Vertrag zur Auftragsverarbeitung
Der folgende Vertrag zur Auftragsverarbeitung gilt ab dem 1. Januar 2022 und wurde zuletzt am 1. Januar 2022 aktualisiert.
Dieser Vertrag zur Auftragsverarbeitung wird zwischen dem Dienstleister und dem Kunden geschlossen, ist Bestandteil der Nutzungsbedingungen und wird durch diese geregelt.
1. Definitionen
1.1. Sofern im Kontext nicht ausdrücklich etwas anderes erforderlich ist, haben die folgenden fett gedruckten [im englischen Original großgeschriebene] Begriffe in diesem Vertrag zur Auftragsverarbeitung die folgenden Bedeutungen:
| Compliance-Website | Der Bereich der Dokobit-Website, der unter www.dokobit.com/de/compliance zu finden ist. |
| Kunde | Jede natürliche oder juristische Person, die die Dienste nutzt. |
| Kundendaten | Alle Daten, die vom Kunden hochgeladen oder zur Verfügung gestellt werden. Um die Dienste bereitstellen zu können, speichern, verarbeiten und übermitteln wir Ihre hochgeladenen Dokumente und die mit ihnen zusammenhängenden Daten. Diese Daten werden ausschließlich in Übereinstimmung mit den von Ihnen (Kunde oder Nutzer) erteilten Anweisungen verarbeitet. Wir fungieren als Auftragsverarbeiter für diese Daten. Alle diese Daten werden innerhalb der Europäischen Union/des Europäischen Wirtschaftsraums (EU/EWR) gespeichert und verarbeitet. |
| Datenmissbrauch | Jede versehentliche oder unrechtmäßige Verletzung des Schutzes personenbezogener Daten, die zu einer versehentlichen oder unrechtmäßigen Zerstörung, einem Verlust, einer Änderung oder einer unbefugten Offenlegung (ohne Genehmigung) von Kundendaten oder einem unbefugten Zugriff auf verarbeitete Kundendaten führt. |
| Verantwortlicher | Bezeichnet die Stelle, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Im Rahmen dieses Vertrags zur Auftragsverarbeitung fungiert der Kunde als Verantwortlicher. |
| Auftragsverarbeiter | Bezeichnet die Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Dienstleister (Dokobit) fungiert im Rahmen dieses Vertrags zur Auftragsverarbeitung als Auftragsverarbeiter. |
| Dokumentierte Anweisungen | Solche Anweisungen werden vom Kunden über die Konfiguration der Serviceeinstellungen bei der Nutzung der Dienste sowie der in diesem Vertrag zur Auftragsverarbeitung und den Nutzungsbedingungen festgelegten Anforderungen mitgeteilt. |
| DSGVO | Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). |
| Verarbeitung | Hat die Bedeutung, die ihm in der DSGVO gegeben wird, und „verarbeiten“, „verarbeitet“(Präsens) und „verarbeitet“ (Vergangenheit) werden entsprechend ausgelegt. |
| Dienste | Dienste, die es dem Kunden ermöglichen, Dokumente hochzuladen, zu speichern, zu verwalten sowie elektronisch zu unterschreiben und zu archivieren und elektronische Signaturen und Siegel zu validieren (einschließlich qualifiziertem und nicht qualifiziertem Dienst). Wir können Folgendes zur Verfügung stellen: integrierbare API-Lösungen (Application Programming Interface), die wir unseren Kunden anbieten. Der Kunde und der Dienstleister können die Bereitstellung zusätzlicher und (oder) anderer Dienste vereinbaren. Bestimmte Funktionalitäten, der Umfang der Dienste und (oder) besondere Bedingungen für die Bereitstellung der Dienste können in Folgendem festgelegt sein: – Standard Servicepläne und Entgeltbestimmungen, die von uns auf unserer Website angeboten und (oder) dem Kunden über andere elektronische Kommunikationsmittel