Vereinbarung zur Datenverarbeitung

Parteien

1. Publitas.com B.V., mit Sitz in Leiden und der Büroadresse J.H. Hoortweg 21, 2333 CH, Leiden, Niederlande, eingetragen bei der niederländischen Handelskammer unter der Nummer 39096214, (im Folgenden: "Publitas.de"), und
2. Kunde, der kein Verbraucher im Sinne der einschlägigen gesetzlichen Bestimmungen ist, über die Publitas-Plattform und die juristische oder natürliche Person, die das Publitas-Produkt oder die Publitas-Dienstleistungen in Anspruch nehmen wird, und der als solcher zum Zeitpunkt der Bestellung von Publitas datiert ist, im Folgenden bezeichnet als Kunde oder Controller.

nachstehend gemeinsam bezeichnet als "Parteien".

1. Allgemeine Bestimmungen
   1. Einleitung, Anwendungsbereich, Definition
      1. Diese Vereinbarung regelt die Rechte und Pflichten des für die Verarbeitung Verantwortlichen und des Auftragsverarbeiters (im Folgenden gemeinsam als "Parteien" bezeichnet) im Zusammenhang mit der Verarbeitung personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen (im Folgenden als "DSGVO" bezeichnet). Diese DSGVO dient der Einhaltung der Bestimmungen der EU-Datenschutzgrundverordnung (im Folgenden "DSGVO").
      2. Wird in dieser DSGVO der Begriff "Dienstleistungsvertrag" verwendet, so ist darunter der gesonderte Abschluss eines Vertrags mit dem für die Verarbeitung Verantwortlichen zu verstehen, der sich aus dem Abschluss eines unentgeltlichen und/oder kostenpflichtigen Nutzungsvertrags ergibt - gemäß den Allgemeinen Geschäftsbedingungen ("AGB") des Auftragsverarbeiters, der Datenschutzrichtlinie des Auftragsverarbeiters oder einem gesondert abgeschlossenen Nutzungsvertrag zwischen den Parteien.
      3. Soweit der Begriff "Publitas" oder "Software" in diesem Vertrag verwendet wird, ist damit der webbasierte Online-Abonnementdienst gemeint, der aus webbasierten Anwendungen und einer von Publitas unter www.publitas.com bereitgestellten Plattform besteht, um digitale Publikationen innerhalb der Serverumgebung von Publitas zu den im Dienstleistungsvertrag festgelegten Bedingungen hochzuladen, zu produzieren, zu hosten und auszuliefern (Dienst, der, um Zweifel auszuschließen, die von Publitas als Teil der Dienste bereitgestellte Technologie umfasst).
      4. Diese DSGVO gilt für Tätigkeiten, bei denen der Auftragsverarbeiter, Mitarbeiter des Auftragsverarbeiters oder vom Auftragsverarbeiter beauftragte Unterauftragsverarbeiter personenbezogene Daten des für die Verarbeitung Verantwortlichen im Rahmen des Dienstleistungsvertrags im Sinne von Art. 28 GDPR. 
      5. Die in dieser DSGVO verwendeten Begriffe sind entsprechend ihrer Definition in der Datenschutz-Grundverordnung zu verstehen.
   2. Umfang der Verarbeitung, Datenkategorien, betroffene Personen
      1. Gegenstand, Umfang, Art und Zweck der Datenverarbeitung ergeben sich aus dieser DSGVO und dem Dienstleistungsvertrag. Die folgenden Verarbeitungstätigkeiten werden vom Auftragsverarbeiter im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt:
         A) Sammlung von Daten über die Nutzung der Produkte des Auftragsverarbeiters durch den für die Verarbeitung Verantwortlichen.
         B) Aggregation und Analyse von Daten und Speicherung von Daten über Unterauftragsverarbeiter und somit Übermittlung von Daten an Unterauftragsverarbeiter. Der Auftragsverarbeiter greift auf die Daten zum Zwecke der Wartung, der globalen Analyse oder der Unterstützung des für die Verarbeitung Verantwortlichen zu. Auf Anweisung des für die Verarbeitung Verantwortlichen leitet der Auftragsverarbeiter die Daten des für die Verarbeitung Verantwortlichen an vom für die Verarbeitung Verantwortlichen beauftragte Dritte weiter.
