Skillhabit Auftragsverarbeitungsvertrag
Die englische und die deutsche Fassung dieses Dokuments sind rechtsverbindlich. Die Übersetzungen in andere Sprachen dienen nur der Übersichtlichkeit.
1. Hintergrund
1.1
Diese Auftragsverarbeitungsvertrag (der "AV-Vertrag") wird zum Datum des Inkrafttretens der Hauptvereinbarung (wie unten definiert) zwischen TicTac Learn AB, Reg. Nr. 556567-7266, Dockplatsen 1, 211 19 Malmö (der "Auftragsverarbeiter") und dem Kunden (wie im Hauptvertrag definiert) geschlossen, der auch Vertragspartei des Hauptvertrags ist (der "Verantwortlicher"), geschlossen.
1.2
Verantwortlicher und Auftragsverarbeiter (gemeinsam die "Parteien") haben durch den Hauptvertrag (der "Hauptvertrag") vereinbart, eine Cloud-Plattform namens Skillhabit ("Skillhabit") bereitzustellen, die der Verantwortliche zur digitalen Verbreitung und Auswertung von Wissen nutzt. Im Rahmen des Hauptvertrags verarbeitet der Auftragsverarbeiter personenbezogene Daten, über deren Verarbeitung (die "Verarbeitung") der Verantwortliche gemäß den geltenden Datenschutzgesetzen und -vorschriften entscheidet.
1.3
Dieser AV-Vertrag soll sicherstellen, dass die Verarbeitung im Einklang mit den Datenschutzgesetzen und -vorschriften, den Anweisungen des Verantwortlichen und sonstigen Vereinbarungen zwischen den Parteien erfolgt. Dieser AV-Vertrag stellt einen untrennbaren Bestandteil des Hauptvertrags dar.
1.4
Sollten sich Bestimmungen dieses AV-Vertrags und des Hauptvertrags widersprechen, gilt dieser AV-Vertrag.
2. Anwendbares Recht und Definitionen
2.1
Die Verarbeitung unterliegt den geltenden Datenschutzgesetzen und -vorschriften.
2.2
„Datenschutzgesetze und -vorschriften“ sind alle anwendbaren Gesetze, Verordnungen und Vorschriften, die für die Verarbeitung personenbezogener Daten gelten, einschließlich der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) sowie aller Änderungen, Ergänzungen oder Vorschriften, die solche Gesetze, Verordnungen und Vorschriften ersetzen.
2.3
Sofern in diesem AV-Vertrag nichts Anderslautendes angegeben ist, werden die Begriffe in diesem AV-Vertrag in der Bedeutung verwendet, die in den Datenschutzgesetzen und -verordnungen definiert ist.
3. Pflichten des Verantwortlichen
3.1
Der Verantwortliche stellt in Bezug auf die jeweils betroffene Person sicher, dass die rechtlichen Anforderungen an die Verarbeitung den Anforderungen entsprechen, die in den Datenschutzgesetzen und -vorschriften festgelegt sind.
3.2
Der Verantwortliche bestätigt, dass die Verarbeitung im Einklang mit den Zwecken erfolgt, für die die personenbezogenen Daten, die Gegenstand der Verarbeitung sind, erhoben wurden.
3.3
Der Verantwortliche stellt sicher, dass der Auftragsverarbeiter jederzeit über die aktuellen Anweisungen des Verantwortlichen informiert ist, wie z. B. die Anweisungen in Anhang A und andere schriftliche Anweisungen des Verantwortlichen. Falls der Verantwortliche neue Anweisungen bezüglich der Verarbeitung erteilt, die von den im Hauptvertrag vereinbarten Dienstleistungen abweichen und über die Anforderungen der Datenschutzgesetze und -vorschriften oder die Empfehlungen und Erklärungen der schwedischen Datenschutzbehörde hinausgehen, zieht der Auftragsverarbeiter diese Anweisungen in Erwägung, ist aber nicht zu deren Einhaltung verpflichtet. Wenn solche zusätzlichen Anweisungen eine erhebliche Änderung des Umfangs der vom Auftragsverarbeiter gemäß Hauptvertrag erbrachten Dienstleistungen darstellen, ist der Sachverhalt in erster Linie im Hauptvertrag abzuhandeln.
