Datenverarbeitungsvereinbarung (DSGVO-konform)


Gültig ab 1. Mai 2018

1. Geltungsbereich und Vertragsgegenstand

Diese Datenverarbeitung ("DPA") spiegelt die Zustimmung der Parteien zu den Bedingungen für die Verarbeitung personenbezogener Daten gemäß den Allgemeinen Geschäftsbedingungen von IBANCOM (die "AGB") wider. Diese DPA ist eine Änderung der AGB und tritt mit ihrer Aufnahme in die AGB in Kraft, die in einem Auftrag oder einer ausgeführten Änderung der AGB festgelegt werden kann. Mit der Aufnahme in die AGB wird das DPA Bestandteil der AGB.

2. Definitions

In dieser Vereinbarung:

(a) « Dienstleistungen » sind die Dienstleistungen, die dem Kunden im Rahmen der AGB erbracht werden ;
b) « Personenbezogene Daten » alle Informationen über eine identifizierte oder identifizierbare natürliche Person ("Datensubjekt");
c) « Kunde » , « Verantwortlicher » oder « Sie » die natürliche oder juristische Person, Behörde, Agentur oder sonstige Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt;
d) « Verarbeiter » , « IBANCOM » oder « wir » eine natürliche oder juristische Person, Behörde, Agentur oder sonstige Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet;
e) « Prozess/Verarbeitung » bedeutet jeden Vorgang oder jede Menge von Vorgängen, die mit personenbezogenen Daten oder mit personenbezogenen Daten durchgeführt werden, unabhängig davon, ob diese automatisiert erfasst, aufgezeichnet, organisiert, strukturiert, gespeichert, angepasst oder geändert, abgerufen, konsultiert, verwendet, durch Übermittlung, Verbreitung oder anderweitig zugänglich gemacht, abgeglichen oder kombiniert, eingeschränkt, gelöscht oder vernichtet werden ;
f) « Sub-Prozessor » oder « Sub-Auftragnehmer » ist ein vom Auftragsverarbeiter beauftragter Dritter, der im Rahmen seiner Aufgabe, die Dienstleistungen zu erbringen, personenbezogene Daten des Auftraggebers verarbeitet ;
g) « Technische und organisatorische Sicherheitsmaßnahmen » : Maßnahmen, die darauf abzielen, ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten, einschließlich unter anderem der Pseudonymisierung und Verschlüsselung personenbezogener Daten, der Fähigkeit, die laufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten, der Fähigkeit, die Verfügbarkeit und den Zugang zu personenbezogenen Daten im Falle eines physischen oder technischen Zwischenfalls rechtzeitig wiederherzustellen, einem Verfahren zur regelmäßigen Prüfung, Bewertung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(h) « Datenschutzgesetze » sind alle Gesetze und Verordnungen, einschließlich der Gesetze und Verordnungen der Europäischen Union, des Europäischen Wirtschaftsraums und ihrer Mitgliedstaaten, die auf die Verarbeitung personenbezogener Daten im Rahmen des Abkommens anwendbar sind.

3. Anwendung dieser Vereinbarung

Diese Vereinbarung gilt für:
a) alle Daten, die der Kunde ab dem Datum dieser Vereinbarung an IBANCOM zur Bearbeitung übermittelt hat;
b) alle Daten, auf die IBANCOM im Auftrag des Kunden ab dem Datum dieser Vereinbarung zur Verarbeitung zugreift; und
c) alle anderen Daten, die IBANCOM zur Bearbeitung im Auftrag des Kunden erhält;
in Bezug auf die Dienstleistungen.