      2. Der Auftragsverarbeiter verarbeitet keine sensiblen personenbezogenen Daten. Der Auftragsverarbeiter kann die folgenden Kategorien personenbezogener Daten im Auftrag des für die Verarbeitung Verantwortlichen und die in der Liste der Unterauftragsverarbeiter in Anhang 1: Liste der Unterauftragsverarbeiter aufgeführten Daten verarbeiten:
         A) E-Mail-Adressen
         B) IP-Adresse
         C) Rufnummer
         D) Andere Informationen, die mit den oben genannten personenbezogenen Daten verknüpft sind oder aus ihnen gewonnen werden, wie z. B. Standortdaten
         Da die Plattform des Auftragsverarbeiters offen ist, kann der für die Verarbeitung Verantwortliche selbst entscheiden, ob er andere Kategorien personenbezogener Daten erheben will. Der für die Verarbeitung Verantwortliche darf die Plattform des Auftragsverarbeiters jedoch nicht nutzen, um sensible personenbezogene Daten zu erheben und den Auftragsverarbeiter damit zur Verarbeitung zu veranlassen. Eine solche Erhebung personenbezogener Daten wird als Verstoß gegen diese Vereinbarung betrachtet.
      3. Die folgenden Kategorien von betroffenen Personen sind von der Datenverarbeitung betroffen:
         Besucher der Inhalte des für die Verarbeitung Verantwortlichen, wie z.B. Inhalte und andere Funktionalitäten von Publitas, die ihre Daten in den vom für die Verarbeitung Verantwortlichen ausgewählten Bereichen, wie z.B. Websites, Apps und ähnlichen Plattformen, registriert haben Die Erbringung der vertraglich vereinbarten Datenverarbeitung erfolgt ausschließlich in einem Mitgliedstaat der Europäischen Union, einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder einem Staat mit angemessenem Datenschutzniveau gemäß Art. 45 DSGVO, wie von der Europäischen Kommission festgelegt.
      4. Die Verlagerung des Dienstes in ein Drittland - ein Land außerhalb des Anwendungsbereichs von Nr. 1.2.4. - bedarf der vorherigen Zustimmung der verantwortlichen Stelle und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. GDPR erfüllt sind. Sind diese Voraussetzungen erfüllt, müssen wichtige datenschutzrechtliche Gründe für die Verweigerung der Einwilligung vorliegen.
      5. Im Falle datenschutzrechtlicher Widersprüche zwischen dem Dienstleistungsvertrag oder einer anderen Vereinbarung mit dem Auftragsverarbeiter und dieser Vereinbarung hat diese Vereinbarung als spezifischere Bestimmung Vorrang.
   3. Dauer der Bearbeitung
      Die Dauer der Verarbeitung (Laufzeit) ist nie länger als für die Durchführung der Verarbeitungstätigkeiten erforderlich und entspricht der Laufzeit des Dienstleistungsvertrags, es sei denn, aus den Bestimmungen dieser DPA ergeben sich darüber hinausgehende Verpflichtungen. In letzterem Fall endet diese DPA mit dem Erlöschen der darüber hinausgehenden Verpflichtungen aus dem Dienstleistungsvertrag.
2. Vertraulichkeit
   Der Auftragsverarbeiter sorgt für die Wahrung der Vertraulichkeit gemäß Art. 28 Abs.. 3 S. 2 Punkt (b), 29 und 32 Abs.. 4 GDPR. Der Auftragsverarbeiter setzt bei der Verarbeitung von Daten nur Mitarbeiter ein, die zur Vertraulichkeit verpflichtet sind und zuvor mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht worden sind. Der Auftragsverarbeiter und alle ihm unterstellten Personen, die Zugang zu personenbezogenen Daten haben, dürfen diese Daten nur gemäß den Anweisungen des für die Verarbeitung Verantwortlichen, dem Dienstleistungsvertrag und den in dieser DSGVO erteilten Befugnissen verarbeiten, es sei denn, sie sind gesetzlich zur Verarbeitung dieser Daten verpflichtet.
3. Pflichten des für die Verarbeitung Verantwortlichen
   1. Im Anwendungsbereich der DSGVO ist allein der Verantwortliche für die Einhaltung der datenschutzrechtlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der an den Auftragsverarbeiter übermittelten Daten und für die Rechtmäßigkeit der Verarbeitung verantwortlich ("Verantwortlicher" im Sinne von Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf den Gegenstand, den Umfang, die Art und den Zweck der in dieser Vereinbarung geregelten Datenverarbeitung, die Beschreibung der relevanten Daten gemäß Ziffer 1.2 und den Schutz der Rechte der Betroffenen.
