Auftragsverarbeitungsvertrag

Zweck

SoftApp verarbeitet unter anderem personenbezogene Daten für und im Auftrag des „Kunden”, weil dieser eine Software-Nutzungsvereinbarung für den Cloud-Dienst CallerConnect abgeschlossen hat. CallerConnect ist ein von SoftApp bereitgestellter Cloud-Dienst.

SoftApp und der Kunde sind nach der Datenschutz-Grundverordnung (DSGVO) verpflichtet, einen Auftragsverarbeitungsvertrag abzuschließen. SoftApp und der Kunde verpflichten sich gegenseitig zur Einhaltung der DSGVO. Definitionen folgen der DSGVO. SoftApp wird personenbezogene Daten nur für und im Auftrag des Kunden und zur Erfüllung des Vertrags verarbeiten.

Verarbeitungsanweisungen

Die Verarbeitung besteht darin, die SoftApp-Anwendungen mit den vom Kunden eingegebenen und erzeugten Daten bereitzustellen. SoftApp wird ohne ausdrückliche Anweisung des Kunden keine Daten hinzufügen, ändern oder löschen — Anweisungen können per Anfrage oder über das Self-Service-Portal erteilt werden.

Innerhalb der Anwendungen können verschiedene Arten personenbezogener Daten erfasst werden, darunter: Anzeigename, Vorname, Nachname, Bürobezeichnung, Telefonnummer, Stadt, Land, Titel, Firma, Vorgesetzter, Abteilung, Benutzername. SoftApp ist bewusst, dass der Kunde all diese und alle vom Kunden angelegten personenbezogenen Daten bzw. Kategorien eingeben kann und SoftApp diese dann verarbeitet. Der Kunde ist dafür verantwortlich zu beurteilen, ob Zweck und Art der Verarbeitung dem von SoftApp erbrachten Service angemessen sind.

Verschwiegenheitspflicht

SoftApp ist bewusst, dass die Informationen, die der Kunde innerhalb von CallerConnect teilt, vertraulich und geschäftssensibel sind. Alle SoftApp-Mitarbeitenden gehen während ihres Beschäftigungsverhältnisses und danach verantwortungsvoll mit Kundeninformationen um, wie im Arbeitsvertrag mit Verschwiegenheitsklausel festgelegt.

Mitarbeiter mit Zugriff auf Kundendaten

System-Administratoren und Support-Mitarbeitende von SoftApp haben Vollzugriff auf Kundendaten zum Zweck:

• Anlegen des Kunden (Tenant) auf der CallerConnect-Plattform;
• Installation einer neuen Version;
• Anwendung von Patches und Hotfixes;
• Erstellen eines Backups;
• Verschieben von Daten innerhalb der CallerConnect-Domain.

Sicherheit

SoftApp ergreift fortlaufend angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten des Kunden vor Verlust oder jeglicher Form unrechtmäßiger Verarbeitung. Diese Maßnahmen gelten als angemessenes Sicherheitsniveau im Sinne der DSGVO. Der Kunde ist berechtigt, in Abstimmung mit SoftApp während der Vertragslaufzeit die Einhaltung durch einen unabhängigen Sachverständigen prüfen zu lassen — etwa per Audit. Die Kosten dieses Audits trägt der Kunde.

SoftApp haftet für Schäden im Zusammenhang mit personenbezogenen Daten durch Handlungen oder Unterlassungen von Unterauftragnehmern, soweit die Haftungsbeschränkung im Haftungs-Kapitel gilt. Die Beschränkung gilt nicht bei grober Fahrlässigkeit oder vorsätzlichem Fehlverhalten des Unterauftragnehmers. SoftApp haftet zudem nicht bei höherer Gewalt auf eigener Seite oder beim Unterauftragnehmer.

Erlässt die Datenschutzbehörde eine bindende Anweisung an den Auftragsverarbeiter, muss der Kunde SoftApp unverzüglich informieren. SoftApp wird alles Zumutbare tun, um die Einhaltung zu ermöglichen.