4. Kategorien von personenbezogenen Daten und Zweck der Datenverarbeitung

Zur Durchführung des Vertrages, insbesondere zur Erbringung der Leistungen im Namen des Kunden, ermächtigt und fordert IBANCOM auf, die folgenden personenbezogenen Daten zu verarbeiten: Kundeninformationen: Informationen, die wir aus Ihrer Nutzung der IBANCOM-Websites und Ihren Interaktionen mit uns offline sammeln können, wie z.B :

• Kontaktinformationen: Name, Anschrift, Telefon- oder Handynummer, E-Mail-Adresse und Kennwörter.
• Finanzinformationen : Kreditkartennummer und Rechnungsinformationen (Steuernummer, Nummer des Zahlers, Rechnungsadresse, Rechnungs-E-Mail, wo die Rechnungen versendet werden) ; Kreditkartennummer wird von Avangate (unserem Zahlungs-Gateway), von Paypal oder anderen Zahlungsarten verarbeitet; IBANCOM belastet Ihre Kreditkarte nur für Zahlungen.
• Kontaktdaten des Arbeitgebers, einschließlich: Name des Arbeitgebers, Berufsbezeichnung und Funktion, Geschäftskontaktdaten; IBANCOM behandelt Kundeninformationen gemäß den Bestimmungen unserer allgemeinen Datenschutzrichtlinie.

Servicedaten: Daten, die sich auf IBANCOM-, Kunden- oder Drittsystemen befinden, auf die IBANCOM Zugriff gewährt hat, um Dienstleistungen zu erbringen.

• Daten, die von Benutzern gespeichert und verarbeitet werden, wie z.B.: zur Verarbeitung gesendete Daten, der Verlauf der von Benutzern ausgeführten Operationen.
• Protokolldatei-Informationen: Drei Arten von Protokollen werden vom IBANCOM-System gespeichert : Verbindungsprotokolle, die im Wesentlichen Protokolle von jedem Request zu jeder Anwendung sind. Diese Verbindungsprotokolle können Informationen wie die Webanfrage, die IP-Adresse, den Browsertyp, die Seiten und URLs, die Anzahl der Klicks, Domainnamen, Landing Pages, aufgerufene Seiten und andere Informationen enthalten. Die zweite Art von Protokollen sind Anwendungsprotokolle, die von unserer Software während der Datenverarbeitung erstellt werden. Anwendungsprotokolle sind eine Aufzeichnung aller Eingabedaten, die zur Verarbeitung an unsere Server gesendet werden und die IBANCOM helfen können, die Quelle aktueller Systemprobleme zu identifizieren und zu diagnostizieren und zukünftige Probleme vorherzusagen.
IBANCOM verarbeitet Kundeninformationen gemäß den Bestimmungen der Datenschutzerklärung und behandelt die Servicedaten gemäß den Bestimmungen Ihrer Bestellung für Dienstleistungen vertraulich

Kategorien von Datensubjekten: Zu den Datensubjekten gehören Vertreter des Kunden und Endnutzer wie Mitarbeiter, Bewerber, Auftragnehmer, Mitarbeiter, Partner und Kunden des Kunden. Zu den Betroffenen können auch Personen gehören, die versuchen, personenbezogene Daten an Nutzer der Dienste zu übermitteln oder zu übermitteln.

5. Verantwortung von IBANCOM

IBANCOM verarbeitet personenbezogene Daten ausschließlich für die Erbringung der Dienstleistungen und erklärt sich damit einverstanden, dass :

• (a) Persönliche Daten zu den in diesem Vertrag genannten Zwecken oder nur auf dokumentierte Anweisung des Kunden und zu keinem anderen Zweck verarbeitet und nutzt, es sei denn, es liegt eine ausdrückliche vorherige schriftliche Zustimmung des Kunden vor, oder
• (b) Daten nicht an Dritte weitergibt, außer an Mitarbeiter, Vertreter und Unterauftragnehmer, die an der Verarbeitung der Daten beteiligt sind und den verbindlichen Verpflichtungen unterliegen oder die durch ein Gesetz oder eine Verordnung vorgeschrieben sind;
• c) Geeignete technische und organisatorische Maßnahmen zum Schutz der Daten vor unbefugter oder unrechtmäßiger Verarbeitung oder versehentlichem Verlust, Zerstörung oder Beschädigung ergreift und dass diese Maßnahmen unter Berücksichtigung des Stands der technologischen Entwicklung und der Kosten für die Durchführung der Maßnahmen ein Sicherheitsniveau gewährleisten muss, das dem Schaden angemessen ist, der durch unbefugte oder unrechtmäßige Verarbeitung oder versehentlichen Verlust, Zerstörung oder Beschädigung und der Art der zu schützenden Daten entstehen könnte;
• (d) Den Kunden so bald wie möglich im Falle der Ausübung seiner datenschutzrechtlichen Rechte in Bezug auf die Daten informiert und ihn gegebenenfalls dabei unterstützt, der Verpflichtung zur Beantwortung dieser Anfragen unter Berücksichtigung der in Artikel 7 vorgesehenen Verpflichtungen nachzukommen ;
• (e) Die Daten außerhalb der Europäischen Union nur mit ausdrücklicher vorheriger schriftlicher Genehmigung des Kunden verarbeitet oder überträgt und sicherstellen, dass diese Überweisungen in Übereinstimmung mit den entsprechenden Vorschriften erfolgen.

