Bestimmungen zur Auftragsdatenverarbeitung | Sendcloud GmbH (2018)

Diese Bestimmungen zur Verarbeitung (nachfolgend die “Bestimmungen“) gelten für alle Dienstleistungen (wie unten definiert), die von Sendcloud GmbH (nachfolgend “Sendcloud“) erbracht werden.
Von jeder Partei, Firma oder Unternehmen, die über ein Konto bei der Sendcloud Plattform verfügt oder die Dienstleistungen auf andere Weise nutzt (nachfolgend “Kunde”) wird angenommen, dass sie diese Bestimmungen vollständig akzeptiert hat. Zum Zweck dieser Bestimmungen ist der Kunde der Datenverantwortliche und Sendcloud der Datenverarbeiter.

Präambel
Gemäß Artikel 28 der Verordnung (EU) 2016/679 (DSGVO) gelten diese Bestimmungen für alle Dienstleistungen, die von Sendcloud für den Kunden erbracht werden, und sie geben die Vereinbarung der Parteien hinsichtlich der Verarbeitung der personenbezogenen Kundendaten wieder.

Begriffsbestimmungen:
1.1 „Personenbezogene Kundendaten“ meint alle personenbezogenen Daten, die im Zusammenhang mit den Dienstleistungen von Sendcloud oder von dritten Parteien, die von Sendcloud beauftragt wurden, verarbeitet wurden;
1.2 „Datenschutzverletzung“ meint jegliche unberechtigte oder unrechtmäßige Verarbeitung, Offenlegung oder einen solchen Zugriff auf personenbezogene Kundendaten oder eine(n) versehentliche(n) oder unrechtmäßige(n)Vernichtung, Verlust, Änderung oder Verfälschung von personenbezogenen Kundendaten;
1.3 ‘’Datenverantwortlicher’’ hat die Bedeutung, die in Artikel 4 der DSGVO dargelegt ist;
1.4 ‘’Daten verarbeiter’’ hat die Bedeutung, die in Artikel 4 der DSGVO dargelegt ist;
1.5 „Betroffene Person“ meint eine natürliche Person, deren personenbezogene Daten von Sendcloud verarbeitet werden;
1.6 „EEA“ meint den Europäischen Wirtschaftsraum;
1.7 „DSGVO“ meint die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG;
1.8 “Personenbezogene Daten” hat die Bedeutung, die in Artikel 4 der DSGVO dargelegt ist;
1.9 „Datenschutzschild“ meint den EU-US-Rahmen, um Firmen beim Übermitteln personenbezogener Daten von der Europäischen Union in die Vereinigten Staaten einen Mechanismus zur Einhaltung der Datenschutzbestimmungen zu bieten;
1.10 „Dienstleistungen“ meint alle Aktivitäten, die von Sendcloud für den Kunden bei der Nutzung Sendcloud.de und Sendcloud.at ausgeübt oder erbracht werden; Sendcloud.nl; be; panel.sendcloud.sc; shipping-portal.com, und andere damit verbundene Webseiten, die von Sendcloud zur Verfügung gestellt oder bereitgestellt werden;
1.11 „Unterauftragsverarbeiter“ meint jede Person oder Organisation, die von oder im Auftrag von Sendcloud ernannt wurde, personenbezogene Kundendaten zu verarbeiten.
1.12  Alle Begriffe, die nicht definiert wurden, tragen dieselbe Bedeutung wie in der DSGVO, und ihre verwandten Begriffe werden dementsprechend ausgelegt.
Im Rahmen der Dienstleistungserbringung für den Kunden kann Sendcloud personenbezogene Kundendaten im Auftrag des Kunden verarbeiten.  Die Parteien willigen ein, die folgenden Vorschriften hinsichtlich personenbezogener Kundendaten zu achten, wobei jede Partei vernünftig und in gutem Glauben handelt.

2. Anwendbarkeit und Dauer der Bestimmungen
2.1. Diese Bestimmungen gelten für alle personenbezogenen Kundendaten, die von Sendcloud hinsichtlich der Dienstleistungen verarbeitet werden.  Sendcloud kann darauf vertrauen, dass die Person, die diese Bestimmungen akzeptiert, berechtigt ist, dies im Namen des Kunden zu tun.  Die Bestimmungen bleiben solange rechtsgültig und werden bei Löschung aller personenbezogenen Kundendaten automatisch ungültig, wie dies in Kapitel 11 dieser Bestimmungen beschrieben ist (Löschung oder Rückgabe der personenbezogenen Daten.)

