Impressum
Impressum
Stillforward GmbH
Tizianstr. 119
80638 München
Deutschland
Vertretungsberechtigt:
Tomas Stiller (Geschäftsführer)
Registergericht: Amtsgericht München
Registernummer: HRB 237471
Ust-IdNr: DE309997334
E-Mail: contact@stillforward.de
Tel: +49 (89) 2154 6347
Datenschutzbeauftragter: Ein Datenschutzbeauftragter ist vom Verantwortlichen NICHT bestellt, da dies nach Art. 37 Abs. 1 DS-GVO i.V.m. § 38 Abs. 1 BDSG-neu nicht erforderlich ist. Davon unabhängig ist der Schutz personenbezogener Daten von oberster Priorität für uns. Bei Fragen und Anregungen stehen wir Ihnen jederzeit zur Verfügung. Wenden Sie sich dazu bitte an: Tomas Stiller, tomas.stiller@stillforward.de.
Plattform der EU-Kommission gemäß der Verordnung über Online-Streitbeilegung in Verbraucherangelegenheiten: www.ec.europa.eu/consumers/odr. Zur Teilnahme an einem Streitbeilegungsverfahren vor einer Verbraucherschlichtungsstelle sind wir nicht verpflichtet und nicht bereit.
Auftragsverarbeitungsvereinbarung
Auftragsverarbeitungsvereinbarung gemäß Art. 28, 29 DSGVO
Die Stiller&Company GmbH (nachfolgend „Auftragnehmer“), Ludwigstr. 26, 85049 Ingolstadt, betreibt die Webseite www.sporteamate.com und die dazugehörige Applikation Sporteamate. Mit dieser Anwendung (nachfolgend „Sporteamate“) können Dritte (nachfolgend „Auftraggeber“) ihre Teams als Administrator organisieren. Dabei verwaltet der Auftraggeber die personenbezogenen Daten in eigener Verantwortung.
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Diese Auftragsverarbeitungsvereinbarung spezifiziert die datenschutzrechtlichen Verpflichtungen der Parteien dieser Vereinbarung, die sich aus der in der Nutzungsvereinbarung beschriebenen Auftragsdatenverarbeitung ergeben. Sie gilt für alle Tätigkeiten, die mit der Nutzungsvereinbarung in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.
§ 1 Begriffsbestimmungen
1.1 Personenbezogene Daten sind definiert als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder auch bestimmbaren natürlichen Person (Art. 4 Nr. 1 DSGVO).
1.2 Auftragsbezogene Datenverarbeitung ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten i.S.d. Art. 4 Nr. 2 DSGVO im Auftrag des Auftraggebers durch den Auftragnehmer.
1.3 Weisung umfasst alle Anweisungen, die der Auftragnehmer vom Auftragnehmer erhält und mit denen er zur Ausführung einer bestimmten Handlung in Bezug auf personenbezogene Daten angewiesen wird. Die Weisungen werden anfänglich durch die Nutzungsvereibarung festgelegt und können vom Auftraggeber danach in schriftlicher Form durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (sog. Einzelweisung).
1.4 Erheben, Verarbeiten und Nutzen von personenbezogenen Daten hat die in Art. 4 Nr. 2 DSGVO festgelegte Bedeutung.
§ 2 Anwendungsbereich
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Handlungen, die in der Nutzungsvereinbarung konkretisiert sind. Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze und abei insbesondere für die Rechtmäßigkeit der Datenweitergabe an Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne Art. 4 Nr. 7 DSGVO). Dem Auftragnehmer hat das Recht, den Auftraggeber darauf hinzuweisen, wenn eine seiner Einschätzung nach rechtlich unzulässige Datenverarbeitung Teil des Auftrags bzw. einer Weisung ist.
