Auftragsverarbeitungsvertrag

Hinsichtlich Vereinbarungen über die rechtmäßige Verarbeitung personenbezogener Daten.

Version: 2022

Die Vertragsparteien:

  1. Die Gesellschaft mit beschränkter Haftung (nach niederländischem Recht, Anm. d. Übers.) Payt B.V., nachstehend bezeichnet als „Auftragsverarbeiter“;

und

  1. Der Kunde von Payt B.V., nachstehend bezeichnet als „Auftragsverantwortlicher“;

Nachstehend gemeinsam als „Vertragsparteien" und einzeln als „Vertragspartei" bezeichnet. 


In Erwägung dessen, dass:

  • der Auftragsverarbeiter eine Online-Plattform für Debitorenverwaltung und Inkasso-Dienstleistungen entwickelt hat;
  • der Auftragsverantwortliche die Dienste des Auftragsverarbeiters nutzt oder nutzen möchte;
  • diese Nutzung dazu führt, dass der Auftragsverarbeiter personenbezogene Daten im Auftrag des Auftragsverantwortlichen verarbeitet oder verarbeiten wird;
  • der Auftragsverantwortliche und der Auftragsverarbeiter in diesem Auftragsverarbeitungsvertrag die gegenseitigen Rechte, Pflichten und Vereinbarungen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen dieser Dienstleistungen festlegen möchten.
  • Die nachstehend genannten Anhänge stellen einen integralen Bestandteil dieses Auftragsverarbeitungsvertrags dar.
    • ANHANG 1 Personenbezogene Daten; Zielsetzung, Art und Weise sowie Mittel der Verarbeitung;
    • ANHANG 2 Schutzmaßnahmen
  • Sollte eine Bestimmung eines Anhangs nicht mit einer Bestimmung des Verarbeitungsvertrags übereinstimmen oder im Widerspruch dazu stehen, haben die Bestimmungen des Anhangs Vorrang.

1. Begriffsbestimmungen

In diesem Auftragsverarbeitungsvertrag haben die nachstehenden Begriffe, die immer mit einem Großbuchstaben beginnen, sowohl im Singular als auch im Plural, nachstehende Bedeutung:

  1. Betroffene Person: natürliche Person, auf die sich die personenbezogenen Daten beziehen, oder ihr Vertreter.
  2. Auftragsverarbeiter: die Person, die personenbezogene Daten im Auftrag des Auftragsverantwortlichen verarbeitet, ohne dessen direkter Weisungsbefugnis unterworfen zu sein. In diesem Auftragsverarbeitungsvertrag ist das die Payt B.V.
  3. Anhang: Abschnitt des Auftragsverarbeitungsvertrags, der weitere Erläuterungen und Informationen zu einem bestimmten Teil oder Abschnitt der Dienstleistungen enthält.
  4. Personenbezogene Daten: alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
  5. Auftragsverantwortlicher: die natürliche Person, juristische Person oder jede andere Person, die allein oder gemeinsam mit anderen über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheidet.
  6. Verarbeitung: jeder Vorgang oder jede Reihe von Vorgängen in Bezug auf personenbezogene Daten, einschließlich in jedem Fall Erfassen, Aufzeichnen, Organisieren, Speichern, Aktualisieren, Ändern, Abrufen, Abfragen, Verwenden, Bereitstellen durch Übermittlung, Verbreiten oder jede andere Form der Bereitstellung, Zusammenführung, Verknüpfung sowie Sperren, Löschen oder Vernichten von personenbezogenen Daten.

