezogenen Daten gemäß Klausel 11.1 und Anlage C.4 gelöscht oder dem Verantwortlichen zurückgegeben worden sind, können die Klauseln von beiden Parteien schriftlich gekündigt werden.

15 Kontaktpersonen/Kontaktstellen für den Verantwortlichen und den Auftragsverarbeiter

15.1 Der Datenverantwortliche kann den Datenverarbeiter über die folgende Kontaktperson erreichen:
Name: Jakob Witte Larsen
Position: Entwicklungsmanager und Personal Data Manager
Telefonnummer: +49 (0)4638 9829672
E-Mail: jwl@cleanmanager.de

15.2 Der Auftragsverarbeiter kann den für die Datenverarbeitung Verantwortlichen über die in der Anwendung angegebene Kontaktperson (CleanManager) kontaktieren. Es liegt in der Verantwortung des Daten-Controllers, jederzeit sicherzustellen, dass die Kontaktinformationen in der Anwendung auf dem neuesten Stand gehalten werden.

Anlage A – Informationen über die Verarbeitung

A.1 Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen ist
Der Zweck der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des für die Datenverarbeitung Verantwortlichen besteht darin, dass der für die Datenverarbeitung Verantwortliche die Applikation (CleanManager), die Eigentum des Auftragsverarbeiters ist und von diesem betrieben wird, zur Verwaltung und Planung der Arbeit mit den Mitarbeitern und Kunden des Auftragsverarbeiters verwenden kann.

A.2 Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen bezieht sich hauptsächlich auf (die Art der Verarbeitung)
Bereitstellung, Betrieb und Weiterentwicklung der Applikation, einschließlich Datenspeicherung und Backup-Management.

Neben der Speicherung von Daten kann die Verarbeitung auch - entsprechend der Datenkontrollanweisung - umfassen:

• Verarbeitung von Daten im Zusammenhang mit dem Import von Kundendaten

• Zugang zu Daten im Zusammenhang mit dem Support, um die Kunden bei Fragen im Zusammenhang mit der Nutzung der Applikation zu unterstützen.

A.3 Die Verarbeitung bezieht sich auf die folgenden Arten personenbezogener Daten über betroffene Personen
Über Arbeitnehmer: Name, Adresse, Telefon-Nr., E-Mail, CPR-Nr., Kontoauszüge, Anstellungs- und Kündigungsdatum, Notfallkontaktperson, Bild, Zeit und Ort der Treffen, Arbeitsvertrag, Arbeitsplatzbewertungsschemata (APV-Skemaer) etc.

Über Kunden: Name, Rechnungs- und Lieferadresse, Telefon-Nr., E-Mail, CVR-Nr. und EAN-Nr., CPR-Nr., Angaben zur Kontaktperson (Name, Telefon-Nr. und E-Mail), Verträge, Arbeitsbewertungen etc.

Der Auftragsverarbeiter unterstützt nicht die Aufzeichnung von Daten, die sich auf die besonderen Kategorien personenbezogener Daten beziehen, einschließlich Gesundheit, Rasse und ethnische Zugehörigkeit sowie personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten.

A.4 Zu der Verarbeitung gehören die folgenden Kategorien von betroffenen Personen
Die Verarbeitung kann die folgenden Kategorien von betroffenen Personen umfassen, sofern die Daten zu diesen Kategorien in die Applikation eingegeben werden:

1. Die derzeitigen Mitarbeiter des für die Datenverarbeitung Verantwortlichen

2. Die entlassenen Mitarbeiter des für die Datenverarbeitung Verantwortlichen

3. Die potenziellen Kunden des für die Verarbeitung Verantwortlichen und ihre Ansprechpartner

4. Die aktuellen Kunden des für die Verarbeitung Verantwortlichen und ihre Kontaktpersonen

5. Frühere Kunden des für die Verarbeitung Verantwortlichen und deren Kontaktpersonen

Die Abschnitte III bis V umfassen sowohl Privatpersonen, Unternehmen als auch öffentliche Organisationen.

A.5 Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen kann erfolgen, wenn die Klauseln wirksam werden. Die Verarbeitung hat die folgende Dauer
Die Verarbeitung kann während der gesamten laufenden Dauer der Abonnementsperiode und bis zu 30 Tage nach Ablauf der Abonnementsperiode durchgeführt werden.

Vom Zeitpunkt der Löschung bis zur Löschung der Daten aus den Sicherungssystemen kann eine Zeitspanne von 20 Tagen vergehen.