3.4
Alle Anweisungen des Verantwortlichen sind schriftlich oder auf andere Weise zu dokumentieren.
4. Pflichten des Auftragsverarbeiters
4.1
Eine detaillierte Beschreibung der Verarbeitung findet sich in Anhang A. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich in der Weise und zu den Zwecken, die zur Erfüllung seiner Pflichten gemäß Hauptvertrag, dieses AV-Vertrags oder den vom Verantwortlichen in Anhang A dokumentierten und vom Auftragsverarbeiter akzeptierten Anweisungen. Gelegentlich kann der Auftragsverarbeiter personenbezogene Daten auch verarbeiten, um vom Verantwortlichen bestellte zusätzliche Dienstleistungen zu erbringen.
4.2
Nach Erhalt schriftlicher Anweisungen des Verantwortlichen, wie z. B. der in Anhang A festgelegten, ergreift der Auftragsverarbeiter innerhalb einer angemessenen Frist geeignete Maßnahmen, um die Verarbeitung an solche Anweisungen anzupassen. Der Auftragsverarbeiter ist berechtigt, solche Maßnahmen in Bezug auf die Verarbeitung, die vom Verantwortlichen bei Abschluss des Hauptvertrags und dieses AV-Vertrags nicht ausdrücklich festgelegt wurden, zusätzlich in Rechnung zu stellen.
4.3
Der Auftragsverarbeiter stellt sicher, dass jede unter seiner Leitung tätige natürliche Person mit Zugang zu personenbezogenen Daten über den Inhalt dieses AV-Vertrags informiert ist und die personenbezogenen Daten ausschließlich gemäß dem AV-Vertrag und den dokumentierten Anweisungen des Verantwortlichen verarbeitet.
4.4
Soweit dies erforderlich ist, unterstützt der Auftragsverarbeiter den Verantwortlichen durch geeignete technische und organisatorische Maßnahmen in angemessener Weise dabei, seine Pflichten zur Bearbeitung von Anträgen betroffener Personen auf Auskunft zu oder Berichtigung, Sperrung oder Löschung personenbezogener Daten zu erfüllen.
4.5
Wenn der Auftragsverarbeiter erfährt, dass der Schutz personenbezogener Daten verletzt wurde, setzt er den Verantwortlichen unverzüglich hierüber in Kenntnis. Der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessenem Umfang mit den von diesem benötigten Informationen, damit der Verantwortliche seine Pflichten zur Meldung von Datenschutzverstößen gegenüber der zuständigen Aufsichtsbehörde nachkommen und betroffene Personen ggf. über den Datenschutzverstoß informieren kann.
4.6
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen, Vorab-Konsultationen und der Untersuchung von Datenschutzverstößen in Zusammenarbeit mit den zuständigen Aufsichtsbehörden.
4.7
Für Leistungen, die der Auftragsverarbeiter im Zusammenhang mit den in Punkt 4.4 und 4.6 genannten Pflichten erbringt, hat er Anspruch auf eine angemessene Vergütung.
5. Übermittlung personenbezogener Daten
5.1 Übermittlung in Länder außerhalb der EU/des EWR
5.1.1
Der Auftragsverarbeiter übermittelt personenbezogene Daten nicht ohne vorherige schriftliche Zustimmung des Verantwortlichen an Orte, die außerhalb der EU/des EWR liegen.
5.1.2
Wenn die Übermittlung personenbezogener Daten an Empfänger außerhalb der EU/des EWR gesetzlich zulässig ist, weil ein spezielles Abkommen besteht (oder ein angemessenes Schutzniveau durch andere Maßnahmen gewährleistet ist) und der Auftragsverarbeiter dies nachweisen kann, muss der Verantwortliche einer solchen Übermittlung zustimmen.
5.2 Übertragung an Dritte
5.2.1
Der Auftragsverarbeiter darf personenbezogene Daten nicht ohne vorherige schriftliche Zustimmung des Verantwortlichen an Dritte weitergeben; es sei denn, eine solche Weitergabe ist aufgrund geltender Gesetze oder behördlicher Entscheidungen erforderlich. Grundsätzlich ist der Auftragsverarbeiter jedoch berechtigt, personenbezogene Daten gemäß dem weiter unten folgenden Abschnitt „Beauftragung von Unterauftragsverarbeitern“ an Unterauftragnehmer und Parteien weiterzugeben, deren Dienstleistungen der Auftragsverarbeiter vertreibt.
