Auftragsverarbeitungsvereinbarung
zwischen dem für die Auftragsverarbeitung Verantwortlichen
– Auftraggeber –
und
FoodPal UG (haftungsbeschränkt), Am Klein Flottbeker Bahnhof 59, 22609 Hamburg
– FoodPal –
über die Auftragsverarbeitung im Sinne des Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO).
§ 0 Präambel
Diese Anlage konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der in den Kooperationsverträgen „FoodPal GYM Flexi“, „FoodPal GYM Business“ und „FoodPal GYM Business Plus“ zwischen dem Auftraggeber und FoodPal, jeweils beschrieben unter § 7 Abs. 2, ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit diesen Kooperationsverträgen in Zusammenhang stehen und bei denen Beschäftigte von FoodPal oder durch von FoodPal Beauftragte personenbezogene Daten des Auftraggebers verarbeiten.
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
Aus den in der Präambel spezifizierten Kooperationsverträgen ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung. Im Einzelnen sind insbesondere die folgenden Daten der Mitglieder, Kunden, Interesssenten und Mitarbeiter des Auftraggebers der Bestandteil der Datenverarbeitung:
Vorname, Nachname, E-Mail-Adresse, verschlüsseltes Passwort, Geburtsdatum, Körpergröße, Körpergewicht + Gewichtsverlauf (bei mehreren Messungen), Zielgewicht, Geschlecht, Berufliche Aktivität (Sitzend, stehend, gehend, körperlich schwere Arbeit), Ernährungstyp (Mischkost, vegetarisch, vegan), Unverträglichkeiten (Laktose, Gluten), Höhe des Kaloriendefizits oder -überschusses.
Die Laufzeit dieser Auftragsverarbeitungsvereinbarung richtet sich nach der Laufzeit des Kooperationsvertrags, sofern sich aus den Bestimmungen dieser Auftragsverarbeitungsvereinbarung nicht darüber hinausgehende Verpflichtungen ergeben.
§ 2 Anwendungsbereich und Verantwortlichkeit
1. FoodPal verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die in den Kooperationsverträgen und ggfs. in gesonderten Leistungsbeschreibungen konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Kooperationsvertrags für die Einhaltung der gesetzlichen Bestimmungen der Daten-schutzgesetze, insbesondere für die Rechtmässigkeit der Datenweitergabe an FoodPal sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO).
2. Die Weisungen werden anfänglich durch den Kooperationsvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die FoodPal bezeichnete Stelle durch einzelne Weisungen geändert, er-gänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
§ 3 Pflichten von FoodPal
1. FoodPal darf Daten von betroffenen Personen nur im Rahmen des Kooperationsvertrags und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DS-GVO vor. FoodPal informiert den Auftraggeber un-verzüglich darüber, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. FoodPal darf die Umsetzung der Weisung so lange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
2. FoodPal wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundver-ordnung (Art. 32 DS-GVO) genügen.
3. FoodPal hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulich-keit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammen-hang mit der Verarbeitung auf Dauer sicherstellen.
4. FoodPal hat im Benehmen mit dem Auftraggeber alle erforderlichen Maßnahmen zur Sicherung der Daten bzw. der Sicherheit der Verarbeitung, insbesondere auch unter Berücksichtigung des Stands der Technik, sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.
5. FoodPal stellt dem Auftraggeber auf dessen Wunsch alle erforderlichen Informationen zur Verfügung, die er für eine Abschätzung der Folgen der vorgesehenen Verarbeitungs-vorgänge für den Schutz der Daten (Datenschutz-Folgenabschätzung im Sinne des Art. 35 DS-GVO) benötigt.
6. FoodPal stellt dem Auftraggeber auf Wunsch eine umfassendes Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung [Technisch-organisatorischen Maßnahmen].
