DSGVO-Auftragsverarbeitungsvertrag | MyOwnConference

Verantwortlicher

Der registrierte Nutzer gemäß der Definition in den Nutzungsbedingungen der Website MyOwnConference, zu der dieses Dokument als Anlage gehört.

Auftragsverarbeiter

Der Website-Betreiber gemäß der Definition in den Nutzungsbedingungen der Website MyOwnConference, zu der dieses Dokument als Anlage gehört.

Vereinbarung

Die hierin geregelte Vereinbarung über die Beauftragung der Verarbeitung personenbezogener Daten. Andere großgeschriebene Begriffe haben die in den Nutzungsbedingungen der Website MyOwnConference festgelegten Bedeutungen, zu der dieses Dokument als Anlage gehört.

§1

1.1. Der Verantwortliche erklärt, dass er die personenbezogenen Daten der Gäste kontrolliert, die aus den in Anlage A unten aufgeführten Daten bestehen (im Folgenden „Personenbezogene Daten").

1.2. Die Parteien bestätigen, dass sie den Website-Nutzungsvertrag (im Folgenden „Kooperationsvertrag") geschlossen haben. Die Erfüllung des Kooperationsvertrags durch den Auftragsverarbeiter erfordert die Verarbeitung der vom Verantwortlichen verwalteten Personenbezogenen Daten.

1.3. Im Rahmen dieser Vereinbarung beauftragt der Verantwortliche den Auftragsverarbeiter mit der Verarbeitung Personenbezogener Daten gemäß der Datenschutz-Grundverordnung (DSGVO), im in Anlage A unten festgelegten Umfang, und ausschließlich zur Erfüllung des Kooperationsvertrags.

1.4. Der Auftragsverarbeiter bestätigt die Kenntnis der DSGVO und gewährleistet die Einhaltung ihrer Bestimmungen sowie die Umsetzung angemessener technischer und organisatorischer Maßnahmen zur Erfüllung der DSGVO-Anforderungen und zum Schutz der Rechte betroffener Personen.

1.5. Der Auftragsverarbeiter ist berechtigt, die in Anlage B unten aufgeführten Verarbeitungsvorgänge Personenbezogener Daten durchzuführen.

1.6. Der Auftragsverarbeiter wird ohne vorherige ausführliche oder allgemeine schriftliche Zustimmung des Verantwortlichen keine Dienste anderer Auftragsverarbeiter in Anspruch nehmen. Bei allgemeiner schriftlicher Zustimmung wird der Auftragsverarbeiter den Verantwortlichen über beabsichtigte Änderungen bezüglich anderer Auftragsverarbeiter mindestens 21 Tage vor Beginn der Verarbeitung durch den neuen Auftragsverarbeiter informieren. Wenn der Verantwortliche innerhalb dieses Zeitraums keine ausdrückliche Entscheidung trifft, bedeutet dies das Fehlen der Zustimmung des Verantwortlichen.

1.7. Mit der Zustimmung des Verantwortlichen gemäß Punkt 1.6 oben kann der Auftragsverarbeiter die Dienste eines anderen Auftragsverarbeiters in Anspruch nehmen, sofern die Vereinbarung über die Beauftragung der Verarbeitung Personenbezogener Daten zu Bedingungen geschlossen wird, die nicht weniger restriktiv sind als diese Vereinbarung und die DSGVO-Bestimmungen.

1.8. Wenn der Auftragsverarbeiter einen anderen Auftragsverarbeiter für bestimmte Verarbeitungsaktivitäten im Auftrag des Verantwortlichen einsetzt, muss der andere Auftragsverarbeiter die Daten auf die gleiche Weise schützen, wie es diese Vereinbarung erfordert. Wenn der andere Auftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommt, übernimmt der Auftragsverarbeiter die volle Verantwortung für die Einhaltung dieser Vereinbarung durch den anderen Auftragsverarbeiter.

1.9. Der Auftragsverarbeiter garantiert die wirksame Erfüllung der in dieser Vereinbarung, den DSGVO-Bestimmungen sowie den anwendbaren EU-, Mitgliedstaats- und polnischen Gesetzen festgelegten Ansprüche des Verantwortlichen.

1.10. Der Auftragsverarbeiter informiert den Verantwortlichen, dass andere Auftragsverarbeiter die vom Verantwortlichen anvertrauten personenbezogenen Daten der Gäste verarbeiten. Der Verantwortliche stimmt dieser Regelung zu.

1.11. Die Europäische Kommission und die Vereinigten Staaten haben sich auf ein neues transatlantisches Datenschutzrahmenwerk geeinigt, um Datenströme zu erleichtern und die Schrems-II-Entscheidung vom Juli 2020 zu berücksichtigen. Weitere Einzelheiten finden Sie in der Pressemitteilung der Europäischen Kommission.

