fbpx

mPocket Auftragsverarbeitungsvertrag

22. April 2022

Dieser mPocket Auftragsverarbeitungsvertrag („AVV“) ist Bestandteil der mPocket Nutzungsbedingungen oder, falls zutreffend, Bestandteil des zwischen mPocket und dem Kunden abgeschlossene Order Form (die mPocket Nutzungsbedingungen bzw. die Order Form jeweils die „Anwendbare Vereinbarung“). Im Falle eines Widerspruchs zwischen der Anwendbaren Vereinbarung und dem AVV ist der AVV maßgeblich.

1 Definitionen

1.1 „Aufsichtsbehörde“ bezeichnet jede unabhängige Behörde, die für die Überwachung der Anwendung des Anwendbaren Rechts zum Schutz der Privatsphäre zuständig ist.

1.2 „Anwendbares Recht zum Schutz der Privatsphäre“ bedeutet alle anwendbaren Gesetze und Vorschriften in Bezug auf Datenschutz und Privatsphäre, denen der Kunde unterliegt und die für die Verarbeitung Personenbezogener Daten im Rahmen der Anwendbaren Vereinbarung gelten. Anwendbares Recht zum Schutz der Privatsphäre beinhaltet: (i) EU-Datenschutzrecht; (ii) in Bezug auf das Vereinigte Königreich alle anwendbaren nationalen Gesetze, die die DSGVO ersetzen oder in nationales Recht umsetzen oder alle anderen Gesetze in Bezug auf Datenschutz und Privatsphäre infolge des Austritts des Vereinigten Königreichs aus der Europäischen Union; und (iii) das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 sowie die Verordnung zum Bundesgesetz über den Datenschutz; jeweils in der aktualisierten, aufgehobenen, abgelösten oder ersetzten Fassung.

1.3 „EU-Datenschutzrecht“ bezeichnet alle für die Europäische Union („EU“), den Europäischen Wirtschaftsraum („EWR“) und für die Mitgliedstaaten der Vorgenannten geltenden Datenschutzgesetze und -vorschriften, einschließlich (i) der Verordnung 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („DSGVO“); (ii) der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, geändert durch die Richtlinie 2009/136/EG; und (iii) die anwendbaren nationalen Umsetzungen von (i) und (ii) in den EU-und EWR-Mitgliedsstaaten.

1.4 „Modellklauseln“ bezeichnet die Standardvertragsklauseln für Auftragsverarbeiter, die gemäß dem Beschluss 2010/87/EU der Europäischen Kommission vom 5. Februar 2010 („Modellklauseln 2010“) genehmigt wurden, oder alle aktualisierten, ersetzten oder alternativen Standardvertragsklauseln, die von der Europäischen Kommission genehmigt wurden, wie die Standardvertragsklauseln, die gemäß dem Beschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 („Modellklauseln 2021“) genehmigt wurden.

1.5 „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, soweit diese Informationen durch das Anwendbare Recht zum Schutz der Privatsphäre geschützt sind. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Personenbezogene Daten umfassen unter anderem die in Anlage 1 beschriebenen Personenbezogenen Daten.

1.6 „Unterauftragsverarbeiter” bezeichnet jeden Auftragsverarbeiter, der von mPocket oder von Verbundenen Unternehmen von mPocket beauftragt wurde, um bei der Erfüllung der Verpflichtungen von mPocket im Rahmen der Vereinbarung zu unterstützen. Zu den Unterauftragsverarbeitern können auch Dritte oder Verbundene Unternehmen von mPocket gehören.

1.7 „Verbundenes Unternehmen” hat die gleiche Bedeutung wie in der Vereinbarung.

1.8 „Verletzung des Schutzes Personenbezogener Daten“ bedeutet eine Verletzung der Sicherheit, die zu unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust oder Veränderung, zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Personenbezogenen Daten führt, die von mPocket und/oder den Unterauftragsverarbeitern von mPocket im Zusammenhang mit der Bereitstellung der mPocket-Dienste übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

1.9 „Weisungen” sind die schriftlichen Weisungen des Kunden an mPocket für die Verarbeitung Personenbezogener Daten, bestehend aus der Vereinbarung, allen Bestellungen, allen Weisungen, die der Kunde über die Nutzung der mPocket-Dienste erteilt, sowie allen zusätzlichen Weisungen, die von den Parteien einvernehmlich schriftlich vereinbart wurden.
Die Begriffe „Verantwortlicher“, „Betroffene Person“, „Auftragsverarbeiter“ und „Verarbeitung“ haben die Bedeutung, die ihnen nach dem EU-Datenschutzrecht zukommt, und „verarbeiten“, „verarbeitet“ und „verarbeitete“ werden entsprechend ausgelegt. Alle anderen Begriffe, die in diesem AVV nicht explizit definiert sind, haben die gleiche Bedeutung wie in der Vereinbarung.

