Datenverarbeitungsvertrag
Zwischen
dem Verantwortlichen:
Benutzer der Software Players 1st gemäß Angaben im Hauptvertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter
und
dem Auftragsverarbeiter
Players 1st
CVR 34694222
Stadion Allé 70
8000 Aarhus C
Dänemark
1 Inhaltsverzeichnis
2 Grundlage des Datenverarbeitungsvertrags
3 Rechte und Pflichte des Verantwortlichen
4 Der Auftragsverarbeiter handelt entsprechend seinen Anweisungen
5 Geheimhaltung
6 Sicherheit der Verarbeitung
7 Einsatz von Unterauftragsverarbeitern
8 Übermittlung von Informationen an Drittländer oder an internationale Organisationen
9 Unterstützung des Verantwortlichen
10 Meldung von Verletzungen des Schutzes personenbezogener Daten
11 Löschung und Rückgabe von Daten
12 Überwachung und Überprüfungen
13 Vereinbarungen der Parteien zu sonstigen Angelegenheiten
14 Beginn und Beendigung
15 Kontaktpersonen/Kontaktstellen beim Auftragsverarbeiter
Anhang A Informationen zur Verarbeitung
Anhang B Bedingungen in Bezug auf den Einsatz von Unterauftragsverarbeitern durch
den Auftragsverarbeiter und Liste der autorisierten Unterauftragsverarbeiter
B.1 Bedingungen in Bezug auf den Einsatz von Unterauftragsverarbeitern durch den
Auftragsverarbeiter
B.2 Autorisierte Unterauftragsverarbeiter
Anhang C Anweisungen für die Verarbeitung personenbezogener Daten
C.1 Gegenstand/Verarbeitungsanweisungen
C.2 Sicherheit der Verarbeitung
C.3 Aufbewahrungsfrist/Löschungsverfahren
C.4 Ort der Verarbeitung
C.5 Anweisungen oder Autorisierung hinsichtlich der Weiterleitung
personenbezogener Daten in Drittländer
C.6 Verfahren für die Überwachung der Verarbeitung in den Räumlichkeiten des
Auftragsverarbeiters durch den Verantwortlichen
C.7 Verfahren für die Überwachung der Verarbeitung in den Räumlichkeiten des
Unterauftragsverarbeiters
Anhang D Die Abwicklung sonstiger Angelegenheiten durch die Parteien
D.1 Hauptvertrag
D.2 Anforderungen zur Festlegung zusätzlicher Sicherheitsmaßnahmen
2 Grundlage des Datenverarbeitungsvertrags
Der vorliegende Vertrag enthält die Rechte und Pflichten, die immer dann gelten, wenn der Auftragsverarbeiter personenbezogene Daten im Namen des Verantwortlichen verarbeitet.
Der Vertrag wurde vorbereitet, um die Einhaltung der Bestimmungen von Artikel 28 Unterabsatz 3 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) durch die Parteien sicherzustellen, in der bestimmte Anforderungen an den Inhalt von Datenverarbeitungsverträgen festgelegt sind.
Die Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter erfolgt zum Zwecke der Erfüllung des „Hauptvertrags“ der Parteien, bei dem es sich um den Vertrag handelt, den der Verantwortliche entweder mit dem Auftragsverarbeiter oder einer anderen zentralen Sportorganisation, die den Verantwortlichen vertritt, abgeschlossen hat.
Der Datenverarbeitungsvertrag und der „Hauptvertrag“ bedingen sich gegenseitig und können nicht einzeln gekündigt werden. Dennoch kann der Datenverarbeitungsvertrag ohne Kündigung des „Hauptvertrags“ durch einen anderen gültigen Datenverarbeitungsvertrag ersetzt werden.
Dieser Datenverarbeitungsvertrag hat Vorrang vor allen ähnlichen Bestimmungen in anderen Verträgen zwischen den Parteien, einschließlich des „Hauptvertrags“.
Es gibt vier Anhänge zu diesem Vertrag. Die Anhänge sind fester Bestandteil des Datenverarbeitungsvertrags.
Der Inhalt des Datenverarbeitungsvertrags Anhang A umfasst weitere Informationen über die Verarbeitung, einschließlich Zweck und Art der Verarbeitung, Art der personenbezogenen Daten, Kategorie von betroffenen Personen und Dauer der Verarbeitung.
Der Datenverarbeitungsvertrag Anhang B umfasst die Bedingungen des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter sowie eine Übersicht der vom Verantwortlichen zugelassenen Unterauftragsverarbeiter.