Unterauftragsverarbeiter

SoftApp verarbeitet Kundendaten in den Rechenzentren von Iron Mountain Data Centers (Leaseweb), Whitesky.cloud (Gig.tech) und Microsoft Azure als Unterauftragsverarbeiter. Die Rechenzentren von SoftApp befinden sich in den Niederlanden und Belgien und unterliegen niederländischem

belgischem Recht; sie erfüllen die strengen niederländischen

belgischen und europäischen Vorschriften zu logischer und physischer Zugriffssicherung sowie Kontinuität. Die Rechenzentren sind mindestens ISO-27001-zertifiziert. (Personenbezogene) Daten werden von SoftApp und Unterauftragsverarbeitern ausschließlich innerhalb des Europäischen Wirtschaftsraums verarbeitet.

SoftApp wird neuen Unterauftragsverarbeitern die Verarbeitung nicht ohne rechtzeitige Information des Kunden gestatten. Der Kunde kann gegen einen neuen Unterauftragsverarbeiter Einwände erheben; diese werden auf Managementebene behandelt. Beharrt SoftApp auf der Nutzung des neuen Unterauftragsverarbeiters, kann der Kunde den Vertrag kündigen.

Datenschutzrechte

SoftApp hat keine Kontrolle über die vom Kunden bereitgestellten personenbezogenen Daten. Ohne Notwendigkeit (aus der Natur des Auftrags), ausdrückliche Einwilligung des Kunden oder gesetzliche Pflicht wird SoftApp die Daten weder Dritten zugänglich machen noch zu anderen als den vereinbarten Zwecken verarbeiten. Der Kunde garantiert, dass die personenbezogenen Daten auf einer in der DSGVO festgelegten Grundlage verarbeitet werden dürfen.

Sollte jedoch eine Anfrage der niederländischen Behörde für die Finanzmärkte, der Europäischen Zentralbank oder von De Nederlandsche Bank N.V. nach deren Pflichten gemäß Wft (oder anderen Gesetzen) eingehen, wird SoftApp der entsprechenden Stelle alle möglichen Informationen zur Verfügung stellen. SoftApp verpflichtet auch Unterauftragsverarbeiter, einer solchen Anfrage nachzukommen.

Benachrichtigung des Kunden

Stellt SoftApp einen Sicherheitsvorfall oder eine Datenpanne fest, wird SoftApp den Kunden so schnell wie möglich nach Kenntnisnahme informieren. Dazu sorgt SoftApp dafür, dass alle Mitarbeitenden in der Lage sind und bleiben, eine Datenpanne zu erkennen. Tritt eine Datenpanne bei einem SoftApp-Lieferanten auf, meldet SoftApp diese. SoftApp ist der Ansprechpartner für den Kunden; der Kunde muss sich nicht selbst an SoftApp-Lieferanten wenden.

Information des Kunden (Administrator)

Zunächst informiert SoftApp die Kontaktperson (Administrator) des Vertrags über eine Datenpanne.

Bereitstellung von Informationen

SoftApp versucht, dem Kunden umgehend alle Informationen zur Verfügung zu stellen, die er für eine etwaige Meldung an die Datenschutzbehörde und/oder die betroffenen Personen benötigt.

Frist zur Information

Die DSGVO verlangt eine Meldung „ohne Verzögerung”. Laut AP bedeutet dies ohne unangemessene Verzögerung und nach Möglichkeit spätestens 72 Stunden nach Entdeckung durch den Verantwortlichen. SoftApp informiert den Kunden spätestens 48 Stunden nachdem SoftApp einen Sicherheitsvorfall entdeckt hat. Der Kunde beurteilt, ob der Vorfall als „Datenpanne” gilt und der AP gemeldet werden muss — der Kunde hat dafür 72 Stunden ab Information.

Fortschritt und Maßnahmen

SoftApp hält den Kunden über Fortschritt und ergriffene Maßnahmen auf dem Laufenden. SoftApp registriert alle Sicherheitsvorfälle und behandelt sie nach einem festen Verfahren (Workflow).

Datenlöschung

Am Ende des Vertrags löscht SoftApp alle Kundendaten. Wenn der Kunde eine frühere Löschung wünscht, kann er einen Antrag stellen; SoftApp verpflichtet sich, diesem nachzukommen.