zur Verfügung gestellt und vom Kunden akzeptiert (bestellt, abonniert) wurden; – Sonderdienste zu Sonderpreisen, die wir dem Kunden über andere elektronische Kommunikationsmittel anbieten und die vom Kunden akzeptiert (bestellt, abonniert) wurden. Um Missverständnisse zu vermeiden, wird darauf hingewiesen, dass solche Sonderdienste, nachdem Sie diesen zugestimmt haben, (Bestellung, Abonnement) zusätzlich zu (obendrein) jedweden bereits von Ihnen bestellten und genutzten Diensten und Entgeltbestimmungen bereitgestellt werden können; – den zwischen dem Kunden und uns vereinbarten Sonderkonditionen. Die Dienste können sowohl einmalig als auch im Abonnement mit bestimmter Laufzeit bereitgestellt werden. |
| Unterauftragsverarbeiter | Jede juristische Person, die im Europäischen Wirtschaftsraum tätig ist und von Dokobit mit der Verarbeitung von Kundendaten im Auftrag von Dokobit und in Übereinstimmung mit dessen Anweisungen, in dem Umfang und zu den Zwecken, die im Vertrag zur Auftragsverarbeitung festgelegt sind, beauftragt wird. |
| Nutzungsbedingungen | Eine Reihe von Regeln und Vorschriften für die Bereitstellung der Dienste, die auf der Compliance-Website verfügbar sind. |
1.2. Fett gedruckte [im englischen Original großgeschriebene] Begriffe, die nicht oben definiert sind, haben die gleiche Bedeutung wie in den Nutzungsbedingungen, es sei denn, der Kontext verlangt ausdrücklich etwas anderes.
2. Zweck und Geltungsbereich
2.1. Dokobit stellt gemäß den Nutzungsbedingungen die Dienste für den Kunden bereit. Im Rahmen der Bereitstellung der Dienste verarbeitet Dokobit die Kundendaten im Auftrag des Kunden. Kundendaten können personenbezogene Daten enthalten. Daher ist der Kunde:
(i) Verantwortlicher im Hinblick auf die Kundendaten; oder
(ii) Auftragsverarbeiter, wenn der Kunde personenbezogene Daten im Auftrag eines Dritten verarbeitet. Für die Zwecke dieses Vertrags zur Auftragsverarbeitung und dieser Nutzungsbedingungen ist Dokobit Auftragsverarbeiter. Der Auftragsverarbeiter verarbeitet und schützt diese personenbezogenen Daten entsprechend den Bedingungen dieses Vertrags zur Auftragsverarbeitung und der Nutzungsbedingungen.
2.2. Dieser Vertrag zur Auftragsverarbeitung gilt nur für die Verarbeitung der Kundendaten, soweit Dokobit diese Daten im Auftrag des Kunden und nach dessen Weisungen sowie bei der Bereitstellung von Diensten verarbeitet. In Fällen, in denen Dokobit die Kundendaten als Verantwortlicher und nicht im Auftrag des Kunden oder nach dessen Weisungen verarbeitet, gilt dieser Vertrag zur Auftragsverarbeitung nicht; stattdessen gelten die Datenschutzerklärung und andere Dokobit-Dokumente.
3. Bedingungen für die Verarbeitung
3.1. Dokobit verarbeitet die Kundendaten, um Dienste zu erbringen.
3.2. Dokobit verarbeitet personenbezogene Daten aus den Kategorien betroffener Personen, die der Kunde bei der Nutzung der Dienste hochlädt oder übermittelt. Dazu gehören unter anderem Vorname, Nachname, Organisation, Position, Geburtsdatum, persönliche Identifikationsnummer, Telefonnummer usw. Bitte beachten Sie, dass es sich hierbei um eine nicht vollständige Liste handelt, die in jedem Fall variieren kann, einschließlich, jedoch nicht beschränkt auf die Art und den Inhalt der Kundendaten, die der Kunde (oder ein Dritter, wenn der Kunde als Auftragsverarbeiter fungiert) Dokobit zur Verfügung stellt, wenn er die Dienste nutzt.