Der Datenverarbeitungsvertrag Anhang C umfasst ferner Anweisungen zur Verarbeitung, die der Auftragsverarbeiter im Namen des Verantwortlichen ausführt (Gegenstand der Verarbeitung), die zu ergreifenden Mindestsicherheitsmaßnahmen sowie Informationen darüber, wie die Überwachung des Auftragsverarbeiters und der Unterauftragsverarbeiter erfolgt.
Der Datenverarbeitungsvertrag Anhang D deckt die Steuerung von Umständen durch die Parteien ab, die ansonsten nicht im Datenverarbeitungsvertrag oder im „Hauptvertrag“ der Parteien festgelegt sind.
Der Datenverarbeitungsvertrag und die dazugehörigen Anhänge werden von beiden Parteien – auch elektronisch – archiviert.
Dieser Datenverarbeitungsvertrag befreit den Auftragsverarbeiter nicht von seinen Pflichten, die sich direkt aus der Datenschutz-Grundverordnung (DS-GVO) oder anderen Rechtsvorschriften ergeben.
3 Rechte und Pflichte des Verantwortlichen
Der Verantwortliche muss grundsätzlich sicherstellen, dass die Verarbeitung personenbezogener Daten innerhalb der Vorgaben der DS-GVO und des Datenschutzgesetzes erfolgt.
Daher hat der Verantwortliche sowohl das Recht als auch die Pflicht, Entscheidungen über den Zweck zu treffen, der der Verarbeitung zugrunde liegt, und darüber, welche Werkzeuge zu benutzen sind.
Der Verantwortliche muss unter anderem sicherstellen, dass eine Rechtsgrundlage für die Verarbeitung vorliegt, die der Auftragsverarbeiter ausführen soll.
4 Der Auftragsverarbeiter handelt entsprechend seinen Anweisungen
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen, sofern er nicht nicht nach EU-Recht oder nationalem Recht in dem Mitgliedstaat, in dem der Auftragsverarbeiter niedergelassen ist, dazu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet, siehe Artikel 28 Unterabsatz 3 Buchstabe a.
Der Auftragsverarbeiter unterrichtet den Verantwortlichen sofort, wenn er glaubt, dass eine Anweisung in Widerspruch zur Datenschutz-Grundverordnung oder zu den Datenschutzbestimmungen anderer EU-Rechtsvorschriften oder nationalen Rechtsvorschriften in Mitgliedstaaten steht.
5 Geheimhaltung
Der Auftragsverarbeiter stellt sicher, dass nur hierfür autorisierte Personen Zugang zu den personenbezogenen Daten haben, die im Namen des Verantwortlichen verarbeitet werden. Der Zugang zu Informationen wird daher sofort verweigert, wenn die Autorisierung zurückgezogen wurde oder abgelaufen ist.
Nur Personen, die Zugang zu personenbezogenen Daten zur Erfüllung der Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen erfordern, dürfen autorisiert werden.
Der Auftragsverarbeiter stellt sicher, dass die Personen, die für die Verarbeitung personenbezogener Daten im Namen des Verantwortlichen autorisiert sind, der Geheimhaltung zugestimmt haben oder angemessenen gesetzlich vorgeschriebenen Geheimhaltungspflichten unterliegen.
Auf Anforderung des Verantwortlichen muss der Auftragsverarbeiter in der Lage sein nachzuweisen, dass die jeweiligen Mitarbeiter der vorgenannten Geheimhaltungspflicht unterliegen.
6 Sicherheit der Verarbeitung
Der Auftragsverarbeiter setzt alle gemäß Artikel 32 der Datenschutz-Grundverordnung erforderlichen Maßnahmen um, in dem unter anderem festgelegt wird, dass unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Die vorgenannten Pflichten bedeuten, dass der Auftragsverarbeiter eine Risikobewertung vornehmen muss und anschließend Maßnahmen zur Beherrschung der ermittelten Risiken umsetzen muss. Dies könnte, je nach Relevanz, die folgenden Maßnahmen umfassen:
a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten
b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
c. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
c.ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
In Verbindung mit den obigen Angaben muss der Auftragsverarbeiter unter allen Umständen als Minimum die Sicherheitsniveaus und -maßnahmen umsetzen, die im Einzelnen in Anhang C zum vorliegenden Vertrag angegeben sind.
Jede Kontrolle/Vereinbarung bezüglich der Vergütung der Parteien oder Ähnlichem im Zusammenhang mit dem Verantwortlichen oder hinsichtlich nachträglicher Anforderungen des Auftragsverarbeiters, weitere Sicherheitsmaßnahmen zu ergreifen, sind in den „Hauptvertrag“ oder in Anhang D zum vorliegenden Vertrag aufzunehmen.
7 Einsatz von Unterauftragsverarbeitern
Damit der Auftragsverarbeiter einen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) einsetzen kann, muss der Auftragsverarbeiter die in Artikel 28 Absatz 2 und 4 der DS-GVO genannten Bedingungen erfüllen.