5.2.2
Wird der Auftragsverarbeiter von einem Gericht oder einer Behörde angewiesen, personenbezogene Daten offenzulegen oder als Folge der Verarbeitung andere Maßnahmen zu ergreifen, hat er Anspruch auf angemessene Vergütung der erbrachten Leistung. Weiterhin hat der Auftragsverarbeiter Anspruch auf angemessene Vergütung von Leistungen und Maßnahmen, die im Zusammenhang mit der Weitergabe personenbezogener Daten an andere Parteien als den Verantwortlichen erforderlich werden.
6. Beauftragung von Unterauftragsverarbeitern
6.1
Der Verantwortliche erklärt sich damit einverstanden, dass der Auftragsverarbeiter Unterauftragnehmer mit der Durchführung der Verarbeitung beauftragt ("Unterauftragsverarbeiter"). Die Übermittlung personenbezogener Daten an den Unterauftragsverarbeiter erfolgt auf Risiko des Auftragsverarbeiters und impliziert keinerlei Änderung der zwischen Auftragsverarbeiter und Verantwortlichem vereinbarten Pflichten.
6.2
Bevor der Auftragsverarbeiter einen Unterauftragsverarbeiter beauftragt, informiert er den Verantwortlichen schriftlich hierüber. Der Verantwortliche kann dem vom Auftragsverarbeiter gewählten Unterauftragsverarbeiter innerhalb von fünf (5) Tagen nach Erhalt der entsprechenden Mitteilung des Auftragsverarbeiters widersprechen. Sofern der Verantwortliche den Widerspruch nachvollziehbar begründet, darf der Auftragsverarbeiter den fraglichen Unterauftragsverarbeiter nicht beauftragen. Die Vertragsparteien kommen überein, dass der Verantwortliche über die Absicht des Auftragsverarbeiters informiert ist, die in Anhang B genannten Unterauftragsverarbeiter zu beauftragen.
6.3
Wenn der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung der Verarbeitung beauftragt, schließt er mit dem Unterauftragsverarbeiter einen Vertrag über die Verarbeitung personenbezogener Daten ab, wobei für den Unterauftragsverarbeiter dieselben Pflichten gelten, wie sie in diesem AV-Vertrag festgelegt sind.
7. Technische und organisatorische Schutzmaßnahmen
7.1
Der Auftragsverarbeiter ergreift die gemäß den Datenschutzgesetzen und -vorschriften erforderlichen technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; dies gilt insbesondere für Risiken im Zusammenhang mit dem unbefugten Zugriff auf die verarbeiteten personenbezogenen Daten sowie deren Vernichtung und Veränderung. Der Auftragsverarbeiter entscheidet darüber, wie solche Maßnahmen im Einzelnen umzusetzen sind, damit das erforderliche Schutzniveau erreicht wird.
7.2
Wenn laut dem Verantwortlichen wahrscheinlich eine neue Schutzmaßnahme erforderlich ist oder bestehende Schutzmaßnahmen angepasst werden müssen, um die gesetzlichen Anforderungen an ein angemessenes Schutzniveau zu erfüllen oder behördliche Entscheidungen umzusetzen, erörtern die Vertragsparteien die Implementierung neuer oder die Änderung der bestehenden Schutzmaßnahmen. Erweiterte oder zusätzliche Schutzmaßnahmen sind von den Vertragsparteien schriftlich zu vereinbaren. In einem solchen Fall hat der Auftragsverarbeiter Anspruch auf zusätzliche Vergütung der getroffenen Schutzmaßnahmen.