2. Dauer und Beendigung

  1. Dieser Auftragsverarbeitungsvertrag gilt so lange, wie der Auftragsverarbeiter im Auftrag des Auftragsverantwortlichen personenbezogene Daten verarbeitet; er ist nicht vorzeitig kündbar.
  2. Der Auftragsverarbeiter stellt dem Auftragsverantwortlichen auf dessen erstes Ersuchen, spätestens jedoch zehn (10) Arbeitstage nach Beendigung dieses Verarbeitungsvertrags, alle personenbezogenen Daten zur Verfügung.
  3. Nach Beendigung dieses Auftragsverarbeitungsvertrags löscht und/oder vernichtet der Auftragsverarbeiter alle in seinem Besitz befindlichen personenbezogenen Daten und alle Kopien davon. 
  4. Der Auftragsverarbeiter kann von den Bestimmungen der beiden vorstehenden Absätze abweichen, sofern für die personenbezogenen Daten eine gesetzliche Aufbewahrungsfrist gelten sollte oder sofern dies erforderlich ist, um die Erfüllung seiner Verpflichtungen gegenüber dem Auftragsverantwortlichen nachzuweisen.

3. Gegenstand

  1. Der Auftragsverarbeiter wird im Auftrag des Auftragsverantwortlichen personenbezogene Daten verarbeiten. Der Auftragsverantwortliche stellt dem Auftragsverarbeiter in diesem Zusammenhang personenbezogene Daten zur Verfügung.
  2. Der Auftragsverantwortliche hat die Zwecke für die Verarbeitung personenbezogener Daten festgelegt und den Auftragsverarbeiter über diese Verarbeitungszwecke informiert. 
  3. Der Auftragsverarbeiter darf die personenbezogenen Daten nicht für andere Zwecke als die in Anhang 1 beschriebenen Verarbeitungszwecke verarbeiten.
  4. Die vom Auftragsverarbeiter im Auftrag des Auftragsverantwortlichen zu verarbeitenden personenbezogenen Daten, die auf beliebige Weise erlangt wurden, bleiben Eigentum des Auftragsverantwortlichen und/oder der betreffenden betroffenen Person.
  5. Der Auftragsverantwortliche sichert dem Auftragsverarbeiter zu, dass der Inhalt, die Verwendung und/oder die Verarbeitung der personenbezogenen Daten nicht rechtswidrig ist und keine Rechte Dritter verletzt, dass diese personenbezogenen Daten rechtmäßig erhoben und weitergegeben werden und stellt den Auftragsverarbeiter von allen rechtlichen Ansprüchen Dritter, ungeachtet der Rechtsgrundlage, im Zusammenhang mit der Verarbeitung dieser personenbezogenen Daten frei, es sei denn, der Auftragsverantwortliche weist nach, dass die dem Anspruch zugrunde liegenden Fakten dem Auftragsverarbeiter zuzurechnen sind.

4. Ausführung der Verarbeitung

  1. Der Auftragsverarbeiter ist nur für die Verarbeitung personenbezogener Daten verantwortlich, die er im Rahmen der angebotenen Dienstleistungen zu den in diesem Auftragsverarbeitungsvertrag genannten Bedingungen verarbeitet. Der Auftragsverarbeiter ist ausdrücklich nicht verantwortlich für andere Verarbeitungen personenbezogener Daten, einschließlich der Erfassung personenbezogener Daten durch den Auftragsverantwortlichen und/oder Dritte. 
  2. Der Auftragsverarbeiter darf personenbezogene Daten nicht in Ländern außerhalb des Europäischen Wirtschaftsraums („EWR") verarbeiten, die kein angemessenes Schutzniveau bieten, es sei denn, er hat die ausdrückliche vorherige schriftliche Zustimmung des Auftragsverantwortlichen erhalten und die gesetzlichen Anforderungen sind erfüllt. Die Weitergabe personenbezogener Daten an Länder außerhalb des EWR, die kein angemessenes Schutzniveau aufweisen, ist unzulässig.
  3. Der Auftragsverarbeiter speichert und verarbeitet die personenbezogenen Daten des Auftragsverantwortlichen getrennt von den personenbezogenen Daten, die er für sich selbst oder im Auftrag Dritter verarbeitet.
  4. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ordnungsgemäß und sorgfältig und in Übereinstimmung mit seinen Verpflichtungen als Auftragsverarbeiter gemäß der Datenschutzgesetzgebung, wie z. B. der Datenschutzgrundverordnung.
  5. Der Auftragsverantwortliche stellt dem Auftragsverarbeiter die für die Ausführung der Aufgaben erforderlichen Daten zur Verfügung. Der Auftragsverantwortliche stellt nur die (persönlichen) Daten zur Verfügung, die für die Erfüllung der Aufgaben des Auftragsverarbeiters erforderlich sind und die der Auftragsverantwortliche zu diesem Zweck zur Verfügung stellen darf.

