Vereinbarung zur Datenverarbeitung

Version 2.1.0

Die Parteien:

  • Die registrierte Organisation, die sich für den PowerDMARC angemeldet hat, im Folgenden als "Controller" bezeichnet.

Und

  •  MENAINFOSEC, Inc. mit Sitz und Hauptniederlassung in Delaware, Vereinigte Staaten von Amerika, im Folgenden als "Auftragsverarbeiter" bezeichnet;

Präambel:

  1. Der Controller hat mit dem Auftragsverarbeiter einen oder mehrere Verträge über die Erbringung verschiedener Dienstleistungen durch den Auftragsverarbeiter für den Controller abgeschlossen oder wird einen solchen Vertrag abschließen. Dieser Vertrag bzw. diese Verträge zusammen wird/werden hier weiter als "Hauptvertrag" bezeichnet.
  2. Bei der Erfüllung des Hauptvertrags verarbeitet der Auftragsverarbeiter Daten, für die der Controller verantwortlich ist und bleibt. Diese Daten umfassen personenbezogene Daten im Sinne der Allgemeinen Datenschutzverordnung (EU 2016/679), im Folgenden "DSGVO" genannt.
  3. Unter Berücksichtigung der Bestimmungen in Artikel 28 Absatz 3 der DSGVOwollen dieParteien in dieser Vereinbarung die Bedingungen festlegen, unter denen diese personenbezogenen Daten verarbeitet werden.

Vereinbarung:

  • Umfang
    1. Dieser Vertrag ist anwendbar, soweit bei der Erbringung der Dienstleistungen im Rahmen des Hauptvertrages eine oder mehrere Verarbeitungen durchgeführt werden, die in Anhang 1aufgeführt sind .
    2. Die Verarbeitungen der Anlage 1, dieim Rahmen der Erbringung der Dienstleistungen durchgeführt werden, werden im Folgenden als: "Verarbeitungen" bezeichnet. Die in diesem Zusammenhang verarbeiteten personenbezogenen Daten sind: "die personenbezogenen Daten".
    3. Alle Begriffe in dieser Vereinbarung haben die Bedeutung, die ihnen in der DSGVO gegeben wird.
    4. Werden weitere und andere personenbezogene Daten auf Anweisung des Verantwortlichen verarbeitet oder werden sie auf andere Weise als in dieser Klausel beschrieben verarbeitet, gilt diese Vereinbarung so weit wie möglich auch für diese Verarbeitungsvorgänge.
    5. Die Anhänge sind Bestandteil dieses Vertrages. Sie bestehen aus:

Anlage 1 die Verarbeitungsvorgänge, die personenbezogenen Daten und die Aufbewahrungsfristen;