2 Rollen und Verantwortlichkeiten

2.1 Rollen der Parteien. Die Parteien verstehen und vereinbaren, dass in Bezug auf die Verarbeitung Personenbezogener Daten der Kunde der Verantwortliche und mPocket der Auftragsverarbeiter ist. mPocket oder die Verbundenen Unternehmen von mPocket können Unterauftragsverarbeiter nach Maßgabe der in diesem AVV festgelegten Anforderungen beauftragen. Die Einzelheiten der Verarbeitung werden in Anlage 1 erläutert.

2.2 Verarbeitung durch den Kunden. Der Kunde verarbeitet Personenbezogene Daten in Übereinstimmung mit den Anwendbaren Datenschutzrecht und stellt sicher, dass seine Weisungen auch Anwendbares Datenschutzrecht einhalten. Zwischen den Parteien hat der Kunde die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit der Personenbezogenen Daten und die Methoden, mit denen er die Personenbezogenen Daten erfasst.

2.3 Verarbeitung durch mPocket. mPocket verarbeitet Personenbezogene Daten nur wie in diesem AVV, der Anwendbaren Vereinbarung, allen relevanten Bestellungen und allen anderen schriftlichen Weisungen des Kunden beschrieben („Zweck”). mPocket wird die Personenbezogene Daten nicht für andere Zwecke verarbeiten, es sei denn: (i) dies ist mit dem Kunden schriftlich vereinbart; oder (ii) mPocket ist hierzu durch das Recht der Union oder der Mitgliedstaaten, dem mPocket unterliegt, verpflichtet. In letzterem Fall dies teilt mPocket dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. mPocket wird den Kunden unverzüglich informieren, wenn nach Ansicht von mPocket eine Weisung gegen Anwendbares Recht zum Schutz der Privatsphäre verstößt. In diesem Fall behält sich mPocket das Recht vor, die Ausführung der Weisungen zu verweigern und/oder auszusetzen bis zu einer Bestätigung der Weisung durch den Kunden.

3 Anträge und Konsultation

3.1 Anträge Betroffener Personen. Unter Berücksichtigung der Art der Verarbeitung wird mPocket den Kunden in angemessener Weise unterstützen, damit der Kunde seinen Verpflichtungen gegenüber den Rechten der Betroffenen Personen gemäß dem Anwendbaren Datenschutzrecht nachkommen kann. Zu den Rechten der Betroffenen Person gehören unter anderem: Auskunftsrecht, Recht auf Berichtigung, Recht auf Einschränkung der Verarbeitung, Recht auf Löschung („Recht auf Vergessenwerden”), Widerspruchsrecht oder Recht auf Datenübertragbarkeit (jeweils ein „Antrag der Betroffenen Person”). Wenn ein Antrag der Betroffenen Person direkt an mPocket gestellt wird, wird mPocket den Kunden, soweit gesetzlich zulässig, umgehend informieren. mPocket wird ohne vorherige Zustimmung des Kunden nicht direkt auf einen Antrag der Betroffenen Person antworten, es sei denn, dies ist angemessen, z.B. um die Betroffene Person an den Kunden zu verweisen. Der Kunde ist allein verantwortlich für die Beantwortung von Anträgen der Betroffenen Person.

3.2 DSFA. Auf Anfrage des Kunden und in dem nach Anwendbarem Datenschutzrecht erforderlichen Umfang leistet mPocket dem Kunden angemessene Zusammenarbeit und Unterstützung bei der Durchführung einer Datenschutz-Folgenabschätzung (DSFA) bezogen auf die Nutzung der mPocket-Dienste durch den Kunden.

3.3 Konsultierung der Aufsichtsbehörde. Soweit nach dem Anwendbaren Datenschutzrecht erforderlich, leistet mPocket dem Kunden angemessene Unterstützung bei der Zusammenarbeit oder der vorherigen Konsultation mit einer Aufsichtsbehörde.

4 Sicherheit und Vertraulichkeit

4.1 Vertrauliche Informationen. mPocket wird alle Personenbezogene Daten als Vertrauliche Informationen behandeln, wie in der Anwendbaren Vereinbarung festgelegt.