Anlage B – nehmigte Unterauftragsverarbeiter

B.1 Zugelassene Unterauftragsverarbeiter
Bei Gültigkeitsbeginn der Klauseln genehmigt der Verantwortliche die Auftragsvergabe an die folgenden Unterauftragsverarbeiter:

• Sentia Solutions A/S
  Smedeland 32, 2600 Glostrup
  CVR-nr.: 10 00 81 23
  Anwendung: Serverbetrieb, Hosting und Datensicherung

• ScanNet A/S
  Højvangen 4, 8660 Skanderborg
  CVR-nr.: 29 41 20 06
  Anwendung: Serverbetrieb, Hosting und Datensicherung

• Compaya A/S
  Palægade 4, 2. tv., 1261 København K
  CVR-nr.: 31 37 54 28
  Anwendung: SMS-Relais

• Sendinblue SAS
  7 rue de Madrid, 75008 Paris, France
  Org.nr.: 918 470 573
  Anwendung: E-mail und SMS relay

• Zendesk, Inc.
  1019 Market Street, 6th Floor San Francisco, California 94103
  Beigetreten EU-U.S. Privacy Shield
  Anwendung: Support (E-Mail, Chat, etc.)

• Video Communication Services AS
  Gate 1, no. 101, 6700 Maaloy, Norway
  Org.Nr.: 918 470 573
  Anwendung: Support (Videokonferenz)

Bei Beginn der Klauseln genehmigt der Verantwortliche den Einsatz der oben genannten Unterauftragsverarbeiter für die für diese Partei beschriebene Verarbeitung. Ohne die ausdrückliche schriftliche Genehmigung des Verantwortlichen ist der Auftragsverarbeiter nicht berechtigt, einen Unterauftragsverarbeiter mit einer von der vereinbarten „verschiedenen“ Verarbeitung oder einen anderen Unterauftragsverarbeiter mit der Durchführung der beschriebenen Verarbeitung zu beauftragen.

B.2 Vorherige Mitteilung für die Genehmigung von Unterauftragsverarbeitern
Sofern der für die Verarbeitung Verantwortliche Einwände gegen die Verwendung eines Unterauftragsverarbeiters hat, muss der für die Verarbeitung Verantwortliche den Auftragsverarbeiter diesbezüglich innerhalb von zwei (2) Wochen nach Erhalt der Mitteilung des Auftragsverarbeiters benachrichtigen. Der für die Datenverarbeitung Verantwortliche kann nur insoweit widersprechen, als der für die Datenverarbeitung Verantwortliche hierfür angemessene und spezifische Gründe hat.

Anlage C – Anweisung hinsichtlich der Verwendung von personenbezogenen Daten

C.1 Der Gegenstand der/Die Anweisung hinsichtlich der Verarbeitung
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen erfolgt durch den Auftragsverarbeiter, der Folgendes durchführt:

Der Datenprozessor führt im Auftrag des Datencontrollers die Lieferung, den Betrieb und die Weiterentwicklung einer Reinigungsservice-Applikation (CleanManager), einschließlich der Datenspeicherung und des Backup-Managements, durch.

C.2 Sicherheit der Verarbeitung
Bei dem Sicherheitsniveau muss Folgendes berücksichtigt werden:
Die Verarbeitung betrifft eine begrenzte Menge personenbezogener Daten, die keine "besonderen Kategorien personenbezogener Daten" in Bezug auf Artikel 9 BIPR enthält, in denen das Sicherheitsniveau organisiert werden soll.

Der Auftragsverarbeiter ist hiernach berechtigt und verpflichtet, Entscheidungen über die technischen und organisatorischen Sicherheitsmaßnahmen zu treffen, die zur Schaffung des notwendigen (und vereinbarten) Sicherheitsniveaus zur Anwendung kommen sollen.

Der Auftragsverarbeiter muss jedoch auf jeden Fall und zumindest die folgenden mit dem Verantwortlichen vereinbarten Maßnahmen ergreifen:

Der Datenprozessor richtet in Zusammenarbeit mit den Subprozessoren angemessene technische Sicherheitsmaßnahmen ein, um sicherzustellen, dass die Daten sicher gespeichert und übertragen werden, einschließlich Datenverschlüsselung, Netzwerksegmentierung und Serverüberwachung. Diese werden laufend auf der Grundlage der Risikobewertung bewertet. Server und Workstations mit Zugriff auf persönliche Daten verwenden entweder Linux oder Mac OSX als Betriebssystem und werden ständig aktualisiert.

Der Auftragsverarbeiter führt interne Kontrollen seiner Verwaltung durch. Die Mitarbeiter werden im Zusammenhang mit der Gründung sowie einmal jährlich in der Verarbeitung personenbezogener Daten geschult und erhalten nur dann Zugang zu Kundendaten, wenn sie dafür einen arbeitsbedingten Bedarf haben.