§ 3 Gegenstand und Dauer
3.1 Der Gegenstand dieser Vereinbarung ergibt sich aus der Nutzungsvereinbarung.
3.2 Die Dauer dieser Vereinbarung entspricht der Laufzeit der Nutzungsvereinbarung.
3.3 Das Recht zur außerordentlichen Kündigung bleibt hiervon unberührt.
§4 Umfang, Art und Zweck der vorgesehenen Erhebung und Nutzung von personenbezogenen Daten
Der Umfang, die Art und der Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten für den Auftraggeber durch den Auftragnehmer sind in der Nutzungsvereinbarung spezifiziert.
§ 5 Spezifizierung der Daten
Folgende Datenarten bzw. -kategorien sind Gegenstand der Erhebung, Verarbeitung und Nutzung personenbezogener Daten.
Nutzername
Vor- und Nachname
Postalische Adresse
Geburtsdatum
E-Mail Adresse
Telefonnummer
Profilbild
Vertreter und Ansprechpartner
§ 6 Betroffene Personengruppen
Die Personengruppen, die durch diese Vereinbarung betroffen sind, umfassen:
Teamleiter
Teammitglieder
Ansprechpartner im Verein oder der zugehörigen Organisation
Sorgeberechtigte (im Falle von Minderjährigen)
§ 7 Berichtigung, Löschung, Sperrung und Herausgabe personenbezogener Daten
7.1 Die im Rahmen dieser Vereinbarung verarbeiteten Daten, dürfen durch den Auftragnehmer nur nach Anweisung des Auftraggebers berichtigt, gelöscht oder gesperrt werden.
7.2 Der Auftraggeber kann jederzeit während und nach Beendigung dieser Vereinbarung bzw. der Nutzungsvereinbarung vom Auftragnehmer die Berichtigung, Löschung, Sperrung und Herausgabe von Daten verlangen.
§ 8 Maßnahmen in technisch-organisatorischer Hinsicht
8.1 Der Auftragnehmer wird sich in seinem Verantwortungsbereich so organisieren, dass en besonderen Anforderungen des Datenschutzes genüge getan wird.
8.2 Auftragnehmer unternimmt technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers – insbesondere vor Missbrauch und Verlust -, die die Anforderungen der Datenschutzgrundverordnung (Art.< 24, 32 DSGVO) widerspiegeln. Dies umfasst, sofern es verhältnismäßig ist, v.a.:
Zutritt zu Datenverarbeitungsanlagen, mit denen die personenbezogenen Daten verarbeitet und genutzt werden, nur für Befugte
Zugang zu Datenverarbeitungssysteme nur für Befugte
Zugriffsmanagent, das gewährleistet, dass Befugte beo der Benutzung eines Datenverarbeitungssystems nur auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können,
Weitergabekontrolle insofern als dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können,
Eingabekontrolle und Sicherstellung, dass nachvollzogen werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind,
Auftragskontrolle und Gewährleistung dass personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden,
Schutz personenbezogener Daten vor zufälliger Zerstörung oder Verlust,
Trennungskontrolle: dafür Sorge zu tragen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können,
Verschlüsselung und Pseudonymisierung personenbezogener Daten,
Fortlaufende Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung personenbezogener Daten,
das Vorhalten von Backups, um personenbezogenen Daten und den Zugang zu ihnen bei deren Verlust, wiederherzustellen,
ein Managementsystem zur kontinuierlichen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der vorgegangenen technischen und organisatorischen Maßnahmen.
8.3 Diese technischen und organisatorischen Maßnahmen sind unter Umständen vom technischen Fortschritt betroffen und werden daher fortwährend aktualisiert. Insoweit ist es auch zulässig, dass der Auftragnehmer alternative verhältnismäßige Maßnahmen umzusetzt. Wesentliche Änderungen sind zu dokumentieren. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden.
§ 9 Sonstige Pflichten des Auftragnehmers
9.1 Der Auftraggeber ist jederzeit befugt ergänzende Anweisungen über Art, Umfang und Verfahren der Verarbeitung personenbezogender Daten gegenüber dem Auftragnehmer zu erteilen. Diese Anweisungen sind in Textform (z.B.per Email) zu erteilen.
