Zur Startseite

Datenverarbeitungsverordnung (DSGVO)

Diese Auftragsverarbeitungsvereinbarung („Vereinbarung") ist Bestandteil der Nutzungsbedingungen („Hauptvereinbarung") zwischen dem Kunden und Fornex Hosting S.L., Fornexcloud Ltd., FORNEX INC (nachfolgend „Auftragsverarbeiter"), die gemeinsam als die „Parteien" bezeichnet werden.

PRÄAMBEL

  • (A) Der Kunde handelt als Verantwortlicher.
  • (B) Der Kunde beabsichtigt, bestimmte Dienste, die die Verarbeitung personenbezogener Daten umfassen, an den Auftragsverarbeiter zu vergeben.
  • (C) Die Parteien beabsichtigen, eine Vereinbarung über die Auftragsverarbeitung zu schließen, die den Anforderungen des geltenden Rechtsrahmens für die Datenverarbeitung sowie der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) entspricht.
  • (D) Die Parteien möchten ihre jeweiligen Rechte und Pflichten festlegen.

1. Begriffsbestimmungen und Auslegung

Sofern hierin nicht anders definiert, haben groß geschriebene Begriffe und Ausdrücke, die in dieser Vereinbarung verwendet werden, die folgende Bedeutung:
  1. „Vereinbarung" bezeichnet diese Auftragsverarbeitungsvereinbarung und alle Anhänge;
  2. „Anwendbare Rechtsvorschriften" bezeichnet alle Gesetze, Verordnungen und sonstigen rechtlichen Anforderungen, die im Zusammenhang mit der Vereinbarung auf eine Partei anwendbar sind;
  3. „Personenbezogene Daten des Kunden" bezeichnet alle personenbezogenen Daten, die von einem Beauftragten Verarbeiter im Auftrag des Kunden gemäß oder im Zusammenhang mit der Hauptvereinbarung verarbeitet werden;
  4. „Beauftragter Verarbeiter" bezeichnet den Auftragsverarbeiter oder einen Unterauftragsverarbeiter;
  5. „Datenschutzgesetze" bezeichnet die EU-Datenschutzgesetze sowie, soweit anwendbar, die Datenschutz- oder Datengeheimnisgesetze jedes anderen Landes;
  6. „EWR" bezeichnet den Europäischen Wirtschaftsraum;
  7. „EU-Datenschutzgesetze" bezeichnet die DSGVO und alle sonstigen jeweils geltenden EU-Datenschutzgesetze, einschließlich aller nationalen Gesetze der Mitgliedstaaten zur Umsetzung oder Ergänzung der DSGVO, jeweils in der geänderten, ersetzten oder abgelösten Fassung;
  8. „DSGVO" bezeichnet die EU-Datenschutz-Grundverordnung 2016/679;
  9. „Datenübermittlung" bezeichnet:
    1. eine Übermittlung von Personenbezogenen Daten des Kunden vom Kunden an einen Beauftragten Verarbeiter; oder
    2. eine Weiterübermittlung von Personenbezogenen Daten des Kunden von einem Beauftragten Verarbeiter an einen Unterauftragsverarbeiter oder zwischen zwei Niederlassungen eines Beauftragten Verarbeiters, jeweils in den Fällen, in denen eine solche Übermittlung nach den Datenschutzgesetzen (oder nach den Bestimmungen von Datenübermittlungsvereinbarungen, die zur Berücksichtigung der Übermittlungsbeschränkungen der Datenschutzgesetze geschlossen wurden) untersagt wäre;
  10. „Auftragsverarbeiter" bezeichnet Fornex Hosting S.L., Fornexcloud Ltd., FORNEX INC;
  11. „Dienste" bezeichnet die vom Auftragsverarbeiter erbrachten Hosting-Dienste;
  12. „Unterauftragsverarbeiter" bezeichnet jede Person, die vom Auftragsverarbeiter oder in dessen Auftrag bestellt wird, um personenbezogene Daten im Auftrag des Kunden im Zusammenhang mit der Vereinbarung zu verarbeiten.

Die Begriffe „Kommission", „Verantwortlicher", „betroffene Person", „Mitgliedstaat", „personenbezogene Daten", „Verletzung des Schutzes personenbezogener Daten", „Verarbeitung" und „Aufsichtsbehörde" haben dieselbe Bedeutung wie in der DSGVO, und die mit ihnen verwandten Begriffe sind entsprechend auszulegen.

2. Verarbeitung der Personenbezogenen Daten des Kunden

  1. Der Auftragsverarbeiter ist verpflichtet:
    1. bei der Verarbeitung der Personenbezogenen Daten des Kunden alle anwendbaren Datenschutzgesetze einzuhalten; und
    2. die Personenbezogenen Daten des Kunden ausschließlich auf der Grundlage der dokumentierten Weisungen des Kunden zu verarbeiten.
  2. Der Kunde weist den Auftragsverarbeiter an, die Personenbezogenen Daten des Kunden zu verarbeiten.

