The Bot Platform gehört jetzt zu Flip!

Alle Infos hier

Datenschutzvereinbarung zur Auftragsverarbeitung gemäß Art. 28 Datenschutz-Grundverordnung („AVV“)

Stand: 01.08.2024

1. Gegenstand der AVV

1.1. Zwischen dem Anbieter Flip GmbH (nachfolgend auch: „Auftragsverarbeiter“) und dem Kunden (nachfolgend auch: „Verantwortlicher“) besteht ein Vertrag (s. Ziff. 1.2 AGB, der Vertrag ohne die vorliegende Datenschutzvereinbarung zur Auftragsverarbeitung nachfolgend: „Hauptvertrag“) über die Nutzung einer Kommunikationssoftware für Mitarbeiter im Unternehmen.

1.2. Die Erfüllung des Hauptvertrages kann es erforderlich machen, dass der Auftragsverarbeiter mit personenbezogenen Daten umgeht, für die der Kunde als Verantwortlicher im Sinne des Art. 4 Ziff. 7 der Datenschutzgrundverordnung (VO (EU) 2016/679, nachfolgend: „DSGVO“) fungiert (nachfolgend: auch „Daten des Verantwortlichen“).

1.3. Diese AVV konkretisiert ergänzend zum Hauptvertrag die wechselseitigen datenschutzrechtlichen Rechte und Pflichten zwischen Verantwortlichem und Auftragsverarbeiter im Zusammenhang mit dem Umgang des Auftragsverarbeiters mit den Daten des Verantwortlichen zur Durchführung des Hauptvertrags. Die AVV ist integraler Bestandteil des Vertrags und kann nicht isoliert gekündigt werden. Die Annexe zur AVV sind Bestandteil der AVV. Bei etwaigen Widersprüchen zwischen Bestimmungen in dieser AVV und den weiteren Regelungen des Hauptvertrages gehen die Bestimmungen dieser AVV vor.

1.4. Wenn der Kunde den Softwaredienst im Einklang mit dem Hauptvertrag an verbundene Unternehmen unterlizensiert, so gilt die vorliegende AVV entsprechend mit der Maßgabe, dass das jeweilige verbundene Unternehmen als nach Art. 4 Ziff. 7 DSGVO und Ziff. 1.2 relevanter Verantwortlicher, der Kunde insoweit als dessen Auftragsverarbeiter und der Anbieter insoweit als dessen Unterauftragsverarbeiter agieren. Der Kunde wird sicherstellen, dass mit dem jeweiligen verbundenen Unternehmen die entsprechend notwendigen datenschutzrechtlichen Vereinbarungen bestehen, bevor es zu einer Verarbeitung personenbezogener Daten durch den Anbieter kommt.

2. Umfang der Beauftragung, weisungsgebundene Verarbeitung

2.1. Gegenstand und Dauer des Auftrags, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen ergeben sich aus Annex 1.

2.2. Soweit die Beschreibung der Verarbeitung in dieser AVV nicht ausdrücklich etwas anderes vorsieht, findet die Verarbeitung durch den Auftragsverarbeiter grundsätzlich innerhalb der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt. Es ist dem Auftragsverarbeiter nur dann gestattet, die Daten unter Einhaltung der Bestimmungen dieses Vertrags auch außerhalb des EWR zu verarbeiten, wenn die Voraussetzungen der Art. 44 – 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt. In jedem Fall einer Verarbeitung im Drittland gewährleistet der Auftragsverarbeiter die Einhaltung der Voraussetzungen der Art. 44 – 49 DSGVO. Für den Einsatz von Unterauftragsverarbeitern sind zusätzlich die Voraussetzungen und Informationspflichten nach Ziff. 4 zu beachten.

2.3. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen (Auftragsverarbeitung), sofern er nicht durch das Recht der Union oder deutsches Recht hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Die Weisungen des Verantwortlichen sind grundsätzlich abschließend in den Bestimmungen dieser Vereinbarung zusammen mit dem Hauptvertrag festgelegt und dokumentiert. Einzelweisungen, durch die der im Hauptvertrag vereinbarte Leistungsumfang geändert oder erweitert werden soll, bedürfen einer vorherigen Zustimmung des Auftragsverarbeiters.