4.2 Personal. mPocket stellt sicher, dass die Mitarbeiter von mPocket sowie die Mitarbeiter der Verbundenen Unternehmen von mPocket sowie externe Dienstleister, die Zugang zu Personenbezogenen Daten haben: (i) einer schriftlichen Verpflichtung unterliegen, Personenbezogene Daten vertraulich zu behandeln; und (ii) in angemessener Weise in den sorgfältigen Umgang mit Personenbezogenen Daten eingewiesen werden. mPocket wird Maßnahmen zur Beschränkung des Zugangs der Mitarbeiter zu Personenbezogenen Daten gemäß den Sicherheitsmaßnahmen durchführen.

4.3 Sicherheitsmaßnahmen. Unter Berücksichtigung des Standes der Technik, der Kosten der Implementierung und der Art, des Umfangs, des Kontexts und des Zwecks der Verarbeitung sowie des Risikos unterschiedlicher Wahrscheinlichkeit und Schwere für die Rechte und Freiheiten der Betroffenen Person wird mPocket geeignete technische und organisatorische Maßnahmen implementieren und aufrechterhalten, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. mPocket überwacht regelmäßig die Einhaltung seiner Sicherheitsmaßnahmen. mPocket kann von Zeit zu Zeit alternative angemessene Sicherheitsmaßnahmen implementieren und dabei sicherstellen, dass das Sicherheitsniveau der definierten Maßnahmen nicht verringert wird.

5 Verletzung des Schutzes personenbezogener Daten

5.1 Meldung. Sobald mPocket von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt, wird mPocket diese dem Kunden unverzüglich melden und wird bei der Ermittlung der Ursache der Verletzung des Schutzes personenbezogener Daten in wirtschaftlich angemessener Weise kooperieren und Unterstützung leisten. Die Meldung muss, soweit verfügbar, Folgendes umfassen: (i) eine Beschreibung was geschehen ist; (ii) den Umfang der Verletzung des Schutzes personenbezogener Daten, einschließlich einer Beschreibung der Art der betroffenen personenbezogenen Daten; (iii) eine Beschreibung der Reaktion von mPocket sowie alle Abhilfe- oder mildernden Maßnahmen, die von mPocket ergriffen wurden oder geplant sind; und (iv) andere Informationen, deren Offenlegung gemäß Anwendbarem Recht zum Schutz der Privatsphäre in angemessener Weise verlangt werden kann. mPocket stellt dem Kunden Informationen zur Verfügung, die für die Erfüllung der Melde- und Kommunikationspflichten des Kunden erforderlich sind, soweit diese Informationen mPocket wirtschaftlich angemessen zur Verfügung stehen. Die Verpflichtung von mPocket, eine Verletzung des Schutzes personenbezogener Daten gemäß dieser Ziffer zu melden oder darauf zu reagieren, stellt kein Schuldanerkenntnis oder eine Anerkenntnis der Haftbarkeit seitens mPocket in Bezug auf die Verletzung des Schutzes personenbezogener Daten dar.

5.2 Kooperation. Außerdem wird mPocket wirtschaftlich angemessene Maßnahmen ergreifen, um die Auswirkungen der Verletzung des Schutzes personenbezogener Daten zu beheben oder zu mindern, soweit dies in der Kontrolle von mPocket liegt. mPocket kann seine Mitteilungen verzögern, wenn dies von Verfolgungsbehörden verlangt wird oder wenn es legitimer Weise notwendig ist, um eine Verletzung des Schutzes personenbezogener Daten zu untersuchen oder zu beheben. Aus Sicherheitsgründen verpflichten sich die Parteien, Informationen über eine Verletzung des Schutzes personenbezogener Daten vertraulich zu behandeln, es sei denn, eine Offenlegung ist gesetzlich vorgeschrieben.

6 Unterauftragsverarbeiter

6.1 Einschaltung von Unterauftragsverarbeitern. Der Kunde stimmt der Verwendung der auf der Datenschutz-Seite aufgeführten Unterauftragsverarbeiter durch mPocket zu. mPocket ist berechtigt, zusätzliche Unterauftragsverarbeiter einzuschalten oder Unterauftragsverarbeiter zu ersetzen, vorausgesetzt, mPocket informiert den Kunden über die Identität des Unterauftragsverarbeiter und den Umfang der geplanten Verarbeitung. mPocket wird mit jedem Unterauftragsverarbeiter eine schriftliche Vereinbarung mit Datenschutzpflichten eingehen, die mindestens das gleiche Schutzniveau enthalten wie die in diesem AVV, soweit dies auf die Art der vom Unterauftragsverarbeiter erbrachten Dienstleistungen anwendbar ist. Der Kunde erkennt an, dass er den mPocket-Dienst zusammen mit Drittanbieterdiensten nutzen kann und dass diese Produkte keine Unterauftragsverarbeiter von mPocket sind.

