Vereinbarung über die Datenverarbeitung (AV-Vertrag) | Mailjet

Vereinbarung über die Datenverarbeitung (AV-Vertrag)

 

Gültig ab: 27. Dezember 2019 

 

Diese Vereinbarung über die Datenverarbeitung (Engl.: Data Processing Agreement – „DPA“) bringt das Übereinkommen der Parteien hinsichtlich der Bedingungen zum Ausdruck, die für die Verarbeitung personenbezogener Daten gemäß den Mailjet-Nutzungsbedingungen (die „Vereinbarung“) gelten. Diese DPA tritt mit dem Datum ihrer letzten Änderung in Kraft und tritt an die Stelle aller zuvor anwendbaren Vereinbarungen über die Datenverarbeitung. 

Im Rahmen der Erbringung der in der Vereinbarung festgehaltenen Dienstleistungen kann Mailjet personenbezogene Daten im Namen des Kunden verarbeiten, wobei sich die Parteien zur Einhaltung der in dieser DPA enthaltenen Bedingungen verpflichten.

Zum Zweck dieser Vereinbarung ist der Kunde der Verantwortliche für die ihn betreffenden personenbezogenen Daten und ist Mailjet der Auftragsverarbeiter dieser Daten, es sei denn, der Kunde fungiert als Auftragsverarbeiter der personenbezogenen Daten des Kunden – in diesem Fall hat Mailjet die Funktion eines Unterauftragsverarbeiters. 

Mailjet kann diese DPA in regelmäßigen Abständen aktualisieren. Wenn Sie über ein aktives Mailjet-Konto verfügen, werden wir Sie über wichtige Änderungen in Kenntnis setzen. Die bis zum 26. Dezember gültigen Versionen der Bedingungen finden Sie hier.

 

1. Zweck und Laufzeit

(1) Der Auftragsverarbeiter und andere in Klausel 7 dieser Vereinbarung angegebene datenverarbeitende Unternehmen führen im Rahmen der Erbringung von Dienstleistungen gemäß dem von den Parteien geschlossenen Dienstleistungsvertrag IT-Dienste für den Datenverantwortlichen aus. IT-Dienste sind als „dezentralisierte Dienste für die Datenverarbeitung“ definiert, die nicht durch ein bilaterales Kooperationsabkommen zwischen dem Auftragsverarbeiter und dem Datenverantwortlichen gekennzeichnet sind, sondern durch mehrere Auftragsverarbeiter mit sich abwechselnden Verarbeitungspflichten durchgeführt werden.  

(2) Da personenbezogene Daten im Auftrag des Datenverantwortlichen und gemäß seinen diesbezüglichen Anweisungen verarbeitet werden, gelten die Dienste als in Auftrag gegebene Datenverarbeitung gemäß der europäischen Verordnung 2016/679 (Datenschutzgrundverordnung, „DSGVO“) und allen anwendbaren Datenschutzgesetzen.

(3) Die Begriffe „personenbezogene Daten“, „Verarbeitung“, „einwilligen“, „Erfassung“, „Drittpartei“, „Datenverantwortlicher” und „Auftragsverarbeiter“ werden gemäß den Definitionen in Artikel 4 der DSGVO ausgelegt.

 

2. Einzelheiten der Verarbeitung

(1) Für die im Rahmen der Vereinbarung erfolgende Verarbeitung der Daten des Datenverantwortlichen gelten die folgenden Bestimmungen:

  1. Gegenstand: Gegenstand der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter ist die Erbringung der Dienstleistungen gegenüber dem Datenverantwortlichen, was die Verarbeitung personenbezogener Daten entsprechend der Vereinbarung beinhaltet. 
  2. Arten personenbezogener Daten: Zu den übermittelten personenbezogenen Daten, deren Umfang allein der Datenverantwortliche bestimmt und steuert, zählen Namen, E-Mail-Adressen, Telefonnummern, Unternehmenstitel und andere spezifische Daten, wie sie der Datenverantwortliche auf der Plattform des Auftragsverarbeiters eingibt.
  3. Kategorien betroffener Personen: Der Datenverantwortliche kann personenbezogene Daten an die Plattform des Auftragsverarbeiters übermitteln, deren Umfang allein der Datenverantwortliche bestimmt und steuert, und die unter anderem die Kontakte des Datenverantwortlichen und andere Endbenutzer, einschließlich der Angestellten, Vertragspartner, Mitarbeiter, Kunden, Interessenten, Lieferanten und Unterauftragsverarbeiter des Datenverantwortlichen umfassen können. 
  4. Dauer der Datenverarbeitung: Vorbehaltlich Klausel 9 dieser DPA erfolgt die Verarbeitung personenbezogener Daten während der Gültigkeitsdauer der Vereinbarung.

