Vertrag zur Auftragsverarbeitung

betreffend die Vereinbarung

Nutzung der E-Commerce Plattform SUPR

 („Hauptvertrag“)

zwischen

 („Auftraggeber“)

und der

Wirecard Technologies GmbH

Einsteinring 35

85609 Aschheim

 („Auftragnehmer“ oder “Wirecard“).

 

  1. Gegenstand und Dauer der Auftragsverarbeitung
  • Die vorliegende Vereinbarung zur Auftragsverarbeitung konkretisiert die gesetzlichen Rechte und Pflichten, die sich für den Auftragnehmer und den Auftraggeber aus dem anwendbaren Datenschutzrecht und insbesondere aus der Datenschutzgrundverordnung (VO (EU) 2016/679, nachfolgend auch „DS-GVO“) sowie aus den anwendbaren nationalen Umsetzungsgesetze ergeben, sofern und soweit der Auftragnehmer für den Auftraggeber im Rahmen des Hauptvertrages personenbezogene Daten verarbeitet.
  • Gegenstand und Zweck der Auftragsverarbeitung für den Auftraggeber ist das Betreiben eines Webshops („SUPR Onlineshop“) über die E-Commerce Plattform SUPR („SUPR“).

Mit SUPR können Verkäufer, Dienstleistungsanbieter oder sonstige Unternehmer einen eigenen Onlineshop erstellen, anpassen und verwalten. Zudem bietet SUPR die technische Möglichkeit, Leistungen von ausgewählten Dritten mit dem jeweiligen SUPR Onlineshop technisch zu verknüpfen und so zu nutzen.

  • Die Dauer der Auftragsverarbeitung umfasst die Laufzeit des Hauptvertrags, in dessen Rahmen diese Vereinbarung zur Auftragsdatenvereinbarung („Vereinbarung“) getroffen wurde.
  1. Auftragsinhalt
  • Art und Zweck der vorgesehenen Erhebung, Verarbeitung und Nutzung von Daten sind
    • die Erfüllung der Pflichten des Auftragnehmers aus dem Hauptvertrag zur Nutzung von SUPR
  • Art der Daten sind
    • Informationen über den Endkunden des Auftraggebers (z.B. Vor- und Nachname, Rechnungs- und Lieferadresse, E-Mail-Adresse, IP Adresse)

Folgende Daten der Endkunden des Auftraggebers werden im Einzelnen erhoben und verarbeitet:

  • E-Mail-Adresse
  • Anrede
  • Vorname / Nachname
  • Rechnungs- und Lieferadresse
  • IP Adresse
  • Informationen zu der gewählten Zahlungsart des Endkunden (z.B. Kreditkarte)
  • Informationen zur Transaktion (z.B. Ware, Artikelnummer, Kaufpreis und ähnliche Informationen, die im Admin-Bereich des Webshops verwaltet werden)
  • Informationen über aktuelle und vergangene Transaktionen des Endkunden

 

soweit sie zur Erfüllung der o.a. Zwecke benötigt werden.

  • Betroffene sind Endkunden des Auftraggebers.
  1. Technische und organisatorische Maßnahmen
  • Für die ordnungsgemäße Umsetzung der in vorbezeichneter Vereinbarung zwischen den Parteien geregelten Auftragsverarbeitung durch den Auftragnehmer hat dieser geeignete technische und organisatorische Maßnahmen zur Datensicherung im Sinne von Art 28, 32 DS-GVO getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Eine Übersicht der zum Zeitpunkt der Auftragsvergabe getroffenen Maßnahmen wird dem Auftraggeber mit dieser Vereinbarung als Anlage 1 zur Verfügung gestellt.
  • Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, getroffene Maßnahmen weiterzuentwickeln und/oder mit adäquaten Alternativen zu ersetzen. Dabei darf das gesetzlich vorgeschriebene Datenschutzniveau nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. Der Auftragnehmer stellt dem Auftraggeber jederzeit auf Anfrage Informationen zu den angewandten technischen und organisatorischen Maßnahmen zur Verfügung.
  1. Rechte der Betroffenen

Der Auftragnehmer wird den Auftraggeber nach Weisung des Auftraggebers bei dessen Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte eines Betroffenen nach Kapitel III der DS-GVO nach Möglichkeit unterstützen und die hierfür geeigneten und erforderlichen technischen und organisatorischen Maßnahmen treffen. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Wahrnehmung seiner Rechte bezüglich seiner personenbezogenen Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber weiterleiten. Soweit der Auftragnehmer den Auftraggeber bei der Erfüllung der Ansprüche Betroffener unterstützt, erstattet der Auftraggeber dem Auftragnehmer Kosten und Aufwand.