   2. Der für die Verarbeitung Verantwortliche ist insbesondere dafür verantwortlich, dass alle technischen und organisatorischen Maßnahmen, die direkt oder indirekt durch Gesetze und Vorschriften für diese Verarbeitung vorgeschrieben sind, ein angemessenes Schutzniveau für die Risiken der verarbeiteten Daten bieten. Der Auftragsverarbeiter seinerseits ist für die Einhaltung dieser Maßnahmen verantwortlich.
   3. Der für die Verarbeitung Verantwortliche muss den Auftragsverarbeiter im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und, soweit möglich, spätestens 72 Stunden, nachdem er davon Kenntnis erlangt hat, in vollem Umfang informieren, wenn er Fehler oder Unregelmäßigkeiten bei der Verarbeitung im Hinblick auf die Datenschutzvorschriften feststellt.
   4. Erforderlichenfalls teilt der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter die Kontaktperson für alle im Rahmen dieser DSGVO auftretenden Datenschutzfragen mit. Wird keine Kontaktperson benannt, setzt sich der Auftragsverarbeiter mit dem Unterzeichner in Verbindung und/oder kontaktiert den für die Verarbeitung Verantwortlichen über die in seinem Publitas-Konto angegebenen Daten.
   5. Weitere Rechte und Pflichten des für die Verarbeitung Verantwortlichen ergeben sich aus den folgenden Bestimmungen dieser DSGVO und der DSGVO sowie aus den entsprechenden gesetzlichen Bestimmungen.
4. Anweisungen
   1. Der Auftragsverarbeiter - und jede ihm unterstellte Person - darf die personenbezogenen Daten nur im Rahmen der Weisungen des für die Verarbeitung Verantwortlichen verarbeiten, es sei denn, es liegen außergewöhnliche Umstände im Sinne von Artikel 28 Abs. 3 Satz 1 Buchstabe a DSGVO oder einer anderen vorrangigen Rechtsvorschrift vor. 3 Satz 2 Buchstabe a) DSGVO oder eine andere vorrangige Rechtsvorschrift vorliegen. Die Dienstleistungsvereinbarung und die DSGVO stellen die endgültigen Weisungen der verantwortlichen Stelle (in Bezug auf die Datenverarbeitung) zum Zeitpunkt des Abschlusses dieser DSGVO dar. Weitere Weisungen sind dem für die Verarbeitung Verantwortlichen vorbehalten, werden aber gemäß Abschnitt 4.3. dieser DSGVO behandelt. Der Auftragsverarbeiter nimmt Weisungen des für die Verarbeitung Verantwortlichen sowohl schriftlich als auch über die vom Auftragsverarbeiter zu diesem Zweck angebotenen elektronischen Formate entgegen. Mündliche Weisungen sind nur in dringenden Fällen zulässig und müssen von dem für die Verarbeitung Verantwortlichen unverzüglich schriftlich oder in einem von dem Auftragsverarbeiter zu diesem Zweck angebotenen elektronischen Format bestätigt werden.
   2. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Anweisung gegen einschlägige Gesetze oder Vorschriften verstößt. Der Auftragsverarbeiter kann die Ausführung der Weisung aussetzen, bis sie vom für die Verarbeitung Verantwortlichen nach Überprüfung bestätigt oder geändert worden ist. Der für die Verarbeitung Verantwortliche haftet gegenüber dem Auftragsverarbeiter in vollem Umfang für Schäden jeglicher Art, die sich aus bestätigten Anweisungen ergeben, und stellt den Auftragsverarbeiter auf erstes Anfordern von Ansprüchen Dritter frei. Für den Fall eines anhaltenden Dissenses vereinbaren die Parteien, sich an die für den Auftragsverarbeiter zuständige Aufsichtsbehörde zu wenden.
   3. Sind die Weisungen des für die Verarbeitung Verantwortlichen nicht durch den vertraglich vereinbarten Leistungsumfang abgedeckt, so werden sie als Antrag auf eine Änderung der Leistungen behandelt. Im Falle von Änderungsvorschlägen kann der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen über die Auswirkungen auf die vereinbarten Leistungen informieren, insbesondere über die Möglichkeit der Erbringung der Leistungen, die Fristen und die Vergütung. Ist dem Auftragsverarbeiter die Durchführung der Weisung nicht zumutbar, so ist er berechtigt, die Weisung abzulehnen. Besteht der für die Verarbeitung Verantwortliche dennoch auf der Weisung, hat der Auftragsverarbeiter ein Sonderkündigungsrecht und kann die Verarbeitung - und damit auch die DSGVO und den Dienstleistungsvertrag - jederzeit mit sofortiger Wirkung beenden.