Daher kann der Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen weiteren Auftragsverarbeiter (Unterauftragsverarbeiter) einsetzen, um den Datenverarbeitungsvertrag zu erfüllen.
Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
Die weiteren Bedingungen des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter sind in Anhang B des vorliegenden Vertrags zu finden.
Die Genehmigung bestimmter Unterauftragsverarbeiter durch den Verantwortlichen ist in Anhang B des vorliegenden Vertrags zu finden.
Sobald der Auftragsverarbeiter die Genehmigung des Verantwortlichen für den Einsatz eines Unterauftragsverarbeiters erhalten hat, stellt der Auftragsverarbeiter sicher, dass der Unterauftragsverarbeiter an dieselben Datenschutzverpflichtungen gebunden ist wie die im vorliegenden Datenverarbeitungsvertrag festgelegten, und zwar entweder durch einen Vertrag oder ein sonstiges Rechtsinstrument gemäß EU-Vorschriften oder nationalem Recht im Mitgliedstaat, wobei hinreichende Garantien dafür geboten werden müssen, dass der Unterauftragsverarbeiter geeignete technische und organisatorische Maßnahmen dergestalt umsetzt, dass bei der Verarbeitung die in der DS-GVO festgelegten Anforderungen erfüllt werden.
Als solcher muss der Auftragsverarbeiter durch die Ausfertigung eines Vertrags zur Unterauftragsdatenverarbeitung sicherstellen, dass der Unterauftragsverarbeiter mindestens den Verpflichtungen unterliegt, denen der Auftragsverarbeiter selbst gemäß den Datenschutzvorschriften unterliegt, sowie dem vorliegenden Datenverarbeitungsvertrag und den dazugehörigen Anhängen.
Eine Kopie des Vertrags zur Unterauftragsdatenverarbeitung und später erfolgte Änderungen daran müssen dem Verantwortlichen auf dessen Anforderung hin zur Verfügung gestellt werden; der Verantwortliche erhält dadurch die Gelegenheit, sich selbst davon zu überzeugen, dass ein gültiger Vertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter geschlossen wurde. Geschäftsbedingungen, z. B. Preise, die keinen Einfluss auf den datenschutzrechtlichen Inhalt des Vertrags zur Unterauftragsdatenverarbeitung haben, sind dem Verantwortlichen nicht vorzulegen.
In seinen Vertrag mit den Unterauftragsverarbeitern nimmt der Auftragsverarbeiter den Verantwortlichen als Drittbegünstigten für den Fall des Konkurses des Auftragsverarbeiters auf, damit der Verantwortliche die Rechte des Auftragsverarbeiters übernehmen kann und sich gegenüber dem Unterauftragsverarbeiter auf diese berufen kann, damit der Verantwortliche z. B. den Unterauftragsverarbeiter anweisen kann, Informationen zu löschen oder zurückzugeben.
Sollte der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommen, haftet der Auftragsverarbeiter vollständig für die Erfüllung der Pflichten des Unterauftragsverarbeiters gegenüber dem Verantwortlichen.
8 Übermittlung von Informationen an Drittländer oder an internationale
Organisationen
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur gemäß der dokumentierten Weisung des Verantwortlichen, einschließlich der Übertragung (Übertragung, Offenlegung und interne Verwendung) personenbezogener Daten an Drittländer oder an internationale Organisationen, sofern er nicht nach EU-Recht oder nationalem Recht in dem Mitgliedstaat, in dem der Auftragsverarbeiter niedergelassen ist, dazu verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet, siehe Artikel 28 Unterabsatz 3 Buchstabe a.
Ohne Weisung oder Genehmigung des Verantwortlichen ist dem Auftragsverarbeiter daher im Rahmen der Beschränkungen des Datenverarbeitungsvertrags Folgendes untersagt:
a. die Offenlegung personenbezogener Daten gegenüber einem Verantwortlichen in einem Drittland oder in einer internationalen Organisation,
b. die Übertragung der Verarbeitung personenbezogener Daten an einen Unterauftragsverarbeiter in einem Drittland,
c. die Verarbeitung der Daten in einer anderen Niederlassung des Auftragsverarbeiters in einem Drittland.
Sämtliche Weisungen oder Genehmigungen des Verantwortlichen hinsichtlich der Übertragung personenbezogener Daten in ein Drittland sind in Anhang C des vorliegenden Vertrags zu finden.
9 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der Datenschutz-Grundverordnung genannten Rechte der betroffenen Person nachzukommen.
