AV-Vertrag

ZWISCHEN:

[Firmenname des Kunden] mit Gesellschaftssitz in [Adresse], eingetragen im Handelsregister unter der Nummer [Handelsregisternummer], vertreten durch [Name des Vertreters] als [Funktion des Vertreters] (im Folgenden „Kunde“ genannt)

UND

BILLIT BV mit Gesellschaftssitz in 9000 Gent, Oktrooiplein 1, bus 302, eingetragen in der belgischen Zentralen Datenbank der Unternehmen unter der Nummer 0563.846.944, gesetzlich vertreten durch [Name des Vertreters] als [Funktion des Vertreters] (im Folgenden „Auftragsverarbeiter“ genannt)

[Firmenname des Kunden] und BILLIT bvba werden im Folgenden einzeln als „Vertragspartei“ und gemeinsam als „Vertragsparteien“ bezeichnet.

EINLEITUNG

(A)        Der Kunde und der Auftragsverarbeiter haben am [Datum] einen Vertrag über die Bereitstellung einer Software-Plattform für Online-Administration und -Management von Unternehmen für den Kunden (im Folgenden „Rahmenvertrag“ genannt) geschlossen, auf dessen Grundlage der Auftragsverarbeiter personenbezogene Daten im Auftrag des Kunden verarbeiten wird.

(B)        Im vorliegenden Auftragsverarbeitungsvertrag (im Folgenden „Auftragsverarbeitungsvertrag“ genannt) werden die ergänzenden Bestimmungen, Anforderungen und Voraussetzungen erläutert, die für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Rahmen der Erbringung von Dienstleistungen auf der Grundlage des Rahmenvertrages gelten. Dieser Auftragsverarbeitungsvertrag enthält alle gesetzlich vorgesehenen Bestimmungen, die aufgrund von Artikel 28 (3) der Datenschutz-Grundverordnung 2016/679 (im Folgenden „DSGVO“ genannt) für Verträge zwischen für die Verarbeitung Verantwortlichen und Auftragsverarbeitern erforderlich sind.

VEREINBART WURDE DAS FOLGENDE:

1.        Definitionen und Interpretation

1.1.      In diesem Auftragsverarbeitungsvertrag gelten die folgenden Definitionen:

„Unternehmenszwecke“ bezeichnet die Dienstleistungen, die im Rahmenvertrag beschrieben sind.

„Datenschutzrecht“ bezieht sich auf alle geltenden gesetzlichen Regelungen der Europäischen Union für den Schutz personenbezogener Daten, unter Einbeziehung von Beschlüssen, Richtlinien und Vorschriften, im Besonderen die DSGVO und die in Belgien geltenden Durchführungsbestimmungen.

Die Begriffe „Verantwortlicher“, „Datenschutz-Folgenabschätzung“, „betroffene Person“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“ und „verarbeiten/Verarbeitung“ sind entsprechend ihrer Definition in der DSGVO zu verstehen.

1.2.      Dieser Auftragsverarbeitungsvertrag unterliegt den Bestimmungen des Rahmenvertrages und stellt einen integralen Bestandteil des Rahmenvertrages dar.

1.3.      Im Fall von Widersprüchlichkeiten zwischen den Bestimmungen in diesem Auftragsverarbeitungsvertrag und den Bestimmungen im Rahmenvertrag gelten vorrangig die Bestimmungen des vorliegenden Auftragsverarbeitungsvertrages.

2.        Arten personenbezogener Daten und Verarbeitungszwecke

2.1.      Im Rahmen der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Kunden tritt der Kunde als für die Verarbeitung Verantwortlicher und der Auftragsverarbeiter im Sinne des Datenschutzrechts auf.

2.2.      Der Verantwortliche behält die Kontrolle über die personenbezogenen Daten und bleibt für die Erfüllung seiner Pflichten aufgrund des Datenschutzrechts, unter anderem die Durchführung der erforderlichen Benachrichtigungen, das Einholen der erforderlichen Einwilligungen und die dem Auftragsverarbeiter erteilten Verarbeitungsanweisungen, verantwortlich.

2.3.       Nachstehende Tabelle beschreibt die Art und den Zweck der Verarbeitung durch den Auftragsverarbeiter, die Kategorien von personenbezogenen Daten, die Kategorien von betroffenen Personen und die Speicherfristen für die personenbezogenen Daten.

