Vereinbarung zur Auftragsverarbeitung

Die vorliegende Vereinbarung zur Auftragsverarbeitung (im Folgenden „DPA“ in Bezug auf die englische Bezeichnung „Data Processing Agreement“) ist ein integraler Bestandteil der Nutzungsbedingungen von Piwigo.com („Vertrag“), der zwischen PigoLabs SAS (Herausgeber von Piwigo.com) und dem Kunden geschlossen wird und der die anwendbaren Bedingungen für die von PigoLabs erbrachten Dienstleistungen („Dienstleistungen“) festlegt. DPA und Vertrag ergänzen sich gegenseitig und sind im Einklang miteinander zu verstehen. Im Falle von Widersprüchen hat der DPA Vorrang.

Ausdrücke, die mit einem Großbuchstaben beginnen und in diesem DPA nicht definiert sind, haben die Bedeutung, die ihnen im Vertrag zugewiesen wird. Die Begriffe „verbindliche Unternehmensregelungen“, „Verantwortlicher“, „Daten“, „betroffene Person“, „Datenpannen“, „Verarbeitung“, „Auftragsverarbeiter“ und „Aufsichtsbehörde“ haben die Bedeutung, die ihnen durch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Datenschutz-Grundverordnung“ oder „DSGVO“) zugewiesen wird.

Diese DPA dient dazu, gemäß Artikel 28 der DSGVO die Bedingungen festzulegen, unter denen PigoLabs als Auftragsverarbeiter und im Rahmen der im Vertrag definierten Dienstleistungen personenbezogene Daten auf Anweisung des Kunden verarbeitet, mit Ausnahme der Verarbeitung personenbezogener Daten, die PigoLabs als Verantwortlicher durchführt. Die Bedingungen, unter denen PigoLabs als Verantwortlicher personenbezogene Daten des Kunden (einschließlich seiner Vertreter) verarbeitet, sind in der „Datenschutzerklärung“ von PigoLabs festgelegt.

Für die Zwecke dieser DPA wird angenommen, dass der Kunde als Verantwortlicher handelt. Falls der Kunde als Auftragsverarbeiter im Namen eines Dritten (Verantwortlicher) handelt, vereinbaren die Parteien ausdrücklich, dass die folgenden Bedingungen gelten:

• (a) Der Kunde muss sicherstellen, dass (i) alle erforderlichen Genehmigungen für den Abschluss dieser DPA, einschließlich der Benennung von PigoLabs als nachgelagerten Auftragsverarbeiter durch den Kunden, vom Verantwortlichen eingeholt wurden, (ii) ein Vertrag, der vollständig mit den Bedingungen des Vertrags (einschließlich dieser DPA) übereinstimmt, gemäß Artikel 28 der DSGVO mit dem Verantwortlichen abgeschlossen wurde, (iii) alle Anweisungen, die PigoLabs vom Kunden zur Erfüllung des Vertrags und dieser DPA erhält, vollständig mit den Anweisungen des Verantwortlichen übereinstimmen und (iv) alle Informationen, die PigoLabs gemäß dieser DPA bereitstellt, falls erforderlich, angemessen an den Verantwortlichen weitergegeben werden.
• (b) PigoLabs (i) verarbeitet personenbezogene Daten nur auf Anweisung des Kunden und (ii) erhält keine Anweisungen direkt vom Verantwortlichen, außer in Fällen, in denen der Kunde materiell nicht mehr existiert oder seine rechtliche Existenz beendet hat, ohne dass die Rechte und Pflichten des Kunden auf eine Dritteinheit übertragen wurden.
• (c) Der Kunde, der gegenüber PigoLabs vollständig für die ordnungsgemäße Erfüllung der Pflichten des Verantwortlichen gemäß dieser DPA verantwortlich ist, stellt PigoLabs von jeder Haftung frei für (i) jede Nichtbeachtung des Verantwortlichen, sich an das anwendbare Recht zu halten, und (ii) jede Handlung, Forderung oder Beschwerde des Verantwortlichen in Bezug auf die Bestimmungen des Vertrags (einschließlich dieser DPA) oder in Bezug auf die Anweisungen, die PigoLabs vom Kunden erhalten hat.

1. Geltungsbereich

1.1) PigoLabs ist berechtigt, als Auftragsverarbeiter, der nach den Anweisungen des Kunden handelt, personenbezogene Daten des Verantwortlichen in dem Umfang zu verarbeiten, der für die Erbringung der Dienstleistungen erforderlich ist.