6. Verantwortung des Kunden

Der Servicekunde muss als Inhaber der Datenverarbeitung die Verantwortung für die Einhaltung der geltenden Datenschutzgesetze übernehmen. Insbesondere ist der Kunde verpflichtet, die Rechtmäßigkeit der Verarbeitung der auf der Plattform gespeicherten personenbezogenen Daten zu prüfen.

Der Kunde erklärt sich damit einverstanden, dass er jederzeit für die Einhaltung der geltenden Datenschutzbestimmungen sorgt, insbesondere dafür, dass eine Weitergabe der von ihm an IBANCOM übermittelten personenbezogenen Daten mit Zustimmung des Betroffenen erfolgt oder anderweitig rechtmäßig ist. Die Kontrolle der persönlichen Daten verbleibt beim Kunden, und zwischen dem Kunden und IBANCOM bleibt der Kunde jederzeit für die Zwecke der Dienstleistungen, der AGB und dieser Datenverarbeitungsvereinbarung verantwortlich. Der Kunde ist für die Einhaltung seiner Pflichten als Inhaber der Datenverarbeitung nach dem geltenden Datenschutzgesetz verantwortlich, insbesondere für die Begründung der Übermittlung personenbezogener Daten an IBANCOM (einschließlich etwaiger erforderlicher Mitteilungen und Einholung erforderlicher Einwilligungen) und für seine Entscheidungen über die Verarbeitung und Nutzung der Daten.

7. Rechte des Betroffenen

IBANCOM gewährt dem Kunden elektronischen Zugriff auf die Plattformumgebung, die personenbezogene Daten enthält, um dem Kunden die Löschung, Freigabe, Berichtigung oder Sperrung des Zugriffs auf bestimmte personenbezogene Daten zu ermöglichen oder, falls dies nicht durchführbar ist und soweit gesetzlich zulässig, den detaillierten schriftlichen Anweisungen des Kunden zur Löschung, Freigabe, Berichtigung oder Sperrung des Zugriffs auf personenbezogene Daten zu folgen.

IBANCOM wird dem Kunden alle Anträge auf Löschung, Freigabe, Berichtigung oder Sperrung der im Rahmen der Vereinbarung verarbeiteten personenbezogenen Daten übermitteln.

8. Grenzüberschreitender und weiterführender Datentransfer

IBANCOM behandelt alle personenbezogenen Daten in Übereinstimmung mit den Anforderungen des geltenden Datenschutzgesetzes und dieser Datenschutzvereinbarung an allen Standorten weltweit.

Die Daten werden von IBANCOM in Rechenzentren in Deutschland gespeichert, die vom Subunternehmer Hetzner Online GmbH verwaltet werden.

Industriestr. 25
91710 Gunzenhausen
Deutschland
Tel.: +49 (0)9831 505-0*
Fax: +49 (0)9831 505-3

Rechenzentren befinden sich in
. Hetzner Online AG
Am Datacenterpark 1
08223 Falkenstein


In Bezug auf personenbezogene Daten, die von IBANCOM in Datenzentren im EWR gespeichert werden, stellt die Einhaltung der Anforderungen des anwendbaren Datenschutzgesetzes durch ihre Subprozessoren wie folgt sicher:
• (i) IBANCOM hat Verträge mit Subprozessoren abgeschlossen, die vorsehen, dass der Subprozessor Datenschutz- und Vertraulichkeitsverpflichtungen im Einklang mit den geltenden Datenschutzgesetzen übernimmt;
• (ii) wenn ein Subprozessor personenbezogene Daten in oder aus einem Land verarbeitet, das keine "Angemessenheitsfeststellung" erhalten hat, wird IBANCOM vom Subprozessor verlangen, dass er Modellklauseln ausführt, die mit den Sicherheitsanforderungen dieses DPA übereinstimmen.