2.4. Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich informieren, falls er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen die DSGVO oder eine andere Vorschrift über den Datenschutz verstößt. Der Auftragsverarbeiter ist in diesem Fall berechtigt, die Ausführung der Weisung soweit datenschutzrechtlich geboten bis zu einer Bestätigung der Weisung durch den Verantwortlichen auszusetzen. Die Beurteilung der Zulässigkeit der Datenverarbeitung durch den Verantwortlichen ist für den Auftragsverarbeiter bindend.

2.5. Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn er für die Auftragsverarbeitung relevante Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen oder seinen Weisungen feststellt.

2.6. Soweit die Parteien gesetzlich verpflichtet sind, hinsichtlich der Auftragsverarbeitung Auskünfte zu erteilen oder mit staatlichen Stellen wie einer Aufsichtsbehörde anderweitig zusammenzuarbeiten, werden die Parteien soweit rechtlich zulässig (i) sich gegenseitig unterstützen und (i) einander unverzüglich über Kontrollhandlungen der Aufsichtsbehörde oder sonstige staatliche Maßnahmen informieren, soweit diese sich auf die Auftragsverarbeitung beziehen.

2.7. Der Verantwortliche ermächtigt hiermit den Auftragsverarbeiter, personenbezogene Daten aus der App als unabhängiger Verantwortlicher zum Zwecke der Produktverbesserung zu verarbeiten.

3. Vertraulichkeit, Sicherheit der Verarbeitung

3.1. Der Auftragsverarbeiter wird zur Durchführung des Vertrages nur Personen beschäftigen, (i) die er zur Vertraulichkeit verpflichtet hat oder die einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen und (ii) die zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.

3.2. Der Auftragsverarbeiter gewährleistet die Umsetzung und Einhaltung aller erforderlichen technischen und organisatorischen Maßnahmen gem. Artikel 32 DSGVO. Ein Verzeichnis der derzeitigen technischen und organisatorischen Maßnahmen des Auftragsverarbeiters ergibt sich aus Annex 2. Dem Auftragsverarbeiter ist es gestattet, technische und organisatorische Maßnahmen während der Laufzeit des Vertrages zu ändern oder anzupassen, sofern sie weiterhin den gesetzlichen Anforderungen genügen und dies nicht zu einer Herabsetzung des initial vereinbarten Schutzniveaus führt.

4. Inanspruchnahme der Dienste weiterer Auftragsverarbeiter

4.1. Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters („Unterauftragsverarbeiter“) in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, so werden diesem Unterauftragsverarbeiter im Wege eines Vertrags, der schriftlich abzufassen ist, was auch in einem elektronischen Format erfolgen kann, dieselben Datenschutzpflichten auferlegt, die in dieser Datenschutzvereinbarung zur Auftragsverarbeitung festgelegt sind; dabei müssen insbesondere hinreichende Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.

4.2. Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit seine allgemeine Genehmigung, Unterauftragsverarbeiter in Anspruch zu nehmen. Die zum Zeitpunkt des Vertragsschlusses in Anspruch genommenen Unterauftragsverarbeiter sind in Annex 3 aufgeführt.

4.3. Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines Unterauftragsverarbeiters, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. Die Parteien vereinbaren, bei jedweden Bedenken des Verantwortlichen diese im Geiste einer vertrauensvollen Zusammenarbeit angemessen gemeinsam zu erörtern und möglichst auszuräumen. Ein Einspruch darf vom Verantwortlichen nur aus wichtigem, dem Auftragsverarbeiter nachzuweisenden Grund, erhoben werden. Ein wichtiger Grund liegt insbesondere vor, wenn die beabsichtigte Änderung zu einem Verstoß gegen datenschutzrechtliche Anforderungen führen würde. Soweit der Verantwortliche nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Information. Erhebt der Verantwortliche rechtzeitig Einspruch, so unterbleibt die beabsichtigte Änderung insoweit und der Auftragsverarbeiter ist berechtigt, den Vertrag mit einer Frist von drei Monaten zu kündigen.