1.2) Die Art der von PigoLabs durchgeführten Operationen in Bezug auf personenbezogene Daten kann die Berechnung von Daten, die Speicherung und/oder jede andere Dienstleistung umfassen, wie im Vertrag beschrieben.

1.3) Die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen werden vom Kunden nach eigenem Ermessen bestimmt und kontrolliert.

1.4) Die Verarbeitungsaktivitäten werden von PigoLabs für die im Vertrag festgelegte Dauer durchgeführt.

2. Auswahl der Dienstleistungen

2.1) Der Kunde ist allein für die Auswahl der Dienstleistungen verantwortlich. Der Kunde muss sicherstellen, dass die ausgewählten Dienstleistungen die erforderlichen Merkmale und Bedingungen aufweisen, insbesondere im Hinblick auf die Aktivitäten und Verarbeitungen des Verantwortlichen sowie die Art der im Rahmen der Dienstleistungen zu verarbeitenden personenbezogenen Daten, insbesondere, aber nicht ausschließlich, wenn die Dienstleistungen zur Verarbeitung personenbezogener Daten verwendet werden, die spezifischen Vorschriften oder Normen unterliegen (z. B. in einigen Ländern Gesundheitsdaten oder Bankdaten).

2.2) Falls die vom Verantwortlichen durchgeführte Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der Kunde seine Dienstleistungen mit Vorsicht auswählen. Bei der Risikobewertung werden insbesondere, aber nicht ausschließlich, die folgenden Kriterien berücksichtigt: systematische und umfassende Bewertung persönlicher Aspekte in Bezug auf natürliche Personen; automatisierte Entscheidungsfindung mit rechtlichen oder sonstigen erheblichen Auswirkungen auf die betroffene Person; systematische Überwachung der betroffenen Personen; Verarbeitung besonderer Kategorien von Daten oder sensibler Daten; groß angelegte Verarbeitung; Datenabgleich; Datenkombination; Verarbeitung von Daten über gefährdete Personen; Verwendung neuer, der Öffentlichkeit unbekannter innovativer Technologien für die Verarbeitung.

2.3) PigoLabs stellt dem Kunden unter den in Abschnitt „Prüfungen“ festgelegten Bedingungen Informationen über die im Rahmen der Dienstleistungen umgesetzten Sicherheitsmaßnahmen zur Verfügung, damit dieser die Konformität dieser Maßnahmen mit den Verarbeitungen personenbezogener Daten des Verantwortlichen bewerten kann.

3. Einhaltung der anwendbaren Vorschriften

Jede Partei hält die anwendbaren Datenschutzvorschriften ein (einschließlich der Datenschutz-Grundverordnung).

4. Pflichten von PigoLabs

4.1 PigoLabs verpflichtet sich zu:

• 4.1.a) die vom Kunden im Rahmen der Dienstleistungen hochgeladenen, gespeicherten und verwendeten personenbezogenen Daten nur in dem Umfang zu verarbeiten, der für die Erbringung der im Vertrag definierten Dienstleistungen erforderlich ist,
• 4.1.b) nicht auf personenbezogene Daten zuzugreifen oder diese für andere Zwecke als die für die Durchführung der Dienstleistungen (insbesondere im Rahmen des Incident-Managements) erforderlichen zu verwenden,
• 4.1.c) die im Vertrag beschriebenen technischen und organisatorischen Maßnahmen umzusetzen, um die Sicherheit der personenbezogenen Daten im Rahmen der Dienstleistung zu gewährleisten,
• 4.1.d) sicherzustellen, dass die von PigoLabs autorisierten Mitarbeiter, die personenbezogene Daten im Rahmen des Vertrags verarbeiten, einer Vertraulichkeitsverpflichtung unterliegen und eine angemessene Schulung zum Schutz personenbezogener Daten erhalten,
• 4.1.e) den Kunden zu informieren, wenn nach seiner Auffassung und auf Grundlage der verfügbaren Informationen eine der Anweisungen des Kunden gegen die Bestimmungen der DSGVO oder andere Vorschriften der Europäischen Union oder eines Mitgliedstaats der Europäischen Union zum Schutz personenbezogener Daten verstößt.