8. Vertraulichkeit
8.1
Der Auftragsverarbeiter gibt Informationen, die er vom Verantwortlichen erhalten oder als vom Verantwortlichen beauftragter Auftragsverarbeiter anderweitig verarbeitet hat, nicht an Dritte weiter. Der Auftragsverarbeiter stellt sicher, dass auch unter seiner Leitung tätige Personen der Vertraulichkeitspflicht gemäß diesem Abschnitt „Vertraulichkeit“ unterliegen. Von der Vertraulichkeitspflicht ausgenommen sind Informationen, die:
i) öffentlich bekannt sind oder auf andere Weise als durch Verstoß gegen diesen AV-Vertrag bekannt werden;
ii) dem Auftragsverarbeiter nachweislich vorlagen, bevor er diese im Zusammenhang mit diesem AV-Vertrag vom Verantwortlichen erhalten hat;
iii) der Auftragsverarbeiter rechtmäßig und uneingeschränkt von Dritten außerhalb dieses Vertragsverhältnisses erhalten hat; oder
iv) zu deren Übermittlung die Partei aufgrund zwingender Rechtsvorschriften, gerichtlicher Anordnungen oder anderer behördlicher Entscheidungen gesetzlich verpflichtet ist.
9. Prüfungen
9.1
Der Verantwortliche ist berechtigt, selbst oder durch einen bevollmächtigten Dritten (den "Prüfer") auf eigene Kosten zu überprüfen (auch durch Inspektion), ob der Auftragsverarbeiter die Bestimmungen dieses AV-Vertrags einhält, sofern eine solche Prüfung dreißig (30) Tage im Voraus angekündigt wird.
9.2
Bei Ernennung des Prüfers berücksichtigt der Verantwortliche wettbewerbsrelevante Aspekte in Bezug auf eventuelle Geschäftsbeziehungen zwischen dem Auftragsverarbeiter und dem vorgesehenen Prüfer. In dieser Hinsicht bedarf die Ernennung des Prüfers der Zustimmung durch den Auftragsverarbeiter. Der Verarbeiter darf eine solche Zustimmung jedoch nicht ohne triftigen Grund verweigern.
9.3
Der Auftragsverarbeiter gewährt dem Verantwortlichen oder dem Prüfer Zugang zur Dokumentation, die als Nachweis der Pflichterfüllung durch den Auftragsverarbeiter gemäß AV-Vertrag dient, und unterstützt den Verantwortlichen oder den Prüfer auch anderweitig bei der Durchführung der Prüfung/ Inspektion. Prüfungen und Inspektionen können während der Bürozeiten erfolgen (werktags zwischen 9:00 und 17:00 Uhr).
9.4
Der Auftragsverarbeiter kann dem Prüfer begrenzten Zugang zu seinen Räumlichkeiten gewähren, in denen die Verarbeitung erfolgt. Bei einer solchen Inspektion vor Ort hält der Prüfer angemessene Arbeitsvorschriften, Sicherheitsanforderungen und sonstige am Arbeitsplatz geltende Vorgaben des Auftragsverarbeiters ein und stört die beim Auftragsverarbeiter üblichen Arbeitsabläufe nicht. Der Prüfer erhält keinen Zugang zu vertraulichen Informationen über andere Kunden des Auftragsverarbeiters oder zu anderen personenbezogenen Daten, die nicht im Rahmen dieses AV-Vertrags verarbeitet werden.
10. Schadenersatz und Haftung gegenüber Dritten
10.1
Eine Partei entschädigt die jeweils andere Partei für Schäden, die der jeweils anderen Partei durch die Verarbeitung personenbezogener Daten entstehen, bei der die eine Partei Datenschutzgesetze und -vorschriften oder diesen AV-Vertrag nicht eingehalten hat. Ein solcher Schaden kann u. a. die Verpflichtung nach sich ziehen, einer betroffenen Person gegenüber Schadenersatz zu leisten oder eine von der zuständigen Aufsichtsbehörde verhängte Geldbuße zu zahlen.
10.2
Die Parteien sind im Rahmen dieses AV-Vertrags nicht verpflichtet, Schadenersatz für indirekte Schäden wie entgangene Gewinne zu leisten.
11. Vertragsdauer und Maßnahmen bei Vertragsende
11.1
Der AV-Vertrag gilt ab seiner Unterzeichnung durch beide Parteien und so lange, wie der Auftragsverarbeiter im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Die Kündigungsbestimmungen sind im Hauptvertrag dargelegt.
11.2
Sofern der Verantwortliche den Auftragsverarbeiter nicht ausdrücklich zur Rückgabe der personenbezogenen Daten auffordert, löscht der Auftragsverarbeiter alle personenbezogenen Daten, die Gegenstand der Verarbeitung sind, bei Ende dieses AV-Vertrags aus den zur Verarbeitung verwendeten Systemen; es sei denn, ein solches Vorgehen ist mit dem geltenden nationalen oder EU-Recht unvereinbar. Der Antrag auf Rückgabe personenbezogener Daten muss schriftlich erfolgen und dem Auftragsverarbeiter spätestens bei Ende des Hauptvertrags vorgelegt werden.