3.        Pflichten des Auftragsverarbeiters

3.1.        Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich soweit und auf eine solche Weise, wie es für die Geschäftszwecke notwendig ist, und entsprechend den schriftlichen Anweisungen des Kunden. Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht für irgendeinen Zweck oder auf eine Weise, die nicht mit diesem Auftragsverarbeitungsvertrag oder dem Datenschutzrecht im Einklang ist. Der Auftragsverarbeiter muss den Kunden unverzüglich kontaktieren, sollte er der Meinung sein, dass die Anweisungen des Kunden nicht dem Datenschutzrecht entsprechen.

3.2.        Der Auftragsverarbeiter ist verpflichtet, personenbezogene Daten vertraulich zu behandeln, und darf Dritten keine personenbezogenen Daten übermitteln, es sei denn, der Kunde oder dieser Auftragsverarbeitungsvertrag erteilen ausdrücklich eine Zustimmung zu dieser Übermittlung oder der Auftragsverarbeiter ist gesetzlich dazu verpflichtet. Sofern ein Gesetz, ein Gericht, eine Regulierungs- oder Aufsichtsbehörde den Auftragsverarbeiter verpflichten, personenbezogene Daten zu verarbeiten oder offenzulegen, muss der Auftragsverarbeiter den Kunden zunächst über diese gesetzliche oder behördliche Pflicht benachrichtigen und ihm die Gelegenheit bieten, Einspruch gegen diese Pflicht einzulegen oder diese anzufechten, sofern nicht ein Gesetz eine solche Benachrichtigung verbietet.

3.3.        Der Auftragsverarbeiter muss den Kunden unter Berücksichtigung der Art der Verarbeitung durch den Auftragsverarbeiter und der Informationen, über die der Auftragsverarbeiter verfügt, angemessen bei der Erfüllung der für den Kunden aufgrund des Datenschutzrechts bestehenden Einhaltungspflichten unterstützen, unter anderem in Bezug auf die Rechte von betroffenen Personen, Datenschutz-Folgenabschätzungen und die Berichterstattung an sowie die Konsultation mit Aufsichtsbehörden gem. Datenschutzrecht.

4.        Unterauftragsverarbeiter

4.1.        Der Kunde erteilt dem Auftragsverarbeiter hiermit die Erlaubnis, nachstehende Dritte („Unterauftragsverarbeiter“) zu ermächtigen, personenbezogene Daten zu verarbeiten:

4.2.        Der Kunde erteilt dem Auftragsverarbeiter hiermit eine allgemeine Ermächtigung, andere Unterauftragsverarbeiter zu beauftragen.

4.3.        Wenn der Auftragsverarbeiter plant, einen anderen Unterauftragsverarbeiter zu beauftragen, hat er den Kunden davon in Kenntnis zu setzen und ihm die Möglichkeit zu gewähren, innerhalb von vierzehn (14) Tagen Einspruch gegen diese Beauftragung zu erheben. Hierfür gilt allerdings, dass der Kunde nur schriftlich und auf angemessene Weise sowie auf der Basis von stichhaltigen und durch Belege untermauerten Gründen Einspruch gegen eine solche Beauftragung erheben kann.

4.4.        Der Auftragsverarbeiter muss mit jedem Unterauftragsverarbeiter einen schriftlichen Vertrag schließen, der dieselben Bedingungen enthält wie dieser Auftragsverarbeitungsvertrag, insbesondere in Bezug auf die Anforderungen in Bezug auf die technischen und organisatorischen Maßnahmen. Der Auftragsverarbeiter hat dem Kunden auf dessen schriftliche Aufforderung hin Kopien solcher Verträge zu übermitteln.

4.5.        Unbeschadet Artikel 13.1 bleibt der Auftragsverarbeiter gegenüber dem Kunden zur Gänze für jegliche Nichterfüllung von Pflichten in Bezug auf die Verarbeitung personenbezogener Daten durch einen Unterauftragsverarbeiter haftbar.