Schutz der personenbezogen Daten

  1. Die Parteien vereinbaren, dass der Auftragsverarbeiter angemessene technische und organisatorische Sicherheitsmaßnahmen ergreift, die unter Berücksichtigung des aktuellen Stands der Technik und der damit verbundenen Kosten der Art der zu verarbeitenden personenbezogenen Daten entsprechen, um die personenbezogenen Daten vor Verlust, unbefugtem Zugriff, Veränderung oder unrechtmäßiger Verarbeitung zu schützen sowie die (rechtzeitige) Verfügbarkeit der personenbezogenen Daten zu gewährleisten.
  2. Die Parteien erkennen an, dass sich die Sicherheitsanforderungen ständig ändern und eine effektive Sicherheit, eine häufige Evaluierung und eine regelmäßige Aktualisierung veralteter Sicherheitsmaßnahmen erforderlich ist. Daher wird der Auftragsverarbeiter die Sicherheitsmaßnahmen zum Schutz personenbezogener Daten kontinuierlich evaluieren und, falls erforderlich, verschärfen, ergänzen oder verbessern, um seinen Verpflichtungen weiterhin nachzukommen.
  3. Ergänzend zu den Bestimmungen dieses Artikels trifft der Auftragsverarbeiter die in Anhang 2 näher spezifizierten Sicherheitsmaßnahmen.
  4. Der Auftragsverarbeiter sichert nicht zu, dass die Sicherheit unter allen Umständen effektiv ist.

6. Kontrolle

  1. Der Auftragsverantwortliche hat das Recht, einmal im Jahr einen (Penetrations-)Test durchzuführen oder durchführen zu lassen, um die unter diesem Auftragsverarbeitungsvertrag getroffenen Vereinbarungen zu überprüfen. Der Auftragsverantwortliche kann dies selbst tun oder durch einen unabhängigen Wirtschaftsprüfer, eingetragenen Wirtschaftsinformatiker oder einen anderen, diesbezüglich zugelassenen Prüfer tun lassen
  2. Der Auftragsverarbeiter bewahrt die für die (Penetrations-)Tests dieses Artikels erforderlichen Daten auf, wie z. B. Systemprotokolle. 
  3. Die Personen, die den Test durchführen, halten sich an die beim Auftragsverarbeiter geltenden Sicherheitsverfahren.
  4. Der Auftragsverarbeiter verpflichtet sich zur Zusammenarbeit und zur rechtzeitigen Bereitstellung aller für den Test relevanten Informationen.
  5. Die Kosten für einen Test werden vom Auftragsverantwortlichen übernommen, sofern nicht schriftlich etwas anderes vereinbart wurde. 
  6. Der Auftragsverantwortliche kündigt einen geplanten Test schriftlich an, woraufhin der Auftragsverarbeiter dafür sorgt, dass der Test innerhalb einer angemessenen Frist beginnen kann.