7. FoodPal wird insbesondere Überprüfungen/Inspektionen, die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglichen und deren Durchführung unterstützen. Dies insbesondere, um sicherzustellen, dass der Auftraggeber seiner Verantwortung dafür, dass die getroffenen Datenschutz- und Sicherheitskonzepte für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.
Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe von FoodPal dabei nicht unverhältnismäßig stören. Entstehen durch die Kontrollmaßnahmen des Auftraggebers zusätzliche Kosten für FoodPal, so trägt diese der Auftraggeber.
Der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann dabei auch durch Vorlage eines aktuellen Testats, von Berichten hin-reichend qualifizierter und unabhängiger Instanzen (z.B. Wirtschaftsprüfer, unabhängige Datenschutzauditoren), durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DS-GVO, einer Zertifizierung nach Art. 42 DS-GVO oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit erbracht werden.
8. FoodPal verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DS-GVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 und jede andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise unverzüglich zu unterrichten.
9. FoodPal bleibt eine Änderung der getroffenen Sicherheitsmaßnahmen vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
10. FoodPal gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für FoodPal tätige Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet FoodPal, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit ver-pflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unter-liegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
11. FoodPal unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.
12. FoodPal nennt dem Auftraggeber den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
13. FoodPal berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt FoodPal die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück.
14. Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers zu löschen.
15. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich FoodPal den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
§ 4 Pflichten des Auftraggebers
1. Der Auftraggeber hat FoodPal unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
2. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, gilt §3 Abs. 15 entsprechend.
3. Der Auftraggeber nennt FoodPal den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.
§ 5 Anfragen betroffener Personen
1. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an FoodPal, wird FoodPal die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist.
2. FoodPal leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter.
3. FoodPal unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten im Sinne von Art. 12-22, 32 und 36 DS-GVO auf Weisung, soweit dies vereinbart ist.
4. FoodPal haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
§ 6 Subunternehmer (weitere Auftragsverarbeiter)
1. Der Auftraggeber stimmt hiermit zu, dass FoodPal weitere Auftragsverarbeiter als Subunternehmen für die Auftragsverarbeitung hinzuzieht. Vor Hinzuziehung oder Ersetzung der Subunternehmer informiert FoodPal den Auftraggeber.
2. Ein Subunternehmerverhältnis liegt vor, wenn FoodPal weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt. FoodPal wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemes-sene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.
3. Erteilt FoodPal Aufträge an Subunternehmer, so obliegt es FoodPal, seine datenschutz-rechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
§ 7 Angabe der zuständigen Datenschutz-Aufsichtsbehörde
1. Die zuständige Aufsichtsbehörde für den Auftraggeber richtet sich nach dem jeweiligen Bundesland, in dem der Sitz seines Unternehmens liegt.
2. Zuständige Aufsichtsbehörde für FoodPal ist der hamburgische Beauftragte für Daten-schutz und Informationsfreiheit, Ludwig-Erhard-Straße 22, 22459 Hamburg.
3. Der Auftraggeber und FoodPal und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
§ 8 Informationspflichten, Schriftformklausel, Rechtswahl
1. Sollten die Daten des Auftraggebers bei FoodPal durch Pfändung oder Beschlag-nahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat FoodPal den Auftraggeber unver-züglich darüber zu informieren.
FoodPal wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verant- wortlicher « im Sinne der Datenschutz-Grundverordnung liegen.
2. Änderungen und Ergänzungen dieser Auftragsverarbeitungsvereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen von FoodPal – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt.
3. Bei etwaigen Widersprüchen gehen Regelungen dieser Auftragsverarbeitungsverein-barung zum Datenschutz den Regelungen des Kooperationsvertrages vor. Sollten einzel-ne Teile dieser Auftragsverarbeitungsvereinbarung unwirksam sein, so betrifft dies die Wirksamkeit dieser Auftragsverarbeitungsvereinbarung im übrigen nicht.
4. Es gilt deutsches Recht.
5. Gerichtsstand ist Hamburg.