5.        Grenzüberschreitende Übermittlung personenbezogener Daten

5.1.        Der Auftragsverarbeiter (oder ein Unterauftragsverarbeiter) darf personenbezogene Daten nur dann in Regionen außerhalb des Europäischen Wirtschaftsraums („EWR“) übermitteln oder dort auf andere Weise verarbeiten, wenn der Auftragsverarbeiter (oder der Unterauftragsverarbeiter) geeignete Garantien in Übereinstimmung mit Artikel 46 DSGVO vorgesehen hat oder wenn die Übermittlung aufgrund von Vorschriften der EU oder eines EU-Mitgliedsstaats verpflichtend vorgeschrieben ist.

5.2.        Gegebenenfalls vereinbart der Auftragsverarbeiter (oder der Unterauftragsverarbeiter) mit einem Datenimporteur außerhalb des EWR die von der Europäischen Kommission genehmigten EU-Standardvertragsklauseln.

6.        Vertraulichkeit

6.1.        Der Auftragsverarbeiter ist an Geheimhaltungspflichten und Nutzungsbeschränkungen in Bezug auf personenbezogene Daten gebunden.

              (i)      Der Auftragsverarbeiter sorgt dafür, dass Personen, die befugt sind, die personenbezogenen Daten zu verarbeiten:

              (ii)     sowohl über die Pflichten des Auftragsverarbeiters als auch ihre persönlichen Pflichten gem. Datenschutzrecht und diesem Auftragsverarbeitungsvertrages Bescheid wissen.

7.        Sicherheit

7.1.        Der Auftragsverarbeiter trifft alle Maßnahmen, die gem. Artikel 32 DSGVO erforderlich sind.

7.2.        Der Auftragsverarbeiter trifft insbesondere die folgenden technischen und organisatorischen Maßnahmen:

              (i)      Kontrolle des physischen Zugangs: Die Webanwendungs-, Kommunikations- und Datenbankserver von Billit befinden sich in sicheren Rechenzentren in Europa, die von TransIP & Amazon Web Services, Inc. verwaltet werden. Billit hat mit diesem Unternehmen die erforderlichen schriftlichen Verträge gem. Artikel 4.4 dieses Auftragsverarbeitungsvertrages geschlossen.

              (ii)     Kontrolle des Zugriffs auf das System: Billit hat geeignete Maßnahmen getroffen, um zu verhindern, dass unbefugte Personen seine Systeme nutzen. Dies wird erreicht durch:

                           •   die Identifizierung des Terminals und/oder des Benutzers des Terminals in den Systemen von Billit;

                           •   die automatische Ausschaltung des Benutzerterminals, wenn dieses nicht genutzt wird; Identifizierung und Passwort sind verpflichtend vorgeschrieben, um wieder Zugang zu erhalten;

                           •   die automatische Sperre von Benutzern nach mehrmaliger Eingabe eines falschen Passworts; Vorkommnisse werden erfasst und regelmäßig kontrolliert;

                           •   eine Zugriffskontrolle über Firewall, Router und VPN, um die privaten Netzwerke und Back-End-Server zu schützen;

                           •   eine Ad-hoc-Kontrolle der Infrastruktursicherheit;

                           •   regelmäßige Untersuchung der Sicherheitsrisiken durch interne Mitarbeiter und externe Auditoren;

                           •   Bereitstellung und sichere Speicherung von Identifizierungscodes;

                           •   eine Zugriffskontrolle aufgrund von Rollen nach dem Prinzip, dass nur unbedingt notwendige Berechtigungen erteilt werden;

                           •   die Dokumentation von Zugriff auf Hostserver, Anwendungen, Datenbanken, Router, Switches etc.;

                           •   die Nutzung kommerzieller und maßgeschneiderter Hilfsmittel zur Erhebung und Kontrolle der von der Plattform und dem System erfassten Daten.

              (iii)     Kontrolle des Zugriffs auf die Daten: Billit hat geeignete Maßnahmen implementiert, um dafür zu sorgen, dass personenbezogene Daten vor unrechtmäßiger Vernichtung oder Verlust geschützt sind. Dies wird erreicht durch:

              (iv)     redundante Infrastruktur;

                           •   eine kontinuierliche Evaluation der Rechenzentren und Internetdienstanbieter, um die Leistungen für Kunden hinsichtlich Bandbreite, Latenz und Isolation für die Behebung von Störungen zu optimieren;

                           •   Unterbringung von Rechenzentren an sicheren, carrier-neutralen geteilten Standorten mit physischem Schutz, redundanter Stromversorgung und redundanter Infrastruktur;

                           •   Service Level Agreements mit Internetdienstanbietern, um eine maximale Verfügbarkeit zu garantieren;

                           •   schnelle Umstellung bei Problemen.

