Auftragsverarbeitungsvertrag

17. Juli 2024

1. Einleitung

Ziel des Auftragsverarbeitungsvertrags (nachfolgend "AVV") ist es, die Nutzung personenbezogener Daten des Kunden, der als Verantwortlicher handelt (nachfolgend "Kunde"), durch Hublead, das als Auftragsverarbeiter handelt (nachfolgend "Auftragsverarbeiter"), im Rahmen des Vertrags (nachfolgend "Vertrag") zu regeln.

2. Verpflichtungen

Der Auftragsverarbeiter verpflichtet sich und bestätigt, dass er alle Bestimmungen der geltenden Datenschutzvorschriften erfüllt, zu denen die Datenschutz-Grundverordnung (nachfolgend die "DSGVO"; Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) und das französische Datenschutzgesetz (Gesetz Nr. 78-17 vom 6. Januar 1978 über Informatik, Dateien und Freiheiten) gehören. Der Auftragsverarbeiter erklärt, alle ausreichenden Garantien zu bieten, um die Anforderungen der geltenden Datenschutzvorschriften zu erfüllen und insbesondere die Vertraulichkeit und den Schutz der Daten des Kunden zu gewährleisten.

3. Weisungen

Der Auftragsverarbeiter erklärt und verpflichtet sich, die Daten des Kunden nur auf dessen dokumentierte Weisungen gemäß dem Vertrag zu verwenden.

Der Kunde verpflichtet sich, den Auftragsverarbeiter über jede Änderung der Weisungen zu informieren, die in Bezug auf die Nutzung seiner personenbezogenen Daten vorgenommen werden kann. Der Auftragsverarbeiter muss den Kunden unverzüglich schriftlich benachrichtigen, wenn dessen dokumentierte Weisungen einen Verstoß gegen die geltenden Datenschutzvorschriften darstellen.

4. Vertraulichkeit

Der Auftragsverarbeiter erklärt und bestätigt, dass alle seine Mitarbeiter, die personenbezogene Daten des Kunden verarbeiten, einer Vertraulichkeitsklausel oder einem anderen Rechtsakt unterliegen, der die Vertraulichkeit der personenbezogenen Daten des Kunden gewährleistet. Der Auftragsverarbeiter verpflichtet sich, seine Mitarbeiter regelmäßig zu den geltenden Datenschutzvorschriften zu schulen.

5. Sicherheit

Der Auftragsverarbeiter bestätigt und verpflichtet sich, die Sicherheit der personenbezogenen Daten des Kunden zu gewährleisten und die in Anhang 1 dieses AVV genannten technischen und organisatorischen Maßnahmen umzusetzen, die zur Verhinderung jeglichen Risikos einer Datenschutzverletzung erforderlich sind.

6. Datenschutzverletzung

Der Auftragsverarbeiter verpflichtet sich, den Kunden unverzüglich nach Kenntnisnahme über jede Datenschutzverletzung zu benachrichtigen, die die personenbezogenen Daten des Kunden betreffen könnte. Die Benachrichtigung muss alle für den Kunden erforderlichen Informationen zur Bearbeitung der in Artikel 28 der DSGVO beschriebenen Datenschutzverletzung enthalten. Im Falle einer Datenschutzverletzung verpflichtet sich der Auftragsverarbeiter, alle erforderlichen Maßnahmen zu ergreifen, um die Auswirkungen der Datenschutzverletzung zu beheben. Sofern der Kunde nicht seine ausdrückliche, vorherige und schriftliche Zustimmung erteilt hat, ist der Auftragsverarbeiter nicht berechtigt, Datenschutzverletzungen der Aufsichtsbehörde und den von der Verarbeitung im Rahmen des Vertrags betroffenen Personen zu melden.

7. Hilfe und Unterstützung bei der Sicherheit

Der Auftragsverarbeiter stellt dem Kunden alle erforderlichen Informationen über die im Rahmen des Vertrags umzusetzenden technischen und organisatorischen Sicherheitsmaßnahmen zur Gewährleistung der Sicherheit seiner personenbezogenen Daten zur Verfügung. Der Auftragsverarbeiter stellt dem Kunden auf schriftliche Anfrage alle erforderlichen Informationen zur Verfügung, um die Durchführung einer Datenschutz-Folgenabschätzung ("DSFA") zu ermöglichen. Der Auftragsverarbeiter ist nicht verpflichtet, die Sicherheit des Kunden zu gewährleisten oder zu überwachen oder eine DSFA im Auftrag des Kunden durchzuführen. Zusätzliche Anfragen zur Bereitstellung von Informationen können abgelehnt werden, und bei Bedarf kann eine zusätzliche Dienstleistung berechnet werden.