9. Unterverarbeitung

IBANCOM wird keine der im Auftrag des Kunden im Rahmen des Vertrages und der AGB durchgeführten Verarbeitungen ohne vorherige schriftliche Zustimmung des Kunden weitervergeben.

Sofern IBANCOM seine Verpflichtungen aus dem Vertrag mit Zustimmung des Kunden weitervergibt, erfolgt dies nur durch eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter, die dem Unterauftragsverarbeiter die gleichen Verpflichtungen auferlegt, die IBANCOM im Rahmen des Vertrages auferlegt werden. Kommt der Subprozessor seinen Datenschutzverpflichtungen aus dieser schriftlichen Vereinbarung nicht nach, bleibt IBANCOM dem Kunden gegenüber für die Erfüllung der Verpflichtungen des Subprozessors aus dieser Vereinbarung uneingeschränkt haftbar.

Der Kunde als Datenverantwortlicher kann verlangen, dass IBANCOM den Subprozessor auditiert oder bestätigt, dass ein solches Audit stattgefunden hat (oder, falls vorhanden, den Datenverantwortlichen bei der Einholung eines externen Auditberichts über den Betrieb des Subprozessors unterstützt), um die Einhaltung dieser Verpflichtungen sicherzustellen. Die verantwortliche Stelle ist auch berechtigt, auf schriftliche Anfrage Kopien der entsprechenden Bedingungen der Vereinbarung von IBANCOM mit Subprozessoren zu erhalten, die personenbezogene Daten verarbeiten dürfen, es sei denn, die Vereinbarung enthält vertrauliche Informationen; in diesem Fall kann die IBANCOM eine redigierte Version der Vereinbarung zur Verfügung stellen.

Die Bestimmungen über die datenschutzrechtlichen Aspekte der Unterabwicklung des in Absatz 1 genannten Vertrags unterliegen dem Recht des Mitgliedstaates, in dem der Kunde niedergelassen ist.

10. Technische und organisatorische Maßnahmen

Bei der Verarbeitung personenbezogener Daten im Auftrag des Kunden im Zusammenhang mit den Diensten stellt IBANCOM sicher, dass sie angemessene technische und organisatorische Sicherheitsmaßnahmen für die Verarbeitung dieser Daten durchführt und einhält. Dementsprechend wird IBANCOM die folgenden Maßnahmen umsetzen:

• a) Um zu verhindern, dass Unbefugte Zugang zu Datenverarbeitungssystemen erhalten, in denen personenbezogene Daten verarbeitet werden (physische Zugangskontrolle), trifft IBANCOM Maßnahmen zur Verhinderung des physischen Zugangs, wie z.B. Sicherheitspersonal und gesicherte Gebäude und Werksgelände.
• b) Um zu verhindern, dass Datenverarbeitungssysteme ohne Berechtigung verwendet werden (Systemzugangskontrolle), können je nach bestelltem Dienst unter anderem folgende Kontrollen angewendet werden: Authentifizierung über Passwörter und Protokollierung des Zugriffs auf mehreren Ebenen.
Für API Services, die bei IBANCOM gehostet werden: (i) wird der logische Zugriff auf die Rechenzentren durch eine Firewall/VLAN eingeschränkt und geschützt; und (ii) die folgenden Sicherheitsprozesse werden angewendet: zentrale Protokollierung und Alarmierung, und (iii) Firewalls.
• c) Um sicherzustellen, dass Personen, die zur Nutzung eines Datenverarbeitungssystems berechtigt sind, nur Zugang zu den personenbezogenen Daten haben, auf die sie Zugriff haben, und dass personenbezogene Daten im Zuge der Verarbeitung und/oder nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Datenzugriffskontrolle), sind personenbezogene Daten nur durch entsprechend autorisiertes Personal zugänglich und verwaltbar, der direkte Zugriff auf die Datenbank ist eingeschränkt und die Zugriffsrechte auf die Anwendungen werden festgelegt und durchgesetzt.