              (v)     Kontrolle der Übertragung: Billit hat geeignete Maßnahmen implementiert, um zu verhindern, dass personenbezogene Daten während der Übertragung der Daten oder dem Transport der Datenträger von unbefugten Personen gelesen, kopiert, geändert oder gelöscht werden. Dies wird erreicht durch:

                           •   Nutzung geeigneter Firewall- und Verschlüsselungstechnologien, um die Ports und Kanäle, über die Daten übertragen werden, zu schützen;

                           •   Verschlüsselung sensibler personenbezogener Daten bei der Übertragung mithilfe aktueller Versionen von TLS oder anderen Sicherheitsprotokollen, die starke Verschlüsselungsalgorithmen und Schlüssel nutzen;

                           •   Schutz des Zugriffs auf Benutzerschnittstellen für die Kontoverwaltung über das Internet durch Mitarbeiter durch verschlüsselten TLS;

                           •   Ende-zu-Ende-Verschlüsselung geteilter Bildschirme für Remote-Zugriff, Unterstützung oder Echtzeitkommunikation.

              (vi)     Kontrolle der Verarbeitungsvorgänge: Billit hat geeignete Maßnahmen implementiert, um dafür zu sorgen, dass es möglich ist, zu ermitteln, ob und von wem personenbezogene Daten in den Systemen zur Verarbeitung personenbezogener Daten eingegeben oder daraus gelöscht wurden. Dies wird erreicht durch:

                           •   Authentifizierung der befugten Mitarbeiter;

                           •   Schutzmaßnahmen für die Eingabe personenbezogener Daten in den Speicher und für das Lesen, Ändern und Löschen gespeicherter personenbezogener Daten, unter anderem durch die Dokumentation oder Registrierung signifikanter Änderungen von Kontodaten oder -einstellungen;

                           •   Trennung und Schutz aller gespeicherten personenbezogenen Daten über Datenbankschemata, logische Zugriffskontrollen und/oder Verschlüsselung;

                           •   Verwendung von Ausweisen zur Identifizierung von Benutzern;

                           • physischen Schutz des Ortes, an dem die Datenverarbeitung stattfindet;

                           •   Time-out von Sitzungen.

              (vii)     Back-ups von Daten

              (viii)     Trennung von Daten: Billit nutzt die personenbezogenen Daten des Kunden nur für die folgenden Zwecke:

                           • um die erforderlichen Dienstleistungen im Rahmen des Rahmenvertrages zu erbringen;

                           • um die Benutzererfahrung zu unterstützen;

                           • um die rechtlichen Anforderungen zu erfüllen;

                           • auf Wunsch des Kunden.

                           Dies wird erreicht durch:

                           • individuelle Zuweisung von Systemadministratoren;

                           • das Treffen geeigneter Maßnahmen, um den Zugriff der Systemadministratoren auf die Infrastruktur zu erfassen.

8.        Kontrolle

8.1.        Der Auftragsverarbeiter muss alle Informationen zur Verfügung stellen, die notwendig sind, um die Erfüllung der aufgrund dieses Auftragsverarbeitungsvertrages und des Datenschutzrechts bestehenden Pflichten gegenüber dem Kunden nachzuweisen, und muss Audits, einschließlich Inspektionen, durch den Kunden oder dessen bevollmächtigte Auditoren erlauben und daran mitwirken.