Der Datenprozessor führt kontinuierliche Löschverfahren durch, die sicherstellen, dass Daten nicht länger als in den Klauseln festgelegt gespeichert werden. Darüber hinaus wurden Leitfäden für die für die Datenverarbeitung Verantwortlichen ausgearbeitet, wie Daten im System gelöscht und anonymisiert werden können.

Der Auftragsverarbeiter auditiert relevante Sub-Auftragsverarbeiter im Zusammenhang mit regelmäßigen Überprüfungen und Audits, wobei beurteilt wird, ob die Sub-Verarbeiter die eigenen Anforderungen des Auftragsverarbeiters und des für die Verarbeitung Verantwortlichen sowie die Anforderungen aus Gesetzen, Verordnungen oder Aufsichtsorganisationen erfüllen.

Der Auftragsverarbeiter führt fortlaufend Awareness-Schulungen mit Mitarbeitern durch, um sicherzustellen, dass Sicherheitsverletzungen beim Auftragsverarbeiter schnell erkannt werden können. Für den Fall von Sicherheitsverletzungen, wie Datenlecks oder Hacking, hat der Auftragsverarbeiter ein Sicherheitsverfahren für den Umgang damit vorbereitet, das eine ordnungsgemäße Benachrichtigung der für die Datenverarbeitung Verantwortlichen über die Verletzung gewährleistet.

Der Auftragsverarbeiter gibt jährlich eine Zuverlässigkeitserklärung von einem unabhängigen Prüfer auf der Grundlage des ISAE-3000-Standards oder eines anderen geeigneten Standards ab, die ein transparentes und faires Bild der Einhaltung dieser Klauseln durch den Auftragsverarbeiter und des Schutzes der personenbezogenen Daten des für die Verarbeitung Verantwortlichen vermittelt. Die spezifischen Sicherheitsmaßnahmen des Auftragsverarbeiters werden in der jährlichen ISAE 3000-Erklärung näher erläutert, die dem für die Datenverarbeitung Verantwortlichen auf Anfrage zur Verfügung gestellt wird.

C.3 Unterstützung des Verantwortlichen
Insoweit dies im Rahmen des Umfangs und des Ausmaßes der unten angegebenen Unterstützung möglich ist, unterstützt der Auftragsverarbeiter den Verantwortlichen gemäß Klausel 9.1 und 9.2 durch Umsetzung der folgenden technischen und organisatorischen Maßnahmen:

Soweit möglich, unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen bei der Beantwortung von Anfragen der betroffenen Personen im Zusammenhang mit der Nutzung der Applikation und hilft dem für die Verarbeitung Verantwortlichen bei der Erstellung von Risikobewertungen und der Durchführung geeigneter Sicherheitsmaßnahmen, der Benachrichtigung der dänischen Datenschutzbehörde ("Datatilsynet") und der betroffenen Personen im Falle von Sicherheitsverletzungen, der Erstellung von Datenschutzfolgenabschätzungen und der vorherigen Konsultation der dänischen Datenschutzbehörde ("Datatilsynet") bei der mit der Applikation durchgeführten Verarbeitung.

C.4 Dauer der Speicherung/Löschungsverfahren
Personenbezogene Daten werden beim Auftragsverarbeiter gespeichert, bis der für die Datenverarbeitung Verantwortliche die Löschung oder Rückgabe der Daten verlangt. Im Zusammenhang mit der Beendigung des Abonnements für die Applikation werden die Daten nach 30 Tagen gelöscht, sofern der für die Datenverarbeitung Verantwortliche nichts anderes verlangt.
Vom Zeitraum der Löschung bis zur Löschung der Daten aus den Sicherungssystemen kann eine Dauer von 20 Tagen vergehen.

C.5 Verarbeitungsort
Die Verarbeitung der personenbezogenen Daten gemäß den Klauseln kann ohne die vorherige schriftliche Genehmigung des Verantwortlichen nur an den folgenden Orten erfolgen:
Die oben angegebene Adresse des Auftragsverarbeiters und die Adressen der Subprozessoren wie in Anhang B beschrieben.

C.6 Weisung zur Übermittlung personenbezogener Daten an Drittländer
Im Zusammenhang mit dem Betrieb der Applikation und wie in Anhang B beschrieben, werden einige wenige Subprozessoren außerhalb der EU eingesetzt. Diese Subprozessoren haben ihren Sitz in den USA und sind gemäß der Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer Verpflichtet ein adäquates Sicherheits- und Schutzniveau zu garantieren. Der Verantwortliche akzeptiert mit Zustimmung der Klauseln, dass personenbezogene Daten an die im Anhang B vermerkten Subprozzessoren weitergeben werden.
Gibt der Verantwortliche weder in diesen Klauseln noch nachträglich dokumentierte Weisungen in Bezug auf die Übermittlung von personenbezogenen Daten in ein Drittland, ist der Auftragsverarbeiter zu derartigen Übermittlungen im Rahmen der Klauseln nicht berechtigt.

