Datenverarbeitungsvereinbarung

YOGO.DK ApS

Njalsgade 21F, 6. sal

2300 Kopenhagen

Dänemark

CVR: 39467542

 

1. Inhalt

    1. 2. Hintergrund der Vereinbarung
    1. 3. Pflichten und Rechte des Verantwortlichen
    1. 4. Der Datenverarbeiter handelt nach Instruktionen
    1. 5. Vertraulichkeit
    1. 6. Behandlungs­sicherheit
    1. 7. Einsatz von Unterverarbeitern
    1. 8. Übermittlung in Drittländer oder an internationale Organisationen
    1. 9. Unterstützung des Verantwortlichen
    1. 10. Benachrichtigung über Sicherheitsverletzungen
    1. 11. Löschung und Rückgabe von Daten
    1. 12. Überwachung und Audit
    1. 13. Vereinbarungen über andere Aspekte
    1. 14. Inkrafttreten und Beendigung
    1. 15. Kontaktpersonen bei Verantwortlichem und Datenverarbeiter
    1. Anlage A: Informationen zur Verarbeitung
    1. Anlage B: Bedingungen für den Einsatz von Unterverarbeitern und Liste genehmigter Unterverarbeiter
    1. Anlage C: Anweisungen zur Verarbeitung personenbezogener Daten

 

2. Hintergrund der Vereinbarung

 

  1. Diese Vereinbarung legt die Rechte und Pflichten fest, die gelten, wenn Yogo (Datenverarbeiter) personenbezogene Daten im Auftrag eines Kunden (Verantwortlicher) verarbeitet. Die Vereinbarung soll sicherstellen, dass die Parteien Artikel 28 Absatz 3 der Datenschutz-Grundverordnung (DSGVO) einhalten. Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter erfolgt im Zusammenhang mit der Nutzung des YOGO-Systems durch den Verantwortlichen, wie in den Geschäftsbedingungen von Yogo beschrieben. Diese Vereinbarung und die Geschäftsbedingungen von Yogo sind voneinander abhängig und können nicht separat gekündigt werden. Wenn diese Vereinbarung geändert wird, muss Yogo den Verantwortlichen informieren und die neue Vereinbarung zusenden. Diese Datenverarbeitungsvereinbarung hat Vorrang vor ähnlichen Bestimmungen in anderen Vereinbarungen zwischen den Parteien, einschließlich der Geschäftsbedingungen von Yogo.Die Vereinbarung umfasst drei Anlagen, die als integraler Bestandteil der Datenverarbeitungsvereinbarung fungieren. Anlage A enthält Informationen zur Verarbeitung, einschließlich Zweck und Art der Verarbeitung, Art der personenbezogenen Daten, Kategorien der betroffenen Personen und Dauer der Verarbeitung. Anlage B enthält die Bedingungen des Verantwortlichen für die Nutzung von Unterverarbeitern durch den Datenverarbeiter und eine Liste der vom Verantwortlichen genehmigten Unterverarbeiter. Anlage C enthält detaillierte Anweisungen zur Verarbeitung personenbezogener Daten durch den Datenverarbeiter, einschließlich der Mindestanforderungen an Sicherheitsmaßnahmen und der Überwachung von Datenverarbeitern und Unterverarbeitern.Die Datenverarbeitungsvereinbarung und die dazugehörigen Anlagen werden dem Verantwortlichen auf Anfrage und immer bei Beginn einer Zusammenarbeit zur Verfügung gestellt. Diese Vereinbarung entbindet den Datenverarbeiter nicht von seinen Pflichten gemäß der DSGVO oder anderen geltenden Gesetzen.

 

3. Rechte und Pflichten des Verantwortlichen

 

  1. Der Verantwortliche ist gegenüber Dritten (einschließlich der betroffenen Personen) für die Einhaltung der DSGVO und des Datenschutzgesetzes verantwortlich. Der Datenverarbeiter muss ohne unnötige Verzögerung angemessene Anfragen des Verantwortlichen erfüllen, um die DSGVO und das Datenschutzgesetz einzuhalten. Der Verantwortliche ist unter anderem dafür verantwortlich, dass die Verarbeitung, zu der der Datenverarbeiter angewiesen wird, rechtmäßig ist.

 

4. Der Datenverarbeiter handelt auf Anweisung

 

Der Datenverarbeiter darf personenbezogene Daten nur auf dokumentierte Anweisungen des Verantwortlichen hin verarbeiten, es sei denn, es ist nach EU-Recht oder dem Recht der Mitgliedstaaten, dem der Datenverarbeiter unterliegt, erforderlich. In diesem Fall muss der Datenverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das betreffende Recht verbietet diese Information aus wichtigen Gründen des öffentlichen Interesses.