8.2.        Audits können nur stattfinden, wenn der Auftragsverarbeiter davon mindestens drei (3) Wochen im Voraus mittels Einschreiben in Kenntnis gesetzt wurde. Audits können höchstens zweimal pro Vertragsjahr durchgeführt werden, und zwar an allen Tagen (zwischen 9:00 Uhr und 18:00 Uhr) mit Ausnahme von Samstagen, Sonntagen, gesetzlichen Feiertagen in Belgien und Tagen, an denen der Auftragsverarbeiter aufgrund von Urlaub sein Unternehmen geschlossen hält. Ein Audit darf die Geschäftstätigkeiten des Auftragsverarbeiters nicht auf unangemessene Weise behindern. Audits werden immer auf Kosten des Kunden durchgeführt. Der Auftragsverarbeiter hat das Recht, vom Kunden und vom externen Kontrolleur zu verlangen, dass sie eine Geheimhaltungserklärung unterzeichnen, bevor das Audit durchgeführt wird.

8.3.        Sofern nicht ausdrücklich schriftlich anders vereinbart, werden die Kosten, die dem Auftragsverarbeiter aufgrund der Mitwirkung an einem solchen Audit entstehen, dem Kunden zu einem Stundensatz von 120 Euro (zzgl. USt.) in Rechnung gestellt.

9.        Informationen und Mitwirkung

9.1.        Der Auftragsverarbeiter trifft die geeigneten technischen und organisatorischen Maßnahmen, die schriftlich zwischen den Vertragsparteien vereinbart wurden, und muss dem Kunden unverzüglich die Informationen übermitteln, die der Kunde nach billigem Ermessen verlangen kann, damit er in die Lage versetzt wird, das Folgende zu erfüllen:

              (i)     Einhaltung der Rechte der betroffenen Personen gem. Datenschutzrecht; und

              (ii)     Inhalte der Informations- oder Folgenabschätzungsbenachrichtigungen, die dem Auftragsverarbeiter von einer Aufsichtsbehörde gem. Datenschutzrecht zugestellt werden.

9.2.        Der Auftragsverarbeiter muss den Kunden unverzüglich in Kenntnis setzen, wenn er eine Beschwerde, Benachrichtigung oder Mitteilung erhält, die direkt oder indirekt mit der Verarbeitung personenbezogener Daten oder der Einhaltung des Datenschutzrechts durch eine der Vertragsparteien in Zusammenhang steht.

9.3.        Der Auftragsverarbeiter muss den Kunden innerhalb von fünf (5) Werktagen in Kenntnis setzen, wenn er einen Antrag auf Auskunft über die personenbezogenen Daten einer betroffenen Person oder auf Ausübung der Rechte, die betroffenen Personen darüber hinaus aufgrund des Datenschutzrechts zustehen, erhält.

9.4.        Der Auftragsverarbeiter muss in angemessener Weise daran mitwirken und den für die Verarbeitung Verantwortlichen bei der Reaktion auf Beschwerden, Benachrichtigungen, Mitteilungen oder Anträge von betroffenen Personen unterstützen.

9.5.        Der Auftragsverarbeiter darf die personenbezogenen Daten nicht gegenüber einer betroffenen Person oder einem Dritten offenlegen, sofern dies nicht auf Antrag oder Anweisung des Kunden laut Bestimmungen in diesem Auftragsverarbeitungsvertrag oder laut Gesetz erfolgt.

9.6.        Sofern nicht ausdrücklich schriftlich anders vereinbart, werden die Kosten, die dem Auftragsverarbeiter für die Mitwirkung gem. Artikel 9 entstehen, dem Kunden zu einem Stundensatz von 120 Euro (zzgl. USt.) in Rechnung gestellt.

10.        Verletzungen des Schutzes personenbezogener Daten

10.1.        Der Auftragsverarbeiter muss den Kunden unverzüglich in Kenntnis setzen, wenn er Kenntnis von Verletzung des Schutzes personenbezogener Daten erhält.

10.2.        Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, meldet er dem Kunden unverzüglich die folgenden Informationen:

              (i)     eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und betroffenen personenbezogenen Datensätze;

              (ii)     eine Beschreibung der wahrscheinlichen Folgen; und

              (iii)     eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

10.3.        Unmittelbar nach einer Verletzung des Schutzes personenbezogener Daten arbeiten die Vertragsparteien zusammen, um die Verletzung des Schutzes personenbezogener Daten zu untersuchen. Der Auftragsverarbeiter muss den Kunden in angemessener Weise im Umgang des Kunden mit der Verletzung des Schutzes personenbezogener Daten unterstützen, unter anderem durch Folgendes:

              (i)     Mitwirkung an einer Untersuchung;

              (ii)     Durchführung vertretbarer und schneller Schritte, um die Auswirkungen abzumildern und eventuelle Schäden infolge der Verletzung des Schutzes personenbezogener Daten auf ein Minimum zu reduzieren.