3.3. Dokobit verarbeitet die Kundendaten ab dem Zeitpunkt, an dem der Kunde sie hochlädt oder bei der Nutzung der Dienste übermittelt, bis zu ihrer Entfernung durch den Kunden, jedoch nicht länger als in Artikel 13.2 dieses Vertrags zur Auftragsverarbeitung angegeben.
3.4. Dokobit stellt sicher, dass die Kundendaten im Europäischen Wirtschaftsraum verarbeitet werden, und beauftragt keine Unterauftragsverarbeiter, die außerhalb des Europäischen Wirtschaftsraums tätig sind.
4. Vertraulichkeit von Kundendaten
4.1. Dokobit verwendet die Kundendaten nur für die Erbringung der Dienste und zur Durchsetzung seiner Rechte gemäß den Nutzungsbedingungen. Soweit vom Gesetz nichts anderes verlangt wird, gibt Dokobit die Kundendaten nicht an Dritte weiter.
4.2. Dokobit stellt sicher, dass der Zugriff auf die Kundendaten nur denjenigen Mitarbeitern oder Lieferanten von Dokobit gewährt wird, die diese Daten zur Erfüllung von Arbeitsaufgaben oder zur Erbringung von Dienstleistungen für Dokobit benötigen.
4.3. Dokobit stellt sicher, dass die Mitarbeiter oder Lieferanten von Dokobit, die Kundendaten verarbeiten, diesen Vertrag zur Auftragsverarbeitung einhalten und sich verpflichten, die Geheimhaltungsklausel einzuhalten oder einer entsprechenden Geheimhaltungsverpflichtung entsprechend den gesetzlichen Bestimmungen unterliegen.
4.4. Ist Dokobit nach den gesetzlichen Bestimmungen verpflichtet, die Kundendaten an Dritte (z.B. Strafverfolgungsbehörden) weiterzugeben, wird Dokobit den Kunden unverzüglich über die Pflicht zur Offenlegung der Kundendaten informieren, sofern gesetzlich nichts anderes vorgeschrieben ist.
4.5. Diese Geheimhaltungspflichten bleiben auf unbestimmte Zeit und nach Ablauf dieses Vertrags zur Auftragsverarbeitung in Kraft.
5. Dokumentierte Anweisungen des Kunden
5.1. Dokobit verarbeitet die Kundendaten nur gemäß den dokumentierten Anweisungen des Kunden. Der Kunde hat sicherzustellen, dass für die Verarbeitung der Kundendaten durch Dokobit die entsprechende Rechtsgrundlage besteht. Dokobit wird zudem die Pflichten erfüllen, die Auftragsverarbeitern von der DSGVO oder sonstigen Gesetzen auferlegt werden.
5.2. Zusätzliche Anweisungen des Kunden, die außerhalb des Rahmens der dokumentierten Anweisungen liegen (falls vorhanden), bedürfen einer vorherigen schriftlichen Vereinbarung zwischen den Parteien, einschließlich der Vereinbarung über zusätzliche Gebühren, die der Kunde für die Ausführung dieser Anweisungen an Dokobit zu zahlen hat, einschließlich, jedoch nicht beschränkt auf:
(i) Unterstützung bei der Erfüllung der Pflichten des Verantwortlichen, auf Anfragen betroffener Personen zu antworten;
(ii) Durchführung zusätzlicher technischer und organisatorischer Maßnahmen, die in diesem Vertrag zur Auftragsverarbeitung nicht dargelegt sind;
(iii) Unterstützung bei der Pflicht des Verantwortlichen zur Durchführung einer Datenschutz-Folgenabschätzung und/oder einer vorherigen Beratung mit der Aufsichtsbehörde.
5.3. Dokobit hat den Kunden unverzüglich zu informieren, wenn die Anweisungen des Kunden im Widerspruch zur DSGVO oder anderen geltenden Rechtsvorschriften zum Schutz personenbezogener Daten stehen. Diese Klausel verpflichtet Dokobit in keiner Weise, Kundendaten zu überwachen und/oder zusätzliche Schritte zu unternehmen und/oder zusätzliche Informationen einzuholen, um die Rechtmäßigkeit der Anweisungen des Kunden zu beurteilen.