2. Der Datenverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Meinung ist, dass eine Anweisung gegen die DSGVO oder andere Datenschutzbestimmungen der EU oder der Mitgliedstaaten verstößt.

5 Vertraulichkeit
  1. Der Datenverarbeiter stellt sicher, dass nur Personen, die zur Erfüllung ihrer Aufgaben für Yogo Zugang zu den personenbezogenen Daten benötigen, Zugang zu den personenbezogenen Daten haben, die im Auftrag des Verantwortlichen verarbeitet werden. Der Zugang zu den Daten muss sofort gesperrt werden, wenn die Person den Zugang nicht mehr benötigt oder nicht mehr für Yogo tätig ist. Es dürfen nur Personen autorisiert werden, die den Zugang zu den personenbezogenen Daten benötigen, um die Verpflichtungen des Datenverarbeiters gegenüber dem Verantwortlichen zu erfüllen. Der Datenverarbeiter stellt sicher, dass die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit verpflichtet sind. Der Datenverarbeiter muss auf Anfrage des Verantwortlichen nachweisen können, dass die relevanten Mitarbeiter der oben genannten Vertraulichkeitsverpflichtung unterliegen. Der Verantwortliche hat die Möglichkeit, im System Benutzer anzulegen, die Zugang zu den personenbezogenen Daten haben.

 

 

6 Behandlungs­sicherheit

 

  1. Der Datenverarbeiter ergreift alle Maßnahmen, die gemäß Artikel 32 der Datenschutz-Grundverordnung erforderlich sind. Dies umfasst die Berücksichtigung des aktuellen Stands der Technik, der Implementierungskosten sowie der Art, des Umfangs, des Kontexts und der Zwecke der Verarbeitung. Zudem werden die Risiken für die Rechte und Freiheiten natürlicher Personen mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere berücksichtigt. Es müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um ein Sicherheitsniveau zu gewährleisten, das diesen Risiken angemessen ist.Diese Verpflichtung beinhaltet, dass der Datenverarbeiter eine Risikobewertung durchführt und anschließend Maßnahmen zur Bewältigung der identifizierten Risiken umsetzt. Dazu können unter anderem folgende Maßnahmen gehören:a. Pseudonymisierung und Verschlüsselung personenbezogener Daten
    b. Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zur Verarbeitung personenbezogener Daten dauerhaft sicherzustellen
    c. Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu diesen Daten bei einem physischen oder technischen Zwischenfall rechtzeitig wiederherzustellen
    d. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

    Im Zusammenhang mit dem oben Gesagten muss der Datenverarbeiter mindestens das in Anlage C dieser Vereinbarung festgelegte Sicherheitsniveau und die Maßnahmen umsetzen. Etwaige Regelungen/Vereinbarungen zwischen den Parteien über Vergütung oder Ähnliches im Zusammenhang mit nachträglichen Anforderungen des Verantwortlichen oder des Datenverarbeiters zur Einrichtung zusätzlicher Sicherheitsmaßnahmen sind in den Geschäftsbedingungen von YOGO festgelegt.

 

7 Einsatz von Unterverarbeitern

 

  1. Der Datenverarbeiter muss die Bedingungen gemäß Artikel 28 Absätze 2 und 4 der DSGVO erfüllen, um einen weiteren Datenverarbeiter (Unterverarbeiter) einsetzen zu dürfen. Der Datenverarbeiter darf ohne vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen keinen Unterverarbeiter einsetzen. Im Falle einer allgemeinen schriftlichen Genehmigung muss der Datenverarbeiter den Verantwortlichen über geplante Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterverarbeitern informieren, sodass der Verantwortliche die Möglichkeit hat, Einspruch gegen solche Änderungen zu erheben.Die genauen Bedingungen des Verantwortlichen für die Nutzung von Unterverarbeitern durch den Datenverarbeiter sind in Anlage B dieser Vereinbarung festgelegt. Die eventuelle Genehmigung des Verantwortlichen für spezifische Unterverarbeiter ist ebenfalls in Anlage B aufgeführt. Sobald der Datenverarbeiter die Genehmigung des Verantwortlichen zur Nutzung eines Unterverarbeiters erhalten hat, stellt der Datenverarbeiter sicher, dass der Unterverarbeiter durch einen Vertrag oder ein anderes rechtliches Dokument gemäß EU-Recht oder dem Recht der Mitgliedstaaten denselben Datenschutzverpflichtungen unterliegt wie in dieser Datenverarbeitungsvereinbarung. Der Datenverarbeiter bleibt verantwortlich dafür, dass ein Unterverarbeiter mindestens die Verpflichtungen erfüllt, die der Datenverarbeiter selbst gemäß den Datenschutzbestimmungen und dieser Datenverarbeitungsvereinbarung mit ihren Anlagen erfüllen muss.Die Unterverarbeitungsvereinbarung und eventuelle spätere Änderungen werden dem Verantwortlichen auf dessen Anfrage in Kopie zur Verfügung gestellt, sodass der Verantwortliche sicherstellen kann, dass eine gültige Vereinbarung zwischen dem Datenverarbeiter und dem Unterverarbeiter besteht. Eventuelle kommerzielle Bedingungen, wie Preise, die den datenschutzrechtlichen Inhalt der Unterverarbeitungsvereinbarung nicht beeinflussen, müssen nicht an den Verantwortlichen übermittelt werden.

