Auftragsverarbeitungsvereinbarung

Vereinbarung über die Verarbeitung personenbezogener Daten
im Auftrag eines Verantwortlichen gemäß Art. 28 DSGVO

zwischen

${client}

- nachfolgend „Auftraggeber“ genannt -

und
der insight.out GmbH, Hertelsbrunnenring 22, 67657 Kaiserslautern, vertreten d. d. Geschäftsführung

- nachfolgend „Auftragnehmer“ genannt -

Präambel

Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der Nutzung des Tools des Auftragnehmers „test.box“, dem hierzu geschlossenen „Hauptvertrag“ des Abonnements und den allgemeinen Geschäftsbedingungen ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.

  1. Vertragsgegenstand
    Im Rahmen der Leistungserbringung nach dem Hauptvertrag ist es erforderlich, dass der Auftragnehmer mit personenbezogenen Daten umgeht, für die der Auftraggeber als Verantwortlicher im Sinne der datenschutzrechtlichen Vorschriften fungiert (nachfolgend „Auftraggeber-Daten“ genannt). Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragnehmers mit Auftraggeber-Daten zur Durchführung des Hauptvertrags.
  2. Umfang der Beauftragung
  3. Weisungsbefugnisse des Auftraggebers
  4. Verantwortlichkeit des Auftraggebers
  5. Anforderungen an Personal
    Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, bezüglich der Verarbeitung von Auftraggeber-Daten zur Vertraulichkeit zu verpflichten.
  6. Sicherheit der Verarbeitung
  7. Inanspruchnahme weiterer Auftragsverarbeiter
  8. Rechte der betroffenen Personen
  9. Mitteilungs- und Unterstützungspflichten des Auftragnehmers
  10. Datenlöschung
  11. Nachweise und Überprüfungen
  12. Vertragsdauer und Kündigung
  13. Haftung
  14. Schlussbestimmungen

${signatures}
Anlagen:
Anlage 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kategorien der betroffenen Personen
Anlage 2: Weitere Auftragsverarbeiter
Anlage 3: Technische und organisatorische Maßnahmen des Auftragnehmers

Anlage 1: Zweck, Art und Umfang der Datenverarbeitung, Art der Daten und Kategorien der betroffenen Personen

Zweck der Datenverarbeitung Erbringung von Software-Dienstleistung; Einpflegen von Kundendaten- und Mitarbeiterdaten des Verantwortlichen in Softwarelösung zwecks Nutzbarmachung der Software; Bearbeitung und Digitalisierung von psychologischen Testverfahren
Art und Umfang der Datenverarbeitung Vgl. Hauptvertrag
Art der Daten
  • Personenstammdaten
  • Geburtsdatum
  • Testdaten
  • Geräteinformationen (z.B. Modell, Version, Browser)
  • Kommunikationsdaten (z.B. Telefon, EMail)
  • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
  • Kundenhistorie
  • Vertragsabrechnungs- und Zahlungsdaten
  • Planungs- und Steuerungsdaten
Kategorien betroffener Personen
  • Kunden
  • Patienten
  • Interessenten
  • Beschäftigte
  • Ansprechpartner

Anlage 2: Weitere Auftragsverarbeiter

Firma, Anschrift Art der Verarbeitung Zweck Art der Daten Kategorien der betroffenen Personen
netcup GmbH
Daimlerstr. 25
76185 Karlsruhe
Speicherung Zugänglichmachen des Tools s. Anlage 1 s. Anlage 1
Unzer E-Com GmbH
Vangerowstraße 18
69115 Heidelberg
Zahlungsverarbeitung Begleichung von Rechnungs- und Zahlvorgängen Vertragsabrechnungsund Zahlungsdaten Kunden
Unzer Luxembourg S.A. Société anonyme,
1, Place du Marché,
L-6755 Grevenmacher
Zahlungsverarbeitung Begleichung von Rechnungs- und Zahlvorgängen Vertragsabrechnungsund Zahlungsdaten Kunden

Anlage 3: Technische und organisatorische Maßnahmen des Auftragnehmers

  1. Vertraulichkeit (Art. 32 Abs. 1 lit. B DSGVO)
    1.1 Zutrittskontrolle
    1.2 Zugangskontrolle
    1.3 Zugriffskontrolle
    1.4 Trennungskontrolle
    1.5 Pseudonymisierung
  2. Integrität (Art. 32 Abs. 1 lit b. DSGVO)
    2.1 Weitergabeprotokolle
    2.2 Eingangskontrolle
  3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. B DSGVO)
    3.1 Verfügbarkeitskontrolle
  4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
    4.1 Datenschutz-Maßnahmen
    4.2 Incident-Response-Management
    4.3 Datenschutzfreundliche Voreinstellungen
    4.4 Auftragskontrolle (Outsourcing an Dritte)
Stand: 18.08.2022