C.7 Verfahren für die Prüfungen, einschließlich Inspektionen, der vom Auftragsverarbeiter durchgeführten Verarbeitung von personenbezogenen Daten durch den Verantwortlichen
Der Auftragsverarbeiter muss einmal pro Jahr mit einer Lücke von maximal 12 Monaten einen Prüfbericht von einer unabhängigen dritten Partei hinsichtlich der Beschreibung der Kontrollen in Bezug auf den Datenschutz und die Verarbeitung personenbezogener Daten im Zusammenhang mit den Klauseln und den zugehörigen Anhängen einholen.
Der Prüfbericht entspricht nunmehr der Norm ISAE 3000 Typ 2 und enthält sowohl den Auftragsverarbeiter als auch die Verarbeitung personenbezogener Daten durch etwaige Subprozessoren. Der Bericht ist dem für die Verarbeitung Verantwortlichen so bald wie möglich nach Erhalt zu übermitteln.

C.8 Verfahren für die Prüfungen, einschließlich Inspektionen, der von Unterauftragsverarbeitern durchgeführten Verarbeitung von personenbezogenen Daten
Die Prüfung von Subprozessoren durch den für die Datenverarbeitung Verantwortlichen erfolgt - als Ausgangspunkt - durch den Datenprozessor. Der Auftragsverarbeiter erhält von allen relevanten Unterverarbeitern kontinuierlich eine Zuverlässigkeitserklärung von einem unabhängigen Prüfer, die auf Wunsch des für die Datenverarbeitung Verantwortlichen zur Verfügung gestellt werden kann.

Anlage D – Die Vereinbarungsbedingungen der Parteien in Bezug auf andere Themen

D.1 Spezifizierung der Löschung des Auftragsverarbeiters
Der Auftragsverarbeiter muss in Übereinstimmung mit den Bestimmungen der Klausel 11.1. sicherstellen, dass alle Unterverarbeiter auch die Verpflichtungen des Auftragsverarbeiters bezüglich der Löschung personenbezogener Daten erfüllen.
Wenn der für die Datenverarbeitung Verantwortliche den Auftragsverarbeiter nicht anderweitig anweist, wird die Datenbank, die ein Abonnement verlängert, 30 Tage nach Beendigung des Abonnements und dieser Klauseln gelöscht. Die Daten des für die Datenverarbeitung Verantwortlichen werden während dieses Zeitraums gespeichert, um die Möglichkeit der Wiedereröffnung des Abonnements innerhalb einer angemessenen Kündigungsfrist zu gewährleisten.
Der Auftragsverarbeiter legt - auf Verlangen des für die Verarbeitung Verantwortlichen - Unterlagen vor, aus denen hervorgeht, dass die erforderliche Löschung, vgl. Ziffer 11.1, erfolgt ist.

D.2 Die Vergütung des Auftragsverarbeiters
Der für die Datenverarbeitung Verantwortliche vergütet den Auftragsverarbeiter separat für Zeit und Material, die er für die Bearbeitung von Anfragen und Aufgaben gemäß den Bestimmungen der Klauseln, par. 9.1, 9.2, 10.3, 11.1, 12.1 und Anhang C, Absatz. C.3 und C.7 verwendet, welche über die generellen Verpflichtungen der geltenden Datenschutz-Gesetzesgebung hinaus gehen. Die Vergütung richtet sich nach dem aktuellen Stundenpreis des Auftragsverarbeiters, welcher unter CleanManager.de verfügbar ist.

D.3 Änderungen und Übertragung der Klauseln
Der Auftragsverarbeiter und der für die Datenverarbeitung Verantwortliche können jederzeit mit einer Vorankündigung von mindestens 30 Kalendertagen Änderungen an den Klauseln vornehmen. Das Änderungsverfahren und die Kosten müssen zwischen dem Auftragsverarbeiter und dem für die Datenverarbeitung Verantwortlichen gemäss der AGB schriftlich vereinbart werden. Im Falle solcher Änderungen muss der Auftragsverarbeiter sicherstellen, dass auch die Unterverarbeiter ohne unnötige Verzögerung an die Änderungen gebunden sind.
Der Auftragsverarbeiter kann seine Rechte und Pflichten aus den Klauseln ohne Zustimmung des für die Verarbeitung Verantwortlichen abtreten, vorausgesetzt, dass derjenige, dem die Rechte und/oder Pflichten übertragen werden, verpflichtet ist, personenbezogene Daten gemäß den für den Auftragsverarbeiter geltenden Anforderungen in Übereinstimmung mit den Klauseln zu verarbeiten.