6. Technische und organisatorische Maßnahmen
6.1. Bei der Verarbeitung der Kundendaten hat Dokobit angemessene technische und organisatorische Maßnahmen zum Schutz der Kundendaten zu ergreifen. Dokobit hat unter Berücksichtigung des Entwicklungsstandes der technischen Möglichkeiten, der Implementierungskosten und der Art, des Umfangs, des Kontextes und des Zwecks der Datenverarbeitung sowie der mit der Datenverarbeitung verbundenen Risiken unterschiedlicher Wahrscheinlichkeit und Schwere in Bezug auf die Rechte und Freiheiten natürlicher Personen technische und organisatorische Maßnahmen auszuwählen.
6.2. Dokobit hat zudem gemäß dem internationalen Sicherheitsstandard ISO/IEC 27001 ein von einem akkreditierten Prüfer zertifiziertes Managementsystem für die Informationssicherheit implementiert. Das Managementsystem für die Informationssicherheit sieht eine Reihe von Sicherheitsmaßnahmen vor, einschließlich, jedoch nicht beschränkt auf:
(i) Pseudonymisierung und Verschlüsselung personenbezogener Daten;
(ii) Maßnahmen zur Gewährleistung der fortlaufenden Vertraulichkeit, Unversehrtheit, Verfügbarkeit und Belastbarkeit von Systemen und Diensten zur Datenverarbeitung;
(iii) Maßnahmen zur Gewährleistung der zeitnahen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten im Falle eines physischen oder technischen Vorfalls;
(iv) Maßnahmen zum Schutz des Zugangs (einschließlich Fernzugriff) zu personenbezogenen Daten;
(v) Maßnahmen für die physische Sicherheit der Räumlichkeiten, in denen personenbezogene Daten verarbeitet und gespeichert werden;
(vi) Maßnahmen für sichere Fernarbeit von zu Hause aus. Die Wirksamkeit dieser Sicherheitsmaßnahmen wird mindestens einmal jährlich evaluiert.
6.3. Die Parteien vereinbaren, dass die in Ziffer 6.2. angegebenen Sicherheitsmaßnahmen als geeignete und maximale technische und organisatorische Maßnahmen erachtet werden, die zur Erreichung der in Ziffer 6.1 genannten Ziele erforderlich sind. Dokobit verpflichtet sich, den Anforderungen dieses oder gleichwertiger Sicherheitsstandards während des gesamten Geltungszeitraums dieses Vertrags zur Auftragsverarbeitung zu entsprechen. Die Parteien sind sich darüber einig, dass Dokobit für die Verarbeitung von Kundendaten im Rahmen dieses Vertrags zur Auftragsverarbeitung angemessene technische und organisatorische Vorkehrungen getroffen hat und dass Dokobit nicht verpflichtet ist, etwaige unangemessene zusätzliche Anweisungen des Kunden in Bezug auf technische und organisatorische Maßnahmen zu berücksichtigen.
7. Kooperation
7.1. Unter Berücksichtigung der Art der bereitgestellten Dienste und der Verarbeitung verarbeiteter Daten und verfügbarer Informationen hat Dokobit mit dem Kunden zusammenzuarbeiten, um die Erfüllung der in den Artikeln 32 bis 36 der DSGVO genannten Verpflichtungen sicherzustellen. Zu diesem Zweck und nur in dem in diesem Vertrag zur Auftragsverarbeitung festgelegten Umfang stellt Dokobit dem Kunden die angeforderten Daten zur Verfügung, die für die ordnungsgemäße Erfüllung der Verpflichtungen des Kunden gemäß der DSGVO erforderlich sind.
8. Überprüfung der Datenverarbeitung
8.1. Um zu überprüfen, ob Dokobit die Kundendaten ordnungsgemäß verarbeitet, hat der Kunde das Recht, diese Verarbeitung gemäß dem in Artikel 8 vorgesehenen Verfahren zu überprüfen.