Das heißt, dass der Auftragsverarbeiter den Verantwortlichen nach Möglichkeit bei der Sicherstellung der Einhaltung der folgenden Vorgaben unterstützt:
a. die Informationspflicht im Zusammenhang mit der Erhebung personenbezogener Daten bei der betroffenen Person
b. Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
c. das Auskunftsrecht der betroffenen Person
d. das Recht auf Berichtigung
e. das Recht auf Vergessenwerden
f. das Recht auf Einschränkung der Verarbeitung
g. die Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
h. das Recht auf Datenübertragbarkeit
i. das Widerspruchsrecht
j. das Recht auf automatisierte Entscheidungen im Einzelfall, einschließlich Profiling
Der Auftragsverarbeiter unterstützt den Verantwortlichen, um die Einhaltung der in Artikeln 32 bis 36 der DS-GVO genannten Pflichten des Auftragsverarbeiters im Hinblick unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen sicherzustellen, siehe Artikel 28 Absatz 3 Buchstabe f.
Das heißt, dass der Auftragsverarbeiter den Verantwortlichen in Abhängigkeit von der Art der Verarbeitung bei der Sicherstellung der Einhaltung der folgenden Vorgaben unterstützt:
a. die Pflicht, geeignete technische und organisatorische Maßnahmen umzusetzen, um die angemessenen Schutzniveaus für die mit der Verarbeitung verbundenen Risiken zu gewährleisten
b. die Pflicht, den Aufsichtsbehörden Verletzungen des Schutzes personenbezogener Daten unverzüglich und spätestens 72 Stunden, nachdem sie dem Verantwortlichen bekannt geworden ist, zu melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen
c. die Pflicht, die betroffene(n) Person(en) unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu informieren, wenn diese Verletzung voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen führt
d. die Pflicht, eine Datenschutz-Folgenabschätzung durchzuführen, wenn ein Verarbeitungsvorgang wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt
e. die Pflicht, die Aufsichtsbehörde vor Beginn der Verarbeitungstätigkeiten zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung bei unzureichenden Maßnahmen seitens des Verantwortlichen zur Eindämmung des Risikos ein hohes Risiko mit sich bringen würde
Jede Kontrolle/Vereinbarung bezüglich der Vergütung der Parteien oder Ähnlichem in Zusammenhang mit der Unterstützung des Verantwortlichen durch den Auftragsverarbeiter ist in den „Hauptvertrag“ oder in Anhang D zum vorliegenden Vertrag aufzunehmen.
10 Meldung von Verletzungen des Schutzes personenbezogener Daten
Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten durch den Auftragsverarbeiter oder Unterauftragsverarbeiter bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.
Die Benachrichtigung des Verantwortlichen durch den Auftragsverarbeiter erfolgt möglichst innerhalb von 36 Stunden nach Bekanntwerden der Verletzung, um sicherzustellen, dass der Verantwortliche die Möglichkeit hat, seinen Pflichten bezüglich der Meldung der Verletzung an die Aufsichtsbehörde innerhalb von 72 Stunden nachzukommen.
Gemäß Abschnitt 10.2 Buchstabe b, des vorliegenden Vertrags unterstützt der Auftragsverarbeiter den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen bei der Meldung von Verletzungen an die Aufsichtsbehörden.
Das könnte bedeuten, dass der Auftragsverarbeiter beim Einholen folgender Informationen helfen sollte, die gemäß Artikel 33 Absatz 3 DS-GVO in der Meldung des Verantwortlichen an die Aufsichtsbehörde enthalten sein müssen:
a. die Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
b. die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
c. die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
11 Löschung und Rückgabe von Daten
Nach Beendigung der verarbeitungsbezogenen Dienste ist der Auftragsverarbeiter verpflichtet, alle personenbezogenen Daten je nach Entscheidung des Verantwortlichen zu löschen oder an diesen zurückzugeben und alle vorhandenen Kopien zu löschen, es sei denn, EU-Vorschriften oder nationale Gesetze verlangen die Speicherung der personenbezogenen Daten.
12 Überwachung und Überprüfungen
Der Auftragsverarbeiter stellt dem Verantwortlichen alle für den Nachweis seiner Erfüllung von Artikel 28 DS-GVO und dem vorliegenden Vertrag notwendigen Informationen zur Verfügung und ermöglicht und unterstützt Überprüfungen, einschließlich von Inspektionen, die der Verantwortliche oder ein anderer vom Verantwortlichen autorisierter Prüfer durchführt.
Das Verfahren zur Überwachung des Auftragsverarbeiters durch den Verantwortlichen ist in Anhang C des vorliegenden Vertrags zu finden.
Die Überwachung von Unterauftragsverarbeitern durch den Verantwortlichen erfolgt generell durch den Auftragsverarbeiter. Das entsprechende Verfahren ist in Anhang C des vorliegenden Vertrags zu finden.