  1. Pflichten des Auftragnehmers
  • Der Auftragnehmer wird die personenbezogenen Daten nur auf Weisung, also die auf einen bestimmten datenschutzmäßigen Umgang (z.B. Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit Daten gerichtete dokumentierte Anordnung des Auftraggebers, verarbeiten (einschließlich der Übermittlung), es sei denn, er ist zur Verarbeitung gesetzlich verpflichtet; in diesem Fall wird er dem Auftraggeber diese gesetzliche Anforderung vorab mitteilen, es sei denn, eine solche Mitteilung ist aufgrund eines wichtigen öffentlichen Interesses untersagt.
  • Der Auftragnehmer gewährleistet, dass die bei der Datenverarbeitung eingesetzten Mitarbeiter des Auftragnehmers schriftlich zur Vertraulichkeit gemäß Art. 28 Abs. 3 b) DS-GVO verpflichtet worden sind oder einer angemessenen gesetzlichen Schweigepflicht unterliegen. Soweit der Auftraggeber weiteren Geheimhaltungspflichten, etwa nach berufsrechtlichen, strafrechtlichen oder prozessrechtlichen Vorschriften, unterliegt, klärt er den Auftragnehmer hierüber auf und unterweist ihn und seine Mitarbeiter auf Verlangen in der Anwendung der Geheimhaltungspflichten.
  • Die technischen und organisatorischen Maßnahmen, wie unter Ziffer 3 dieser Vereinbarung und in der Anlage 1 hierzu definiert, werden vom Auftragnehmer umgesetzt und eingehalten. Hierzu gehören insbesondere
  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  • Soweit keine Verfahrenserwägungen entgegenstehen, wird der Auftragnehmer den Auftraggeber über aufsichtsrechtliche Maßnahmen der zuständigen Aufsichtsbehörde nach Art. 58 DS-GVO sowie über gerichtliche Entscheidungen im Zusammenhang mit den Art. 83, 84 DS-GVO informieren.
  • Der Auftragnehmer hat einen Datenschutzbeauftragten bestellt und wird diesen gegenüber dem Auftraggeber schriftlich oder per Email benennen.
  • Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit die von ihm übermittelten personenbezogenen Daten und Unterlagen betroffen sind. Nicht mehr erforderliche Daten sind beim Auftragnehmer unter Maßgabe von Ziffer 4 dieser ergänzenden Bestimmungen unverzüglich zu löschen. Eventuelle über diese ergänzenden Bestimmungen hinausgehende Kontrollen richten sich allein nach den gesetzlichen Vorschriften.
  1. Unterstützung nach Art. 32 bis 36 DS-GVO

Der Auftragnehmer wird den Auftraggeber auf Anfrage im Rahmen des Zumutbaren und Erforderlichen sowie unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der Pflichten nach den Art. 32 bis 36 DS-GVO mit geeigneten technischen und organisatorischen Maßnahmen unterstützen. Dies betrifft u.a. die Wahrnehmung der Betroffenenrechte, die Sicherheit der Verarbeitung, die Meldung von Datenschutzverstößen und entsprechende Benachrichtigung der Betroffenen, die Unterstützung bei Kontrollen durch die zuständigen Aufsichtsbehörden, sowie bei der Datenschutz-Folgeabschätzung. Der Auftraggeber wird den Auftragnehmer für dessen Unterstützung von allen hiermit zusammenhängenden Unkosten und Aufwand freistellen, es sei denn, die kosten/aufwandverursachenden Maßnahmen wurden vom Auftragnehmer verschuldet. Können sich die Parteien nicht über den Umfang der Erstattung einigen, werden die Kosten, die der Auftragnehmer für erforderlich halten durfte, in vollem Umfang, und der Aufwand erstattet.

  1. Begründung von Unterauftragsverhältnissen
  • Der Auftragnehmer darf zur Erfüllung der vertraglichen Leistungen Teile der Verarbeitung an Unterauftragnehmer vergeben. Folgender Unterauftragnehmer ist zum Zeitpunkt des Vertragsschlusses mit der Erbringung von vertragsrelevanten Leistungen beauftragt:
    • als IT-Dienstleister die Akra GmbH, die neben Wartungstätigkeiten auch Hosting- und Serverleistungen erbringt;
    • Hermes Germany GmbH für die Erstellung eines Versandlabels.