5. Betroffenenrechte, Mitwirkungs-/ Unterstützungspflichten des Auftragsverarbeiters

5.1. Der Auftragsverarbeiter unterstützt den Verantwortlichen angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen. Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person wendet, wird der Auftragsverarbeiter diesen Antrag an den Verantwortlichen unverzüglich weitergeben.

5.2. Der Auftragsverarbeiter unterstützt den Verantwortlichen unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er diese dem Verantwortlichen unverzüglich.

6. Löschung und Rückgabe personenbezogener Daten

Soweit gesetzliche Verpflichtungen zur Speicherung nicht entgegenstehen, wird der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle betroffenen personenbezogenen Daten nach Wahl des Verantwortlichen dem Verantwortlichen zurückgeben oder löschen. Sofern der Auftragsverarbeiter die Daten zurückgibt, hat er etwaige vorhandene Kopien zu löschen, nachdem der Verantwortliche den ordnungsgemäßen Eingang der Daten bestätigt hat. Der Auftragsverarbeiter wird dem Verantwortlichen das Löschen auf Anforderung nachweisen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung von Daten des Verantwortlichen dienen, dürfen durch den Auftragsverarbeiter auch nach Vertragsende aufbewahrt werden.

7. Pflichtennachweis und Unterstützung bei Überprüfungen

7.1. Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung. Er ermöglicht Überprüfungen – einschließlich Inspektionen – die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt zu ihrer Durchführung bei.

7.2. Zur Durchführung von Inspektionen ist der Verantwortliche berechtigt, im Rahmen der üblichen Geschäftszeiten (montags bis freitags von 10:00 Uhr bis 18:00 Uhr) nach rechtzeitiger Vorankündigung gemäß Satz 2, ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragsverarbeiters die Geschäftsräume des Auftragsverarbeiters zu betreten, in denen Daten des Verantwortlichen verarbeitet werden. Der Verantwortliche hat den Auftragsverarbeiter rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Überprüfung zusammenhängenden Umstände zu informieren und soweit möglich mit ihm abzustimmen.

7.3. Der Auftragsverarbeiter ist unbeschadet der Rechte des Verantwortlichen nach Ziff. 7.1 nicht verpflichtet, rechtswidrig Informationen zu offenbaren oder Geschäftsgeheimnisse offenzulegen. Der Verantwortliche ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragsverarbeiters, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragsverarbeiters, die nicht unmittelbar relevant für die Überprüfungszwecke sind, zu erhalten.

7.4. Beauftragt der Verantwortliche einen Dritten mit der Durchführung der Überprüfung, hat der Verantwortliche den Dritten schriftlich ebenso zu verpflichten, wie auch der Verantwortliche aufgrund von dieser Ziffer 7 gegenüber dem Auftragsverarbeiter verpflichtet ist. Zudem hat der Verantwortliche den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragsverarbeiters hat der Verantwortliche ihm die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Verantwortliche darf keinen Wettbewerber des Auftragsverarbeiters mit der Kontrolle beauftragen.

8. Datenschutzbeauftragter

Der Datenschutzbeauftragte des Auftragsverarbeiters ist unter folgenden Kontaktdaten erreichbar:

Datenschutzbeauftragter der Flip GmbH, Rotebühlstraße 50, 70178 Stuttgart, datenschutz@getflip.com.