   4. Die verantwortliche Stelle benennt die ausschließlich weisungsbefugten Personen innerhalb von Publitas oder, falls dies innerhalb von Publitas nicht möglich ist, per E-Mail an folgende Adresse: privacy@publitas.com. Falls keine weisungsbefugte Person benannt wird, sind nur natürliche Personen, die zur gesetzlichen Vertretung des für die Verarbeitung Verantwortlichen befugt sind, zur Erteilung von Weisungen berechtigt. Der Auftragsverarbeiter kann die Ausführung von Weisungen so lange aussetzen, bis der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter den Nachweis der Befugnis zur gesetzlichen Vertretung des für die Verarbeitung Verantwortlichen erbracht hat.
5. Pflichten des Verarbeiters
   1. Allgemeine Pflichten des Verarbeiters
      1. Neben der Einhaltung der Bestimmungen dieser DSGVO hat der Auftragsverarbeiter gesetzliche Verpflichtungen gemäß den Artikeln 28 bis 33 DSGVO; in diesem Zusammenhang hat der Auftragsverarbeiter insbesondere die Einhaltung der folgenden Bestimmungen sicherzustellen.
      2. Falls gesetzlich erforderlich, garantiert der Auftragsverarbeiter die schriftliche Ernennung eines Datenschutzbeauftragten, der seine Aufgaben gemäß den Artikeln 38 und 39 DSGVO wahrnimmt. Die ständig aktualisierten Kontaktdaten dieses Datenschutzbeauftragten müssen auf der Homepage oder innerhalb von Publitas leicht zugänglich sein.
      3. Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter arbeiten erforderlichenfalls mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
      4. Der Auftragsverarbeiter unterrichtet den für die Verarbeitung Verantwortlichen unverzüglich über alle von der Aufsichtsbehörde ergriffenen Kontrollen und Maßnahmen, soweit sie sich auf diese Vereinbarung beziehen. Dies gilt auch, wenn eine zuständige Behörde feststellt, dass personenbezogene Daten aus dieser Verarbeitung vom Auftragsverarbeiter verarbeitet wurden und mit einem Verwaltungs- oder Strafverfahren in Verbindung stehen, es sei denn, der Auftragsverarbeiter ist gesetzlich oder behördlich verpflichtet, von einer solchen Mitteilung abzusehen.
      5. Ist der für die Verarbeitung Verantwortliche selbst Gegenstand einer Kontrolle durch die Aufsichtsbehörde, eines Verwaltungs- oder Strafverfahrens, der Haftung einer betroffenen Person oder eines Dritten oder eines sonstigen Anspruchs im Zusammenhang mit der Verarbeitung von Daten durch den Auftragsverarbeiter, so unterstützt der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen auf dessen Ersuchen nach besten Kräften.
      6. Der Auftragsverarbeiter überwacht regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen der geltenden Datenschutzgesetze erfolgt und dass die Rechte der betroffenen Person geschützt werden.
      7. Der Auftragsverarbeiter legt dem für die Verarbeitung Verantwortlichen Unterlagen vor, die die gemäß Abschnitt 6.2 getroffenen technischen und organisatorischen Maßnahmen belegen, indem er die einschlägigen ISO-Zertifizierungen von TOM für die Sicherheit des Datenschutzes und dergleichen nachweist.
   2. Pflicht zur Zusammenarbeit bei Inspektionen
      1. Der Verantwortliche ist berechtigt, die Einhaltung der sich aus der DSGVO ergebenden Verpflichtungen in Bezug auf seine eigenen Daten unter Berücksichtigung der berechtigten Interessen des Auftragsverarbeiters, der technischen und organisatorischen Maßnahmen sowie der datenschutzrechtlichen Bestimmungen nach Absprache mit dem Auftragsverarbeiter während dessen üblicher Geschäftszeiten - unter Berücksichtigung einer Ankündigungsfrist von mindestens 14 Tagen - zu überprüfen oder durch im Einzelfall zu benennende Prüfer überprüfen zu lassen. Für Kontrollen, die aufgrund eines Sicherheitsvorfalls oder eines mehr als nur geringfügigen Verstoßes gegen die Vorschriften zum Schutz personenbezogener Daten oder gegen Bestimmungen dieser DSGVO erforderlich werden (nachfolgend "ereignisbezogene Vor-Ort-Kontrolle"), verkürzt sich die Meldefrist aus Satz 1 auf einen angemessenen Zeitraum, spätestens jedoch auf 72 Stunden. Darüber hinaus unterliegen ereignisbezogene Vor-Ort-Kontrollen nicht den Beschränkungen der Ziffern 5.2.3.-5.2.4. dieser Datenschutz-Grundverordnung.