    Falls der Unterverarbeiter seinen Datenschutzverpflichtungen nicht nachkommt, bleibt der Datenverarbeiter gegenüber dem Verantwortlichen für die Erfüllung der Verpflichtungen des Unterverarbeiters voll verantwortlich.

 

8 Übermittlung von Daten in Drittländer oder an internationale Organisationen

 

  • Der Datenverarbeiter darf personenbezogene Daten nur gemäß dokumentierter Anweisungen des Verantwortlichen in Drittländer oder an internationale Organisationen übermitteln, es sei denn, dies ist nach EU-Recht oder dem Recht der Mitgliedstaaten erforderlich. In einem solchen Fall muss der Datenverarbeiter den Verantwortlichen vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, die betreffende Rechtsvorschrift verbietet diese Mitteilung aus wichtigen Gründen des öffentlichen Interesses.Ohne die ausdrückliche Anweisung oder Genehmigung des Verantwortlichen darf der Datenverarbeiter im Rahmen dieser Vereinbarung daher keine personenbezogenen Daten wie folgt übermitteln:
    a. Weitergabe personenbezogener Daten an einen Verantwortlichen in einem Drittland oder an eine internationale Organisation,
    b. Übertragung der Verarbeitung personenbezogener Daten an einen Unterverarbeiter in einem Drittland,
    c. Verarbeitung der Daten in einer anderen Niederlassung des Datenverarbeiters, die sich in einem Drittland befindet.Die Anweisungen oder Genehmigungen des Verantwortlichen für Datenübertragungen in Drittländer werden in Anlage C dieser Vereinbarung festgehalten.
  •  

    9 Unterstützung des Verantwortlichen

     

    1. Der Datenverarbeiter unterstützt den Verantwortlichen, soweit möglich und unter Berücksichtigung der Art der Verarbeitung, durch geeignete technische und organisatorische Maßnahmen, um den Verpflichtungen des Verantwortlichen zur Beantwortung von Anfragen der betroffenen Personen gemäß Kapitel 3 der DSGVO nachzukommen. Dies umfasst die Unterstützung bei der Einhaltung der Pflichten des Verantwortlichen hinsichtlich:a. Informationspflicht bei der Erhebung personenbezogener Daten bei der betroffenen Person
      b. Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben wurden
      c. Auskunftsrecht der betroffenen Person
      d. Recht auf Berichtigung
      e. Recht auf Löschung („Recht auf Vergessenwerden“)
      f. Recht auf Einschränkung der Verarbeitung
      g. Benachrichtigungspflicht bei Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung
      h. Recht auf Datenübertragbarkeit
      i. Widerspruchsrecht
      j. Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, einschließlich ProfilingDer Datenverarbeiter unterstützt den Verantwortlichen auch bei der Einhaltung der Pflichten gemäß den Artikeln 32-36 der DSGVO, einschließlich der Umsetzung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus, der Meldung von Datenschutzverletzungen an die Aufsichtsbehörde innerhalb von 72 Stunden, der Benachrichtigung der betroffenen Personen bei hohen Risiken, der Durchführung von Datenschutz-Folgenabschätzungen und der Konsultation der Aufsichtsbehörde.

      Etwaige Regelungen oder Vereinbarungen über Vergütung oder Ähnliches im Zusammenhang mit der Unterstützung durch Yogo sind in den Geschäftsbedingungen von Yogo festgelegt.