Zusätzlich zu den oben dargelegten Zugriffskontrollregeln implementiert IBANCOM eine Zugriffsrichtlinie, nach der der Datenverantwortliche den Zugriff auf seine API-Service-Umgebung und auf persönliche Daten und andere Daten durch sein autorisiertes Personal kontrolliert.

• d) Um sicherzustellen, dass personenbezogene Daten während der elektronischen Übermittlung oder des Transports nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können und dass überprüft und festgestellt werden kann, an welchen Stellen die Übermittlung personenbezogener Daten mittels Datenübertragungseinrichtungen vorgesehen ist (Übertragungskontrolle), wird IBANCOM die folgenden Anforderungen erfüllen: Sofern für die API Services nicht anders angegeben, werden Datenübertragungen außerhalb der Service-Umgebung verschlüsselt (HTTPS). Der Inhalt von Mitteilungen (einschließlich Absender- und Empfängeradressen), die über einige E-Mail- oder Messaging-Dienste gesendet werden, kann nach dem Empfang über diese Dienste nicht mehr verschlüsselt werden. Der Inhaber der Datenverarbeitung ist allein verantwortlich für die Ergebnisse seiner Entscheidung, unverschlüsselte Kommunikationen oder Übertragungen zu verwenden.
• e) Um sicherzustellen, dass überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, geändert oder entfernt wurden (Eingabekontrolle), wird IBANCOM die folgenden Anforderungen erfüllen: Die Quelle der persönlichen Daten ist unter der Kontrolle des Kunden, und die Integration der persönlichen Daten in das System wird durch einen gesicherten Dateitransfer (d.h. über Webservices oder in die Anwendung) vom Kunden verwaltet.
• f) Um sicherzustellen, dass personenbezogene Daten vor versehentlicher Zerstörung oder Verlust geschützt sind: Backups werden regelmäßig erstellt; werden Backups verschlüsselt und gesichert.
• g) Um sicherzustellen, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben werden, getrennt verarbeitet werden können, werden die Daten aus den verschiedenen Umgebungen der Datenverantwortlichen auf den Systemen von IBANCOM logisch getrennt.

11. Prüfrechte

Der Kunde kann die Einhaltung des Vertrages und dieses Datenverarbeitungsvertrages durch IBANCOM bis zu einmal pro Jahr überprüfen.

Der Kunde kann häufigere Audits der Service-Computersysteme durchführen, die personenbezogene Daten verarbeiten, soweit dies nach den für den Kunden geltenden Gesetzen erforderlich ist. Wenn ein Dritter das Audit durchführen soll, muss dieser von beiden Parteien einvernehmlich vereinbart werden und vor Durchführung des Audits eine für IBANCOM akzeptable schriftliche Geheimhaltungsvereinbarung treffen.

Um ein Audit zu beantragen, muss der Kunde mindestens 4 Wochen vor dem vorgeschlagenen Auditdatum einen detaillierten Auditplan vorlegen, der den vorgeschlagenen Umfang, die Dauer und den Beginn des Audits beschreibt. IBANCOM prüft den Auditplan und stellt dem Datenverantwortlichen alle Bedenken oder Fragen (z.B. Anfragen nach Informationen, die die Sicherheits-, Datenschutz- oder Beschäftigungspolitik von IBANCOM beeinträchtigen könnten) zur Verfügung.

Die Prüfberichte sind vertrauliche Informationen der Parteien im Sinne des Vertrages. Etwaige Audits gehen zu Lasten des Inhabers der Datenverarbeitung.