 

3. Pflichten des Datenverantwortlichen

(1) Der Datenverantwortliche ist im Rahmen der Vereinbarung und bei der Inanspruchnahme der Dienste für seine eigene Einhaltung der Datenschutzanforderungen und -bestimmungen verantwortlich.

(2) Der Datenverantwortliche garantiert, dass:

    1. Die Verarbeitung der personenbezogenen Daten des Datenverantwortlichen – wie möglicherweise durch EU-Datenschutzgesetze vorgegeben – auf einer entsprechenden Rechtsgrundlage hinsichtlich der Mailjet-Dienste gemäß dieser DPA und der Vereinbarung erfolgt; und
    2. Der Datenverantwortliche die betroffenen Personen darüber informiert, dass er Auftragsverarbeiter für die Verarbeitung ihrer personenbezogenen Daten einsetzt, soweit dies nach geltendem Datenschutzrecht erforderlich ist.

(3) Der Datenverantwortliche stellt sicher, dass die vom Auftragsverarbeiter vorgesehenen Sicherheitsmaßnahmen eingehalten werden und garantiert ein dem Risiko angemessenes Maß an Sicherheit.

(4) Der Datenverantwortliche reagiert innerhalb einer angemessenen Frist und soweit praktikabel auf Anfragen von betroffenen Personen an den Datenverantwortlichen hinsichtlich der Verarbeitung ihrer personenbezogenen Daten und muss dem Auftragsverarbeiter zügig geeignete Anweisungen geben.

(5) Der Datenverantwortliche reagiert innerhalb einer angemessenen Frist auf Anfragen von Datenschutzbehörden hinsichtlich der Verarbeitung relevanter personenbezogener Daten durch den Datenverantwortlichen.

 

4. Pflichten des Auftragsverarbeiters

(1) Erfüllung der Anweisungen

(a) Der Auftragsverarbeiter erfasst, verarbeitet und verwendet personenbezogene Daten allein zum Zweck der Erfüllung seiner Pflichten gemäß der Vereinbarung und entsprechend den Anweisungen des Datenverantwortlichen. Ist der Auftragsverarbeiter der Auffassung, dass eine Anweisung des Datenverantwortlichen gegen das Datenschutzgesetz verstößt, setzt er den Datenverantwortlichen unverzüglich darüber in Kenntnis. 

(b) Der Vermerk dieser Kundenanweisungen erfolgt im entsprechenden Auftrag, in der Dienstleistungsbeschreibung, im Support-Ticket, in einer anderen schriftlichen Mitteilung oder nach Vorgabe des die Dienste in Anspruch nehmenden Kunden (wie beispielsweise über ein API oder Serviceportal).

(c) Kann der Auftragsverarbeiter personenbezogene Daten aufgrund der Vorgaben eines anwendbaren Datenschutzgesetzes nicht entsprechend den Anweisungen verarbeiten, setzt er den Datenverantwortlichen vor der entsprechenden Verarbeitung im nach dem Datenschutzgesetz zulässigen Umfang unverzüglich über diese gesetzlichen Vorgaben in Kenntnis und stellt alle Verarbeitungsvorgänge ein, bis der Datenverantwortliche neue Anweisungen erteilt, denen der Auftragsverarbeiter entsprechen kann. 

 

(2) Sicherheit

(a) Die internen Handhabungsverfahren des Auftragsverarbeiters müssen mit den spezifischen Anforderungen eines effektiven Datenschutzmanagements übereinstimmen. 

(b) Der Auftragsverarbeiter garantiert und verpflichtet sich, angemessene technische und organisatorische Sicherheitsmaßnahmen für die Datenverarbeitung zu treffen und diese zu dokumentieren.