       

       

      10 Benachrichtigung über Datenschutzverletzungen

    2.  
      1. Der Datenverarbeiter benachrichtigt den Verantwortlichen unverzüglich, nachdem er von einer Datenschutzverletzung beim Datenverarbeiter oder einem Unterverarbeiter erfahren hat. Die Benachrichtigung erfolgt nach Möglichkeit spätestens 36 Stunden nach Bekanntwerden der Verletzung, damit der Verantwortliche seine Meldepflicht innerhalb von 72 Stunden gegenüber der Aufsichtsbehörde erfüllen kann.Gemäß Abschnitt 10.2 lit. b dieser Vereinbarung unterstützt der Datenverarbeiter den Verantwortlichen bei der Meldung der Verletzung unter Berücksichtigung der Art der Verarbeitung und der verfügbaren Informationen. Dies kann beinhalten:a. Charakter der Datenschutzverletzung, einschließlich der Kategorien und der ungefähren Anzahl der betroffenen Personen und Datensätze.
        b. Wahrscheinliche Folgen der Datenschutzverletzung.
        c. Maßnahmen, die zur Behebung der Datenschutzverletzung ergriffen oder vorgeschlagen wurden, einschließlich Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen.

         

         

        11 Löschung und Rückgabe von Daten

      2.  

        Nach Beendigung der Dienstleistungen bezüglich der Verarbeitung verpflichtet sich der Datenverarbeiter, nach Wahl des Verantwortlichen, alle personenbezogenen Daten zu löschen oder an den Verantwortlichen zurückzugeben sowie vorhandene Kopien zu löschen, es sei denn, das EU-Recht oder nationales Recht schreibt die Speicherung der personenbezogenen Daten vor.

         

         

        12 Überwachung und Audit

      3.  
        1. Der Datenverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung von Artikel 28 der DSGVO und dieser Vereinbarung nachzuweisen. Der Datenverarbeiter ermöglicht und unterstützt Audits und Inspektionen, die vom Verantwortlichen oder einem beauftragten Prüfer durchgeführt werden.Die genaue Vorgehensweise für die Überwachung durch den Verantwortlichen ist in Anlage C dieser Vereinbarung festgelegt. Die Überwachung von Unterverarbeitern erfolgt grundsätzlich durch den Datenverarbeiter, gemäß den in Anlage C beschriebenen Verfahren.Der Datenverarbeiter muss Behörden, die gesetzlich Zugang zu den Einrichtungen des Verantwortlichen und des Datenverarbeiters haben, sowie deren Vertreter Zugang zu seinen physischen Einrichtungen gewähren, vorausgesetzt, dass eine ordnungsgemäße Legitimation vorliegt.

           

           

          14 Inkrafttreten und Beendigung

        2.  
          1. Diese Vereinbarung tritt in Kraft, sobald der Verantwortliche das YOGO-System nutzt. Beide Parteien können eine Neuverhandlung verlangen, wenn gesetzliche Änderungen oder Unstimmigkeiten in der Vereinbarung dies erfordern. Regelungen oder Vereinbarungen bezüglich Vergütung, Bedingungen oder Ähnlichem im Zusammenhang mit Änderungen dieser Vereinbarung sind in den Geschäftsbedingungen von Yogo festgelegt. Die Kündigung der Datenverarbeitungsvereinbarung erfolgt gemäß den in den Geschäftsbedingungen von Yogo festgelegten Kündigungsbedingungen und -fristen. Die Vereinbarung bleibt so lange in Kraft, wie die Verarbeitung andauert. Unabhängig von den Geschäftsbedingungen und/oder der Kündigung der Datenverarbeitungsvereinbarung bleibt diese Vereinbarung bis zur Beendigung der Verarbeitung und Löschung der Daten durch den Datenverarbeiter und eventuelle Unterverarbeiter in Kraft.

           

          15 Kontaktperson beim Datenverarbeiter

          Anfragen bezüglich personenbezogener Daten können an die folgenden Kontaktpersonen gerichtet werden:

          Magnus H. Friis
          Partner/Entwickler
          E-Mail: magnus@yogo.dk

          Anders H. Straarup
          Partner/Entwickler
          E-Mail: anders@yogo.dk

          Der Datenverarbeiter ist verpflichtet, den Verantwortlichen über Änderungen der Kontaktpersonen laufend zu informieren.

           

    Anlage A: Informationen über die Datenverarbeitung

     

    Zweck der Verarbeitung:
    Der Zweck der Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Verantwortlichen ist es, dem Verantwortlichen die Nutzung des YOGO-Systems zu ermöglichen, das dem Datenverarbeiter gehört und von ihm verwaltet wird, um Informationen über die Mitglieder des Verantwortlichen zu sammeln und zu verarbeiten.