Der Auftraggeber erklärt sich mit der Unterbeauftragung der vorgenannten Unternehmen einverstanden. Ebenso ist der Auftraggeber mit der Unterbeauftragung weiterer Unternehmen einverstanden, sofern die Verpflichtungen dieser Vereinbarung an die Unterauftragnehmer weitergegeben werden und dabei mindestens dasselbe Schutzniveau eingehalten wird.

  • Bei der Einbindung von weiteren Unterauftragnehmern wird der Auftragnehmer den Auftraggeber informieren. Der Auftraggeber darf hinzukommende Unterauftragnehmer des Auftragnehmers nur dann ablehnen, soweit hierfür ein zwingender datenschutzrechtlicher Grund vorliegt und dies unverzüglich nach der Information schriftlich an den Auftragnehmer kommuniziert wurde. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer als Nebenleistung zur Unterstützung bei der Auftragsdurchführung von Dritten in Anspruch nimmt. Hierzu zählen Telekommunikationsdienstleistungen einschließlich Housing sowie Übermittlung und Hosting von Daten, Transport- und Kommunikationsdienstleistungen, Reinigungskräfte sowie Datenträger- und Dokumententsorgung.
  • Der Auftragnehmer schließt im Rahmen der Unterauftragsverhältnisse die datenschutzrechtlich erforderlichen Verträge. Dem Auftragnehmer ist es gestattet, die Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten oder durch Unterauftragnehmer verarbeiten zu lassen, wenn er den Auftraggeber vorab über den Ort der Datenverarbeitung informiert und ihm die Einhaltung der technischen und organisatorischen Maßnahmen auf Verlangen nachweist. Auf etwaige Unterauftragnehmer ist diese Ziffer 7 vollumfänglich anwendbar. Der Auftraggeber bevollmächtigt den Auftragnehmer hiermit, in Vertretung des Auftraggebers mit Unterauftragnehmern Verträge – etwa (Unter-)
    Auftragsverarbeitungsverträge und EU-Standardvertragsklauseln oder ähnliche Verträge – abzuschließen, die erforderlich sind, um hinsichtlich des Datentransfers ein angemessenes Datenschutzniveau zu gewährleisten. Der Auftragnehmer darf Unterauftragnehmern Untervollmachten erteilen. Der Auftraggeber wird den Auftragnehmer unentgeltlich und im erforderlichen und zumutbaren Maß an der Erfüllung der rechtlichen Voraussetzungen für den Datentransfer unterstützen.
  1. Kontrollrechte des Auftraggebers
  • Der Auftraggeber hat sich von der ordnungsgemäßen Verarbeitung seiner personenbezogenen Daten sowie von der Einhaltung der beim Auftragnehmer vor Ort getroffenen technischen und organisatorischen Datensicherungsmaßnahmen zu überzeugen. Hierzu wird der Auftragnehmer auf Anfrage des Auftraggebers die Einhaltung der technischen und organisatorischen Maßnahmen durch geeignete Dokumentation wie z.B. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Revision, Datenschutzbeauftragte, IT-Sicherheitsabteilung, externe Datenschutzauditoren) oder eine Zertifizierung durch IT- Sicherheits- oder Datenschutzaudit und/oder anerkannten Zertifizierungen nach ISO 27001 nachweisen.
  • Der Auftragnehmer wird dem Auftraggeber oder einem von diesem beauftragten unabhängigen externen Prüfer die Überprüfung, einschließlich Inspektion, ermöglichen und hierzu beitragen, insbesondere wenn es z.B. einen Sicherheitsvorfall gab und /oder eine Überprüfung, einschließlich Inspektion, vom Gesetzgeber oder von einer Datenschutzbehörde verlangt wird. Zu einer solchen Überprüfung, einschließlich Inspektion, darf der Auftraggeber oder sein beauftragter unabhängiger Dritter nach Anmeldung im Rahmen der üblichen Geschäftszeiten auf eigene Kosten, ohne Störung des Betriebsablaufs und unter Beachtung der Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragnehmers und eventueller Unterauftragnehmer die Geschäftsräume des Auftragnehmers, in denen Daten des Auftraggebers verarbeitet werden, betreten, um sich von der Einhaltung der technischen und organisatorischen Maßnahmen nach Anlage 1 zu überzeugen.
  • Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens vier Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, anlassbezogen weitere Kontrollen im Fall von Verletzungen datenschutzrechtlicher Pflichten durch den Auftragnehmer durchzuführen.
  • Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund dieses Vertrags gegenüber dem Auftragnehmer verpflichtet ist. Auf Verlangen hat der Auftraggeber dem Auftragnehmer die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Konkurrenten des Auftragnehmers mit der Kontrolle beauftragen.
  • Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder wenn der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder vertragliche Regelungen verstoßen würde. Insbesondere erhält der Auftraggeber keinen Zugang zu Informationen über andere Geschäftspartner des Auftragnehmers, über Kosten, über Qualitätsprüfungs- und Vertragsmanagementberichte sowie über sämtliche andere nichtöffentliche Informationen des Auftragnehmers, die für gesetzliche Kontrollrechte nicht unmittelbar erforderlich sind.
  • Der Auftraggeber erstattet dem Auftragnehmer dessen Kosten und Aufwendungen des Nachweises der Einhaltung der technischen und organisatorischen Maßnahmen, insbesondere den Aufwand für etwaige Vor-Ort-Überprüfungen und Inspektionen.
  1. Mitteilung bei Verstößen des Auftragnehmers