4.2) Im Falle einer Anfrage von Justiz-, Verwaltungs- oder anderen Behörden, die darauf abzielt, Zugang zu personenbezogenen Daten zu erhalten, die von PigoLabs im Rahmen dieser DPA verarbeitet werden, unternimmt PigoLabs alle zumutbaren Anstrengungen, um (i) die Zuständigkeit der anfragenden Behörde zu prüfen, (ii) nur auf Anfragen von Behörden zu antworten, die nicht offensichtlich unzuständig oder formell unzulässig sind, (iii) die Weitergabe auf die von der Behörde tatsächlich angeforderten Daten zu beschränken und (iv) den Kunden vorab zu informieren (sofern dies nicht durch anwendbare gesetzliche oder regulatorische Bestimmungen verboten ist).

4.3) Falls die Anfrage von einer Behörde eines Drittlandes außerhalb der Europäischen Union stammt und darauf abzielt, Zugang zu personenbezogenen Daten zu erhalten, die von PigoLabs im Rahmen dieser DPA auf Anweisung eines europäischen Kunden von PigoLabs verarbeitet werden, widersetzt sich PigoLabs dieser Anfrage, es sei denn:

• 4.3.a) die Anfrage erfolgt gemäß einem internationalen Abkommen, wie z. B. einem Rechtshilfeabkommen, das zwischen dem Land, dem die anfragende Behörde angehört, und der Europäischen Union oder dem Mitgliedstaat, in dem sich die betreffenden Daten befinden oder dem Mitgliedstaat, dem die PigoLabs-Einheit angehört, bei der der Kunde sein Kundenkonto eröffnet hat, in Kraft ist;
• 4.3.b) die angeforderten Daten in einem Rechenzentrum außerhalb der Europäischen Union gespeichert sind;
• 4.3.c) die Anfrage gemäß Artikel 49 der DSGVO erfolgt, insbesondere wenn sie ein wichtiges öffentliches Interesse verfolgt, das von der Rechtsvorschrift der Europäischen Union oder eines Mitgliedstaats anerkannt wird, oder wenn sie zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich ist.

4.4) Auf schriftliche Anfrage des Kunden unterstützt PigoLabs den Kunden in angemessenem Umfang bei der Durchführung von Datenschutz-Folgenabschätzungen und der Konsultation der zuständigen Aufsichtsbehörde, sofern der Kunde dies nach dem anwendbaren Datenschutzrecht tun muss und eine solche Unterstützung notwendig ist und sich auf die Verarbeitung personenbezogener Daten durch PigoLabs im Rahmen des Vertrags bezieht. Diese Unterstützung besteht darin, Transparenz über die von PigoLabs für seine Dienstleistungen umgesetzten Sicherheitsmaßnahmen zu schaffen.

4.5) PigoLabs verpflichtet sich, die folgenden technischen und organisatorischen Maßnahmen umzusetzen:

• 4.5.a) ein System, das Kunden logisch voneinander isoliert;
• 4.5.b) Prozesse zur Authentifizierung von Nutzern und Administratoren sowie Maßnahmen zum Schutz des Zugangs zu Verwaltungsfunktionen;
• 4.5.c) ein Zugriffsmanagementsystem für Support- und Wartungsvorgänge, das nach den Prinzipien der geringsten Privilegien und des „Need-to-know“ funktioniert;
• 4.5.d) Prozesse und Maßnahmen zur Nachverfolgung von Aktionen, die auf seinem Informationssystem durchgeführt werden.

5. Verletzung personenbezogener Daten

5.1) Falls PigoLabs Kenntnis von einem Vorfall erhält, der die personenbezogenen Daten des Verantwortlichen betrifft (unbefugter Zugriff, Verlust, Offenlegung oder Veränderung von Daten), informiert PigoLabs den Kunden unverzüglich.

5.2) Die Benachrichtigung muss (i) die Art des Vorfalls beschreiben, (ii) die wahrscheinlichen Folgen des Vorfalls beschreiben, (iii) die von PigoLabs als Reaktion auf den Vorfall ergriffenen oder vorgeschlagenen Maßnahmen beschreiben und (iv) angeben, wer der Ansprechpartner bei PigoLabs ist.

6. Unterauftragsverarbeitung

6.1) PigoLabs kann einen weiteren Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten im Rahmen der Erbringung der Dienstleistungen beauftragen („nachgelagerter Auftragsverarbeiter“).

6.2) Der Kunde ermächtigt PigoLabs ausdrücklich, seine verbundenen Unternehmen als nachgelagerte Auftragsverarbeiter zu beauftragen. Die Liste der verbundenen Unternehmen von PigoLabs, die als nachgelagerte Auftragsverarbeiter fungieren, ist auf der Seite der Datenschutzerklärung verfügbar.