Der Auftragsverarbeiter ist verpflichtet, den Behörden, die gemäß einschlägiger Gesetze jederzeit Zugang zu den Einrichtungen des Verantwortlichen und des Auftragsverarbeiters haben, oder den im Namen der Behörden handelnden Vertretern, nach Vorlage eines angemessenen Identifikationsdokuments Zugang zu den physischen Einrichtungen des Auftragsverarbeiters zu gewähren.
13 Vereinbarungen der Parteien zu sonstigen Angelegenheiten
Jede (besondere) Behandlung von Konsequenzen einer Verletzung des Datenverarbeitungsvertrags durch eine der Parteien ist im „Hauptvertrag“ der Parteien oder in Anhang D des vorliegenden Vertrags zu finden.
Jegliche Behandlung sonstiger Angelegenheiten zwischen den Parteien ist im „Hauptvertrag“ der Parteien oder in Anhang D des vorliegenden Vertrags zu finden.
14 Beginn und Beendigung
Der vorliegende Vertrag tritt automatisch mit Verwendung der Software Players 1st durch den Verantwortlichen in Kraft.
Beide Parteien sind berechtigt, eine Neuverhandlung des Vertrags zu verlangen, wenn sich die Rechtsvorschriften ändern oder wenn Unzweckmäßigkeiten im Vertrag Anlass hierfür geben.
Der Datenverarbeitungsvertrag kann gemäß den Kündigungsbedingungen einschließlich Kündigungsfrist im „Hauptvertrag“ beendet werden.
Der Vertrag gilt für die Dauer der Verarbeitung. Ungeachtet der Kündigung des „Hauptvertrags“ bzw. des Datenverarbeitungsvertrags bleibt der Datenverarbeitungsvertrag bis zum Ende der Verarbeitung und Löschung der Daten seitens des Auftragsverarbeiters und der Unterauftragsverarbeiter in Kraft.
15 Kontaktpersonen/Kontaktstellen beim Auftragsverarbeiter
Alle Kontakte bezüglich der Datenverarbeitung beim Auftragsverarbeiter erfolgen wie folgt: privacy@players1stgroup.com
Anhang A Informationen zur Verarbeitung
Der Zweck der Verarbeitung personenbezogener Daten im Namen des Verantwortlichen durch den Auftragsverarbeiter ist folgender:
Der Verantwortliche möchte kontinuierliche Bewertungen der Erfahrungen seiner Mitglieder bzw. Gäste in seinem Club durchführen. Zu diesem Zweck werden Daten über Mitglieder bzw. Gäste weitergeleitet, sodass der Auftragsverarbeiter elektronische Fragebögen zu den Erfahrungen des Mitglieds oder des Gastes im Club erstellen kann. Die Antworten werden dem Verantwortlichen über ein elektronisches Dashboard, das vom Auftragsverarbeiter verwaltet wird, übermittelt und in zusammengefasster Form zur Verfügung gestellt.
Der Verantwortliche erhält außerdem einzelne offene Kommentare aus den Antworten. Dies findet ausschließlich in Fällen statt, in denen der Teilnehmer aktiv zugestimmt hat, dass der Verantwortliche die Kommentare einsehen darf, und wenn der Teilnehmer seine Kontaktdaten bereitgestellt hat, damit der Verantwortliche die Gelegenheit hat, den Teilnehmer gemäß seiner ausdrücklichen Zustimmung zu kontaktieren.
Die Verarbeitung personenbezogener Daten (Art der Verarbeitung) durch den Auftragsverarbeiter im Namen des Verantwortlichen bezieht sich in erster Linie auf Folgendes:
den Versand von E-Mails mit einem Link zu einem elektronischen Fragebogen
die Darstellung der Umfrageergebnisse in einem Online-Dashboard und in Berichten. Die Ergebnisse werden in zusammengefasster bzw. anonymisierter Form wiedergegeben.
Die Verarbeitung umfasst die folgenden Arten personenbezogener Daten der betroffenen Personen:
Name, Art der Mitgliedschaft, Geschlecht, Alter, E-Mail-Adresse und Informationen über Ort und Zeit des Besuchs im Club, sofern diese sich auf eine Aktivität in Verbindung mit einer bestimmten Aktivität des Teilnehmers im Club beziehen. Es werden nur allgemeine personenbezogene Daten verarbeitet.
Die Verarbeitung umfasst die folgenden Kategorien betroffener Personen: ·
Personen, die entweder Mitglied des Clubs sind oder die an einer vom Club oder in Zusammenarbeit mit dem Club veranstalteten Aktivität teilgenommen haben.