(c) Die Verarbeitung personenbezogener Daten für unterschiedliche Datenverantwortliche hat vom Auftragsverarbeiter jeweils getrennt zu erfolgen. Der Auftragsverarbeiter verpflichtet sich, zur Gewährleistung einer getrennten Verarbeitung unter anderem die folgenden Sicherheitsmaßnahmen zu ergreifen:

    1. Anonymisierung und Verschlüsselung personenbezogener Daten;
    2. Bereitstellung der Mittel zur Wahrung der durchgehenden Vertraulichkeit, Integrität und Verfügbarkeit von Verarbeitungssystemen und -diensten;
    3. Bereitstellung der Mittel zur Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten innerhalb einer angemessenen Frist im Falle eines physischen oder technischen Datensicherheitsvorfalls.
    4. Anwendung eines Verfahrens zur regelmäßigen Überprüfung, Analyse und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitungsvorgänge.

 

Die Sicherheit unserer Website ist uns wichtig. Sie können unser Zertifikat hier abrufen. 

Die technischen und organisatorischen Maßnahmen unterliegen technischen Fortschritten und entsprechenden Weiterentwicklungen. In dieser Hinsicht darf der Auftragsverarbeiter geeignete alternative Maßnahmen ergreifen. Dabei darf sich der Sicherheitsgrad der bezeichneten Maßnahmen nicht verringern.  

 

(3) Vertraulichkeit

(a) Der Auftragsverarbeiter garantiert und verpflichtet sich, dass alle an der Datenverarbeitung beteiligten Angestellten über die erforderliche berufliche Qualifikation verfügen und in den maßgeblichen Sicherheits- und Datenschutzanforderungen geschult sind. 

(b) Der Auftragsverarbeiter sichert zu, dass diese Angestellten mit Blick auf die vom Datenverantwortlichen bereitgestellten personenbezogenen Daten einer Geheimhaltungspflicht unterliegen. 

(c) Sofern der Auftragsverarbeiter gesetzlich verpflichtet ist, Dritten Informationen über Kundendaten zu liefern, muss der Auftragsverarbeiter den Datenverantwortlichen innerhalb einer angemessenen Frist vor der Bereitstellung dieser Informationen schriftlich über den Empfänger, Zeitpunkt und Inhalt der bereitzustellenden Informationen und ihre gesetzliche Grundlage informieren.

 

(4) Verletzung des Schutzes personenbezogener Daten

(a) Der Auftragsverarbeiter informiert den Datenverantwortlichen unverzüglich über jede Verletzung des Schutzes personenbezogener Daten, einschließlich jeder unbefugten oder unrechtmäßigen Verarbeitung personenbezogener Daten, jedes zufälligen Untergangs, jeder Veränderung, missbräuchlichen Nutzung, Offenlegung, Zerstörung oder Beschädigung personenbezogener Daten durch seine Angestellten, Unterauftragsverarbeiter oder sonstige Dritte, die vom Datenverantwortlichen bereitgestellte personenbezogene Daten betreffen. 

(b) Unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen unternimmt der Auftragsverarbeiter alle wirtschaftlich vertretbaren Anstrengungen, um dem Kunden Informationen zum Datensicherheitsvorfall zu liefern. Diese Informationen müssen Angaben zu Zeitpunkt und Art des Vorfalls, dem betroffenen Computersystem, den betroffenen Personen, dem Zeitpunkt der Entdeckung, allen denkbaren negativen Folgen des Datensicherheitsvorfall und den vom Auftragsverarbeiter in der Folge ergriffenen Maßnahmen enthalten.

 

(5) Rückgabe oder Löschung personenbezogener Daten

(a) Nach Beendigung der Vereinbarung gibt der Auftragsverarbeiter alle gemäß diesem DPA verarbeiteten personenbezogenen Daten (einschließlich Kopien selbiger) zurück oder löscht diese. Diese Bestimmung hat keinen Einfluss auf potenzielle gesetzliche Pflichten der Parteien in Bezug auf die Aufbewahrung von Aufzeichnungen für gesetzlich, durch die Satzung oder den Vertrag festgelegte Aufbewahrungsfristen. 

(b) Der Auftragsverarbeiter ist verpflichtet, die Daten des Datenverantwortlichen auf Anfrage des Datenverantwortlichen in einer Form zu übermitteln, die gelesen und weiterverarbeitet werden kann. 

(c) Zusätzliche Kosten, die im Zusammenhang mit der Rückgabe oder Löschung von personenbezogenen Daten nach Beendigung oder Auslaufen der Vereinbarung entstehen, sind vom Datenverantwortlichen zu tragen.

 

(6) Unterstützung des Datenverantwortlichen

(a) Stehen dem Auftragsverarbeiter die benötigten Informationen zur Verfügung und hat der Datenverantwortliche nicht anderweitig Zugriff auf die benötigten Informationen, unterstützt der Auftragsverarbeiter den Datenverantwortlichen in angemessener Weise bei Datenschutzfolgenabschätzungen sowie vor Gesprächen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden.