7. Meldepflicht für Datenschutzverletzungen & Überwachung

  1. Im Falle eines Verstoßes in Bezug auf personenbezogene Daten im Einflussbereich des Auftragsverarbeiters informiert der Auftragsverarbeiter, sobald er diesen feststellt, unverzüglich den Auftragsverantwortlichen.
  2. Die Meldepflicht umfasst in jedem Fall die Meldung der Tatsache, dass ein Leck oder ein Zwischenfall aufgetreten ist, sowie die (mutmaßliche) Ursache des Lecks oder Zwischenfalls, die bisher bekannten und/oder zu erwartenden Folgen und die (vorgeschlagene) Lösung.
  3. Der Auftragsverantwortliche wird, wenn er es für notwendig erachtet, die betroffenen Personen und andere Dritte, einschließlich der Behörde für personenbezogene Daten, über eine Datenschutzverletzung oder andere Zwischenfälle informieren. Dem Auftragsverarbeiter ist es nicht gestattet, Informationen über eine Datenschutzverletzung oder andere Zwischenfälle direkt an betroffene Personen oder andere Dritte weiterzugeben, es sei denn, der Auftragsverarbeiter ist gesetzlich dazu verpflichtet oder hat dazu die Zustimmung des Auftragsverantwortlichen erhalten.

8. Datenschutz

  1. Alle personenbezogenen Daten, die der Auftragsverarbeiter vom Auftragsverantwortlichen erhält und/oder die er selbst im Rahmen dieses Auftragsverarbeitungsvertrags erhebt, unterliegen einer Datenschutzpflicht gegenüber Dritten.
  2. Der Auftragsverarbeiter trägt dafür Sorge, dass seine Mitarbeiter an die in diesem Artikel festgelegte Datenschutzpflicht gebunden sind.
  3. Die Datenschutzpflicht gilt nicht, soweit der Auftragsverantwortliche seine ausdrückliche Zustimmung zur Weitergabe der Informationen an Dritte erteilt hat, wenn die Weitergabe der Informationen an Dritte angesichts der Art des erteilten Auftrags und der Durchführung dieses Auftragsverarbeitungsvertrags logisch notwendig ist oder wenn eine gesetzliche Verpflichtung zur Weitergabe der Informationen an einen Dritten besteht. Im Falle der Weitergabe von Informationen an Dritte aufgrund einer gesetzlichen Verpflichtung wird der Auftragsverarbeiter den Auftragsverantwortlichen so schnell wie möglich und in jedem Fall vor einer solchen Weitergabe informieren.

9. Rechte von Betroffenen

  1. Der Auftragsverarbeiter kooperiert vollständig mit dem Auftragsverantwortlichen, um nach Genehmigung durch den Auftragsverantwortlichen und in dessen Namen:

    1. den betroffenen Personen den Zugang zu den sie betreffenden personenbezogenen Daten in einer strukturierten, gemeinsamen und maschinenlesbaren Form zu ermöglichen; 
    2. die Verarbeitung personenbezogener Daten vorübergehend auf ihre Speicherung oder auf die Verarbeitung zu beschränken, in die die betroffene Person eingewilligt hat, bis der Auftragsverantwortliche bestimmt, dass die Beschränkung der Verarbeitung aufgehoben werden soll.
    3. personenbezogene Daten der betroffenen Personen zu löschen oder zu korrigieren; 
    4. nachzuweisen, dass personenbezogene Daten gelöscht oder berichtigt wurden, falls sie unrichtig sind (oder, falls der Auftragsverantwortliche die Unrichtigkeit der personenbezogenen Daten bestreitet, die Tatsache festzuhalten, dass die betroffene Person ihre personenbezogenen Daten für falsch hält). 

    Der Auftragsverarbeiter wird ferner auf erstes Ersuchen des Auftragsverantwortlichen so schnell wie möglich, spätestens jedoch fünf (5) Arbeitstage, nachdem ein Ersuchen gestellt wurde, folgendes Handlungen vornehmen:

    1. schriftliche Übermittlung aller notwendigen Informationen, die der Auftragsverantwortliche benötigen könnte;
    2. Berichtigung, Ergänzung, Löschung oder Sperrung von personenbezogenen Daten.

    Soweit möglich wird der Auftragsverarbeiter mit dem Auftragsverantwortlichen bei der Erfüllung seiner Verpflichtungen gemäß der geltenden Gesetzgebung in Bezug auf die Verarbeitung personenbezogener Daten vollständig kooperieren.