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Namen des Verantwortlichen kann nach Inkrafttreten des vorliegenden Vertrags beginnen. Die Dauer der Verarbeitung wird wie folgt festgelegt:
Die Verarbeitung ist zeitlich nicht begrenzt und bleibt bestehen, bis alle Lizenzlaufzeiten von einer der Parteien gekündigt werden.
Anhang B Bedingungen in Bezug auf den Einsatz von
Unterauftragsverarbeitern durch den Auftragsverarbeiter und
Liste der autorisierten Unterauftragsverarbeiter
B.1 Bedingungen in Bezug auf den Einsatz von Unterauftragsverarbeitern durch den Auftragsverarbeiter
Der Auftragsverarbeiter verfügt über die allgemeine Genehmigung des Verantwortlichen für den Einsatz von Unterauftragsverarbeitern. Dennoch muss der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informieren, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Diese Benachrichtigung muss mindestens 30 Tage vor dem Inkrafttreten des Einsatzes oder der Änderung beim Verantwortlichen eingehen. Sollte der Verantwortliche den Änderungen widersprechen, so muss er den Auftragsverarbeiter innerhalb von 14 Tagen nach Erhalt der Benachrichtigung darüber informieren. Der Verantwortliche kann nur widersprechen, wenn er hierfür gerechtfertigte besondere Gründe hat.
B.2 Autorisierte Unterauftragsverarbeiter
Mit Inkrafttreten des Datenverarbeitungsvertrags hat der Verantwortliche den Einsatz der folgenden Unterauftragsverarbeiter genehmigt:
Name | CVR-Nr. | Anschrift | Beschreibung der Verarbeitung |
Microsoft Azure | Azure datasentre i Irland, Ne-derland, Virginia USA, Texas USA, California USA, Canberra AustraliAzure Data Centres in Irland, in den Niederlanden, in Virginia/USA, Texas/USA, Kalifornien/USA, Canberra/Australien | Hosting, Datenspeicherung erfolgt an folgenden Orten: Europa für die europäischen Kunden des Auftragsverarbeiters, USA für die nordamerikanischen Kunden des Auftragsverarbeiters, Australien für die australischen Kunden des Auftragsverarbeiters | |
SendGrid | Denver, CO, 1801 California Street, Suite 500, Denver, CO 80202 (USA) | E-Mail-Service | |
MailJet | FR67524536992 | Mailjet SAS 37 bis Rue du Sentier 75002 Paris FRANKREICH | E-Mail-Service |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, Vereinigte Staaten von Amerika | Verwaltung von Support-Anfragen | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 (USA) | Website-Nutzungsdaten werden mit Google Analytics erfasst |
Mit Inkrafttreten des Datenverarbeitungsvertrags hat der Verantwortliche besonders den Einsatz der oben genannten Unterauftragsverarbeiter für die beschriebene Verarbeitung für jede Partei genehmigt. Der Auftragsverarbeiter darf ohne gesonderte schriftliche Genehmigung des Verantwortlichen die Unterauftragsverarbeiter nicht für „andere“ Verarbeitungsvorgänge einsetzen als die vereinbarten und darf einem anderen Unterauftragsverarbeiter nicht erlauben, die genannte Verarbeitung vorzunehmen.
Anhang C Anweisungen für die Verarbeitung personenbezogener Daten
C.1 Gegenstand/Verarbeitungsanweisungen
Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Namen des Verantwortlichen erfolgt dadurch, dass der Auftragsverarbeiter eine oder mehrere der folgenden Tätigkeiten ausführt:
bei Auswahl von Mitgliederbefragungen Erfassen der nötigen Informationen über die Mitgliedschaft der Mitglieder des Verantwortlichen
bei Auswahl von Gästebefragungen Verarbeitung von Informationen über gespielte Greenfee-Runden mit dem Verantwortlichen
Der Auftragsverarbeiter verarbeitet die Daten im erforderlichen und relevanten Maße, um die Anweisungen des Verantwortlichen zu erfüllen. Daten werden entweder direkt vom Verantwortlichen oder von einem weiteren, vom Verantwortlichen benannten Auftragsverarbeiter (Drittauftragsverarbeiter) erfasst. Der Verantwortliche schließt Verträge mit den Drittauftragsverarbeitern über die Offenlegung der notwendigen Daten gegenüber dem Auftragsverarbeiter gemäß dem vorliegenden Vertrag ab.
C.2 Sicherheit der Verarbeitung
Das Sicherheitsniveau muss Folgendes widerspiegeln:
Verarbeitung allgemeiner personenbezogener Daten
Der Auftragsverarbeiter ist hiermit berechtigt und verpflichtet, Entscheidungen über die von ihm eingesetzten technischen und organisatorischen Maßnahmen zur Herstellung des erforderlichen (und vereinbarten) Sicherheitsniveaus für die Daten zu treffen. Dennoch ist der Auftragsverarbeiter verpflichtet, Folgendes sicherzustellen:
Alle Daten aus Kommunikationen mit dem Players-1st-System müssen standardmäßige verschlüsselt über „https“ übertragen werden.