6.3) PigoLabs stellt sicher, dass der nachgelagerte Auftragsverarbeiter mindestens in der Lage ist, die PigoLabs in dieser DPA auferlegten Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten durch den nachgelagerten Auftragsverarbeiter zu erfüllen. Zu diesem Zweck schließt PigoLabs eine Vereinbarung mit dem nachgelagerten Auftragsverarbeiter. PigoLabs bleibt dem Kunden gegenüber vollständig für die Erfüllung jeder Verpflichtung verantwortlich, die der nachgelagerte Auftragsverarbeiter nicht erfüllt.

6.4) PigoLabs ist ausdrücklich berechtigt, Drittanbieter (wie Energieversorger, Netzwerkanbieter, Betreiber von Netzwerkverbindungspunkten oder Rechenzentren, Hardware- und Softwareanbieter, Spediteure, technische Dienstleister, Sicherheitsfirmen) zu beauftragen, ohne den Kunden informieren oder dessen vorherige Zustimmung einholen zu müssen, sofern diese Drittanbieter keinen Zugang zu personenbezogenen Daten haben.

7. Pflichten des Kunden und des Verantwortlichen

7.1) Für die Verarbeitung personenbezogener Daten gemäß dem Vertrag muss der Kunde PigoLabs schriftlich (a) alle relevanten Anweisungen und (b) alle für die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten des Auftragsverarbeiters erforderlichen Informationen zur Verfügung stellen. Der Kunde bleibt allein für die Verarbeitung der an PigoLabs übermittelten Informationen und Anweisungen verantwortlich.

7.2) Der Verantwortliche ist dafür verantwortlich, sicherzustellen, dass:

• 7.2.a) die Verarbeitung personenbezogener Daten im Rahmen der Erbringung der Dienstleistungen eine angemessene Rechtsgrundlage hat (z. B. die Einwilligung der betroffenen Person, berechtigte Interessen des Verantwortlichen usw.),
• 7.2.b) alle erforderlichen Verfahren und Formalitäten (wie z. B. Datenschutz-Folgenabschätzung, Benachrichtigung und Genehmigungsantrag bei der zuständigen Aufsichtsbehörde für die Verarbeitung personenbezogener Daten oder einer anderen zuständigen Stelle, falls zutreffend) durchgeführt wurden,
• 7.2.c) die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten in prägnanter, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache informiert wird, wie es die DSGVO vorsieht,
• 7.2.d) die betroffenen Personen informiert werden und jederzeit die Möglichkeit haben, die in der DSGVO vorgesehenen Datenschutzrechte direkt beim Kunden oder beim Verantwortlichen leicht auszuüben.

8. Rechte der betroffenen Personen

8.1) Der Verantwortliche ist vollständig dafür verantwortlich, die betroffenen Personen über ihre Rechte zu informieren und diese Rechte zu wahren, einschließlich der Rechte auf Zugang, Berichtigung, Löschung, Einschränkung oder Datenübertragbarkeit.

8.2) PigoLabs leistet, soweit vernünftigerweise erforderlich, Unterstützung und Zusammenarbeit, um auf Anfragen betroffener Personen zu reagieren. Diese vernünftige Unterstützung und Zusammenarbeit kann darin bestehen, (a) dem Kunden alle direkt von der betroffenen Person erhaltenen Anfragen mitzuteilen und (b) dem Verantwortlichen zu ermöglichen, die technischen und organisatorischen Maßnahmen zu entwerfen und umzusetzen, die erforderlich sind, um auf die Anfragen der betroffenen Personen zu reagieren. Der Verantwortliche ist allein für die Beantwortung dieser Anfragen verantwortlich.

8.3) Der Kunde erkennt an und vereinbart, dass, falls eine solche Unterstützung und Zusammenarbeit erhebliche Ressourcen von PigoLabs erfordert, dies dem Kunden in Rechnung gestellt werden kann, sofern dieser vorher darüber informiert und seine Zustimmung eingeholt wurde.

9. Löschung und Rückgabe personenbezogener Daten

9.1) Am Ende der Dienstleistung (insbesondere bei Kündigung oder Nichtverlängerung) verpflichtet sich PigoLabs, gemäß den im Vertrag festgelegten Bedingungen alle Inhalte (einschließlich Informationen, Daten, Dateien, Systeme, Anwendungen, Websites und anderer Elemente), die vom Kunden im Rahmen der Dienstleistungen reproduziert, gespeichert, gehostet oder sonstwie genutzt wurden, zu löschen, es sei denn, eine Anfrage einer zuständigen Justiz-, Verwaltungs- oder anderen Behörde oder das anwendbare Recht der Europäischen Union oder eines Mitgliedstaats der Europäischen Union verlangt etwas anderes.

