VERTRAG ZUR AUFTRAGSVERARBEITUNG PERSONENBEZOGENER DATEN

ℹ️ Hinweis: Diese deutsche Fassung ist eine unverbindliche Übersetzung zu Informationszwecken. Rechtlich maßgeblich ist ausschließlich die polnische Originalfassung, die dem polnischen Recht und der DSGVO unterliegt.

geschlossen am Tag des Beginns der Nutzung des Dienstes GabinetOnline zwischen:

Rybczak i Wspólnicy spółka z ograniczoną odpowiedzialnością
mit Sitz: ul. Przyjemna 4, 44-264 Jankowice, Polen
KRS: 0000520491
NIP: 642-318-72-10
nachfolgend „Auftragsverarbeiter" oder „Betreiber"

und

dem Nutzer des Dienstes GabinetOnline
nachfolgend „Verantwortlicher" oder „Nutzer"

§ 1. Gegenstand des Vertrags und Definitionen

1. Dieser Vertrag regelt die Bedingungen und den Umfang der Auftragsverarbeitung personenbezogener Daten durch den Verantwortlichen an den Auftragsverarbeiter im Zusammenhang mit der Erbringung von Leistungen mittels des Dienstes GabinetOnline (gabinetonline.com.pl).

2. Der Vertrag wurde in Ausführung von Art. 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) geschlossen.

3. Sofern im Vertrag die Rede ist von:

a) Personenbezogenen Daten – so sind darunter alle Informationen über eine identifizierte oder identifizierbare natürliche Person im Sinne von Art. 4 Nr. 1 DSGVO zu verstehen;

b) Verarbeitung – so ist darunter ein Vorgang oder eine Reihe von Vorgängen im Zusammenhang mit personenbezogenen Daten im Sinne von Art. 4 Nr. 2 DSGVO zu verstehen;

c) Verantwortlichem – so ist darunter der Nutzer des Dienstes zu verstehen, der Verantwortlicher für die personenbezogenen Daten im Sinne von Art. 4 Nr. 7 DSGVO ist und selbstständig die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt;

d) Auftragsverarbeiter (Prozessor) – so ist darunter der Betreiber des Dienstes zu verstehen, der die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet;

e) Dienst – so ist darunter das IT-System GabinetOnline zu verstehen, verfügbar unter der Adresse gabinetonline.com.pl;

f) DSGVO – so ist darunter die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zu verstehen;

g) Verletzung des Schutzes personenbezogener Daten – so ist darunter eine Verletzung der Sicherheit zu verstehen, die zur zufälligen oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugang zu übermittelten, gespeicherten oder auf sonstige Weise verarbeiteten personenbezogenen Daten führt;

h) Betroffener Person – so ist darunter eine identifizierte oder identifizierbare natürliche Person zu verstehen, deren Daten verarbeitet werden.

§ 2. Umfang der Auftragsverarbeitung

1. Der Verantwortliche überträgt und der Auftragsverarbeiter übernimmt zur Verarbeitung im Auftrag des Verantwortlichen personenbezogene Daten folgender Kategorien betroffener Personen:

  1. Kontrahenten des Verantwortlichen (Kunden des vom Verantwortlichen betriebenen Friseur-, Kosmetik- oder sonstigen Salons),
  2. Mitarbeitende des Verantwortlichen,
  3. andere Personen, deren Daten der Verantwortliche im Zusammenhang mit seiner Geschäftstätigkeit in den Dienst eingibt.

2. Die anvertrauten personenbezogenen Daten können folgende Datenkategorien umfassen:

  1. Identifikationsdaten (Vorname, Nachname),
  2. Kontaktdaten (E-Mail-Adresse, Telefonnummer, Wohnanschrift),
  3. Daten zu den erbrachten Leistungen und zur Besuchshistorie,
  4. Daten zu finanziellen Abrechnungen,
  5. vom Verantwortlichen in Form von Notizen und Kommentaren eingegebene Daten,
  6. sonstige vom Verantwortlichen in den Dienst eingegebene Daten.

3. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich zum Zweck der Erbringung der in den AGB festgelegten Leistungen des Dienstes, insbesondere:

  1. Speicherung und Bereitstellung der Daten für den Verantwortlichen,
  2. Ermöglichung der Verwaltung der Datenbank von Kontrahenten, Leistungen, Materialien und Mitarbeitenden,
  3. Versand von Benachrichtigungen an Kontrahenten auf Weisung des Verantwortlichen (SMS-Nachrichten, E-Mail),
  4. Erstellung von Berichten und Dokumenten,
  5. Gewährleistung der Funktionalität des Online-Buchungssystems.

4. Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter erfolgt für die Dauer des Vertrags über die Erbringung von Leistungen sowie für einen Zeitraum von 5 Jahren ab Beendigung der Leistungserbringung, gemäß § 8 Nr. 8 der AGB.

§ 3. Pflichten des Auftragsverarbeiters

1. Der Auftragsverarbeiter verpflichtet sich:

  1. die personenbezogenen Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation, es sei denn, eine solche Pflicht wird dem Auftragsverarbeiter durch das Recht der Union oder das Recht des Mitgliedstaats auferlegt, dem der Auftragsverarbeiter unterliegt; in diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen vor Beginn der Verarbeitung über diese rechtliche Pflicht, sofern dieses Recht eine solche Information nicht aus wichtigen Gründen des öffentlichen Interesses verbietet;
  2. zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  3. alle nach Art. 32 DSGVO erforderlichen Maßnahmen zu ergreifen und aufrechtzuerhalten, insbesondere:
    1. Verschlüsselung der Datenübertragung mittels SSL-Protokoll mit einem mindestens 128-Bit-Schlüssel,
    2. Anwendung von Zugriffskontrollmechanismen, die gewährleisten, dass der Zugang zu den Daten ausschließlich dem Verantwortlichen über ein individuelles Passwort möglich ist,
    3. Erstellung regelmäßiger Backups der Daten,
    4. Aufrechterhaltung der physischen Sicherheit des Rechenzentrums (Überwachung, Brandschutz),
    5. regelmäßige Aktualisierung der Software im Bereich der Sicherheitsupdates;
  4. bei der Wahl der technischen und organisatorischen Maßnahmen die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung sowie das Risiko der Verletzung der Rechte oder Freiheiten natürlicher Personen mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere zu berücksichtigen;
  5. dem Verantwortlichen im erforderlichen Umfang bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen betroffener Personen hinsichtlich der Ausübung ihrer in Kapitel III DSGVO festgelegten Rechte zu helfen;
  6. dem Verantwortlichen bei der Gewährleistung der Erfüllung der in Art. 32–36 DSGVO festgelegten Pflichten zu helfen, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen;
  7. nach Wahl des Verantwortlichen alle personenbezogenen Daten nach Beendigung der mit der Verarbeitung verbundenen Leistungen zu löschen oder an den Verantwortlichen zurückzugeben sowie alle vorhandenen Kopien davon zu löschen, es sei denn, das Recht der Union oder das Recht eines Mitgliedstaats schreibt die Speicherung der personenbezogenen Daten vor;
  8. dem Verantwortlichen alle Informationen zur Verfügung zu stellen, die zum Nachweis der Erfüllung der in Art. 28 DSGVO festgelegten Pflichten erforderlich sind, sowie Überprüfungen – einschließlich Inspektionen – durch den Verantwortlichen zu ermöglichen und dazu beizutragen;
  9. den Verantwortlichen unverzüglich zu informieren, wenn nach seiner Auffassung eine vom Verantwortlichen erteilte Weisung gegen die DSGVO oder andere Datenschutzvorschriften der Union oder der Mitgliedstaaten verstößt.

§ 4. Weitere Auftragsverarbeitung (Unterauftragsverarbeiter)

1. Der Verantwortliche erteilt eine allgemeine Genehmigung zur Inanspruchnahme der Dienste von Unterauftragsverarbeitern durch den Auftragsverarbeiter.

2. Der Auftragsverarbeiter kann die Verarbeitung personenbezogener Daten folgenden Kategorien von Unterauftragsverarbeitern anvertrauen:

  1. Anbietern von Hosting-Diensten und IT-Infrastruktur,
  2. Anbietern von SMS- und E-Mail-Versanddiensten,
  3. Anbietern von Zahlungsdiensten (im zur Realisierung der Zahlungen erforderlichen Umfang),
  4. Anbietern von Backup- und Datenwiederherstellungsdiensten.