8.2. Dokobit prüft mindestens einmal pro Kalenderjahr auf eigene Initiative und Kosten, ob die anwendbaren technischen und organisatorischen Maßnahmen mit der Art, dem Umfang, dem Kontext und den Zwecken der Datenverarbeitung sowie den mit der Datenverarbeitung verbundenen Risiken im Hinblick auf die Rechte und Freiheiten natürlicher Personen in Einklang stehen. Dokobit hat einen unabhängigen Prüfer mit der Überprüfung zu beauftragen und ihn anzuweisen, den Prüfbericht (im Folgenden „Bericht“) zu erstellen.
8.3. Auf Verlangen des Kunden und gemäß einer zusätzlichen Vereinbarung der Parteien über den Schutz vertraulicher Daten hat Dokobit dem Kunden einen Bericht vorzulegen. Mit der Erfüllung dieser Verpflichtung durch Dokobit wird davon ausgegangen, dass der Kunde sein Recht gemäß Ziffer 8.1 dieses Vertrags zur Auftragsverarbeitung und Artikel 28 Absatz 3 Buchstabe h DSGVO ausgeübt hat.
8.4. Im Einklang mit den geltenden Rechtsvorschriften ist Dokobit eventuell verpflichtet, Daten im Zusammenhang mit diesem Vertrag zur Auftragsverarbeitung an zuständige, Regulierungseinrichtungen oder Behörden weiterzugeben, jedoch nur auf rechtmäßige und berechtigte Anfrage hin.
8.5. Wenn der Kunde zusätzlich und/oder auf andere Weise als in Artikel 8 angegeben überprüfen möchte, wie Dokobit personenbezogene Daten verarbeitet und/oder seinen Verpflichtungen aus diesem Vertrag zur Auftragsverarbeitung nachkommt, kann eine solche Überprüfung nach Zustimmung von Dokobit und einer Einigung der Parteien über den Umfang, die Methode, den Zeitpunkt und den Preis der Überprüfung durchgeführt werden. Wenn sich die Vertragsparteien auf eine solche zusätzliche Überprüfung einigen, muss diese in jedem Fall die folgenden Anforderungen erfüllen:
(i) die Überprüfung darf sich nur auf die Verarbeitung der Kundendaten beziehen;
(ii) der Kunde hat Dokobit innerhalb einer angemessenen Frist, die mindestens 4 Wochen betragen muss, über den Wunsch nach einer zusätzlichen Überprüfung zu informieren;
(iii) die zusätzliche Überprüfung muss auf eine Art erfolgen, welche die täglichen Aktivitäten von Dokobit nicht beeinträchtigt.
(iv) eine zusätzliche Überprüfung hat auf Kosten des Kunden zu erfolgen;
(v) eine zusätzliche Überprüfung muss von einer unabhängigen Person durchgeführt werden, wobei die betreffende Person im Voraus von Dokobit genehmigt werden muss, und diese Person muss sich verpflichten, vertrauliche Informationen von Dokobit zu schützen.
8.6. Dokobit hat Anspruch auf eine Vergütung für die Unterstützung bei der Durchführung zusätzlicher Überprüfungen. Die Höhe einer solchen Vergütung wird von Dokobit unter Berücksichtigung der Kosten festgelegt, die Dokobit im Zusammenhang mit einer zusätzlichen Überprüfung entstehen. Dokobit hat dem Kunden vor der Überprüfung die Höhe der Vergütung mitzuteilen.
8.7. Für den Fall, dass der Kunde mit den im Bericht gemachten Angaben nicht zufrieden ist und/oder die Parteien sich nicht auf eine zusätzliche Überprüfung gemäß den Punkten 8.5–8.6 dieses Vertrags zur Auftragsverarbeitung einigen, hat der Kunde das Recht, diesen Vertrag zur Auftragsverarbeitung und die Nutzungsbedingungen einseitig im Rahmen eines außergerichtlichen Verfahrens zu kündigen. In diesem Fall ist die Kündigung der Verträge die einzige Maßnahme, deren sich der Kunde bedienen kann, und Dokobit ist nicht verpflichtet, dem Kunden Schadensersatz zu leisten.