      2. Der Auftragsverarbeiter kann die Zustimmung zur Inspektion davon abhängig machen, dass sich der Inspektor einer entsprechenden Vertraulichkeitsvereinbarung unterwirft. Steht der von dem für die Verarbeitung Verantwortlichen beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragsverarbeiter oder liegt ein anderer begründeter Fall vor, hat der Auftragsverarbeiter das Recht, der Wahl des für die Verarbeitung Verantwortlichen zu widersprechen.
      3. Der Verarbeiter ist im Rahmen dieser Klausel nur zur Duldung und Mitwirkung bei einer nicht anlassbezogenen Vor-Ort-Kontrolle (ohne Anlass) pro Kalenderjahr durch einen unabhängigen Dritten verpflichtet. Der Aufwand für eine ereignisunabhängige Vor-Ort-Kontrolle (ohne Anlass) ist für den Auftragsverarbeiter grundsätzlich auf einen Tag pro Kalenderjahr begrenzt. Alle mit der Inspektion verbundenen Kosten sowohl für den Controller als auch für den Verarbeiter sind vom Controller zu tragen. Interne Kosten, wie z.B. Arbeitskosten, werden vom Verarbeiter nicht in Rechnung gestellt.
      4. Der Verarbeiter hat das Recht, die nicht veranstaltungsbezogene Vor-Ort-Kontrolle (ohne Angabe von Gründen) aus diesem Abschnitt abzulehnen, wenn und solange er die Erfüllung seiner Pflichten durch geeignete Nachweise belegt. Geeignete Nachweise können insbesondere genehmigte Verhaltensregeln im Sinne des Art. 40 DS-GVO oder ein genehmigtes Zertifizierungsverfahren im Sinne von Art. 42 DS-GVO SEIN. Beide Parteien sind sich einig, dass auch die Vorlage von Bescheinigungen oder Berichten unabhängiger Stellen (z.B. IT-Sicherheitsbeauftragter, Datenschutzbeauftragter etc.), ein schlüssiges betriebliches Datensicherheitskonzept oder eine geeignete Zertifizierung durch ein IT-Sicherheits- und Datenschutzaudit als geeignete Nachweise anerkannt werden.
6. Technische und organisatorische Maßnahmen
   1. Der Auftragsverarbeiter hat die Durchführung der vor Vertragsschluss festgelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere im Hinblick auf die konkrete Datenverarbeitung, zu dokumentieren und zur Einsichtnahme durch den Verantwortlichen bereitzuhalten.
   2. Der Auftragsverarbeiter gewährleistet die Sicherheit der Verarbeitung gemäß Art. 28 Abs.. 3 Punkt (c) und 32 GDPR, insbesondere in Verbindung mit Art. 5 Abs.. 1, Abs. 2 DS-GVO. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Datensicherheitsmaßnahmen und Maßnahmen zur Gewährleistung eines risikoadäquaten Schutzniveaus im Hinblick auf die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme. Der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Wahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs.. 1 DSGVO sind zu berücksichtigen. 
   3. Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Der Auftragsverarbeiter behält sich das Recht vor, die getroffenen Sicherheitsmaßnahmen zu ändern, wobei sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren.
7. Unterverarbeitungsbeziehungen
   1. Unterauftragsverhältnisse im Sinne dieses Vertrages sind nur solche Leistungen, die unmittelbar mit der Erbringung der Hauptleistung verbunden sind. Nebenleistungen, wie z.B. Transport, Wartung und Reinigung, die Nutzung von Telekommunikationsdiensten, Benutzerservice oder Customer Relationship Management sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungssystemen, sind nicht erfasst. Die Verpflichtung des Auftragsverarbeiters zur Einhaltung des Datenschutzes und der Datensicherheit nach den einschlägigen Rechtsvorschriften bleibt auch in diesen Fällen unberührt.
   2. Die Unterauftragsverarbeiter sind in Anhang 1: Liste der Unterauftragsverarbeiter aufgeführt. Die Genehmigung des für die Verarbeitung Verantwortlichen wird nach Abschluss der DSGVO erteilt.