8. Hilfe und Unterstützung bei den Rechten der betroffenen Personen

Der Auftragsverarbeiter stellt dem Kunden auf schriftliche Anfrage alle erforderlichen Informationen zur Verfügung, die es dem Kunden ermöglichen, seiner Verpflichtung zur Erfüllung der Anfragen der betroffenen Personen nachzukommen. Der Auftragsverarbeiter führt auf schriftliche Anfrage des Kunden die technischen Maßnahmen durch, damit der Kunde seiner Verpflichtung zur Erfüllung der Anfragen der betroffenen Personen nachkommen kann. Der Auftragsverarbeiter ist jedoch nicht verpflichtet, Anfragen zu den Rechten der betroffenen Personen anstelle des und im Namen des Kunden zu bearbeiten. Zusätzliche Anfragen zur Sicherstellung einer solchen Verwaltung können abgelehnt werden, und bei Bedarf kann eine zusätzliche Dienstleistung berechnet werden.

9. Unterauftragsverarbeiter

Der Kunde stimmt zu, dass der Auftragsverarbeiter mit den in Anhang 2 dieses AVV aufgeführten Unterauftragsverarbeitern zusammenarbeiten darf, ausschließlich zum Zweck der Erfüllung des Vertrags. Der Auftragsverarbeiter muss den Kunden mindestens zwei Monate vor der Änderung der Liste der Unterauftragsverarbeiter gemäß Anhang 2 per E-Mail informieren, damit der Kunde dagegen Einspruch erheben kann.

Der Auftragsverarbeiter verpflichtet sich, nur Unterauftragsverarbeiter mit den erforderlichen und ausreichenden Garantien für die Sicherheit und Vertraulichkeit der personenbezogenen Daten des Kunden zu beauftragen. Der Vertrag zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter muss ähnliche Verpflichtungen wie die in diesem Vertrag festgelegten enthalten. Der Kunde kann per Einschreiben mit Rückschein Einspruch erheben, wenn (i) der Unterauftragsverarbeiter ein Wettbewerber des Kunden ist, (ii) der Kunde und der Unterauftragsverarbeiter sich in einer vorgerichtlichen oder gerichtlichen Situation befinden, und (iii) der Unterauftragsverarbeiter innerhalb eines Jahres nach seiner Beauftragung durch den Auftragsverarbeiter von einer Datenschutz-Aufsichtsbehörde verurteilt wurde. Jede dieser Situationen muss nachgewiesen werden. Mangels einer Verpflichtung des Auftragsverarbeiters, den Unterauftragsverarbeiter innerhalb von drei Monaten nach Erhalt des Einspruchs zu ändern, kann der Kunde den Vertrag mit einer Kündigungsfrist von sechs (6) Monaten und ohne Entschädigung kündigen. In jedem Fall haftet der Auftragsverarbeiter weiterhin für die Handlungen des Unterauftragsverarbeiters im Rahmen des Vertrags.

10. Schicksal der personenbezogenen Daten

Der Kunde informiert den Auftragsverarbeiter schriftlich und spätestens einen Monat vor Ende des Vertrags über seine Wahl: (Option 1) die personenbezogenen Daten an den Auftragsverarbeiter zurückzugeben und anschließend die personenbezogenen Daten und alle vorhandenen Kopien zu löschen, oder (Option 2) die personenbezogenen Daten und alle vorhandenen Kopien direkt zu löschen, oder (Option 3) die personenbezogenen Daten an einen neuen Anbieter zu übertragen und anschließend die personenbezogenen Daten und alle vorhandenen Kopien zu löschen. Sofern im Vertrag nichts anderes vorgesehen ist, muss Option 3 Gegenstand eines Kostenvoranschlags des Auftragsverarbeiters sein. Falls der Kunde den Auftragsverarbeiter nicht innerhalb der vorgesehenen Frist über seine Wahl informiert, behält sich der Auftragsverarbeiter das Recht vor, die Daten und alle Kopien direkt zu löschen (Option 2). Der Auftragsverarbeiter bestätigt dem Kunden schriftlich, dass die personenbezogenen Daten und alle Kopien davon wirksam gelöscht wurden.