Players 1st speichert und verarbeitet alle Daten mit international anerkannten IT-Firmen.
Das Hosting bei Players 1st erfolgt verschlüsselt und vertraulich.
Players 1st verfügt über eine vollständige Dokumentation bezüglich Funktionalität, Datenverfolgung und Datensicherheit.
Players 1st verarbeitet personenbezogene Daten nur nach Anweisung des Verantwortlichen.
Players 1st muss sicherstellen, dass alle Personen, die mit personenbezogenen Daten umgehen, einer Geheimhaltungsvereinbarung unterliegen.
C.3 Aufbewahrungsdauer/Verfahren zur Löschung
Personenbezogene Daten werden vom Datenverarbeiter gespeichert, bis der für die Datenverarbeitung Verantwortliche die Löschung oder Rückgabe der Daten verlangt.
Alle personenbezogenen Daten (Name, E-Mail-Adresse und/oder Telefonnummer, Bereitschaft zur aktiven Teilnahme am Verein usw.), die bei den Umfragen erhoben (und von den Spielern selbst eingegeben) oder vom Datenverantwortlichen erhalten werden, werden separat gespeichert und können nicht mit den anonymen Antworten auf die Umfrage verknüpft werden.
Zu den personenbezogenen Daten, die der Datenverarbeiter von denjenigen erhält, die an den Umfragen teilnehmen:
Alle von den Teilnehmern einer Umfrage angegebenen personenbezogenen Daten werden nach 30 Tagen gelöscht.
Bezüglich personenbezogener Daten, die der Datenverarbeiter vom für die Datenverarbeitung Verantwortlichen erhält:
Mitgliederbefragungen
Damit der Datenverarbeiter die Mitglieder, die die Umfrage nicht beantwortet haben, daran erinnern kann, werden die personenbezogenen Daten für 15 Tage für Mitgliederbefragungen gespeichert. 15 Tage nach dem Absenden werden alle personenbezogenen Daten außer den E-Mail-Adressen dauerhaft gelöscht. Nach Ablauf der 15-tägigen Frist werden alle E-Mail-Adressen mit der SHA-512 (64-Bit) Hashing-Funktion gehasht.
Gästebefragungen
Damit der Datenverarbeiter die Gäste, die die Umfrage nicht beantwortet haben, daran erinnern kann, werden die E-Mail-Adressen für 10 Tage gespeichert. 10 Tage nach dem Versand aller personenbezogenen Daten mit Ausnahme der E-Mail-Adressen werden diese dauerhaft gelöscht. Nach Ablauf der 10-tägigen Frist werden alle E-Mail-Adressen mit der SHA-512 (64-Bit) Hashing-Funktion gehasht.
Hashing bedeutet, dass Textdaten in eine 64-Bit-Zeichenkette (den Hash-Wert) umgewandelt werden und der Datenprozessor diese in keiner Weise invertieren kann. So kann der Datenverarbeiter Supportfragen des Clubs zum Versand beantworten und sehen, ob sich eine E-Mail-Adresse in Quarantäne befindet und sollte daher keine Einladung zur Umfrage erhalten.
Alle gehashten E-Mail-Adressen werden nach einem Monat für Mitgliederbefragungen und drei Monaten für Gästebefragungen gelöscht. Die Zeiträume basieren auf den Quarantänezeiten für die Umfragen.
Nach drei Monaten werden alle personenbezogenen Daten in jeglicher Form dauerhaft gelöscht. Einzige Ausnahme hiervon sind Spieler, die sich abgemeldet haben. In diesem Fall speichert der Datenverarbeiter die gehashten E-Mail-Adressen, um das Opt-out respektieren zu können.