Jede Anfrage an IBANCOM, Unterstützung bei einem Audit zu leisten, wird als separate Dienstleistung betrachtet, wenn eine solche Auditunterstützung den Einsatz anderer oder zusätzlicher Ressourcen erfordert. IBANCOM wird die schriftliche Zustimmung des Inhabers der Datenverarbeitung einholen und sich damit einverstanden erklären, alle damit verbundenen Gebühren zu zahlen, bevor eine solche Prüfungsunterstützung durchgeführt wird.

12. Ereignismanagement und Benachrichtigung bei Verstößen

IBANCOM evaluiert und reagiert auf Vorfälle, die den Verdacht auf unbefugten Zugriff oder Umgang mit personenbezogenen Daten begründen.

Der Kunde wird über solche Vorfälle informiert und definiert je nach Art der Aktivität Eskalationswege und Reaktionsteams, um diese Vorfälle anzugehen. IBANCOM arbeitet mit dem Kunden, mit den entsprechenden technischen Teams und, falls erforderlich, mit externen Strafverfolgungsbehörden zusammen, um auf den Vorfall zu reagieren. Das Ziel der Vorfallsreaktion ist es, die Vertraulichkeit, Integrität und Verfügbarkeit der Services-Umgebung wiederherzustellen und Ursachen und Abhilfemaßnahmen festzulegen.

IBANCOM-Betriebsmitarbeiter sind angewiesen, auf Vorfälle zu reagieren, bei denen der Umgang mit personenbezogenen Daten unzulässig war.

IBANCOM wird den Kunden unverzüglich nach Bekanntwerden eines Verstoßes gegen personenbezogene Daten informieren. IBANCOM wird jede Sicherheitsverletzung unverzüglich untersuchen und angemessene Maßnahmen ergreifen, um ihre Ursache(n) zu ermitteln und eine Wiederholung zu verhindern. Wenn Informationen gesammelt werden oder anderweitig verfügbar werden, sofern dies nicht gesetzlich verboten ist, wird IBANCOM dem Datenverantwortlichen eine Beschreibung des Sicherheitsverstoßes, der Art der Daten, die Gegenstand des Verstoßes waren, und andere Informationen, die der Datenverantwortliche in angemessener Weise über die betroffenen Personen anfordern kann, zur Verfügung stellen. Die Parteien verpflichten sich, in gutem Glauben den Inhalt aller damit zusammenhängenden öffentlichen Äußerungen oder erforderlichen Mitteilungen für die betroffenen Personen zu koordinieren.

13. Gesetzlich vorgeschriebene Angaben

Sofern gesetzlich nicht anders vorgeschrieben, wird IBANCOM den Kunden unverzüglich über jede Vorladung, gerichtliche, administrative oder schiedsrichterliche Anordnung einer Exekutiv- oder Verwaltungsbehörde oder einer anderen Regierungsbehörde ("Aufforderung") informieren, die IBANCOM erhält und die sich auf die persönlichen Daten bezieht, die IBANCOM im Namen des Kunden verarbeitet. Auf Verlangen des Kunden wird IBANCOM angemessene Informationen zur Verfügung stellen, die auf die Nachfrage und jede Unterstützung, die der Kunde zur rechtzeitigen Beantwortung der Anfrage benötigt, reagieren können. Der Kunde erkennt an, dass IBANCOM keine Verantwortung für die direkte Interaktion mit dem Auftraggeber trägt.

14. Verpflichtung nach Beendigung der Verarbeitung personenbezogener Daten

Die Parteien vereinbaren, dass IBANCOM bei Beendigung der Datenverarbeitung die im Umfeld der Plattform gespeicherten personenbezogenen Daten des Kunden zum Abruf bereitstellt oder anderweitig zurückgibt, es sei denn, die Parteien werden durch Rechtsvorschriften daran gehindert, die übermittelten personenbezogenen Daten ganz oder teilweise zurückzugeben oder zu vernichten. In diesem Fall garantieren die Parteien, dass sie die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleisten und die übermittelten personenbezogenen Daten nicht mehr aktiv verarbeiten.

15. Anwendbares RECHTLAW

Diese Vereinbarung unterliegt dem Recht des Mitgliedstaates, in dem der Kunde niedergelassen ist.