  • Thema
    1. Der Controller hat und behält die volle Kontrolle über die personenbezogenen Daten. Wenn der für die Verarbeitung Verantwortliche die personenbezogenen Daten nicht selbst unter Verwendung der Systeme des Auftragsverarbeiters verarbeitet, verarbeitet der Auftragsverarbeiter ausschließlich auf der Grundlage schriftlicher Anweisungen des für die Verarbeitung Verantwortlichen, z. B. im Hinblick auf die Weitergabe personenbezogener Daten an Dritte außerhalb der Europäischen Union. Der Hauptvertrag gilt in diesem Zusammenhang als generelle Weisung.
    2. Die Verarbeitungsvorgänge werden nur im Zusammenhang mit dem Hauptvertrag durchgeführt. Der Auftragsverarbeiter darf personenbezogene Daten nicht anders als in der Hauptvereinbarung vorgesehen verarbeiten. Insbesondere darf der Auftragsverarbeiter die personenbezogenen Daten nicht für eigene Zwecke verwenden.
    3. Der Auftragsverarbeiter führt die Verarbeitungsvorgänge ordnungsgemäß und mit der gebotenen Sorgfalt durch.
  • Sicherheitsmaßnahmen
    1. Der Auftragsverarbeiter hat alle technischen und organisatorischen Sicherheitsmaßnahmen zu ergreifen, die von ihm gemäß der DSGVO und insbesondere gemäß Artikel 32 DSGVOverlangt werden .
    2. Der Auftragsverarbeiter stellt sicher, dass Personen, nicht nur Mitarbeiter, die an den Verarbeitungsvorgängen beim Auftragsverarbeiter teilnehmen, zur Vertraulichkeit in Bezug auf personenbezogene Daten verpflichtet werden.
  • Datenverstöße & Datenschutz-Folgenabschätzung
    1. Der Auftragsverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen über jede "Verletzung des Schutzes personenbezogener Daten" im Sinne von Artikel 4 Absatz 12 DSGVO.Eine solche Verletzung wird im Folgenden als "Datenverletzung" bezeichnet.
    2. Der Auftragsverarbeiter wird dem für die Verarbeitung Verantwortlichen innerhalb einer angemessenen Frist alle Informationen zur Verfügung stellen, über die er verfügt und die zur Erfüllung der Verpflichtungen aus Artikel 33 DSGVOerforderlich sind .Zu diesem Zweck muss der Auftragsverarbeiter die entsprechenden Informationen so schnell wie möglich in einem vom Auftragsverarbeiter festzulegenden Standardformat bereitstellen. Dies bedeutet, dass der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen so schnell wie möglich über eine Datenverletzung informiert, wenn es offensichtlich ist, dass die Datenverletzung wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Wenn es offensichtlich ist, dass eine Datenverletzung wahrscheinlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, darf der Auftragsverarbeiter den Verantwortlichen zu einem späteren Zeitpunkt benachrichtigen, sofern die Benachrichtigung ohne unangemessene Verzögerung erfolgt. Besteht Grund zu Zweifeln, ob die Datenverletzung wahrscheinlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, hat der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen so schnell wie möglich über die Datenverletzung zu benachrichtigen.
    3. Es obliegt ausschließlich dem Verantwortlichen zu entscheiden, ob eine beim Auftragsverarbeiter festgestellte Datenschutzverletzung der niederländischen Behörde für personenbezogene Daten und/oder der betroffenen Person gemeldet werden soll.
  • Beauftragung von Unterauftragsverarbeitern
    1. Der Auftragsverarbeiter ist nicht berechtigt, bei der Durchführung der Verarbeitungsvorgänge einen Dritten als Unterauftragsverarbeiter ohne vorherige Zustimmung des für die Verarbeitung Verantwortlichen einzuschalten. Die Zustimmung des für die Verarbeitung Verantwortlichen kann sich auch auf eine bestimmte Kategorie von Unterauftragsverarbeitern beziehen.
    2. Erteilt der für die Verarbeitung Verantwortliche seine Zustimmung, muss der Auftragsverarbeiter sicherstellen, dass der betreffende Dritte eine Vereinbarung abschließt, in der er mindestens die gleichen rechtlichen Verpflichtungen und etwaige zusätzliche Verpflichtungen einhält, die dem Auftragsverarbeiter nach dieser Vereinbarung obliegen.
    3. Bezieht sich die Einwilligung auf eine bestimmte Art von Dritten, so hat der Auftragsverarbeiter den Verantwortlichen über die von ihm eingesetzten Unterauftragsverarbeiter zu informieren. Der für die Verarbeitung Verantwortliche kann dann den Ergänzungen oder Ersetzungen in Bezug auf die Unterauftragsverarbeiter des Auftragsverarbeiters widersprechen.
  • Vertraulichkeitsverpflichtung