Annex 1

Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen

Annex 2

Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO

Annex 3

Unterauftragsverarbeiter

Annex 1

Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der personenbezogenen Daten, Kategorien betroffener Personen

1. Gegenstand des Auftrags

Der Gegenstand des Auftrags richtet sich nach dem Hauptvertrag. Für die Bereitstellung der Software Flip als Software-as-a-Service wird dem Auftragsverarbeiter dabei im beschränkten Umfang Zugriff auf personenbezogene Daten des Verantwortlichen gewährt:

·     Empfang eines verschlüsselt übermittelten Datensatzes mit folgenden Bestandteilen:
Titel, Vorname, Nachname, geschäftliche E-Mail-Adresse

·     Erstellung einer Nutzerliste für die Nutzererstellung

·     Anlage der einzelnen Nutzer für den Erstlogin

·     Erstellung von Informationsblättern mit Nutzerzugängen für den Erstlogin

·     Löschen einzelner oder mehrerer Nutzer im System auf Anfrage in Textform

·     Hosting des Systems bei einem Hosting-Provider

2. Dauer des Auftrags

Die Dauer des Auftrags ergibt sich aus dem Hauptvertrag.

3. Zweck der Datenverarbeitung

Der Auftragsverarbeiter verarbeitet im Auftrag für den Verantwortlichen personenbezogene Daten von Mitarbeitern des Verantwortlichen zum Zwecke der Bereitstellung der Software Flip als Software-as-a-Service gemäß Hauptvertrag.

4. Art der personenbezogenen Daten (Datenarten)

Folgende Datenarten sind Gegenstand dieses Auftrags:

Allgemeine Daten

·     Name

·     Kontaktdaten (z.B. E-Mail-Adresse oder Telefonnummer)

Dienste- und IT-(Nutzungs)Daten

·     Gerätekennungen

·     Zugangsdaten

·     Identifikationsdaten / IDs

·     Telekommunikationsdaten / Nachrichteninhalte

·     Nutzungs- und Verbindungsdaten / Metadaten

·     Profilinformationen der Nutzer

·     Bild-/Videodaten (Falls diese von Nutzern eingestellt werden)

·     Audio-/Sprachdaten (Falls diese von Nutzern eingestellt werden)

·     Formulardaten (Falls Formular-Feature genutzt wird)

5. Kategorien betroffener Personen

Folgende Kategorien betroffener Personen sind Gegenstand des Auftrags:

·     Beschäftigte des Verantwortlichen

·     Sonstige vom Verantwortlichen autorisierte Nutzer des Softwaredienstes

Annex 2

Gemäß Art. 32 DSGVO zu treffenden technischen und organisatorischen Maßnahmen, die für die Erfüllung des Auftrags durch den Auftragsverarbeiter relevant sind

1. Maßnahmen zur Sicherstellung von Vertraulichkeit

a. Schulung der Mitarbeiter

·     Alle Mitarbeiter erhalten regelmäßig (mindestens 1x pro Jahr) eine Schulung für die Sensibilisierung und den korrekten Umgang mit personenbezogenen Daten der Kunden und zu allgemeinen Themen der Informationssicherheit.

b. Maßnahmen, durch die Unbefugten der Zutritt verwehrt wird:

·     Zutrittskontrollsystem mit Badge-Scanner

·     Schlüsselverwaltung/Dokumentation der Schlüsselvergabe

·     Videoüberwachung der Eingänge

·     Besucherregelung

·     Abholung am Eingang

·     Dokumentation von Besuchszeiten

·     Begleitung nach dem Besuch bis zum Ausgang

·     Zentraler Autorisierungsprozess für Zugangsberechtigungen

·     Sofortige Sperre von Zugangskarten, wenn diese verloren gehen

c. Maßnahmen, die verhindern, dass Unbefugte die Verarbeitungssysteme nutzen können:

·     Persönlicher und individueller User-Log-In bei Anmeldung am System

·     Authentifizierungsmethoden nach dem Stand der Technik (Multifaktor-Authentifizierung)

·     Autorisierungsprozess für Zugriffsberechtigungen

·     Begrenzung der befugten Benutzer (Need-to-Know Prinzip)

·     Kennwortvorgaben (Erzwingen von Kennwortparametern hinsichtlich Komplexität und Länge)

·     Elektronische Dokumentation von Passwörtern und Schutz dieser Dokumentation vor unbefugtem Zugriff (Passwort Manager)