   3. Darüber hinaus erteilt der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter die allgemeine Erlaubnis, weitere Unterauftragsverarbeiter unter Berücksichtigung von Abschnitt 1.2.4. der DSGVO einzusetzen. Der Auftragsverarbeiter informiert den für die Verarbeitung Verantwortlichen in Textform durch aktive Benachrichtigung - z. B. per E-Mail, über das Publitas-Konto des für die Verarbeitung Verantwortlichen -, wenn er beabsichtigt, weitere Unterauftragsverarbeiter einzusetzen oder Unterauftragsverarbeiter zu ersetzen. Der für die Verarbeitung Verantwortliche kann einer solchen Änderung widersprechen, was jedoch nicht ohne wichtige datenschutzrechtliche Gründe erfolgen darf. Der Einspruch gegen die beabsichtigte Änderung muss innerhalb von 14 Tagen nach Bekanntgabe der Änderung schriftlich beim Auftragsverarbeiter eingereicht werden: privacy@publitas.com. Im Falle eines Widerspruchs kann der Auftragsverarbeiter nach eigenem Ermessen die Leistung ohne die beabsichtigte Änderung erbringen oder - wenn die Erbringung der Leistung ohne die beabsichtigte Änderung für den Auftragsverarbeiter unzumutbar ist - die Leistung gegenüber dem Verantwortlichen innerhalb von 4 Wochen nach Eingang des begründeten Widerspruchs einstellen und den Dienstleistungsvertrag fristlos und mit sofortiger Wirkung kündigen.
   4. Erteilt der Auftragsverarbeiter Aufträge an Unterauftragsverarbeiter, so obliegt es dem Auftragsverarbeiter, seine datenschutzrechtlichen Verpflichtungen aus diesem Vertrag auf die Unterauftragsverarbeiter zu übertragen und mit diesen eine vertragliche Vereinbarung gemäß Art. 28 Abs. 2-4 DS-GVO zu schließen. Insbesondere hat der Auftragsverarbeiter zu gewährleisten, dass die Sicherheit der Verarbeitung durch die Unterauftragsverarbeiter dem in dieser DSGVO festgelegten Schutzniveau entspricht. 
   5. Eine Vor-Ort-Kontrolle bei den Unterauftragsverarbeitern wird ausschließlich vom Auftragsverarbeiter und höchstens in jährlichen Abständen durchgeführt. Unter den gleichen Voraussetzungen wie in Abschnitt 5.2.4. dieser DSGVO kann eine Vor-Ort-Kontrolle durch den Nachweis einer datenschutzkonformen Verarbeitung ersetzt werden. Der Auftragsverarbeiter räumt dem Verantwortlichen das Recht ein, sich über den wesentlichen Inhalt des Vertrages und die Erfüllung der Verpflichtungen aus diesem Vertrag zu informieren, wobei der Auftragsverarbeiter dies davon abhängig machen kann, dass die Unterauftragsverarbeiter dies ermöglichen, z.B. durch Abschluss einer Vertraulichkeitsvereinbarung.
8. Rechte der betroffenen Personen
   1. Wendet sich eine betroffene Person an den Auftragsverarbeiter mit einer Forderung nach Kapitel III der DSGVO im Hinblick auf die Rechte der betroffenen Personen, so verweist der Auftragsverarbeiter die betroffene Person an den für die Verarbeitung Verantwortlichen, sofern eine Zuordnung zum für die Verarbeitung Verantwortlichen nach Angabe der betroffenen Person möglich ist. Außerdem leitet der Auftragsverarbeiter den Antrag der betroffenen Person unverzüglich, spätestens jedoch innerhalb von 74 Stunden, an den für die Verarbeitung Verantwortlichen weiter.
   2. Unbeschadet des Abschnitts 8.1. ermöglicht der für die Verarbeitung Verantwortliche jedem Mitarbeiter oder Administrator des für die Verarbeitung Verantwortlichen im Rahmen der ihm zugewiesenen Zugriffsrechte eine umfassende Selbstverwaltung der Daten sowie den eigenständigen Zugriff, die Verarbeitung und die Überprüfung der verarbeiteten Daten. Soweit es also um die Wahrung der Rechte der betroffenen Personen nach Kapitel III der DSGVO geht, ist in erster Linie der für die Verarbeitung Verantwortliche selbst in der Lage und verpflichtet, dem Wunsch der betroffenen Person nachzukommen.
   3. Wenn trotz der Möglichkeit einer solchen Selbstverwaltung zusätzliche Unterstützung durch den Auftragsverarbeiter erforderlich ist, wird dieser den für die Verarbeitung Verantwortlichen so weit wie möglich bei seiner Verpflichtung unterstützen, auf Anträge zur Ausübung der Rechte der betroffenen Person gemäß Kapitel III der DSGVO zu reagieren.