9.2 Der Auftragnehmer darf Daten nur im Rahmen des Nutzungsvereinbarung und der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen, außer dass der Auftragnehmer nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung der Daten verpflichtet ist.
9.3 Vergütungsvereinbarungen in Bezug auf Mehraufwände, die durch ergänzende Anweisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.
9.4 Der Auftragnehmer muss den Auftraggeber auf Ausnahmen von der Weisungspflicht aufgrund für ihn geltenden Rechts informieren, es sei denn gerade dieses Recht untersagt solches wegen eines wichtigen öffentlichen Interesses.
9.5 Der Auftragnehmer bestellt – soweit gesetzlich vorgeschrieben – einen Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 37, 38, 39 DSGVO ausübt. Die Kontaktdaten des Datenschutzbeauftragten werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme im Rahmen der Datenschutzerklärung mitgeteilt.
9.6 Der Auftragnehmer gewährleistet, dass die mit der Verarbeitung der personenbezogenen Daten des Auftraggebers betrauten Mitarbeiter auf das Datengeheimnis verpflichtet (Art. 29 DSGVO) und in das Datenschutzmanagement-System des Auftragnehmers eingewiesen worden sind. Das Datengeheimnis besteht auch nach Tätigkeitsende fort.
9.7 Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Anweisung des Auftraggebers gegen das geltende Datenschutzrecht verstößt.
9.8 Der Auftragnehmer informiert den Auftraggeber bei schweren Störungen des Betriebsablaufes, beim Verdachtsmoment von Datenschutzverletzungen und anderen Unregelmäßigkeiten in Bezug auf die Verarbeitung der personenbezogenen Daten des Auftraggebers. Dies umfasst auch etwaige Kontrollhandlungen und Maßnahmen der Aufsichtsbehörden nach Art. 51 – 59 DSGVO oder Ermittlungen nach Art. 83, 84 DSGVO.
9.9 Die Parteien sind sich bewusst, dass den Auftraggeber nach § Art. 33 DSGVO Informationspflichten im Rahmen der unrechtmäßigen Übermittlung oder Kenntniserlangung von bestimmten personenbezogenen Daten treffen können. Aus diesem Grund werden solche Zwischenfälle ohne Ansehen der Verursachung unverzüglich dem Auftraggeber mitgeteilt und dabei insbesondere folgende Informationen übermittelt:
Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten unter Einschluss falls möglich der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der betroffenen Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;
Beschreibung der von dem Auftragnehmer ergriffenen oder angedachten Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten sowie der eventuell angedachten Maßnahmen zur Abmilderung der möglichen nachteiligen Konsequenzen.
Der Auftragnehmer hat im Hinblick auf den Auftraggeber angemessene Maßnahmen zum Datenschutz sowie zur Minderung möglicher nachteiliger Konsequenzen für Betroffene zu ergreifen. Wenn den Auftraggeber Pflichten nach Art. 33 DSGVO betreffen, so hat ihn der Auftragnehmer ihn hierbei zu unterstützen.
9.10 Der Auftragnehmer ist verpflichtet, dem Auftraggeber zu jeder Zeit Auskünfte darüber zu erteilen, wenn seine Daten von einer Verletzung des Schutzes personenbezogener Daten betroffen sind. Die Vernichtung von Material übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber datenschutzkonform. In besonderen, vom Auftraggeber zu bestimmenden Fällen erfolgt, sofern rechtlich erforderlich, eine Aufbewahrung bzw. Übergabe.
9.11 Der Auftragnehmer wird den Auftraggeber unterrichten, wenn Betroffene den Auftragnehmer in Bezug auf ihre Betroffenenrechte in Anspruch nehmen.
§ 10 Auftraggeber: Rechte und Pflichten
10.1 Der Auftraggeber ist allein verantwortlich für die Beurteilung der Zulässigkeit der Datenerhebung, -verarbeitung oder -nutzung sowie für die Wahrung der Betroffenenrechte.