    1. Der Auftragsverarbeiter wird die Persönlichen Daten vertraulich behandeln. Der Auftragsverarbeiter stellt sicher, dass die Persönlichen Daten weder direkt noch indirekt Dritten zugänglich gemacht werden. Der Begriff "Dritte" schließt auch das Personal des Auftragsverarbeiters ein, sofern es nicht notwendig ist, dass dieses von den Persönlichen Daten Kenntnis nimmt. Dieses Verbot gilt nicht, wenn in diesem Vertrag anderslautende Bestimmungen festgelegt sind und/oder soweit eine gesetzliche Regelung oder ein Urteil eine Offenlegung vorschreibt.
    2. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen über jedes Ersuchen einer anderen Partei als der betroffenen Person um Zugang, Bereitstellung oder eine andere Form der Anforderung und Übermittlung personenbezogener Daten, die gegen die in dieser Klausel enthaltene Vertraulichkeitsverpflichtung verstößt, es sei denn, der Auftragsverarbeiter ist gesetzlich dazu verpflichtet. Im Falle von Anfragen der betroffenen Person leitet der Auftragsverarbeiter diese Anfragen an den für die Verarbeitung Verantwortlichen weiter bzw. verweist die betroffene Person an den für die Verarbeitung Verantwortlichen.
  • Aufbewahrungsfristen und Löschung
    1. Der für die Verarbeitung Verantwortliche ist für die Festlegung der Aufbewahrungsfristen in Bezug auf die personenbezogenen Daten verantwortlich. Sofern sich Personenbezogene Daten unter der Kontrolle des für die Verarbeitung Verantwortlichen befinden (z. B. im Falle von Hosting-Diensten), wird er sie selbst innerhalb einer angemessenen Frist löschen.
    2. Im Falle der Beendigung des Hauptvertrages oder nach Ablauf der in Anlage 1 genannten Aufbewahrungsfrist löscht der Auftragsverarbeiter die personenbezogenen Daten nach Ermessen des für die Verarbeitung Verantwortlichen und überträgt sie an ihn, es sei denn, die personenbezogenen Daten müssen länger aufbewahrt werden, etwa im Zusammenhang mit den (gesetzlichen) Verpflichtungen des Auftragsverarbeiters, oder wenn der für die Verarbeitung Verantwortliche eine längere Aufbewahrung der personenbezogenen Daten verlangt und der Auftragsverarbeiter und der für die Verarbeitung Verantwortliche sich über die Kosten und die sonstigen Bedingungen dieser längeren Aufbewahrung einigen, letzteres unbeschadet der Verantwortung des für die Verarbeitung Verantwortlichen für die Einhaltung der gesetzlichen Aufbewahrungsfristen. Eine Übermittlung an den Verantwortlichen erfolgt auf Kosten des Verantwortlichen.
    3. Falls der für die Verarbeitung Verantwortliche über das geschützte Login die Löschung des Kontos und der Daten verlangt, löscht der Auftragsverarbeiter die personenbezogenen Daten innerhalb von dreißig Tagen nach der Aufforderung zur Löschung des Kontos und der Daten, nach Ermessen des für die Verarbeitung Verantwortlichen, überträgt er sie an ihn, es sei denn, die personenbezogenen Daten müssen länger aufbewahrt werden, wie z.B. im Zusammenhang mit den (gesetzlichen) Verpflichtungen des Auftragsverarbeiters, oder wenn der für die Verarbeitung Verantwortliche verlangt, dass die personenbezogenen Daten länger aufbewahrt werden und der Auftragsverarbeiter und der für die Verarbeitung Verantwortliche sich über die Kosten und die sonstigen Bedingungen dieser längeren Aufbewahrung einigen, letzteres unbeschadet der Verantwortung des für die Verarbeitung Verantwortlichen für die Einhaltung der gesetzlichen Aufbewahrungsfristen. Eine Übermittlung an den Verantwortlichen erfolgt auf Kosten des Verantwortlichen.
    4. Der Auftragsverarbeiter erklärt auf Anfrage des Verantwortlichen, dass die im vorigen Absatz genannte Löschung stattgefunden hat. Der Verantwortliche kann auf eigene Kosten überprüfen lassen, ob dies tatsächlich geschehen ist. Für diese Überprüfung gilt § 10dieses Vertrages. Soweit dies erforderlich ist, wird der Auftragsverarbeiter alle Unterauftragsverarbeiter, die an der Verarbeitung der personenbezogenen Daten beteiligt sind, über die Beendigung des Hauptvertrags unterrichten und sie anweisen, wie in diesem Vertrag vorgesehen zu handeln.
    5. Sofern die Parteien nichts anderes vereinbart haben, sorgt der Controller selbst für eine Sicherung der personenbezogenen Daten.
  • Rechte der betroffenen Person 
    1. Hat der für die Verarbeitung Verantwortliche selbst Zugang zu den personenbezogenen Daten, so hat er selbst allen Anfragen der betroffenen Person bezüglich der personenbezogenen Daten nachzukommen. Der Auftragsverarbeiter leitet alle Anfragen, die bei ihm eingehen, unverzüglich an den für die Verarbeitung Verantwortlichen weiter.