9.2) Der Kunde ist allein dafür verantwortlich, sicherzustellen, dass die notwendigen Maßnahmen (wie z. B. Sicherung, Übertragung auf eine Drittlösung, Snapshots usw.) zur Erhaltung der personenbezogenen Daten durchgeführt werden, insbesondere vor der Kündigung oder dem Ablauf der Dienstleistungen und vor der Durchführung von Lösch-, Aktualisierungs- oder Neuinstallationsvorgängen der Dienstleistungen.

9.3) In diesem Zusammenhang wird der Kunde darauf hingewiesen, dass die Kündigung und das Ablaufen einer Dienstleistung aus welchem Grund auch immer (einschließlich, aber nicht ausschließlich Nichtverlängerung) sowie bestimmte Aktualisierungs- oder Neuinstallationsvorgänge der Dienstleistungen automatisch zur unwiderruflichen Löschung aller Inhalte (einschließlich Informationen, Daten, Dateien, Systeme, Anwendungen, Websites und anderer Elemente), die vom Kunden im Rahmen der Dienstleistungen reproduziert, gespeichert, gehostet oder sonstwie genutzt wurden, führen können, einschließlich aller potenziellen Sicherungen.

10. Haftung

10.1) PigoLabs kann nur für Schäden haftbar gemacht werden, die durch eine Verarbeitung verursacht wurden, bei der (i) PigoLabs die spezifischen Pflichten von Auftragsverarbeitern gemäß der DSGVO nicht eingehalten hat oder (ii) PigoLabs außerhalb der rechtmäßigen Anweisungen des Kunden oder entgegen diesen gehandelt hat. In solchen Fällen gelten die Haftungsbestimmungen des Vertrags.

10.2) Wenn PigoLabs und der Kunde an einer Verarbeitung im Rahmen dieses Vertrags beteiligt sind, die einer betroffenen Person einen Schaden zugefügt hat, übernimmt der Kunde zunächst die gesamte tatsächliche Entschädigung (oder andere Entschädigung), die der betroffenen Person geschuldet wird, und fordert anschließend von PigoLabs den Anteil der Entschädigung zurück, der dem Haftungsanteil von PigoLabs am Schaden entspricht, wobei die im Vertrag vorgesehenen Haftungsbeschränkungen weiterhin gelten.

11. Prüfungen

11.1) PigoLabs stellt dem Kunden alle Informationen zur Verfügung, die erforderlich sind, um (a) die Einhaltung der Anforderungen der DSGVO nachzuweisen und (b) Prüfungen durchzuführen. Diese Informationen sind in der Standarddokumentation auf der Website von Piwigo.com verfügbar. Zusätzliche Informationen können dem Kunden auf Anfrage an den Piwigo.com-Support zur Verfügung gestellt werden.

11.2) Falls eine Dienstleistung zertifiziert ist, einem Verhaltenskodex entspricht oder spezifischen Prüfverfahren unterliegt, stellt PigoLabs auf schriftliche Anfrage des Kunden die entsprechenden Zertifikate und Prüfberichte zur Verfügung.

11.3) Die Bereitstellung von Zertifikaten und Prüfberichten kann zu einer zusätzlichen, angemessenen Gebühr führen.

11.4) Alle Informationen, die dem Kunden gemäß dieser Klausel mitgeteilt werden und nicht auf der Website von Piwigo.com verfügbar sind, gelten als vertrauliche Informationen von PigoLabs gemäß dem Vertrag. Vor der Weitergabe dieser Informationen kann PigoLabs die Unterzeichnung einer spezifischen Geheimhaltungsvereinbarung verlangen.

11.5) Ungeachtet des Vorstehenden ist der Kunde berechtigt, auf Anfragen der zuständigen Aufsichtsbehörde zu antworten, sofern die Offenlegung von Informationen streng auf das beschränkt wird, was von der genannten Behörde verlangt wird. In einem solchen Fall und sofern das anwendbare Recht dies nicht verbietet, muss der Kunde PigoLabs vor jeder geforderten Offenlegung konsultieren.

Diese DPA wurden aus der französischen Version übersetzt.