C.4 Ort der Verarbeitung
Die Verarbeitung der personenbezogenen Daten gemäß dem Vertrag darf ohne vorherige schriftliche Zustimmung des Verantwortlichen nicht an anderen Orten als den nachfolgend genannten stattfinden:
Name | Anschrift | Kommentare |
Microsoft Azure | Azure Data Centres in Irland, in den Niederlanden, in Virginia/USA, Texas/USA, Kalifornien/USA, Canberra/Australien | Hosting, Datenspeicherung erfolgt an folgenden Orten: Europa für die europäischen Kunden des Auftragsverarbeiters, USA für die nordamerikanischen Kunden des Auftragsverarbeiters, Australien für die australischen Kunden des Auftragsverarbeiters |
SendGrid | 1801 California Street, Suite 500, Denver, CO 80202 (USA) | |
MailJet | Mailjet SAS, 37 bis Rue du Sentier, 75002 Paris, FRANKREICH | |
Zendesk | Zendesk, Inc. 1019 Market St. San Francisco CA 94103, Vereinigte Staaten von Amerika | |
Google Analytics | 1600 Amphitheatre Parkway, Mountain View, CA, 94043 (USA) | |
Players 1st | Stadion Allé, 8000 Aarhus C, Dänemark |
C.5 Anweisungen oder Autorisierung hinsichtlich der Weiterleitung personenbezogener Daten in Drittländer
Der Auftragsverarbeiter leitet über Unterauftragsverarbeiter personenbezogene Daten an Dritte weiter, wenn E-Mail-Adressen an einen amerikanischen Lieferanten (SendGrid) weitergeleitet werden, die für den Versand von E-Mails verwendet werden (dies gilt jedoch nicht für deutsche E-Mail-Adressen). Zendesk wird zur Bearbeitung von Support-Anfragen von Spielern und Clubs verwendet, die die Möglichkeit haben, den Players-1st-Support per E-Mail zu kontaktieren. Die E-Mail-Adressen der anfragenden Personen werden bei Kontakt an Zendesk weitergeleitet. Google Analytics wird auf einer aggregierten Ebene zur Überwachung der verwendeten Browser und Vorrichtungen der Benutzer eingesetzt. Informationen werden zur Optimierung der Benutzererfahrung in den Fragebögen verwendet.
Übermittlung erfolgt gemäß Datenschutzvereinbarung, siehe Artikel 46 Datenschutz-Grundverordnung. Der Auftragsverarbeiter muss sicherstellen, dass Unterauftragsverarbeiter in Drittländern die Pflichten des Auftragsverarbeiters gemäß vorliegendem Vertrag erfüllen.
C.6 Verfahren für die Überwachung der Verarbeitung in den Räumlichkeiten des Auftragsverarbeiters durch den Verantwortlichen
Einmal jährlich erhält der Auftragsverarbeiter eine Überprüfungserklärung von einem unabhängigen Dritten über die Erfüllung des vorliegenden Datenverarbeitungsvertrags und der dazugehörigen Anhänge durch den Auftragsverarbeiter. Die Überprüfungserklärung wird im Jahr 2019 zum ersten Mal ausgestellt und wird dem Verantwortlichen zur Verfügung gestellt.
Bis zur Bereitstellung der vorgenannten Überprüfungserklärung hat der Verantwortliche jährlich die Möglichkeit, eine physische oder schriftliche Kontrolle der Erfüllung dieses Datenverarbeitungsvertrags durchzuführen.
Neben der geplanten Überwachung kann eine Kontrolle des Auftragsverarbeiters auch durchgeführt werden, wenn der Verantwortliche eine solche für erforderlich hält.
Kosten, die dem Verantwortlichen im Zusammenhang mit der physischen oder schriftlichen Kontrolle entstehen, gehen zu seinen eigenen Lasten. Dennoch ist der Auftragsverarbeiter verpflichtet, alle Ressourcen (vorrangig Zeit) bereitzustellen, die für die Durchführung der Kontrolle durch den Verantwortlichen angemessen und notwendig sind.
C.7 Verfahren für die Überwachung der Verarbeitung in den Räumlichkeiten des Unterauftragsverarbeiters
Einmal jährlich erhält der Auftragsverarbeiter eine Überprüfungserklärung von einem unabhängigen Dritten über die Erfüllung des vorliegenden Datenverarbeitungsvertrags und der dazugehörigen Anhänge durch den Unterauftragsverarbeiter.
Die Parteien haben vereinbart, dass die folgenden Standard-Überprüfungserklärungen verwendet werden können: ISAE-3402-Berichte Typ 2
Die Überprüfungserklärung ist dem Verantwortlichen vom Auftragsverarbeiter über die Dashboard-Lösung zur Verfügung zu stellen.
Anhang D Die Abwicklung sonstiger Angelegenheiten durch die Parteien
D.1 Hauptvertrag
Umstände, die nicht im vorliegenden Vertrag geregelt sind, unterliegen dem Hauptvertrag zwischen den Parteien.
D.2 Anforderungen zur Festlegung zusätzlicher Sicherheitsmaßnahmen
Vergütungen oder Ähnliches im Zusammenhang mit späteren Anforderungen seitens des Verantwortlichen oder des Auftragsverarbeiters zur Festlegung weiterer Sicherheitsmaßnahmen zusätzlich zum vorliegenden Vertrag sind von der Partei zu tragen, die die Anforderung stellt. Die Vergütung bezieht sich typischerweise auf die zur Erstellung der erweiterten Sicherheitsmaßnahmen benötigte Zeit.