6.2 Einspruch gegen Unterauftragsverarbeiter. mPocket wird den Kunden über einen neuen Unterauftragsverarbeiter informieren, bevor dieser Unterauftragsverarbeiter zur Verarbeitung Personenbezogener Daten in Verbindung mit den mPocket-Diensten autorisiert wird. Der Kunde kann gegen die Einschaltung eines neuen Unterauftragsverarbeiters Einspruch erheben, jedoch ausschließlich aus vernünftigen Gründen, die sich auf den Datenschutz beziehen. Der Kunde wird mPocket über seinen Einspruch innerhalb von 30 Kalendertagen nach Mitteilung von mPocket informieren. Der Einspruch des Kunden muss schriftlich (E-Mail ausreichend), unter Angabe der vernünftigen Gründe für den Einspruch, an privacy@mpocket.io erfolgen. Die Parteien vereinbaren, die Bedenken des Kunden nach Treu und Glauben zu erörtern, um eine wirtschaftlich angemessene Lösung zu erreichen.

6.3 Nicht-EWR-Unterauftragsverarbeiter. mPocket übermittelt keine personenbezogenen Daten in Länder außerhalb des EWRs, es sei denn, mPocket hat angemessene Maßnahmen ergriffen, um sicherzustellen, dass die Übermittlung mit EU-Datenschutzrecht vereinbar ist. Solche Maßnahmen können unter anderem die Übermittlung Personenbezogener Daten: (i) an einen Unterauftragsverarbeiter in einem Land, dem die Europäische Kommission per Angemessenheitsbeschluss ein angemessenes Datenschutzniveau bestätigt hat; oder (ii) auf der Grundlage von Modellklauseln, umfassen. Soweit erforderlich, ermächtigt der Kunde mPocket, die Modellklauseln 2010 bis zum 27. September 2021 mit jedem neuen Unterauftragsverarbeiter für die Verarbeitung der betreffenden personenbezogenen Daten abzuschließen. Ab dem 27. September 2021 wird mPocket die Modellklauseln 2021 mit neuen Unterauftragsverarbeitern abschließen. mPocket wird sich bemühen, die Modellklauseln 2021 mit allen seinen Unterauftragsverarbeitern so bald wie möglich, in jedem Fall aber vor dem 27. Dezember 2022 gemäß Artikel 4 des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021 zu vereinbaren.

7 Überprüfungen

7.1 Durch den Kunden. mPocket stellt dem Kunden alle relevanten Informationen zur Verfügung, die sich im Besitz oder unter der Kontrolle von mPocket befinden und die erforderlich sind, um die Einhaltung dieses AVVs nachzuweisen. mPocket wird auch Überprüfungen, einschließlich Inspektionen, durch den Kunden (oder durch von ihm beauftragte externe Prüfer) im Zusammenhang mit der Verarbeitung Personenbezogener Daten durch mPocket ermöglichen und zu diesen beitragen. Der Kunde erklärt sich bereit, alle angemessenen Maßnahmen zu ergreifen, um unnötige Störungen des Betriebs von mPocket zu verhindern, und seine Prüfungsrechte nur einmal alle zwölf (12) Kalendermonate auszuüben, außer, wenn: (i) und soweit dies auf Anweisung einer Aufsichtsbehörde erforderlich ist; (ii) der Kunde glaubt, dass eine weitere Überprüfung aufgrund einer Verletzung des Schutzes Personenbezogener Daten erforderlich ist, oder (iii) der Kunde dokumentierte sachliche Gründe für den Verdacht vorlegen kann, dass mPocket wesentliche Verpflichtungen dieses AVVs verletzt hat. Die Kosten der Überprüfung, einschließlich aller angemessenen Kosten, die mPocket für die Zusammenarbeit mit der Überprüfung aufbringen muss, werden vom Kunden getragen. Jeder externe Prüfer muss entsprechend qualifiziert sein und vor jeder Überprüfung eine entsprechende Geheimhaltungs- und Vertraulichkeitsvereinbarung mit mPocket unterzeichnen.

7.2 Durch Aufsichtsbehörden. mPocket gewährt dem Kunden oder einer Aufsichtsbehörde angemessenen Zugang zur Dokumentation und den Systemen von mPocket im Falle einer von einer Aufsichtsbehörde geforderten Überprüfung, soweit die Überprüfung für die Einhaltung des Anwendbaren Datenschutzrechts erforderlich ist. Die Parteien werden sich, soweit möglich, einvernehmlich über den Zeitpunkt und den Umfang dieser Überprüfungen einigen, die: (i) in einer solchen Weise durchgeführt werden, dass sie Unterbrechungen des Geschäftsbetriebs von mPocket minimieren; und (ii) auf alleinige Kosten des Kunden durchgeführt werden.