(b) Der Auftragsverarbeiter muss jederzeit einen Beauftragten vor Ort haben, der den Datenverantwortlichen bei folgenden Aufgaben unterstützt: (i) Beantwortung von Anfragen betroffener Personen in Bezug auf die Auftragsdatenverarbeitung; und (ii) Erfüllung aller gesetzlichen Informations- und Offenlegungspflichten, die für den Datenverantwortlichen gelten und mit der Auftragsdatenverarbeitung zusammenhängen. Der Datenschutzbeauftragte kann direkt unter privacy@mailjet.com kontaktiert werden. Der Auftragsverarbeiter stellt sicher, dass diese Informationen jederzeit aktuell sind.

 

5. Ersuchen betroffener Personen

(a) Der Auftragsverarbeiter unterstützt den Datenverantwortlichen in angemessener Weise mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Pflicht des Datenverantwortlichen, Ersuchen betroffener Personen um Ausübung ihrer Rechte nachzukommen. 

(b) Mailjet stellt spezifische Tools zur Verfügung, mit denen seine Kunden dabei unterstützt werden sollen, den von betroffenen Personen übermittelten Ersuchen nachzukommen. Dazu zählen unsere APIs und Schnittstellen zur Suche nach Ereignisdaten, zur Vornahme von Löschungen sowie zum Abruf des Inhalts von Mitteilungen. 

(c) Wendet sich eine betroffene Person zwecks Ausübung ihrer Rechte gemäß den Datenschutzgesetzen direkt an den Auftragsverarbeiter, setzt der Auftragsverarbeiter den Kunden innerhalb von 7 Tagen nach Eingang des Ersuchens entsprechend in Kenntnis. Soweit zumutbar, unterstützt Mailjet den Kunden auf dessen Kosten mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung der Verpflichtung des Kunden, Ersuchen um die Ausübung der Rechte betroffener Personen nachzukommen. 

 

6. Datenübermittlung

(a) Der Datenverantwortliche bestätigt und erkennt an, dass der Auftragsverarbeiter im Zusammenhang mit der Erbringung der in der Vereinbarung festgehaltenen Dienstleistungen personenbezogene Daten innerhalb seiner Unternehmensgruppe weitergeben kann. Diese Datenübermittlung ist zur weltweiten Erbringung der in den Mailjet-Nutzungsbedingungen festgehaltenen Dienstleistungen sowie zu internen Verwaltungszwecken notwendig.

(b) Bei der Übermittlung personenbezogener Daten gemäß dieser DPA von der Europäischen Union, dem Europäischen Wirtschaftsraum und/oder ihren jeweiligen Mitgliedstaaten, der Schweiz und dem Vereinigten Königreich an Länder, die kein angemessenes Datenschutzniveau im Sinne der Datenschutzgesetze der genannten Hoheitsgebiete gewährleisten, gelten – soweit eine solche Übermittlung den Datenschutzgesetzen und -bestimmungen unterliegt – zur Sicherstellung eines geeigneten Schutzes die folgenden Sicherheitsmaßnahmen: (i) die EU-US-Datenschutzschild-Regelung wie vom US-Handelsministerium verwaltet; und/oder (ii) die Standardvertragsklauseln im Sinne des Beschlusses der Kommission 2010/87/EU.

 

7. Verarbeitung durch einen Unterauftragsverarbeiter

(1) Zum Zweck dieser DPA sind unter Unterauftragsverarbeitung Dienstleistungen zu verstehen, die sich direkt auf die Erfüllung der Vereinbarung beziehen. Davon ausgenommen sind die folgenden ergänzenden Dienste: Telekommunikationsdienste, Post- oder Beförderungsdienste, Wartungstools und Tools für die Anwenderunterstützung. Zur Sicherstellung des Schutzes und der Sicherheit der Kundendaten ist der Auftragsverarbeiter jedoch verpflichtet, geeignete und rechtlich verbindliche vertragliche Vereinbarungen zu schließen und geeignete Kontrollmaßnahmen zu ergreifen. Dies gilt auch im Fall einer Auslagerung von ergänzenden Diensten.