10.4.        Der Auftragsverarbeiter darf Dritte ohne die vorherige schriftliche Einwilligung des Kunden nicht über eine Verletzung des Schutzes personenbezogener Daten in Kenntnis setzen, es sei denn, er ist rechtlich dazu verpflichtet.

10.5.        Der Kunde muss alle angemessenen Kosten tragen, die mit den Tätigkeiten des Auftragsverarbeiters gem. Artikel 10 in Zusammenhang stehen, es sei denn, die Verletzung des Schutzes personenbezogener Daten ist die Folge von Fahrlässigkeit, vorsätzlichem Fehlverhalten oder Verstößen gegen diesen Auftragsverarbeitungsvertrag durch den Auftragsverarbeiter.

11.        Laufzeit und Beendigung

11.1.        Dieser Auftragsverarbeitungsvertrag bleibt vollständig in Kraft, solange:

              (i)     der Rahmenvertrag in Kraft bleibt; oder

              (ii)     der Auftragsverarbeiter personenbezogene Daten in Zusammenhang mit dem Rahmenvertrag in seinem Besitz oder unter seiner Kontrolle hat (im Folgenden „Laufzeit“ genannt).

11.2.        Jede Bestimmung dieses Auftragsverarbeitungsvertrages, die bei oder nach Beendigung des Rahmenvertrages ausdrücklich oder stillschweigend wirksam werden bzw. bleiben muss (einschließlich u. a. Artikel 13.1), bleibt unvermindert in Kraft.

12.        Löschung oder Rückgabe

12.1.        Bei Beendigung des Rahmenvertrages (aus jeglichem Grund) oder bei Ablauf von dessen Laufzeit muss der Auftragsverarbeiter nach alleiniger Entscheidung des Kunden alle personenbezogenen Daten, die mit diesem Auftragsverarbeitungsvertrag in Zusammenhang stehen und sich in seinem Besitz befinden, löschen oder zurückgeben und vorhandene Kopien löschen.

12.2.        Sofern ein Gesetz, eine Vorschrift oder Behörde bzw. Regulierungsstelle den Auftragsverarbeiter verpflichten, Dokumente oder Unterlagen aufzubewahren, die der Auftragsverarbeiter ansonsten hätte zurückgeben oder vernichten müssen, muss der Auftragsverarbeiter den Kunden schriftlich über diese Aufbewahrungspflicht in Kenntnis setzen und dabei Details zu den Dokumenten oder Unterlagen, die der Auftragsverarbeiter aufbewahren muss, die Rechtsgrundlagen für die Aufbewahrung und die Festsetzung einer spezifischen Frist für die Vernichtung, sobald die Aufbewahrungsfrist endet, bekannt geben.

13.        Schlussbestimmungen

13.1.        Sofern dies aufgrund des geltenden Rechts zulässig ist, finden alle Haftungsbeschränkungen und/oder -ausschlüsse im Rahmenvertrag auch Anwendung auf diesen Auftragsverarbeitungsvertrag.

13.2.        Sollte zu irgendeinem Zeitpunkt während der Laufzeit festgestellt werden, dass eine der Bestimmungen dieses Auftragsverarbeitungsvertrages unwirksam, ungesetzlich oder undurchführbar ist bzw. geworden ist, bleibt davon die Wirksamkeit, Gesetzlichkeit und Durchführbarkeit der übrigen Bestimmungen des Auftragsverarbeitungsvertrages unberührt. Die Vertragsparteien treten sodann gemäß den Grundsätzen von Treu und Glauben in Verhandlungen, um eine solche unwirksame, ungesetzliche oder undurchführbare Bestimmung durch eine wirksame, gesetzliche und durchführbare Bestimmung zu ersetzen, deren Wirkungen der Zielsetzung am nächsten kommen, die mit der unwirksamen, ungesetzlichen bzw. undurchführbaren Bestimmung verfolgt wurde.