7.3 Vertrauliche Informationen von mPocket. Alle Zusammenfassungen, Prüfungsberichte oder andere Prüfungsergebnisse werden als Vertrauliche Informationen von mPocket betrachtet und unterliegen dem Abschnitt „Vertrauliche Informationen” der Vereinbarung. mPocket ist nicht verpflichtet, Geschäftsgeheimnisse, einschließlich Algorithmen, Quellcode, Betriebsgeheimnisse und ähnliche Informationen offenzulegen.

8 Beendigung und Löschung

8.1 Rückgabe oder Löschung Personenbezogener Daten. Nach Ablauf der Abonnementdauer oder der Beendigung der Vereinbarung wird mPockt alle im Rahmen dieses AVVs verarbeiteten Personenbezogenen Daten löschen. Diese Anforderung gilt nicht, soweit mPocket nach geltendem Recht verpflichtet ist, einige oder alle personenbezogenen Daten aufzubewahren.

8.2 Speicherung der Dokumentation. mPocket kann nach Beendigung der Vereinbarung eine Dokumentation zum Nachweis der Einhaltung ihrer Verpflichtungen im Rahmen dieses AVVs behalten.

9 Allgemeines. Wenn der Kunde und mPocket einen vorherigen Auftragsverarbeitungsvertrag unterzeichnet haben, wird dieser hiermit beendet und durch diesen AVV zum Datum der letzten Unterschrift der letzten Bestellung ersetzt. Wenn eines der Verbundenen Unternehmen des Kunden als Verantwortlicher (entweder allein oder zusammen mit dem Kunden) hinsichtlich der Verarbeitung Personenbezogener Daten angesehen wird, ist der Kunde gemäß diesem AVV für diese Personenbezogenen Daten und für dieses Verbundene Unternehmen verantwortlich. Dieser AVV ist als Anlage zur Vereinbarung Teil der Vereinbarung und unterliegt allen Bedingungen und Bestimmungen, einschließlich der Regelungen der Vereinbarung hinsichtlich Haftungsbeschränkungen, Kündigung/Beendigung, Gerichtsbarkeit und geltendem Recht.

Anlage 1 – Personenbezogene Daten

A. Art und Zweck der Verarbeitung.
mPocket verarbeitet personenbezogene Daten, soweit dies für die Erbringung der mPocket-Dienste gemäß der Vereinbarung erforderlich ist, wie in der Bestellung näher erläutert wird, und nach näherer Weisung des Kunden bei seiner Nutzung der mPocket-Dienste.

B. Dauer der Verarbeitung.
Vorbehaltlich Ziffer 9 des AVVs verarbeitet mPocket Personenbezogene Daten für die Dauer der Vereinbarung, es sofern nicht schriftlich etwas anderes vereinbart wurde.

C. Kategorien Betroffener Personen.
„Betroffene Person“ steht für die Person, auf die sich die personenbezogenen Daten beziehen.

D. Kategorien Personenbezogener Daten.
Der Kunde kann Personenbezogene Daten an die mPocket-Dienste übermitteln, deren Umfang vom Kunden bestimmt und kontrolliert wird und die möglicherweise Folgendes enthalten:
 – Profilinformationen: Profilinformationen des Nutzers, wie z.B. Name, E-Mail-Adresse, Position, Abteilung und Standort sowie weitere erforderlichen oder freiwilligen Profilinformationen.
 – Login-Daten: E-Mail-Adresse und Passwort.
 – Inhalte: Alle anderen Personenbezogenen Daten, die in den Kundendaten enthalten sind, z.B. Personenbezogene Daten in Chats oder Mediendateien.
 – Technische Informationen: Gerätetyp, IP-Adresse, User-ID, Betriebssystem, Browser-Typ, User-Agent, Zeitstempel der Besuche und lokale Speicherung.

E. Besondere Kategorien Personenbezogener Daten (falls zutreffend).
Der Kunde darf die mPocket-Dienste für die Verarbeitung besonderer Kategorien personenbezogener Daten nur wie in den Servicespezifischen Bedingungen ausdrücklich erlaubt nutzen. Der Umfang besonderer Kategorien personenbezogener Daten wird vom Kunden bestimmt und kontrolliert und kann die folgenden Kategorien betreffen:

 – Rasse oder ethnische Herkunft;
 – Politische Meinungen;
 – Religiöse oder weltanschauliche Überzeugungen;
 – Gewerkschaftszugehörigkeit;
 – Gesundheitsdaten; und
 – Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.