8.8. Die Parteien kommen überein, dass die ordnungsgemäße Verarbeitung von Kundendaten durch Dokobit-Unterauftragsverarbeiter von Dokobit gemäß Abschnitt 9 dieses Vertrags zur Auftragsverarbeitung sichergestellt wird.
9. Unterauftragsverarbeiter
9.1. Der Kunde erteilt Dokobit hiermit die generelle Einwilligung Unterauftragsverarbeiter zu beauftragen, die Kundendaten im Auftrag von Dokobit gemäß dem in diesem Vertrag zur Auftragsverarbeitung festgelegten Umfang und den in diesem Vertrag zur Auftragsverarbeitung festgelegten Zwecken verarbeiten. Dokobit hat nur solche Unterauftragsverarbeiter zu beauftragen, die Folgendes sicherstellen:
(i) Umsetzung geeigneter technischer und organisatorischer Maßnahmen;
(ii) Datenverarbeitung im Einklang mit den Vorgaben der DSGVO; und
(iii) Schutz der Rechte der betroffenen Person.
9.2. Dokobit hat sicherzustellen, dass mit den beauftragten Unterauftragsverarbeitern ein schriftlicher Vertrag geschlossen wurde, in dem die Unterauftragsverarbeiter sich verpflichten, die in diesem Vertrag zur Auftragsverarbeitung festgelegten Verantwortlichkeiten des Auftragsverarbeiters zumindest in dem für Dokobit geltenden Umfang zu erfüllen. Dokobit haftet gegenüber dem Kunden für die Erfüllung der Pflichten der beauftragten Unterauftragsverarbeiter.
9.3. Eine aktuelle Liste der beauftragten Unterauftragsverarbeiter wird von Dokobit auf der Compliance-Website veröffentlicht. Dokobit hat den Kunden spätestens 14 Tage vor der geplanten Maßnahme über seine Pläne, einen Unterauftragsverarbeiter zu ersetzen oder einen neuen Unterauftragsverarbeiter zu beauftragen, zu informieren, indem das Unternehmen diese Informationen auf der Compliance-Website zur Verfügung stellt. Der Kunde kann einen RSS-Feed der Compliance-Website abonnieren, um automatisch benachrichtigt zu werden, wenn sich die Liste der von Dokobit beauftragten Unterauftragsverarbeiter ändert.
9.4. Wenn der Kunde die Dienste nach dem Austausch eines Unterauftragsverarbeiters oder der Einbeziehung eines neuen Unterauftragsverarbeiters und der Benachrichtigung des Kunden gemäß dem in Punkt 9.3 dieses Vertrags zur Auftragsverarbeitung vorgesehenen Verfahren weiter nutzt und nicht innerhalb von zehn (10) Tagen widerspricht, wird davon ausgegangen, dass der Kunde diesen Maßnahmen von Dokobit zugestimmt hat. Wenn der Kunde mit einem solchen Austausch oder einer Einbeziehung des Unterauftragsverarbeiters nicht einverstanden ist, hat der Kunde das Recht, diesen Vertrag zur Auftragsverarbeitung und die Nutzungsbedingungen einseitig im Rahmen eines außergerichtlichen Verfahrens zu kündigen. In diesem Fall ist die Kündigung der Verträge die einzige Maßnahme, deren sich der Kunde bedienen kann, und Dokobit ist nicht verpflichtet, dem Kunden Schadensersatz zu leisten.
9.5. Wenn der Kunde seine allgemeine Zustimmung zur Beauftragung eines Unterauftragsverarbeiters widerruft, hat Dokobit das Recht, die Nutzungsbedingungen einseitig im Rahmen eines außergerichtlichen Verfahrens zu kündigen, und eine solche Kündigung gilt als aus wichtigem Grund erfolgt, und es gilt, dass dem Kunden durch eine solche Kündigung kein Schaden entstanden ist.