3. Der Auftragsverarbeiter verpflichtet sich:

  1. den Unterauftragsverarbeitern im Wege eines Vertrags oder eines anderen Rechtsakts dieselben Datenschutzpflichten aufzuerlegen, die in diesem Vertrag festgelegt sind, insbesondere die Pflicht zur Gewährleistung ausreichender Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen, damit die Verarbeitung den Anforderungen der DSGVO entspricht;
  2. den Verantwortlichen über alle geplanten Änderungen hinsichtlich der Hinzuziehung oder Ersetzung weiterer Prozessoren zu informieren, indem die Information mit einer Frist von mindestens 14 Tagen an sichtbarer Stelle im Dienst veröffentlicht wird, wodurch dem Verantwortlichen die Möglichkeit gegeben wird, solchen Änderungen zu widersprechen;
  3. gegenüber dem Verantwortlichen die volle Verantwortung für die Erfüllung der dem Unterauftragsverarbeiter übertragenen Pflichten zu tragen, wenn der Unterauftragsverarbeiter seine Datenschutzpflichten nicht erfüllt.

4. Widerspricht der Verantwortliche Änderungen hinsichtlich der Unterauftragsverarbeiter, so hat der Verantwortliche das Recht, den Vertrag mit sofortiger Wirkung aufzulösen.

§ 5. Verletzung des Schutzes personenbezogener Daten

1. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen unverzüglich, spätestens innerhalb von 24 Stunden nach Kenntniserlangung, jede Verletzung des Schutzes personenbezogener Daten zu melden.

2. Die in Abs. 1 genannte Meldung sollte mindestens Folgendes enthalten:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, bei der weitere Informationen eingeholt werden können;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  4. eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, gegebenenfalls einschließlich Maßnahmen zur Minderung ihrer möglichen nachteiligen Auswirkungen.

3. Der Auftragsverarbeiter verpflichtet sich zur Zusammenarbeit mit dem Verantwortlichen bei der Aufklärung der Umstände der Verletzung sowie bei der Ergreifung von Abhilfemaßnahmen.

4. Die Meldung der Verletzung sollte an die E-Mail-Adresse des Verantwortlichen erfolgen, die bei der Registrierung im Dienst angegeben wurde.

§ 6. Audit und Kontrolle

1. Der Verantwortliche hat das Recht, beim Auftragsverarbeiter ein Audit durchzuführen, um die Übereinstimmung der Verarbeitung personenbezogener Daten mit diesem Vertrag sowie den Anforderungen der DSGVO zu überprüfen.

2. Das Audit kann vom Verantwortlichen persönlich oder durch einen bevollmächtigten Auditor durchgeführt werden.

3. Der Verantwortliche meldet die Absicht, ein Audit durchzuführen, mit einer Frist von mindestens 14 Tagen an und gibt den vorgeschlagenen Termin und Umfang des Audits an.

4. Ein Audit darf höchstens einmal alle 12 Monate stattfinden, es sei denn, es liegen begründete Anhaltspunkte für eine Verletzung der Vertragsbestimmungen oder der DSGVO-Vorschriften vor.

5. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen oder dem Auditor alle für die Durchführung des Audits erforderlichen Informationen und Dokumente zur Verfügung zu stellen.

6. Das Audit darf den normalen Geschäftsbetrieb des Auftragsverarbeiters nicht stören und muss unter Wahrung des Geschäftsgeheimnisses sowie der Daten anderer Kunden des Auftragsverarbeiters durchgeführt werden.

§ 7. Haftung und Schadensersatz

1. Der Auftragsverarbeiter haftet für Schäden, die im Zusammenhang mit der Verarbeitung personenbezogener Daten verursacht werden, wenn er die speziell den Auftragsverarbeitern auferlegten Pflichten der DSGVO nicht erfüllt hat oder wenn er unter Nichtbeachtung der rechtmäßigen Weisungen des Verantwortlichen oder gegen diese Weisungen gehandelt hat.

2. Die Gesamthaftung des Auftragsverarbeiters gegenüber dem Verantwortlichen aus diesem Vertrag darf in einem Kalenderjahr den Betrag nicht überschreiten, der dem jährlichen Wert der vom Verantwortlichen für die Nutzung des Dienstes entrichteten Entgelte entspricht.

3. Der Auftragsverarbeiter haftet nicht für Schäden, die zurückzuführen sind auf:

  1. Handlungen oder Unterlassungen des Verantwortlichen,
  2. die Offenlegung des Zugangspassworts durch den Verantwortlichen an Dritte,
  3. die unsachgemäße Nutzung des Dienstes durch den Verantwortlichen,
  4. Umstände, für die der Auftragsverarbeiter gemäß den AGB des Dienstes nicht haftet.