11.3
Wenn der Hauptvertrag endet und ein neuer Vertrag geschlossen wird, der u. a. die Verarbeitung personenbezogener Daten beinhaltet, aber kein separater Auftragsverarbeitungsvertrag in Kraft tritt, gilt dieser AV-Vertrag auch für die Verarbeitung personenbezogener Daten im Rahmen des neu abgeschlossenen Vertrags.
12. Geltendes Recht und Streitigkeiten
12.1
Dieser AV-Vertrag unterliegt dem materiellen schwedischen Recht und ist gemäß diesem auszulegen.
12.2
Streitigkeiten, die sich aus diesem AV-Vertrag ergeben, werden von der ordentlichen Gerichtsbarkeit mit dem Bezirksgericht Malmö als erster Instanz endgültig entschieden.
Anhänge
ANHANG A
Anweisungen zur Durchführung der Verarbeitung
Zusätzlich zu den Bestimmungen des AV-Vertrags hält der Auftragsverarbeiter bei der Verarbeitung die folgenden Anweisungen ein.
Zweck der Verarbeitung
Die Verarbeitung darf nur zum Zweck der Erbringung der im Hauptvertrag genannten Dienstleistungen erfolgen, d. h. in erster Linie zur Bereitstellung der Cloud-Plattform Skillhabit zur digitalen Verbreitung und Auswertung von Wissen. Der Auftragsverarbeiter darf die personenbezogenen Daten nicht für eigene oder sonstige Zwecke verarbeiten oder verwenden.
Arten der Verarbeitung
Der Auftragsverarbeiter ist berechtigt, personenbezogene Daten auf die Arten zu verarbeiten, die zur Erbringung der im Hauptvertrag genannten Dienstleistungen erforderlich sind (z. B. Erfassung, Organisation, Speicherung, Änderung, Nutzung und/oder Löschung).
Arten personenbezogener Daten
Der Auftragsverarbeiter darf nur die folgenden Arten personenbezogener Daten verarbeiten: Sozialversicherungsnummer, Name, Anschrift, Telefonnummer, Arbeitgeber, Bildungsweg. Wenn dies zur Erbringung der im Hauptvertrag vereinbarten Dienstleistungen erforderlich ist, darf der Auftragsverarbeiter auch andere personenbezogene Daten verarbeiten.
Kategorien betroffener Personen
Die Verarbeitung erstreckt sich nur auf die Kategorien betroffener Personen, die der Verantwortliche im Rahmen von Skillhabit gelegentlich bereitstellt; dies sind im Wesentlichen interne und externe Nutzer und Administratoren (wie im Hauptvertrag beschrieben).
Dauer der Verarbeitung
Nach Ablauf des AV-Vertrags löscht der Auftragsverarbeiter die personenbezogenen Daten gemäß den Bestimmungen des AV-Vertrags. Außerdem löscht der Auftragsverarbeiter personenbezogene Daten, wenn der Verantwortliche diesen im Einzelfall schriftlich hierzu auffordert.
Kontaktangaben der zuständigen Person beim Auftragsverarbeiter
E-Mail: gdpr@tictac.se
Telefonnummer: +46 40 631 88 30
ANHANG B
Zugelassene Unterauftragsverarbeiter
Der Verantwortliche erklärt sich damit einverstanden, dass der Auftragsverarbeiter gemäß Absatz 2 des Abschnitts „Beauftragung von Unterauftragsverarbeitern“ in diesem AV-Vertrag die folgenden Unterauftragnehmer einsetzt:
- Unternehmen, die zum jeweiligen Zeitpunkt Teil der Unternehmensgruppe des Auftragsverarbeiters sind, sofern das betreffende Unternehmen seinen Sitz in der EU/im EWR hat.
- Skillhabit AB (559287-8879) - im Besitz der TicTac Gruppe befindliches Unternehmen zur Plattform-Entwicklung.
- GleSYS (556647-9241) - Unterauftragnehmer im Bereich Server, Hosting und Back-up.