10. Pflichten des Kunden
10.1. Der Kunde bestimmt nach eigenem Ermessen und auf eigene Verantwortung die Kategorien betroffener Personen (einschließlich, aber nicht beschränkt auf Mitarbeiter, Auftragnehmer, Geschäftspartner, Dienstleister), deren personenbezogene Daten und die Kategorien personenbezogener Daten, die Dokobit zur Verfügung gestellt werden sollen, und stellt Dokobit nur diejenigen personenbezogenen Daten zur Verfügung, die für die ordnungsgemäße Erbringung der Dienste durch Dokobit erforderlich sind. Der Kunde übernimmt alle damit verbundenen Risiken, einschließlich der Risiken in Fällen, in denen Dokobit mehr personenbezogene Daten erhält, als erforderlich sind.
10.2. Der Kunde sichert zu und gewährleistet, dass er alle erforderlichen Berechtigungen und Genehmigungen, die für die Bereitstellung der Kundendaten an Dokobit erforderlich sind, eingeholt hat und während des gesamten Geltungszeitraums der Nutzungsbedingungen aufbewahrt und Dokobit mit der Verarbeitung personenbezogener Daten gemäß den Nutzungsbedingungen und diesem Vertrag zur Auftragsverarbeitung beauftragt.
11. Datenmissbrauch
11.1. Dokobit hat den Kunden unverzüglich, spätestens jedoch innerhalb von 36 Stunden nach Kenntnisnahme des Datenmissbrauchs zu informieren und dem Kunden unter Berücksichtigung der Art der erbrachten Dienste und der Verarbeitung personenbezogener Daten und verfügbarer Informationen die folgenden Informationen zur Verfügung zu stellen:
(i) die Art des Datenmissbrauchs, einschließlich, soweit möglich, der Kategorien der betroffenen Personen und deren ungefähre Anzahl;
(ii) mögliche Folgen des Datenmissbrauchs;
(iii) von Dokobit ergriffene oder vorgeschlagene Maßnahmen, um den Datenmissbrauch zu beheben, einschließlich gegebenenfalls Maßnahmen zur Abmilderung möglicher negativer Folgen des Datenschutzverstoßes;
(iv) Vollständiger Name und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktperson, die weitere Informationen geben kann. In Fällen, in denen eine Benachrichtigung des Kunden über einen Datenmissbrauch nicht möglich ist (z. B. Dokobit ist nicht in der Lage, den Kunden zu kontaktieren) oder dies aufgrund des Umfangs des Datenmissbrauchs unwirksam wäre, kann Dokobit dem Kunden diese Informationen zur Verfügung stellen, indem sie auf der Compliance-Website zur Verfügung gestellt werden.
11.2. Dokobit hat alle Datenmissbräuche, einschließlich der Fakten im Zusammenhang mit dem Datenschutzverstoß, seinen Auswirkungen und den zur Behebung ergriffenen Maßnahmen zu dokumentieren. In den Fällen, für die dies gesetzlich vorgesehen ist, hat Dokobit diese Unterlagen der Aufsichtsbehörde zur Verfügung zu stellen.
11.3. Der Kunde ist für die Einhaltung der Rechtsvorschriften verantwortlich, die die Zustellung von Benachrichtigungen oder Informationen über den Datenmissbrauch an die betroffenen Personen regeln.
12. Haftung
12.1. Unter Berücksichtigung der Art, des Umfangs, des Kontexts und der Zwecke der Datenverarbeitung ist die Haftung von Dokobit im Rahmen dieses Vertrags zur Auftragsverarbeitung auf den Betrag beschränkt, den der Kunde innerhalb von 12 Monaten an Dokobit gezahlt hat, und darf diesen in keinem Fall überschreiten.