3. Verarbeitung von personenbezogenen Daten
3.1 Sendcloud verarbeitet personenbezogene Kundendaten nur zu den Zwecken der Verbesserung und Erbringung der Dienstleistungen für den Kunden.  Sendcloud verarbeitet personenbezogene Kundendaten nur im Auftrag des Kunden und in Übereinstimmung mit diesen Bestimmungen und den dokumentierten Anweisungen des Kunden, sofern nicht anderweitig durch ein entsprechendes Gesetz, dem Sendcloud unterliegt, vorgeschrieben.
3.2 Sendcloud hält alle geltenden Datenschutzgesetze bei der Verarbeitung der personenbezogenen Kundendaten ein.
3.3. Sendcloud informiert den Kunden unverzüglich, wenn nach Meinung von Sendcloud eine Anweisung des Kunden hinsichtlich der Verarbeitung der personenbezogenen Kundendaten wichtige Datenschutzgesetze und/oder diese Bestimmungen verletzt, sofern das geltende Recht dies nicht aus wichtigen Gründen des öffentlichen Interesses verbietet.

4. Sicherheitsmaßnahmen und Geheimhaltung
4.1 Sendcloud führt angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Kundendaten vor Datenschutzverletzung durch und hält diese aufrecht. Mehr Informationen finden Sie in der Sendcloud Datenschutzrichtlinie.
4.2 Sicherheitsmaßnahmen umfassen, unter anderem, Maßnahmen zum Schutz personenbezogener Kundendaten, die Fähigkeit, die fortwährende Geheimhaltung, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und Dienstleistungen sicherzustellen, die Fähigkeit, nach einem Vorfall zeitnahe Verfügbarkeit und Zugriff auf personenbezogene Kundendaten wiederherzustellen, und regelmäßiges Testen/ Untersuchen/Auswerten der Wirksamkeit der angewandten Maßnahmen zur Sicherstellung der Verarbeitungssicherheit.
4.3 Sendcloud ergreift angemessene Schritte, um sicherzustellen, dass die Sicherheitsmaßnahmen von den Personen, die zur Verarbeitung der personenbezogenen Kundendaten autorisiert sind, eingehalten werden, und stellt dabei auch sicher, dass alle Personen, die zur Verarbeitung personenbezogener Kundendaten autorisiert sind, sich zur Geheimhaltung verpflichtet haben oder aufgrund einer gesetzlichen Geheimhaltungsverpflichtung dazu verpflichtet sind.
4.4. Sendcloud stellt sicher, dass nur die Personen, die zur Verarbeitung personenbezogener Kundendaten autorisiert sind, Zugriff erhalten und dies nur in dem für die Erbringung und Verbesserung der Dienstleistungen für den Kunden notwendigen Umfang.

5. Unterauftragsverarbeitung
5.1 Sendcloud beauftragt einen Unterauftragsverarbeiter nur für Verarbeitungsaktivitäten gemäß diesen Bestimmungen, wenn dieser Unterauftragsverarbeiter im EWR oder in den Vereinigten Staaten von Amerika ansässig ist (vorausgesetzt, dass diese Partei mit Sitz in den USA den Datenschutzschild einhält). In allen anderen Fällen benachrichtigt Sendcloud den Kunden vor Einsetzen eines Unterauftragsverarbeiters und gibt dem Kunden das Recht, der  Dienstleistungserbringung durch Löschen des Kundenkontos ausdrücklich zu widersprechen.
5.2 Der Kunde erlaubt ausdrücklich die Beauftragung der Unterauftragsverarbeiter, die in Anhang 1 aufgeführt sind (Unterauftragsverarbeiter mit Stand vom 10. Mai 2018). Zusätzlich erlaubt der Kunde allgemein die Beauftragung anderer dritter Parteien als Unterauftragsverarbeiter, solange diese Parteien in Übereinstimmung mit den in diesem Kapitel festgelegten Regeln ernannt werden. Sendcloud aktualisiert Anhang 1 und benachrichtigt den Kunden im Falle, dass ein neuer Unterauftragsverarbeiter ernannt wird.
5.3 Im Hinblick auf jeden Unterauftragsverarbeiter stellt Sendcloud sicher, dass:
5.3.1 Diese Beauftragung in einem schriftlichen Vertrag oder einer anderen schriftlichen Rechtshandlung festgehalten ist;
5.3.2 Die Verpflichtungen, die in diesen Bestimmungen und gemäß Artikel 28(3) der DSGVO dargelegt sind, mutatis mutandis auf den Unterauftragsverarbeiter übertragen werden;
5.3.3 Der Unterauftragsverarbeiter verarbeitet die personenbezogenen Kundendaten in Übereinstimmung mit angemessenen und technischen Maßnahmen gemäß diesen Bestimmungen und dem Artikel 32 der DSGVO;
5.4 Sendcloud haftet für die von einem Unterauftragsverarbeiter verarbeiteten personenbezogenen Kundendaten. Dies gilt nicht für betreiberbezogene Verpflichtungen, wie in den Sendcloud Allgemeinen Geschäftsbedingungen