1.12. Der Verantwortliche ist allein verantwortlich für:

1.12.1. Die Erfüllung aller in den für den Verantwortlichen geltenden Datenschutzgesetzen festgelegten Verpflichtungen, insbesondere gegenüber Personen, deren Daten vom Auftragsverarbeiter verarbeitet werden.

1.12.2. Die Auswahl des Umfangs der verarbeiteten personenbezogenen Daten und die Festlegung des Zwecks und der Mittel der Verarbeitung.

1.12.3. Die Übernahme aller Folgen bei Nichterfüllung der oben genannten Verpflichtungen, einschließlich der Regresshaftung gegenüber dem Auftragsverarbeiter.

§2

2.1. Der Auftragsverarbeiter garantiert, Personenbezogene Daten nicht für Zwecke zu verarbeiten, die über diese Vereinbarung hinausgehen, vorbehaltlich Punkt 4.1 unten.

2.2. Der Auftragsverarbeiter wird Personenbezogene Daten verarbeiten und Unterstützung gemäß den allgemeinen Bestimmungen der Datenschutzgesetze leisten, einschließlich der DSGVO, anderer EU-Gesetze und polnischer Gesetze.

2.3. Der Auftragsverarbeiter wird folgende Grundsätze einhalten:

2.3.1. Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen verarbeiten, einschließlich der Übermittlung in andere Staaten oder internationale Organisationen, es sei denn, dies ist nach EU- oder Mitgliedstaatsrecht erforderlich. In diesem Fall wird der Auftragsverarbeiter den Verantwortlichen mindestens 21 Tage im Voraus informieren, es sei denn, dies ist aus Gründen des öffentlichen Interesses gesetzlich verboten.

2.3.2. Sicherstellen, dass autorisiertes Personal die Vertraulichkeit wahrt oder gesetzlichen Vertraulichkeitspflichten unterliegt.

2.3.3. Alle nach den Artikeln 30, 32, 35 und 36 der DSGVO erforderlichen Maßnahmen umsetzen, den Verantwortlichen täglich informieren und vor Beginn der Verarbeitung Personenbezogener Daten erste Bewertungen vorlegen.

2.3.4. Die Nutzungsbedingungen für andere Auftragsverarbeiter gemäß den Absätzen 1.6 bis 1.9 einhalten.

2.3.5. Sicherstellen, dass geeignete technische und organisatorische Maßnahmen dem Verantwortlichen ermöglichen, auf Anfragen betroffener Personen bezüglich ihrer DSGVO-Rechte zu reagieren.

2.3.6. Die Einhaltung der Verpflichtungen aus den Artikeln 30-36 der DSGVO sicherstellen, basierend auf der Art der Verarbeitung und den verfügbaren Informationen.

2.3.7. Alle Anfragen und Mitteilungen betroffener Personen innerhalb von 12 Stunden elektronisch und innerhalb von 3 Tagen per Post an den Verantwortlichen weiterleiten.

2.3.8. Zeitnah auf Anfragen des Verantwortlichen im Zusammenhang mit dieser Vereinbarung reagieren und innerhalb von 3 Tagen Nachweise erbringen.

2.3.9. Die Verarbeitung Personenbezogener Daten einstellen und alle Daten bei Beendigung der Vereinbarung oder auf Anfrage des Verantwortlichen löschen oder zurückgeben, es sei denn, EU- oder Mitgliedstaatsgesetze erfordern die Datenaufbewahrung.

2.3.10. Alle erforderlichen Informationen bereitstellen, um die Einhaltung von Artikel 28 der DSGVO nachzuweisen und Audits durch den Verantwortlichen oder einen autorisierten Prüfer zu ermöglichen.

2.4. Der Auftragsverarbeiter wird:

2.4.1. Den Weisungen des Verantwortlichen hinsichtlich des Umfangs, des Zwecks und der Mittel der Verarbeitung Personenbezogener Daten folgen.

2.4.2. Vollständige Schutzmaßnahmen für verarbeitete Personenbezogene Daten umsetzen, um sie vor unbefugtem Zugriff, Beschädigung oder Zerstörung zu schützen.

2.4.3. Nur autorisiertem Personal den Umgang mit IT-Systemen und Geräten gestatten, die an der Datenverarbeitung beteiligt sind.

2.4.4. Aufzeichnungen über das an der Verarbeitung Personenbezogener Daten beteiligte Personal führen.

2.5. Der Auftragsverarbeiter wird den Verantwortlichen über alle Verletzungen des Schutzes Personenbezogener Daten unverzüglich innerhalb von 12 Stunden elektronisch informieren. Die Meldung der Verletzung wird Folgendes umfassen:

2.5.1. Eine Beschreibung der Verletzung, einschließlich der betroffenen Datenkategorien und der geschätzten Anzahl betroffener Personen und Einträge.