(2) Die Unternehmen, die wichtige und wesentliche Dienstleistungen erbringen, die sich direkt auf die Erfüllung der Vereinbarung beziehen, sind in der aktuellen Liste der Unterauftragsverarbeiter in Verzeichnis 1 aufgeführt, die hier abrufbar ist. Der Datenverantwortliche willigt in deren Beauftragung ausdrücklich ein. 

(3) Änderungen an der Liste der Unterauftragsverarbeiter sind zulässig, wenn der Auftragsverarbeiter den Datenverantwortlichen über den Einsatz weiterer Unterauftragsverarbeiter in Kenntnis setzt und der Datenverantwortliche der geplanten Auslagerung nicht innerhalb von 30 Tagen schriftlich (auch per E-Mail) aus plausiblen Gründen widerspricht. Der Auftragsverarbeiter darf den Unterauftragsverarbeiter erst beauftragen, wenn angemessene Schritte zur Regelung der Einwände des Kunden unternommen wurden und dem Kunden die unternommenen Schritte in hinreichender Weise schriftlich dargelegt wurden. Gelingt es dem Auftragsverarbeiter und dem Datenverantwortlichen nicht, mit Blick auf den Einwand eine Lösung herbeizuführen, sind beide Parteien berechtigt, die Vereinbarung durch Übermittlung einer schriftlichen Kündigungsmitteilung an die jeweils andere Partei zu beenden.

(4) Der Auftragsverarbeiter stellt sicher, dass die Verarbeitung durch den Unterauftragsverarbeiter gemäß einer schriftlichen Vereinbarung ausgeführt wird, die dem Unterauftragsverarbeiter mindestens die gleichen Pflichten auferlegt, wie sie diese Vereinbarung dem Auftragsverarbeiter auferlegt. Der Auftragsverarbeiter führt regelmäßige Kontrollen der Einhaltung der Regeln durch den Unterauftragsverarbeiter durch.

 

8. Überprüfung

(a) Auf begründete schriftliche Anfrage des Datenverantwortlichen stellt der Auftragsverarbeiter die Informationen zur Verfügung, die für den Nachweis der Einhaltung dieser DPA durch den Kunden billigermaßen erforderlich sind. 

(b) Auf schriftliche Anfrage an den Auftragsverarbeiter und unter Einhaltung einer Vorankündigungsfrist von mindestens 30 Tagen können der Datenverantwortliche bzw. ein beauftragter externer Prüfer beim Auftragsverarbeiter während der üblichen Geschäftszeiten und ohne Störung des Geschäftsbetriebs im gemäß den Datenschutzgesetzen erforderlichen Umfang eine Kontrolle des Geschäftsbetriebs des Auftragsverarbeiters durchführen. Der Datenverantwortliche gewährleistet strikte Vertraulichkeit.

(c) Der Kunde trägt alle Kosten und Ausgaben des Auftragsverarbeiters, die im Zusammenhang mit der Bereitstellung dieser Informationen und der Geltendmachung des Rechts auf Überprüfung entstehen.

 

9. Kündigung des Vertrags

(a) Diese DPA endet zeitgleich und automatisch mit der Beendigung der Vereinbarung. 

(b) Der Datenverantwortliche kann die Vertragsbeziehung fristlos kündigen, wenn der Auftragsverarbeiter erheblich gegen diese DPA oder die Bestimmungen der Datenschutzgesetze verstößt.

 

10. Schlussbestimmungen

(a) Sofern diese Vereinbarung keine besonderen Bestimmungen enthält, gelten die Bestimmungen des Dienstleistungsvertrags. Bei Widersprüchen zwischen dieser Vereinbarung und dem Dienstleistungsvertrag sind die Bestimmungen dieser Vereinbarung maßgeblich.

(b) Sollten einzelne Bestimmungen dieser Vereinbarung ungültig werden, hat dies keine Auswirkungen auf die Gültigkeit der restlichen Vereinbarung.

(c) Diese Richtlinie wurde in mehreren Sprachen verfasst, darunter auch in Französisch. Die für die Auslegung dieser Datenschutzrichtlinie maßgebliche Fassung ist die englische Fassung.

 

11. Anwendbares Recht und Gerichtsstand

(a) Die Parteien vereinbaren hiermit, dass mit Blick auf Streitigkeiten oder Forderungen, die möglicherweise aus dieser DPA erwachsen, einschließlich Streitigkeiten hinsichtlich des Bestehens dieser DPA, ihrer Gültigkeit, ihrer Beendigung oder der Folgen ihrer Nichtigkeit der in der Vereinbarung festgelegte Gerichtsstand gilt.