   4. Der Auftragsverarbeiter haftet nicht, wenn der für die Verarbeitung Verantwortliche auf die Anfrage einer betroffenen Person nicht, nicht richtig oder nicht rechtzeitig antwortet und dies ausschließlich auf sein Verschulden zurückzuführen ist.
9. Informations- und Meldepflichten
   1. Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung der in den Artikeln 32 bis 36 DSGVO festgelegten Verpflichtungen in Bezug auf die Sicherheit personenbezogener Daten, die Meldepflichten bei Datenlecks und die vorherige Konsultation, falls erforderlich. Dies umfasst unter anderem Folgendes:
      1. Die Verpflichtung, jede Verletzung des Schutzes personenbezogener Daten von Endnutzern des für die Verarbeitung Verantwortlichen durch den Auftragsverarbeiter, Mitarbeiter des Auftragsverarbeiters oder von ihm beauftragte Unterauftragsverarbeiter unverzüglich dem für die Verarbeitung Verantwortlichen im Sinne von Art. 33 Abs. 2 GDPR.
      2. Die Unterstützung des für die Verarbeitung Verantwortlichen bei seiner Datenschutz-Folgenabschätzung, falls erforderlich. Der Auftragsverarbeiter kann dem nachkommen, indem er dem für die Verarbeitung Verantwortlichen auf Anfrage die erforderlichen Informationen und Unterlagen zur Verfügung stellt.
      3. Die Unterstützung des für die Verarbeitung Verantwortlichen bei der Konsultation der Aufsichtsbehörde vor der Verarbeitung.
   2. Der Verarbeiter kann für Unterstützungsleistungen nach den Ziffern 9.1.2. und 9.1.3. eine angemessene Vergütung verlangen.
10. Offenlegung und Löschung von Daten
    1. Nach Abschluss der Datenverarbeitung gibt der Auftragsverarbeiter die übermittelten personenbezogenen Daten gemäß den folgenden Absätzen weiter. Die Datenverarbeitung wird in der Regel mit dem Ende der Laufzeit des Dienstleistungsvertrags beendet.
    2. Der Auftragsverarbeiter kann gesetzlich oder vertraglich berechtigt oder verpflichtet sein, die übermittelten personenbezogenen Daten für einen bestimmten Zeitraum nach Beendigung des Vertrages aufzubewahren. Der für die Verarbeitung Verantwortliche ist berechtigt, jederzeit bis zum Ablauf dieser Frist in Textform die Herausgabe der personenbezogenen Daten in einem maschinenlesbaren Format oder die Löschung der gespeicherten personenbezogenen Daten zu verlangen oder, falls möglich, die Daten direkt aus der Software herunterzuladen.
    3. Erteilt der für die Verarbeitung Verantwortliche dem Auftragsverarbeiter eine verbindliche Weisung zur Löschung in Textform, so ist der Auftragsverarbeiter berechtigt, die Löschung der Daten bereits vor Ablauf der Aufbewahrungsfrist nach Ziffer 10.2 vorzunehmen. Ausgenommen hiervon sind lediglich die Daten, zu deren Aufbewahrung der Auftragsverarbeiter gesetzlich verpflichtet ist, z.B. Sicherheitsprotokolle.
    4. Hat der für die Verarbeitung Verantwortliche bis zum Ablauf der Frist gemäß Abschnitt 10.2. weder die Herausgabe der Daten noch deren Löschung beantragt, so ist der Auftragsverarbeiter verpflichtet, diese Daten zu löschen.
11. Anonymisierung
    1. Der Auftragsverarbeiter hat das Recht, die unter diesen Vertrag fallenden personenbezogenen Daten zu anonymisieren und zu aggregieren und die für die Anonymisierung und Aggregation erforderlichen Verarbeitungsschritte durchzuführen. Unter Wahrung der Anonymität kann der Auftragsverarbeiter alle so erzeugten Daten für eigene Zwecke, wie statistische Auswertungen, Branchenvergleiche, Benchmarking, Produktverbesserungen, neue Produktentwicklungen und andere vergleichbare Zwecke, verarbeiten und nutzen.
    2. Daten, die für die Erbringung der im Vertrag beschriebenen Dienstleistungen erforderlich sind und vom für die Verarbeitung Verantwortlichen freiwillig zur Verfügung gestellt werden, sind von der Anonymisierung nicht betroffen.