§ 8. Pflichten des Verantwortlichen

1. Der Verantwortliche erklärt, dass er:

  1. Verantwortlicher für die personenbezogenen Daten im Sinne der DSGVO ist und berechtigt ist, ihre Verarbeitung dem Auftragsverarbeiter anzuvertrauen,
  2. über eine angemessene Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten verfügt,
  3. die personenbezogenen Daten auf rechtmäßige Weise erhoben wurden,
  4. die betroffenen Personen über die Auftragsverarbeitung ihrer personenbezogenen Daten durch den Auftragsverarbeiter informiert hat oder dies unverzüglich tun wird.

2. Der Verantwortliche verpflichtet sich:

  1. dem Auftragsverarbeiter ausschließlich rechtmäßige Weisungen hinsichtlich der Verarbeitung personenbezogener Daten zu erteilen,
  2. die Informationspflichten gegenüber den betroffenen Personen selbstständig zu erfüllen,
  3. Anträge betroffener Personen hinsichtlich der Ausübung ihrer sich aus der DSGVO ergebenden Rechte selbstständig zu bearbeiten,
  4. den Auftragsverarbeiter unverzüglich über alle Fälle zu informieren, die sich auf die Verarbeitung personenbezogener Daten auswirken können.

§ 9. Laufzeit und Auflösung des Vertrags

1. Der Vertrag tritt mit dem Tag des Beginns der Nutzung des Dienstes durch den Verantwortlichen in Kraft und gilt für die in den AGB festgelegte Dauer der Leistungserbringung.

2. Der Vertrag wird mit der Auflösung des Vertrags über die Erbringung von Leistungen gemäß den AGB aufgelöst.

3. Im Falle der Auflösung des Vertrags wird der Auftragsverarbeiter nach Wahl des Verantwortlichen:

  1. alle personenbezogenen Daten sowie alle vorhandenen Kopien davon löschen, sofern das Recht ihre Speicherung nicht erfordert, oder
  2. dem Verantwortlichen alle personenbezogenen Daten in einem vereinbarten Format zurückgeben.

4. Unbeschadet der Bestimmungen von Abs. 3 hat der Auftragsverarbeiter das Recht, die personenbezogenen Daten für einen Zeitraum von 5 Jahren ab Beendigung der Leistungserbringung gemäß § 8 Nr. 8 der AGB zu speichern, ausschließlich zu Archivzwecken und im zum Nachweis der ordnungsgemäßen Leistungserbringung erforderlichen Umfang.

5. Nach der in Abs. 3 lit. a) genannten Löschung der Daten stellt der Auftragsverarbeiter dem Verantwortlichen eine schriftliche Bestätigung ihrer Löschung zur Verfügung.

§ 10. Schlussbestimmungen

1. Dieser Vertrag ist integraler Bestandteil der AGB des Dienstes GabinetOnline.

2. In den in diesem Vertrag nicht geregelten Angelegenheiten finden die Vorschriften der DSGVO sowie die Vorschriften des polnischen Rechts Anwendung, insbesondere des Gesetzes vom 10. Mai 2018 über den Schutz personenbezogener Daten.

3. Alle Änderungen des Vertrags bedürfen zu ihrer Wirksamkeit der Schriftform, vorbehaltlich der Bestimmungen über die Änderung der AGB.

4. Im Falle eines Widerspruchs zwischen den Bestimmungen dieses Vertrags und den AGB haben die Bestimmungen dieses Vertrags im Bereich des Schutzes personenbezogener Daten Vorrang.

5. Die Parteien werden bestrebt sein, alle im Zusammenhang mit der Durchführung dieses Vertrags entstehenden Streitigkeiten gütlich beizulegen. Kommt keine Einigung zustande, werden die Streitigkeiten durch das für den Sitz des Auftragsverarbeiters zuständige Gericht entschieden.

6. Der Vertrag wurde in polnischer Sprache abgefasst.

7. Mit der Annahme der AGB des Dienstes GabinetOnline akzeptiert der Verantwortliche gleichzeitig die Bestimmungen dieses Vertrags über die Auftragsverarbeitung personenbezogener Daten.

§ 11. Kontaktdaten in Angelegenheiten des Schutzes personenbezogener Daten

Auftragsverarbeiter (Betreiber):
Rybczak i Wspólnicy Sp. z o.o.
ul. Przyjemna 4, 44-264 Jankowice, Polen
E-Mail: biuro@gabinetonline.com.pl
Telefon: +48 514 14 55 65

Verantwortlicher:
Bei der Registrierung im Dienst angegebene Kontaktdaten