10. Einschaltung von Unterauftragsverarbeitern und Weitergabe persönlicher Daten an diese

  1. Der Auftragsverarbeiter ist berechtigt, Dritte mit der Verarbeitung von personenbezogenen Daten zu beauftragen, wenn

    1. der Auftragsverarbeiter dies zuvor schriftlich angekündigt hat; oder
    2. der Auftragsverarbeiter vom Auftragsverantwortlichen die Genehmigung erhalten, dies zu tun, erhalten hat; oder
    3. die Einschaltung von Dritten angesichts der Art des Auftrags und/oder der Durchführung dieses Auftragsverarbeitungsvertrags logisch notwendig ist. 

    Der Auftragsverarbeiter sorgt dafür, dass die betreffende(n) dritte(n) Partei(en) mindestens die gleichen Verpflichtungen übernimmt/übernehmen, die für den Auftragsverarbeiter in diesem Auftragsverarbeitungsvertrag enthalten sind.

  2. Für die ordnungsgemäße Erbringung der Dienstleistungen schaltet der Auftragsverarbeiter Dritte ein und teilt der Auftragsverarbeiter teilt die im Auftrag des für den Auftragsverantwortlichen erhobenen personenbezogenen Daten mindestens (aber nicht ausschließlich) mit den in ANHANG 1 genannten Partnern. 

  3. Wenn der Dritte, den der Auftragsverarbeiter einschalten möchte, außerhalb des EWR ansässig ist, muss der Auftragsverarbeiter die Genehmigung des Auftragsverantwortlichen einholen, bevor er diesen Dritten einschalten kann. Unbeschadet des Vorstehenden gewährleistet der Auftragsverarbeiter außerdem, dass dieser Dritte ein angemessenes Niveau des Schutzes und der Sicherheit der personenbezogenen Daten im Sinne der Datenschutzgrundverordnung sicherstellt.

  4. Der Auftragsverarbeiter ist gegenüber dem Auftragsverantwortlichen für den oder die von ihm (dem Auftragsverarbeiter) beauftragten Dritten verantwortlich.

  5. Falls der Auftragsverantwortliche darum ersucht, personenbezogene Daten mit einem Dritten teilen, der nicht bereits in der Liste der Namen der Parteien aufgeführt ist, mit denen der Auftragsverarbeiter Daten gemäß ANHANG 1 teilt, dann finden die Bestimmungen dieses Artikels keine Anwendung und haftet der Auftragsverantwortliche in vollem Umfang für alle direkt oder indirekt daraus entstehenden Schäden. 

  6. Der Auftragsverarbeiter kann zudem personenbezogene Daten an Dritte weitergeben, wenn der Auftragsverarbeiter aufgrund eines Ersuchens oder einer autorisierten Anordnung einer Behörde oder eines Gerichts oder im Zusammenhang mit einer rechtlichen Verpflichtung verpflichtet ist, die Daten an einen Dritten weiterzugeben.

11. Aufbewahrungsfrist

  1. Payt ist bestrebt, so wenig Daten wie möglich zu speichern, die nicht mehr relevant sind. Gleichzeitig bieten historische Daten Möglichkeiten für einen besseren Einblick, für Finanzierungsmöglichkeiten und als Referenz für Jahresberichte.
  2. Angesichts der Art der Dienstleistungen beginnt die Aufbewahrungsfrist, sobald eine Rechnung bezahlt worden ist.
  3. Der Auftragsverarbeiter hält eine Standardaufbewahrungsfrist von fünfundzwanzig (25) Monaten ein.
  4. Eine Abweichung davon ist über die Anwendung oder das Service Desk möglich.

12. Schlussbestimmungen

  1. Änderungen dieses Auftragsverarbeitungsvertrags sind nur dann gültig, wenn sie von den Parteien schriftlich vereinbart wurden.
  2. Dieser Auftragsverarbeitungsvertrag hat Vorrang vor allen anderen Verträgen zwischen dem Auftragsverantwortlichen und dem Auftragsverarbeiter in Bezug auf die Verarbeitung personenbezogener Daten. 
  3. Für diesen Auftragsverarbeitungsvertrag gilt ausschließlich das niederländische Recht.
  4. Für Streitigkeiten über oder im Zusammenhang mit diesem Verarbeitungsvertrag ist ausschließlich das für den Geschäftssitz des Verarbeiters zuständige Gericht zuständig.