·     Separater Administrativer Account für privilegierte Tätigkeiten (mit Hardwareauthentifizierung)

·     Regelmäßige Account-Reviews

·     Automatische Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)

·     Firewall

·     Anti-Virus Software

·     Unternehmensregelung für mobiles Arbeiten

·     Verschlüsselung von mobilen Endgeräten

d. Maßnahmen, die gewährleisten, dass nur berechtigte Personen auf die Verarbeitungssysteme zugreifen und personenbezogene Daten nicht unbefugt lesen, kopieren, verändern oder entfernen können:

·     Verwaltung und Dokumentation von differenzierten Berechtigungen (Rollenbasierter Zugriff)

·     Funktionstrennung „Segregation of Duties“ bzw. Vier-Augen Prinzip

·     Fachkundige Akten- und Datenträgervernichtung gemäß DIN 66399

·     Nicht-reversible Löschung von Datenträgern

·      Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe,

·       Änderung und Löschung von Daten

e. Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

·     Trennung der Kundendaten auf Tennant Controller Ebene

·     Zugriffsberechtigungen nach funktioneller Zuständigkeit

·     Getrennte Datenverarbeitung durch differenzierende Zugriffsregelungen

·     Verwendung von Testdaten

·     Trennung von Entwicklungs- und Produktionsumgebung

f. Pseudonymisierung:

·     Pseudonymisierung von Kundendaten auf Systemen wo möglich

·     Im Falle der Pseudonymisierung: Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesichertem System

·     Löschung und/oder Anonymisierung der Kundendaten bei Unterauftragsverarbeitern im Falle einer Löschanfrage/Löschung

2. Maßnahmen zur Sicherstellung von Integrität

·     Zugriffsrechte

·     Verschlüsselter Transport von Daten

·     Systemseitige Protokollierungen der Zugriffe und Abrufe

·     Dokumenten Management System (DMS) mit Änderungshistorie

·     Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten

·     Protokollierung von Datenübertragung oder Datentransport

3. Maßnahmen zur Sicherstellung und Wiederherstellung von Verfügbarkeit

·     Sicherheitskonzept für Software- und IT-Anwendungen

·     Back-Up Verfahren

·     Aufbewahrungsprozess für Back-Ups

·     Virenschutz

·     Firewall

·     Notfallwiederherstellungsplan

·     Regelmäßige Tests zur Datenwiederherherstellung und Protokollierung der Ergebnisse

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

·     Konzept für regelmäßige Überprüfung, Bewertung und Evaluierung der TOMs (externe und interne Audits)

·     Regelmäßiges Berichtswesen an die Geschäftsführung

·     Notfalltests

·     Jährliche Penetrationstests

·     Dokumentierter Incident Response Prozess

5. Weisungskontrolle/Auftragskontrolle

·     Vertrag zur Auftragsdatenverarbeitung gem. Art. 28 Abs. 3 DSGVO mit Regelungen zu den Rechten und Pflichten des Auftragsverarbeiters und Verantwortlichen

·     Prozess zur Erteilung und/oder Befolgung von Weisungen

·     Bestimmung von Ansprechpartnern und/oder verantwortlichen Mitarbeitern

·     Verpflichtung der Mitarbeiter zur Vertraulichkeit

·     Benennung eines Datenschutzbeauftragten gemäß Art. 37 ff. DSGVO

·     Benennung eines Informationssicherheitsbeauftragten

·     Datenschutzmanager/-koordinator

·     Führen eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 2 DSGVO

·     Dokumentations- und Eskalationsprozess für Verletzungen des Schutzes personenbezogener Daten

·     Richtlinien/Vorgaben zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Sicherheit der Verarbeitung

·     Prozess zur Weiterleitung von Betroffenenanfragen

·     Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer

·     Regelmäßige Überprüfung von kritischen Auftragnehmern

Annex 3

Unterauftragsverarbeiter

Flip Unterauftragsverarbeiter


Als PDF downloaden