    Arten von personenbezogenen Daten:

    Name
    E-Mail-Adresse
    Telefonnummer
    Adresse
    Geburtsdatum
    Art der Mitgliedschaft
    Anmeldung und Teilnahme an den Kursen des Verantwortlichen
    Kategorien der betroffenen Personen:

    Personen, die ein Profil beim Verantwortlichen über YOGO erstellt haben
    Dauer der Verarbeitung:
    Die Verarbeitung beginnt mit dem Inkrafttreten dieser Vereinbarung und ist unbefristet, bis eine der Parteien die Vereinbarung kündigt oder aufhebt.

     

    Anlage B: Bedingungen für den Einsatz von Unterverarbeitern und Liste genehmigter Unterverarbeiter

     

    B.1 Bedingungen für den Einsatz von Unterverarbeitern durch den Datenverarbeiter

    Der Datenverarbeiter hat die allgemeine Genehmigung des Verantwortlichen zur Nutzung von Unterverarbeitern. Der Datenverarbeiter muss den Verantwortlichen jedoch über geplante Änderungen bezüglich der Hinzufügung oder des Austauschs von Unterverarbeitern informieren und dem Verantwortlichen die Möglichkeit geben, Einspruch gegen solche Änderungen zu erheben. Diese Mitteilung muss dem Verantwortlichen mindestens einen Monat vor der Implementierung oder Änderung zugehen. Der Verantwortliche muss innerhalb von 14 Tagen nach Erhalt der Mitteilung Einwände erheben können, wenn er triftige und konkrete Gründe dafür hat.

     

    B.2 Genehmigte Unterverarbeiter

    Zum Zeitpunkt des Inkrafttretens dieser Vereinbarung hat der Verantwortliche die folgenden Unterverarbeiter genehmigt:

    Name

    Beschreibung

    Gateway API

    Handhabt den Versand von SMS aus dem System

    Mailgun

    Handhabt den Versand von E-Mails aus dem System

    Amazon Web Services

    Stellt die IT-Infrastruktur bereit, auf der das System läuft

    Der Verantwortliche hat die Nutzung der oben genannten Unterverarbeiter für die jeweilige beschriebene Verarbeitung ausdrücklich genehmigt. Der Datenverarbeiter darf die einzelnen Unterverarbeiter nicht ohne die spezifische und schriftliche Genehmigung des Verantwortlichen für eine andere als die vereinbarte Verarbeitung einsetzen oder einen anderen Unterverarbeiter mit der beschriebenen Verarbeitung beauftragen.

     

    Anlage C: Anweisungen zur Verarbeitung personenbezogener Daten

     

    C.1 Gegenstand der Verarbeitung / Anweisungen

    Die Verarbeitung personenbezogener Daten durch den Datenverarbeiter im Auftrag des Verantwortlichen umfasst Folgendes: Verwaltung der Daten der Kunden des Verantwortlichen im Zusammenhang mit der Nutzung von Yogo zur Verwaltung von Kursen, Seminaren, Zahlungen usw.

     

    C.2 Datensicherheit

    Das Sicherheitsniveau muss die folgenden Aspekte widerspiegeln:
    Die verarbeiteten Daten umfassen Stamm- und Nutzungsdaten der registrierten Personen sowie Informationen über deren Käufe und Nutzung der Produkte des Verantwortlichen, aber in der Regel keine besonderen Kategorien personenbezogener Daten gemäß Artikel 9 der DSGVO. Der Datenverarbeiter ist berechtigt und verpflichtet, Entscheidungen über die notwendigen technischen und organisatorischen Sicherheitsmaßnahmen zu treffen, um das erforderliche (und vereinbarte) Sicherheitsniveau für die Daten zu gewährleisten.

     

    C.3 Aufbewahrungsdauer / Löschroutine

    Personenbezogene Daten werden vom Datenverarbeiter gespeichert, bis der Verantwortliche deren Löschung oder Rückgabe anfordert. Wenn ein einzelner Benutzer/Kunde im System gelöscht wird, wird dieser Benutzer als „gelöscht“ markiert und alle direkt identifizierbaren Daten werden entfernt. Dies bedeutet, dass Name, Adresse, E-Mail, Geburtsdatum und ggf. beschreibende Kommentare gelöscht werden. Zurück bleibt ein anonymer Benutzer, sodass der Verantwortliche weiterhin Berichte erstellen kann.

     

    C.4 Detaillierte Verfahren für die Überwachung der Verarbeitung durch den Verantwortlichen

    Die Kosten, die dem Verantwortlichen im Zusammenhang mit einer physischen Überprüfung entstehen, trägt der Verantwortliche selbst. Der Datenverarbeiter ist jedoch verpflichtet, die notwendigen Ressourcen (hauptsächlich Zeit) bereitzustellen, damit der Verantwortliche seine Überwachung durchführen kann.