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm eine Verletzung des Schutzes personenbezogener Daten des Auftraggebers bekannt wird. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene und spricht sich hierfür unverzüglich mit dem Auftraggeber ab.

  1. Verantwortlichkeit und Weisungsbefugnis des Auftraggebers
  • Der Auftraggeber ist verantwortliche Stelle für die Verarbeitung der Daten im Auftrag durch den Auftragnehmer. Die Beurteilung der Zulässigkeit der Datenverarbeitung obliegt dem Auftraggeber. Dem Auftraggeber obliegt es, dem Auftragnehmer die Daten rechtzeitig zur Leistungserbringung in der erforderlichen Qualität zur Verfügung zu stellen.
  • Der Auftragnehmer verpflichtet sich, die Verarbeitung der ihm übergebenen personenbezogenen Daten im Rahmen der vertraglich festgelegten Weisungen des Auftraggebers durchzuführen.
  • Der Auftragnehmer und seine Unterauftragnehmer dürfen die Daten im Rahmen des datenschutzrechtlich Zulässigen für eigene Zwecke verarbeiten, soweit das Gesetz oder eine Einwilligung des Betroffenen dies gestattet. Auf solche Datenverarbeitungen findet dieser Vertrag keine Anwendung. In jedem Fall dürfen der Auftragnehmer und seine Unterauftragnehmer die Daten in anonymisierter Form für eigene Zwecke verarbeiten.
  • Der Auftraggeber trägt aufgrund von Weisungen anfallende Mehrkosten; der Auftragnehmer kann einen Vorschuss verlangen. Der Auftragnehmer darf die Ausführung zusätzlicher oder geänderter Datenverarbeitungen verweigern, wenn sie zu einer Änderung des Arbeitsaufwands führen würden oder wenn der Auftraggeber die Erstattung der Mehrkosten oder den Vorschuss verweigert.
  • Aus Gründen der Nachvollziehbarkeit haben sämtliche Weisungen des Auftraggebers schriftlich oder in Textform (z. B. per E-Mail) zu erfolgen bzw. muss jede mündliche Weisung unverzüglich schriftlich oder in Textform bestätigt werden.
  • Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen die DS-GVO, das Bundesdatenschutzgesetz oder andere Vorschriften über den Datenschutz verstößt, darf er die Ausführung der Weisung verweigern, bis der Auftraggeber die Weisung bestätigt oder in eine datenschutzkonforme Weisung geändert hat.
  1. Löschung von Daten und Rückgabe von Datenträgern

Nach Beendigung des Auftragsverhältnisses ist der Auftragnehmer verpflichtet, die ihm in Zusammenhang mit dem Hauptvertrag übergebenen und noch nicht gelöschten personenbezogenen Daten nach seiner Wahl zu löschen, zu sperren oder an den Auftraggeber zurückzugeben. Gesetzliche, behördliche, satzungsgemäße, vertragliche und andere Aufbewahrungspflichten bleiben unberührt.

  1. Ansprechpartner in Sachen Datenverarbeitung bzw. Datenschutz

Seitens des Auftraggebers:

Seitens des Auftragnehmers:

Externer betrieblicher Datenschutzbeauftragter: Dr. Felix Wittern, Fieldfisher (Germany) LLP, Am Sandtorkai 68, 20457 Hamburg

  1. Unterschriften

Ort/Datum

Für den Auftraggeber

 

Ort/Datum

Für den Auftragnehmer

ADV DOWNLOADEN