3. Personal des Auftragsverarbeiters

  1. Der Auftragsverarbeiter ergreift angemessene Maßnahmen, um die Zuverlässigkeit jedes Mitarbeiters, Vertreters oder Auftragnehmers eines Beauftragten Verarbeiters zu gewährleisten, der Zugang zu den Personenbezogenen Daten des Kunden haben könnte, wobei in jedem Fall sicherzustellen ist, dass der Zugang streng auf diejenigen Personen beschränkt ist, die die betreffenden Personenbezogenen Daten des Kunden kennen müssen oder Zugang zu ihnen benötigen, und zwar ausschließlich in dem für die Zwecke der Hauptvereinbarung und zur Einhaltung der Anwendbaren Rechtsvorschriften im Rahmen der Pflichten dieser Person gegenüber dem Beauftragten Verarbeiter erforderlichen Umfang, und wobei sicherzustellen ist, dass alle diese Personen Verschwiegenheitsverpflichtungen oder beruflichen oder gesetzlichen Geheimhaltungspflichten unterliegen.

4. Sicherheit

  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos unterschiedlicher Eintrittswahrscheinlichkeit und Schwere für die Rechte und Freiheiten natürlicher Personen trifft der Auftragsverarbeiter in Bezug auf die Personenbezogenen Daten des Kunden geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, einschließlich gegebenenfalls der in Artikel 32 Absatz 1 der DSGVO genannten Maßnahmen.
  2. Bei der Beurteilung des angemessenen Schutzniveaus berücksichtigt der Auftragsverarbeiter insbesondere die Risiken, die mit der Verarbeitung verbunden sind, insbesondere durch eine Verletzung des Schutzes personenbezogener Daten.

5. Hinzuziehung von Unterauftragsverarbeitern

  1. Der Auftragsverarbeiter darf keinen Unterauftragsverarbeiter beauftragen (oder ihm Personenbezogene Daten des Kunden offenlegen), sofern dies nicht vom Kunden verlangt oder genehmigt wird.

6. Rechte der betroffenen Personen

  1. Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Kunden durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Pflichten des Kunden, wie sie vom Kunden vernünftigerweise verstanden werden, zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Personen nach den Datenschutzgesetzen.
  2. Der Auftragsverarbeiter ist verpflichtet:
    1. den Kunden unverzüglich zu benachrichtigen, wenn er einen Antrag einer betroffenen Person nach einem Datenschutzgesetz in Bezug auf Personenbezogene Daten des Kunden erhält; und
    2. sicherzustellen, dass er einen solchen Antrag nur auf der Grundlage der dokumentierten Weisungen des Kunden beantwortet oder soweit dies nach den Anwendbaren Rechtsvorschriften, denen der Auftragsverarbeiter unterliegt, erforderlich ist; in diesem Fall informiert der Auftragsverarbeiter den Kunden, soweit nach den Anwendbaren Rechtsvorschriften zulässig, über diese rechtliche Anforderung, bevor der Beauftragte Verarbeiter den Antrag beantwortet.

7. Verletzung des Schutzes personenbezogener Daten

  1. Der Auftragsverarbeiter benachrichtigt den Kunden unverzüglich, nachdem ihm eine die Personenbezogenen Daten des Kunden betreffende Verletzung des Schutzes personenbezogener Daten bekannt geworden ist, und stellt dem Kunden ausreichende Informationen zur Verfügung, damit der Kunde etwaige Pflichten zur Meldung der Verletzung des Schutzes personenbezogener Daten oder zur Benachrichtigung der betroffenen Personen nach den Datenschutzgesetzen erfüllen kann.
  2. Der Auftragsverarbeiter arbeitet mit dem Kunden zusammen und ergreift die vom Kunden angewiesenen angemessenen wirtschaftlichen Maßnahmen, um bei der Untersuchung, Eindämmung und Behebung jeder solchen Verletzung des Schutzes personenbezogener Daten zu unterstützen.

8. Datenschutz-Folgenabschätzung und vorherige Konsultation

  1. Der Auftragsverarbeiter leistet dem Kunden angemessene Unterstützung bei allen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, die der Kunde nach Artikel 35 oder 36 der DSGVO oder nach gleichwertigen Bestimmungen eines anderen Datenschutzgesetzes vernünftigerweise für erforderlich hält, jeweils ausschließlich in Bezug auf die Verarbeitung der Personenbezogenen Daten des Kunden durch die Beauftragten Verarbeiter und unter Berücksichtigung der Art der Verarbeitung und der den Beauftragten Verarbeitern zur Verfügung stehenden Informationen.