2.5.2. Kontaktinformationen des Datenschutzbeauftragten oder der zuständigen Kontaktstelle.

2.5.3. Mögliche Folgen der Verletzung.

2.5.4. Ergriffene oder vorgeschlagene Maßnahmen zur Behebung der Verletzung und zur Minderung ihrer Auswirkungen.

2.6. Der Auftragsverarbeiter wird alle Umstände dokumentieren und Beweise sammeln, um den Verantwortlichen bei der Untersuchung der Verletzung zu unterstützen, einschließlich der Art, des Ausmaßes, der Folgen, des Zeitpunkts, der verantwortlichen Parteien und der betroffenen Personen. Der Auftragsverarbeiter wird Vorfallprotokolle führen, die jede Verletzung, ihre Folgen und Gegenmaßnahmen dokumentieren.

§3

3.1. Der Auftragsverarbeiter wird bei Überprüfungen, Audits und Inspektionen festgestellte Mängel innerhalb der vom Verantwortlichen festgelegten Frist beheben, spätestens jedoch 7 Tage nach Benachrichtigung.

3.2. Der Auftragsverarbeiter wird dem Verantwortlichen alle erforderlichen Informationen auf eigene Kosten bereitstellen, um die Einhaltung der gesetzlichen Verpflichtungen nachzuweisen.

§4

4.1. Der Auftragsverarbeiter haftet dem Verantwortlichen vollständig für die Nichteinhaltung von Datenschutzverpflichtungen, einschließlich solcher von Unterauftragsverarbeitern. Diese Haftung umfasst die unbefugte Offenlegung oder Nutzung Personenbezogener Daten.

4.2. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich über alle Verfahren, Entscheidungen oder geplanten Überprüfungen im Zusammenhang mit der Verarbeitung Personenbezogener Daten innerhalb von 3 Tagen nach deren Eintreten informieren.

4.3. Der Auftragsverarbeiter wird die Verarbeitungsaktivitäten Personenbezogener Daten und die Einhaltung dieser Vereinbarung, der DSGVO und der anwendbaren Gesetze dokumentieren. Die Dokumentation wird dem Verantwortlichen auf Anfrage innerhalb von 3 Tagen bereitgestellt.

§5

5.1. Der Auftragsverarbeiter wird alle Informationen, Daten, Materialien, Dokumente und Personenbezogenen Daten, die er vom Verantwortlichen erhalten hat, vertraulich behandeln.

5.2. Der Auftragsverarbeiter wird vertrauliche Daten ohne schriftliche Zustimmung des Verantwortlichen nicht verwenden, offenlegen oder zugänglich machen, es sei denn, dies ist gesetzlich oder durch diese Vereinbarung vorgeschrieben.

5.3. Beide Parteien werden sicherstellen, dass die zur Handhabung vertraulicher Daten verwendeten Kommunikationsmittel einen angemessenen Schutz gegen unbefugten Zugriff bieten.

§6

6.1. Diese Vereinbarung gilt für die Dauer, die zur Erfüllung des Kooperationsvertrags erforderlich ist, und endet mit dessen Beendigung. In jedem Fall bleibt diese Vereinbarung in Kraft, bis der in Punkt 1.3 genannte Zweck der Datenverarbeitung erreicht ist.

§7

7.1. Diese Vereinbarung ist ein integraler Bestandteil des Kooperationsvertrags.

7.2. Angelegenheiten, die in dieser Vereinbarung nicht geregelt sind, unterliegen dem anwendbaren polnischen Recht, einschließlich der DSGVO.

Anlage A. Umfang der personenbezogenen Daten der Gäste

1. E-Mail
2. Website-Adresse des Referenten
3. Nickname
4. Passwort
5. Vor- und Nachname
6. Telefonnummer
7. Land
8. Position und Firmenname
9. Zeitzone
10. Foto (Avatar)
11. Informationsnotiz
12. IP-Adresse
13. Betriebssystem
14. Browsername und -version
15. Gerätetyp
16. Ein- und Austrittszeiten bei Meetings
17. Teilnehmerrolle
18. Browser-Tab-Aktivität
19. Verbindungsaufbau
20. Verbindungszusammenfassung
21. Verbindungsprobleme
22. Antworten auf Anfragen
23. Aktion zur Bestätigung der Meetingteilnahme oder -abwesenheit
24. Start und Ende der Übertragung
25. Start der Videowiedergabe
26. Stopp der Videowiedergabe
27. Änderung der Wiedergabeposition
28. Ende der Videowiedergabe
29. Start der Diashow
30. Folienwechsel
31. Ende der Diashow
32. Start des Dateibetrachters

Anlage B. Verarbeitungsvorgänge personenbezogener Daten

1. Erfassung über das Internet
2. Speicherung
3. Elektronische Übermittlung an den Verantwortlichen
4. Analyse und Deduplizierung