    2. Nur wenn das, was im vorigen Absatz vorgesehen ist, nicht möglich ist, wird der Auftragsverarbeiter vollständig und rechtzeitig mit dem Verantwortlichen zusammenarbeiten, um:
    3. der betroffenen Person nach Zustimmung und auf Anweisung des für die Verarbeitung Verantwortlichen Zugang zu ihren jeweiligen personenbezogenen Daten zu gewähren,
    4. Persönliche Daten zu entfernen oder zu korrigieren,
    5. nachzuweisen, dass personenbezogene Daten entfernt oder korrigiert wurden, wenn sie unrichtig sind (oder, falls der für die Verarbeitung Verantwortliche nicht zustimmt, dass die personenbezogenen Daten unrichtig sind, die Tatsache festzuhalten, dass die betroffene Person ihre personenbezogenen Daten für unrichtig hält)
    6. dem für die Verarbeitung Verantwortlichen oder dem vom für die Verarbeitung Verantwortlichen beauftragten Dritten die jeweiligen personenbezogenen Daten in strukturierter, üblicher und maschinenlesbarer Form zur Verfügung stellen und
    7. den für die Verarbeitung Verantwortlichen in die Lage zu versetzen, seinen Verpflichtungen gemäß der DSGVO oder anderen geltenden Rechtsvorschriften im Bereich der Verarbeitung personenbezogener Daten anderweitig nachzukommen.
    8. Die Kosten und Anforderungen für die im vorigen Absatzgenannte Zusammenarbeit werden von den Parteien gemeinsam festgelegt. Ohne diesbezügliche Vereinbarungen gehen die Kosten zu Lasten des Controllers.
  • Haftung
    1. Der Verantwortliche ist z.B. verantwortlich und haftet daher in vollem Umfang für (den festgelegten Zweck der) Verarbeitungsvorgänge, die Verwendung und den Inhalt der personenbezogenen Daten, die Weitergabe an Dritte, die Dauer der Speicherung der personenbezogenen Daten, die Art und Weise der Verarbeitung und die zu diesem Zweck eingesetzten Mittel.
    2. Der Auftragsverarbeiter haftet gegenüber dem für die Verarbeitung Verantwortlichen wie im Hauptvertrag vorgesehen. Verifizierung
      1. Der Datenverwalter ist berechtigt, die Einhaltung der Bestimmungen dieses Vertrages einmal jährlich auf eigene Kosten zu überprüfen oder durch einen unabhängigen registrierten Wirtschaftsprüfer oder einen registrierten Informatiker überprüfen zu lassen.
      2. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen alle Informationen zur Verfügung, die erforderlich sind, um nachzuweisen, dass die Verpflichtungen aus Artikel 28 DSGVOeingehalten wurden. Sollte der vom Verantwortlichen beauftragte Dritte eine Anweisung erteilen, die nach Ansicht des Auftragsverarbeiters einen Verstoß gegen die DSGVO darstellt, wird der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber informieren.
      3. Die Untersuchung des für die Verarbeitung Verantwortlichen wird sich immer auf die Systeme des Auftragsverarbeiters beschränken, die für die Verarbeitungsvorgänge verwendet werden. Die bei der Überprüfung erhaltenen Informationen werden vom Verantwortlichen vertraulich behandelt und nur dazu verwendet, die Einhaltung der Verpflichtungen des Auftragsverarbeiters aus dieser Vereinbarung zu überprüfen, und die Informationen oder Teile davon werden so bald wie möglich gelöscht. Der für die Verarbeitung Verantwortliche sichert zu, dass auch eingeschaltete Dritte diese Verpflichtungen übernehmen werden.
    3. Sonstige Bestimmungen
      1. Änderungen dieses Vertrages sind nur gültig, wenn sie von den Parteien schriftlich vereinbart wurden.
      2. Die Parteien werden diese Vereinbarung an geänderte oder ergänzte Vorschriften, ergänzende Anweisungen der zuständigen Behörden und zunehmende Erkenntnisse über die Anwendung der DSGVO (z. B. durch, aber nicht beschränkt auf, Rechtsprechung oder Berichte), die Einführung von Standardbestimmungen und/oder andere Ereignisse oder Erkenntnisse, die eine solche Anpassung erfordern, anpassen.
      3. Diese Vereinbarung ist so lange wirksam, wie der Hauptvertrag wirksam ist. Die Bestimmungen dieses Vertrages bleiben in Kraft, soweit dies zur Abwicklung dieses Vertrages erforderlich ist und soweit sie die Beendigung dieses Vertrages überdauern sollen. Zur letzten Kategorie von Bestimmungen gehören, jedoch ohne Einschränkung, die Bestimmungen in Bezug auf Vertraulichkeit und Streitigkeiten.
      4. Diese Vereinbarung hat Vorrang vor allen anderen Vereinbarungen zwischen dem Controller und dem Auftragsverarbeiter.
      5. Diese Vereinbarung unterliegt ausschließlich dem niederländischen Recht.
      6. Die Parteien legen ihre Streitigkeiten im Zusammenhang mit diesem Vertrag ausschließlich dem Landgericht Amsterdam vor.