9. Löschung oder Rückgabe der Personenbezogenen Daten des Kunden

  1. Vorbehaltlich dieses Abschnitts 9 löscht der Auftragsverarbeiter umgehend und in jedem Fall innerhalb von 10 Werktagen ab dem Zeitpunkt der Beendigung sämtlicher Dienste, die die Verarbeitung der Personenbezogenen Daten des Kunden umfassen (das „Beendigungsdatum"), alle Kopien dieser Personenbezogenen Daten des Kunden und veranlasst deren Löschung.
  2. Der Auftragsverarbeiter stellt dem Kunden innerhalb von 10 Werktagen ab dem Beendigungsdatum eine schriftliche Bestätigung darüber aus, dass er diesen Abschnitt 9 vollständig erfüllt hat.

10. Anweisungen zur vollständigen Entfernung der Personenbezogenen Daten des Kunden

  1. Um seine personenbezogenen Daten vollständig zu löschen, meldet sich der Kunde in seinem Konto auf der Website des Auftragsverarbeiters (https://fornex.com/) an, klickt auf „Tickets" (oder fügt https://fornex.com/my/tickets/ in den Browser ein und drückt die Eingabetaste) und klickt anschließend auf „Ticket erstellen", woraufhin ein Formular erscheint.
  2. Der Kunde trägt im Feld „Betreff" „Personenbezogene Daten löschen" ein, überspringt das Feld „Bezieht sich auf", wählt im Feld „Priorität" „Hoch" aus, trägt im letzten Feld des Formulars „Löschen Sie meine personenbezogenen Daten" ein und klickt auf „Erstellen".
  3. Die Anfrage wird innerhalb von 1–2 Stunden bearbeitet, und die Personenbezogenen Daten des Kunden werden vollständig aus den Datenbanken des Auftragsverarbeiters gelöscht.

11. Prüfungsrechte

  1. Vorbehaltlich dieses Abschnitts 11 stellt der Auftragsverarbeiter dem Kunden auf Anfrage alle Informationen zur Verfügung, die zum Nachweis der Einhaltung dieser Vereinbarung erforderlich sind, und ermöglicht und unterstützt Überprüfungen, einschließlich Inspektionen, durch den Kunden oder einen vom Kunden beauftragten Prüfer in Bezug auf die Verarbeitung der Personenbezogenen Daten des Kunden durch die Beauftragten Verarbeiter.
  2. Die Informations- und Prüfungsrechte des Kunden entstehen nach Abschnitt 11.1 nur insoweit, als die Vereinbarung ihm nicht anderweitig Informations- und Prüfungsrechte einräumt, die den einschlägigen Anforderungen der Datenschutzgesetze entsprechen.

12. Datenübermittlung

  1. Der Auftragsverarbeiter darf personenbezogene Daten ohne vorherige schriftliche Zustimmung des Kunden nicht in Länder außerhalb der EU und/oder des Europäischen Wirtschaftsraums (EWR) übermitteln oder eine solche Übermittlung gestatten. Werden im Rahmen dieser Vereinbarung verarbeitete personenbezogene Daten aus einem Land innerhalb des Europäischen Wirtschaftsraums in ein Land außerhalb des Europäischen Wirtschaftsraums übermittelt, so stellen die Parteien sicher, dass die personenbezogenen Daten angemessen geschützt sind. Zu diesem Zweck stützen sich die Parteien, sofern nichts anderes vereinbart wird, auf die von der EU genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten.

13. Allgemeine Bestimmungen

  1. Vertraulichkeit. Jede Partei muss diese Vereinbarung und alle Informationen, die sie über die andere Partei und deren Geschäft im Zusammenhang mit dieser Vereinbarung erhält („Vertrauliche Informationen"), vertraulich behandeln und darf diese Vertraulichen Informationen ohne vorherige schriftliche Zustimmung der anderen Partei nicht verwenden oder offenlegen, außer soweit:
    • (a) die Offenlegung gesetzlich vorgeschrieben ist;
    • (b) die betreffenden Informationen bereits öffentlich zugänglich sind.
  2. Mitteilungen. Alle Mitteilungen und Benachrichtigungen im Rahmen dieser Vereinbarung müssen schriftlich erfolgen und werden persönlich, per Post oder per E-Mail an die in der Überschrift dieser Vereinbarung angegebene Anschrift oder E-Mail-Adresse oder an eine andere Anschrift zugestellt, die von der ihre Anschrift ändernden Partei jeweils mitgeteilt wird.

14. Anwendbares Recht und Gerichtsstand

  1. Diese Vereinbarung unterliegt dem Recht der Europäischen Union.
  2. Alle Streitigkeiten im Zusammenhang mit dieser Vereinbarung, die die Parteien nicht einvernehmlich beilegen können, werden der ausschließlichen Zuständigkeit der Gerichte desjenigen EU-Mitgliedstaats unterworfen, in dem der betreffende Auftragsverarbeiter niedergelassen ist.
Hilfe benötigt?Unsere Ingenieure helfen Ihnen kostenlos bei jeder Frage in wenigen MinutenKontaktieren Sie uns