ANHANG 1 Personenbezogene Daten; Zielsetzung, Art und Weise und Mittel der Verarbeitung; Aufbewahrungsfristen

Verarbeitete personenbezogene Daten

Daten über Debitoren des Auftragsverantwortlichen:

  1. Name, Adresse, Wohnort, Telefonnummer, E-Mail-Adresse, Geschlecht, Debitoren und Rechnungsdaten.

Betroffenen-Kategorien

  1. Debitoren

Die Zielsetzungen, Art und Weise und Mittel der Verarbeitung 

Die personenbezogenen Daten werden vom Auftragsverarbeiter verarbeitet, mit dem Ziel: 

(a) zur Zahlung der vom Auftragsverantwortlichen dem Auftragsverarbeiter angebotenen Forderungen zu kommen;

(b) einen Scoring-Wert auf der Grundlage aktueller und historischer Daten zum Inkasso festzulegen, der zur Bestimmung der Wahrscheinlichkeit der Einbringlichkeit verwendet werden kann;

(c) einen Beitrag zur Verhinderung von Überschuldung und anderen problematischen Schuldensituationen bei Betroffenen zu leisten;

(d) um die zwischen dem Auftragsverantwortlichen und dem Auftragsverarbeiter vereinbarten Dienstleistungen zu erbringen. 

Diese personenbezogenen Daten werden in den entsprechenden Softwaresystemen des Auftragsverarbeiters verarbeitet und gespeichert. 

Für die ordnungsgemäße Erbringung der Dienstleistungen schaltet der Auftragsverarbeiter Dritte ein und teilt der Auftragsverarbeiter die im Auftrag des für den Auftragsverantwortlichen erhobenen personenbezogenen Daten mit:

  • Parteien, die das Hosting und die Wartung der Website bereitstellen, Parteien, deren Cookies, Plug-ins, Anwendungen und/oder andere Software auf der Website verwendet werden, Postdienstleistern, Gerichtsvollziehern, Anbietern von E-Mail-, SMS- und Telefonversanddiensten sowie Banken oder anderen Finanzinstituten, mit denen der Auftragsverarbeiter im Rahmen der Bereitstellung von Finanzierungen für die Kunden des Auftragsverarbeiters zusammenarbeitet.

Eine aktuelle Liste mit den Namen der Parteien, mit denen der Auftragsverarbeiter Daten austauscht, sowie eine Interpretation der Daten und des Zwecks des Austauschs dieser Daten sind erhältlich über servicedesk@payt.nl.

ANHANG 2 Schutzmaßnahmen

Der Auftragsverarbeiter ergreift unter anderem in den folgenden Bereichen Sicherheitsmaßnahmen, die in seiner Informationssicherheitspolitik dargelegt sind. Der Auftragsverarbeiter ist nach ISO 27001 für seine Richtlinien zur Informationssicherheit zertifiziert.

  1. Sicheres Personal;
  2. Verwaltung von Sachanlagen;
  3. Zugangssicherung;
  4. Verschlüsselung
  5. Physische Sicherung;
  6. Sicherung der Unternehmensführung;
  7. Kommunikationssicherung;
  8. Anschaffung etc. von Systemen;
  9. Lieferantenbeziehungen;
  10. Verwaltung von Informationsschutz-Zwischenfällen;
  11. Aspekte des Geschäftskontinuitätsmanagements;
  12. Einhaltung.

Die Anwendbarkeitserklärung wird gern vertraulich und auf Anfrage zur Verfügung gestellt.

Payt

KvK: 08155915
BTW: NL817576320B01

Hauptsitz

Waagstraat 4
9712 JX Groningen
The Netherlands