    3. Anonymisierte oder aggregierte Daten gemäß der Definition in Abschnitt 11.1. gelten nicht mehr als personenbezogene Daten und fallen nicht unter die Verpflichtung zur Offenlegung oder Löschung von Daten im Sinne von Abschnitt 10. Der Auftragsverarbeiter ist berechtigt, diese Daten über das Vertragsende hinaus für seine eigenen Zwecke zu nutzen und zu speichern.
12. Haftung
    1. Ist ein Schaden eingetreten, weil der Auftragsverarbeiter seinen speziell auferlegten Pflichten nach der DSGVO nicht nachgekommen ist oder weil der Auftragsverarbeiter den rechtmäßig erteilten Weisungen des für die Verarbeitung Verantwortlichen nicht nachgekommen ist oder weil der Auftragsverarbeiter entgegen diesen Weisungen gehandelt hat, so haftet er für den entstandenen Schaden gemäß Art. 82 Abs. 2 DS-GVO.
    2. In allen anderen Fällen haftet der Verantwortliche im Innenverhältnis in vollem Umfang für den Schaden und stellt den Auftragsverarbeiter von allen Ansprüchen der betroffenen Person oder Dritter auf erstes Anfordern frei, die im Zusammenhang mit der Datenverarbeitung gegen den Auftragsverarbeiter erhoben werden. Dies gilt insbesondere auch dann, wenn eine Forderung als Gesamtschuldner den auf den Auftragsverarbeiter entfallenden Anteil an der Schuld betragsmäßig übersteigt. 
    3. Der Kontrolleur trägt die Beweislast dafür, dass der Schaden nicht auf Umstände zurückzuführen ist, die er zu vertreten hat.
    4. Die Haftungsausschlüsse in diesem Vertrag gelten nicht bei Vorsatz oder grober Fahrlässigkeit sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit.
    5. Im Übrigen richtet sich die Haftung nach dem Dienstleistungsvertrag.
13. Abschließende Bestimmungen
    1. Die Parteien können den Vertragsschluss in elektronischer Form im Sinne von Art. 28 Abs.. 9 GDPR.
    2. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der anderen Partei auch über die Beendigung des Vertrages hinaus vertraulich zu behandeln. Dies gilt insbesondere auch für den Inhalt dieser DPA sowie für alle im Rahmen des Datenschutzaudits zur Verfügung gestellten Unterlagen, Nachweise etc. Bestehen Zweifel, ob eine Information der Geheimhaltung unterliegt, ist sie so lange vertraulich zu behandeln, bis sie von der anderen Partei schriftlich freigegeben wird.
    3. Änderungen und Ergänzungen dieser DSGVO und aller ihrer Bestandteile - einschließlich etwaiger Zusicherungen des Auftragsverarbeiters - bedürfen der Schriftform gemäß der DSGVO, die auch in elektronischer Form erfolgen kann, und eines ausdrücklichen Hinweises darauf, dass diese Bedingungen geändert oder ergänzt wurden. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Die Parteien vereinbaren, dass Anpassungen der DSGVO oder neue Verträge in einem elektronischen Format gemäß Art. 28 Abs. 9 GDPR.  
    4. Sollten die Daten der verantwortlichen Stelle durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet sein, so hat der Auftragsverarbeiter die verantwortliche Stelle unverzüglich zu unterrichten, es sei denn, dass dem Auftragsverarbeiter dies durch behördliche Anordnungen oder durch das Gesetz selbst gesetzlich untersagt ist. Der Auftragsverarbeiter informiert alle in diesem Zusammenhang beteiligten Parteien unverzüglich darüber, dass die Hoheit und das Eigentum an den Daten ausschließlich bei dem für die Verarbeitung Verantwortlichen als "Verantwortlicher" im Sinne der DSGVO liegt.
    5. Es gilt niederländisches Recht.
    6. Für alle Streitigkeiten im Zusammenhang mit dieser DPA wird, soweit zulässig, der Sitz des Verarbeiters als ausschließlicher Gerichtsstand vereinbart.
    7. Diese DPA ersetzt alle früheren oder gleichzeitigen Zusicherungen, Absprachen, Vereinbarungen, Verträge oder Mitteilungen zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter, ob schriftlich oder mündlich, in Bezug auf den Gegenstand dieser DPA. Die jeweils abgeschlossenen Dienstleistungsvereinbarungen bleiben hiervon unberührt.
    8. Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Teile dieses Vertrages nicht.

ANHANG 1: LISTE DER SUBPROZESSOREN