10.2 Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig über Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen zu unterrichten, die er bei der Prüfung der Auftragsergebnisse festgestellt hat.
10.3 Der Auftraggeber efüllt die Pflicht zur Führung des Verarbeitungsverzeichnisses nach Art.30 DSGVO.
10.4 Dem Auftraggeber verantwortet die aus Art. 33 DSGVO resultierenden Informationspflichten.
10.5 Der Auftraggeber bestimmt die Maßnahmen, vertraglich oder durch Weisung, zur Rückgabe der überlassenen Datenträger bzw. der Löschung der gespeicherten Daten nach Beendigung der Vereinbarung.
§ 11 Anfragen Betroffener an den Auftraggeber
Für den Fall, dass der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Dritten Person verpflichtet ist, Auskunft zur Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten dieser Person zu geben, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen, wenn der Auftraggeber den Auftragnehmer dazu schriftlich aufgefordert hat.
§ 12 Kooperation mit der Aufsichtsbehörde
Auftraggeber und Auftragnehmer sowie gegebenenfalls deren Vertreter kooperieren auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben.
§ 13 Kontrollpflichten des Auftraggebers
Der Auftraggeber kontrolliert die technischen und organisatorischen Maßnahmen des Auftragnehmers vor der Aufnahme der Datenverarbeitung und im Folgenden regelmäßig und dokumentiert das Ergebnis. Hierfür kann er entweder Selbstauskünfte des Auftragnehmers einholen oder ein Audit auf eigene Kosten durchführen lassen. In Falle eines Audits trägt der Auftraggeber die Kosten der Mitarbeiter des Auftragnehmes, die am Audit mitzuwirken haben.
§ 14 Subunternehmer
14.1 Die Weitergabe von Aufträgen im Rahmen dieser Vereinbarung und der in §§ 3, 4, 5, 6 konkretisierten Tätigkeiten an Subunternehmer ist zulässig, wenn der Auftragnehmer sicherstellt, dass der Subunternehmer die Pflichten aus dieser Verienbarung gegenüber dem Auftragnehmer übernimmt. Erteilt der Auftragnehmer Aufträge an Subunternehmer, so ist es die Pflicht des Auftragnehmers, seine Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen. Dabei gelten v.a. die Anforderungen an Vertraulichkeit, des Datenschutzes sowie der Datensicherheit zwischen den Parteien dieser Vereinbarung.
14.2 Dem Auftraggeber werden Kontroll- und Überprüfungsrechte analog zu § 13 eingeräumt. Nach schriftlicher Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über wesentliche Vertragsbestandteile und die Umsetzung der datenschutzrelevanten Verpflichtungen des Subunternehmers zu erhalten.
§ 15 Vertraulichkeitsverpflichtung
Der Auftragnehmer ist bei der Verarbeitung von personenbezogenen Daten, die er im Zusammenhang mit der Vereinbarung für den Auftraggeber erhält bzw. darüber Kenntnis erlangt, zur Wahrung der Vertraulichkeit verpflichtet. Der Auftragnehmer verpflichtet sich, die selben Geheimnisschutzregeln einzuhalten, wie es der Auftraggeber tut. Der Auftraggeber wird den Auftragnehmer über etwaige besondere Geheimnisschutzregeln informieren.
§ 16 Allgemeine Regelungen
16.1 Sollten personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren. Der Auftragnehmer wird zudem alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber in Kenntnis setzen, dass die Hoheit und das Eigentum an den personenbezogenen Daten ausschließlich beim Auftraggeber als „verantwortlicher Stelle“ im Sinne der DSGVO liegen.
16.2 Die Verarbeitung und Nutzung der personenbezogenen Daten findet nur im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung personenbezogener Daten in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44, 45, 46 DSGVO eingehalten werden.
16.3 Änderungen und Ergänzungen diese Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen von Auftragnehmer – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Regelungen handelt. Dies gilt auch für den Verzicht auf dieses Schriftformerfordernis.
16.4 Es gilt das deutsche Recht, mit Ausnahme des Kollisionsrechts.