12.2. Die Haftungsbeschränkung findet keine Anwendung, wenn Dokobit diesen Vertrag zur Auftragsverarbeitung grob fahrlässig oder vorsätzlich verletzt.
12.3. Dokobit verpflichtet sich, seine zivilrechtliche Haftung während dieses Vertrags zur Auftragsverarbeitung zu versichern. Die Versicherung umfasst die Deckung der Haftung für Datenschutz und Cybersicherheit. Die Kopie der Versicherungspolice, die die Versicherungssumme angibt, wird auf der Compliance-Website veröffentlicht.
13. Gültigkeit und Kündigung
13.1. Dieser Vertrag zur Auftragsverarbeitung tritt mit dem Inkrafttreten der Nutzungsbedingungen in Kraft und ist so lange gültig, wie diese in Kraft bleiben.
13.2. Bei Kündigung oder Ablauf des Vertrags zur Auftragsverarbeitung hat Dokobit die Kundendaten nicht später als innerhalb von 30 Tagen zu vernichten, es sei denn, es liegen andere Gründe für die Verarbeitung oder Verwaltung der Kundendaten als die sich aus diesem Vertrag zur Auftragsverarbeitung ergebenden Gründe vor.
14. Anwendbares Recht und Streitbeilegung
14.1. Dieser Vertrag zur Auftragsverarbeitung unterliegt dem Recht der Republik Litauen.
14.2. Alle Streitigkeiten, Meinungsverschiedenheiten oder Ansprüche, die sich aus oder im Zusammenhang mit diesem Vertrag zur Auftragsverarbeitung, seiner Verletzung, Kündigung und Gültigkeit ergeben, sind durch Verhandlungen beizulegen. Wenn die Parteien nicht in der Lage sind, innerhalb von 30 Tagen nach Auftreten des Streitfalls, der Meinungsverschiedenheit oder der Forderung eine Einigung zu erzielen, ist diese Streitigkeit, Meinungsverschiedenheit oder Forderung vor dem Gericht der Republik Litauen beizulegen.
15. Schlussbestimmungen
15.1. Alle Mitteilungen des Kunden an Dokobit im Zusammenhang mit diesem Vertrag sind per E-Mail an dpo@dokobit.com zu senden und gelten als zugegangen, wenn Dokobit den Erhalt der E-Mail durch Antwort auf die E-Mail des Kunden bestätigt, oder innerhalb von dreißig (30) Tagen nach Erhalt der E-Mail, je nachdem, welches zuerst eintrifft.
15.2. Dokobit-Mitteilungen an den Kunden im Zusammenhang mit diesem Vertrag zur Auftragsverarbeitung sind von Dokobit auf der Compliance-Website zu veröffentlichen. Dokobit hat den Kunden über alle Änderungen dieses Vertrags zur Auftragsverarbeitung zu informieren, indem es diese Informationen auf der Compliance-Website zur Verfügung stellt. Der Kunde kann einen RSS-Feed der Compliance-Website abonnieren, um automatisch benachrichtigt zu werden, wenn es Änderungen im Zusammenhang mit diesem Vertrag zur Auftragsverarbeitung gibt.
15.3. Die Änderungen dieses Vertrags zur Auftragsverarbeitung treten mit der Veröffentlichung auf der Compliance-Website in Kraft. Dokobit hat die beabsichtigte Änderung des Vertrags zur Auftragsverarbeitung mindestens 30 Tage vor der geplanten Änderung per E-Mail bekannt zu geben. Wenn der Kunde die Dienste nach der Veröffentlichung von Änderungen des Vertrags zur Auftragsverarbeitung weiterhin nutzt, ist davon auszugehen, dass der Kunde den Änderungen des Vertrags zur Auftragsverarbeitung zustimmt. Wenn der Kunde mit den Änderungen nicht einverstanden ist, kann der Kunde die Dienste nicht nutzen und hat das Recht, die Nutzungsbedingungen zu kündigen.
15.4. Die maßgebliche Version des Vertrags zur Auftragsverarbeitung kann hier heruntergeladen werden.