[o.]

beschrieben.

6. Rechte betroffener Personen
6.1 Sendcloud ermöglicht dem Kunden, auf Anfrage auf die Verarbeitung von personenbezogenen Kundendaten zuzugreifen, diese zu berichtigen, zu löschen, ihr zu widersprechen oder diese einzuschränken, und die personenbezogenen Kundendaten in Übereinstimmung mit den in diesen Bestimmungen genannten Verfahren und Zeitrahmen zu exportieren.
6.2 Anfragen betroffener Personen
6.2.1 Im Falle, dass Sendcloud eine Anfrage von einer hinsichtlich der personenbezogenen Kundendaten betroffenen Person erhält, unterstützt Sendcloud die betroffene Person, ihre Anfrage an den Kunden zu senden, der auf solche Anfragen antwortet.
6.2.2 Sendcloudhilft dem Kunden bei der Erfüllung seiner Verpflichtung, auf Anfragen von betroffenen Personen zu antworten, um die Ausübung der Rechte der betroffenen Person gemäß Kapitel III der DSGVO zu ermöglichen.

7. Datenübermittlung
7.1 Personenbezogene Kundendaten werden nur von Sendcloud und/oder einem ernannten Unterauftragsverarbeiter verarbeitet:  (i) innerhalb des EWR; oder in (ii) den Vereinigten Staaten von Amerika, vorausgesetzt, dass diese Partei mit Sitz in den USA den Datenschutzschild einhält; oder (iii) in einem Land mit einem von der EU-Kommission anerkannten Datenschutzniveau.
7.2 Wenn es Sendcloud vom Kunden erlaubt ist, personenbezogene Kundendaten an einen Empfänger oder ein Land außerhalb des EWR oder der Vereinigten Staaten von Amerika zu übertragen, vorausgesetzt, dass diese Partei mit Sitz in den USA den Datenschutzschild einhält, und dieses Land kein (i) von der EU-Kommission anerkanntes Datenschutzniveau aufweist; oder (ii) nicht durch einen geeigneten Rahmen oder ein geeignetes Zertifikat abgedeckt ist, der/das von entsprechenden Behörden oder Gerichten als angemessenes Datenschutzniveau anerkannt ist, setzt Sendcloud die Standardvertragsklauseln um (gemäß Beschluss der EU-Kommission vom 5. Februar 2010 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern, die kein angemessenes Datenschutzniveau sicherstellen).

8. Verletzung des Schutzes personenbezogener Daten
8.1 Im Falle einer Datenschutzverletzung, die personenbezogene Kundendaten betrifft, informiert Sendcloud den Kunden unverzüglich, nachdem er von dieser Verletzung Kenntnis erlangt hat.  Sendcloud ergreift unverzüglich Maßnahmen zur Behebung dieser Verletzung und zur Milderung eventueller negativer Folgen.
8.2. Sendcloud unterstützt den Kunden, sicherzustellen, dass alle rechtlichen Verpflichtungen, eine Verletzung einer Aufsichtsbehörde zu melden oder betroffene Personen über eine Datenschutzverletzung gemäß Artikel 33 und 34 der DSGVO zu informieren, einzuhalten.