Anhang 1

Verarbeitungsvorgänge von personenbezogenen Daten und Aufbewahrungsfristen

Diese Anlage ist Bestandteil des Verarbeitungsvertrages und muss von den Parteien paraphiert werden.

  • Die personenbezogenen Daten, die die Parteien voraussichtlich verarbeiten werden:
    • Name
    • E-Mail Adresse
    • Körperdaten von DMARC-Forensikdaten (RUF, nicht DMARC-konforme E-Mails)
  • Die Verwendung (= Verarbeitungsmethode(n)) der personenbezogenen Daten sowie die Zwecke und Mittel der Verarbeitung:
    • PowerDMARC verarbeitet die eingehenden DMARC-Reports. Innerhalb der DMARC-Spezifikation gibt es zwei Arten von Berichten:
      • Aggregierte Berichte
        Diese Berichte enthalten Daten über die Anzahl der für Ihre Domain(s) gesendeten Nachrichten für eine bestimmte IP-Adresse auf Tagesbasis einschließlich der Ergebnisse der SPF- und DKIM-Prüfungen für diese Nachrichten. Aggregierte Berichte enthalten keine personenbezogenen Daten.
      • Forensische Berichte
        Die forensischen Berichte werden von einer begrenzten Anzahl von DMARC-Berichtsabsendern gesendet. Dabei handelt es sich um Kopien bestimmter Nachrichten, die die DMARC-Prüfungen nicht bestanden haben. Der Inhalt dieser Nachrichten kann persönlich identifizierbare Informationen (PII) enthalten. PowerDMARC bietet mehrere Methoden zur Speicherung dieser Nachrichten:

        • Standard: Standardmäßig wird der Nachrichtentext entfernt und nur die Kopfzeilen werden gespeichert
        • Verschlüsselt: Der Client kann einen öffentlichen PGP-Schlüssel in die PowerDMARC-Software hochladen. Die gesamten eingehenden Nachrichten werden mit diesem Schlüssel verschlüsselt. Der Client ist in der Lage, die Daten mit seinem privaten Schlüssel und Passwort zu entschlüsseln.
        • Unverschlüsselt: Nach ausdrücklicher Bestätigung und Akzeptanz von PowerDMARC als Datenverarbeiter kann der Client den vollständigen Nachrichtentext unverschlüsselt in der PowerDMARC-Software speichern.

Die Nutzungsbedingungen und Aufbewahrungsfristen für die (verschiedenen Arten von) Persönlichen Daten:

  • Lizenz: Alle Lizenzen außer der kostenlosen Basisversion
  • Datenaufbewahrung: 365 Tage