13.3.        Für diesen Auftragsverarbeitungsvertrag gelten die Gesetze, die für den Rahmenvertrag gelten, und er wird dementsprechend interpretiert. Das im Rahmenvertrag genannte Gericht ist allein zuständig, um über alle Streitigkeiten zu urteilen, die sich aus diesem Auftragsverarbeitungsvertrag ergeben oder damit in Zusammenhang stehen.

Dieser Vertrag wurde in zweifacher (2) Ausfertigung erstellt in [Unterzeichnungsort] am [Unterzeichnungsdatum].

Erläuterungen zum Vertrag

• Billit tritt bei der Verarbeitung personenbezogener Daten im Rahmen seiner Dienstleistung in Bezug auf die Billit-Plattform als Auftragsverarbeiter im Sinne der DSGVO auf. Der Kunde tritt als für die Verarbeitung Verantwortlicher auf.

• Über die Billit-Plattform werden einige personenbezogene Daten von Mitarbeitern, Kunden und Lieferanten des Kunden verarbeitet. Es handelt sich dabei in erster Linie um Identifizierungs- und Rechnungsdaten.

• Die Verarbeitung personenbezogener Daten ist für das Angebot der Billit-Plattform und für die Erfüllung des Vertrages zwischen dem Kunden und Billit erforderlich. Billit kann auch aufgrund seiner rechtlichen Verpflichtungen personenbezogene Daten verarbeiten. Diese Verarbeitung ist erforderlich, solange der Vertrag zwischen dem Kunden und Billit läuft. Verarbeitungsvorgänge nach Ablauf des Vertrages sind möglich, wenn dazu eine rechtliche Verpflichtung besteht, etwa bei gesetzlichen Aufbewahrungsfristen.

• Als Auftragsverarbeiter verarbeitet Billit personenbezogene Daten nur auf Anweisung des Kunden.

• Billit kann bei der Verarbeitung Unterauftragsverarbeiter beauftragen. Der Kunde hat das Recht, Einspruch gegen die Beauftragung eines neuen Unterauftragsverarbeiters einzulegen.

• Billit sorgt dafür, dass seine Mitarbeiter an eine strenge Verschwiegenheitspflicht gebunden sind.

• Die DSGVO enthält einige Pflichten für Auftragsverarbeiter. So muss beispielsweise ein angemessenes Datenschutzniveau geboten werden und die Beauftragung eventueller Unterauftragsverarbeiter ebenfalls einigen Voraussetzungen entsprechen. Billit erfüllt diese Pflichten.

• Um die Pflichten der DSGVO zu erfüllen, muss Billit gewisse Informationen für den Kunden bereithalten. Wenn der Kunde dies wünscht, kann ein Audit ausgeführt werden, um die Erfüllung dieser Pflichten durch Billit zu überprüfen. Billit wirkt an einem solchen Audit zu angemessenen Zeitpunkten und innerhalb angemessener Fristen mit. Die Mitwirkung an einem Audit erfordert einen signifikanten Arbeitsaufwand der beteiligten Billit-Mitarbeiter. Diese Leistungen werden in Rechnung gestellt.

• Betroffene Personen können gem. DSGVO ihre Rechte beim Verantwortlichen ausüben. Als Auftragsverarbeiter unterstützt Billit den Kunden dabei, wo dies nötig und möglich ist. Diese Leistung wird ebenfalls in Rechnung gestellt.

• Wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt, muss dies der Aufsichtsbehörde gemeldet werden. Billit wird den Kunden dabei, wo nötig, unterstützen. Der Kunde hat alle Billit in diesem Zusammenhang entstehenden angemessenen Kosten zu tragen.

• Mit Ausnahme der Daten, die aufgrund gesetzlicher Vorschriften aufbewahrt werden müssen, wird Billit nach der Beendigung des Vertrages die erhaltenen personenbezogenen Daten löschen bzw. zurückgeben und nicht speichern.

• Der Auftragsverarbeiter muss den Kunden unverzüglich in Kenntnis setzen, wenn er über eine Verletzung des Schutzes personenbezogener Daten erfährt, und am Umgang damit mitwirken.

• Billit (und die Unterauftragsverarbeiter) werden ohne die vorhergehende schriftliche Einwilligung des Kunden keine personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums verarbeiten.