9. Datenschutzfolgenabschätzung und vorherige Konsultation
9.1. Sendcloud bietet dem Kunden Unterstützung bei der Durchführung von Datenschutzfolgeabschätzungen, einschließlich aller Konsultationen mit Aufsichtsbehörden oder anderen zuständigen Datenschutzbehörden, um die gemäß Artikel 35 und 36 der DSGVO oder äquivalenter Vorschriften eines anderen Datenschutzgesetzes dargelegten Verpflichtungen zu erfüllen.

10. Aufzeichnung von Verarbeitungsaktivitäten
10.1 Sendcloud führt Aufzeichnungen über die Verarbeitungsaktivitäten hinsichtlich dieser Bestimmungen und der personenbezogenen Kundendaten, in Übereinstimmung mit den gemäß Artikel 30 der DSGVO festgelegten Bestimmungen.
10.2 Sendcloud macht diese Aufzeichnungen dem Kunden auf Anfrage und unverzüglich verfügbar.

11. Löschung oder Rückgabe von personenbezogenen Daten
11.1 Alle personenbezogenen Daten werden innerhalb von 12 Monaten nach Aufnahme in das Sendcloud-System pseudonymisiert.
11.2 Der Kunde kann Sendcloud jederzeit schriftlich bitten, sein Konto zu schließen und/oder alle personenbezogenen Kundendaten zu löschen.  In diesem Fall löscht Sendcloud alle personenbezogenen Kundendaten innerhalb von sechs (6) Monaten ab der Anfrage.  Sendcloud kann eine frühere Löschung nicht garantieren, da diese Daten für eine angemessene Bereitstellung der Dienstleistungen erforderlich sein können.
11.3 Die Vorschriften dieses Kapitels 11 unterliegen den rechtlichen Vorgaben der EU oder des EU-Mitgliedsstaates hinsichtlich Speicherung und Aufbewahrung personenbezogener Daten.

12. Kontrolle
12.1. Der Kunde oder ein auf Anweisung des Kunden handelnder Drittprüfer hat das Recht, Datenschutz- und Sicherheitskontrollen zu Sendclouds Datensicherheit und Datenschutzverfahren zur Verarbeitung von personenbezogenen Kundendaten und der Einhaltung dieser Bestimmungen und der entsprechenden Datenschutzgesetzgebung auf eigene Kosten durchzuführen.  Der Kunde kann von Sendcloud verlangen, einen Nachweis der Einhaltung dieser Bestimmungen anstelle oder zusätzlich zu der Durchführung einer Kontrolle vorzulegen.

13. Haftung
13.1 Die Haftung von Sendcloud gemäß dieser Bestimmungen oder von Rechts wegen ist jederzeit auf den Betrag begrenzt, der von der Haftpflichtversicherung von Sendcloud gedeckt ist.  Wenn diese Haftpflichtversicherung keine angemessene Deckung vorsieht, ist die Gesamtversicherungssumme von Sendcloud stets auf den Betrag der Gebühren begrenzt, die vom Kunden an Sendcloud für die zugehörigen Dienstleistungen in dem jeweiligen Kalenderjahr bezahlt wurden.

14. Schlussbestimmungen
14.1 Diese Bestimmungen unterliegen dem deutschen Recht.
14.2. Alle in Bezug auf die Bestimmungen entstehenden Streitigkeiten werden vor ein Gericht in Deutschland gebracht, welches bei der Entscheidung die ausschließliche Gerichtsbarkeit besitzt, außer anderweitig schriftlich von den Parteien festgelegt.
14.3 Alle zukünftigen Änderungen dieser Bestimmungen erfolgen in schriftlicher Form.  Diese Änderungen werden in Form einer aktualisierten Version dieser Bestimmungen vorgelegt.
14.4 Sollte eine Vorschrift dieser Bestimmungen für ungültig oder undurchsetzbar erachtet werden, bleibt der Rest dieser Bestimmungen gültig und rechtskräftig.  Die ungültige oder undurchsetzbare Vorschrift wird entweder (i) wie notwendig geändert, um deren Gültigkeit und Durchsetzbarkeit unter möglichst enger Beibehaltung der Absichten der Parteien sicherzustellen, oder, wenn dies nicht möglich ist, (ii) so ausgelegt, als ob der ungültige oder undurchsetzbare Teil nie enthalten gewesen wäre.