11. Audits

Der Kunde hat das Recht, einmal jährlich ein Audit in Form eines schriftlichen Fragebogens durchzuführen, um die Einhaltung dieses Vertrags zu überprüfen. Der Fragebogen hat die Kraft einer eidesstattlichen Erklärung, die den Auftragsverarbeiter bindet. Der Fragebogen kann in jeder Form an den Auftragsverarbeiter übermittelt werden, der sich verpflichtet, innerhalb von höchstens zwei Monaten nach Erhalt darauf zu antworten. Der Kunde hat außerdem das Recht, einmal jährlich ein Vor-Ort-Audit auf eigene Kosten durchzuführen, allerdings nur im Falle einer Datenschutzverletzung oder Nichteinhaltung der geltenden Datenschutzvorschriften und dieses Vertrags, einschließlich wie durch den schriftlichen Fragebogen festgestellt. Ein Vor-Ort-Audit kann entweder durch den Kunden oder durch einen vom Kunden beauftragten unabhängigen Dritten durchgeführt werden und muss dem Auftragsverarbeiter mindestens dreißig (30) Tage vor dem Audit schriftlich angekündigt werden. Der Auftragsverarbeiter hat das Recht, die Wahl des unabhängigen Dritten abzulehnen, wenn dieser i) ein Wettbewerber ist oder ii) sich mit ihm in einem vorgerichtlichen oder gerichtlichen Verfahren befindet. In diesem Fall verpflichtet sich der Kunde, einen neuen unabhängigen Dritten für die Durchführung des Audits auszuwählen. Der Auftragsverarbeiter kann den Zugang zu bestimmten Bereichen aus Vertraulichkeits- oder Sicherheitsgründen verweigern. In diesem Fall führt der Auftragsverarbeiter das Audit in diesen Bereichen auf eigene Kosten durch und übermittelt die Ergebnisse dem Kunden. Im Falle von Abweichungen während des Audits verpflichtet sich der Auftragsverarbeiter, unverzüglich die erforderlichen Maßnahmen zur Einhaltung dieses Vertrags umzusetzen.

12. Übermittlung personenbezogener Daten außerhalb der Europäischen Union

Der Auftragsverarbeiter bestätigt und verpflichtet sich, alles Erforderliche zu tun, um die personenbezogenen Daten des Kunden nicht außerhalb der Europäischen Union zu übermitteln oder einen Unterauftragsverarbeiter außerhalb der Europäischen Union zu beauftragen. Sollten solche Übermittlungen jedoch im Rahmen des Vertrags erforderlich sein, bestätigt und erklärt der Auftragsverarbeiter, dass er alle erforderlichen Mechanismen zur Regelung dieser Übermittlungen umsetzen wird, insbesondere den Abschluss verbindlicher interner Datenschutzvorschriften ("BCR") oder von der Europäischen Kommission angenommener Standarddatenschutzklauseln.

13. Zusammenarbeit mit den Aufsichtsbehörden

In Bezug auf die im Rahmen des Vertrags durchgeführte Verarbeitung verpflichtet sich der Auftragsverarbeiter, auf Anfrage alle erforderlichen Informationen bereitzustellen, damit der Kunde mit der zuständigen Aufsichtsbehörde zusammenarbeiten kann.

14. Kontakt

Sowohl der Kunde als auch der Auftragsverarbeiter ernennen einen Ansprechpartner, der für diesen Vertrag verantwortlich ist und Empfänger der verschiedenen Benachrichtigungen und Mitteilungen im Rahmen des Vertrags ist. Wurde ein Datenschutzbeauftragter ("DSB") vom Kunden und/oder Auftragsverarbeiter ernannt, ist der Ansprechpartner zwingend der Datenschutzbeauftragte.

15. Nichtigkeit

Im Falle der Nichtigkeit des Vertrags, unabhängig von der Ursache, muss der Kunde dem Auftragsverarbeiter innerhalb einer Frist von einem Monat ab Feststellung der Nichtigkeit seine Entscheidung über das Schicksal seiner Daten gemäß Artikel 10 dieses Vertrags schriftlich mitteilen.

16. Änderung

Der Kunde behält sich das Recht vor, diesen Vertrag im Falle von Änderungen der geltenden Datenschutzvorschriften zu ändern, die die Wirkung hätten, eine seiner Bestimmungen zu ändern.

17. Anwendbares Recht

Ungeachtet anders lautender Bestimmungen im Vertrag unterliegt dieser Vertrag französischem Recht. Jede Streitigkeit im Zusammenhang mit der Durchführung dieses Vertrags unterliegt der ausschließlichen Zuständigkeit der Gerichte des Gerichtsbezirks des Berufungsgerichts am Wohnsitz des Kunden.

Anhang 1 – Sicherheitsmaßnahmen

Hublead nimmt Sicherheit sehr ernst. Unser Team hat Sicherheits-Best-Practices auf jeder Ebene implementiert.

Sicherheitspraktiken in unserem Team

Hublead verkauft keine Kundendaten und unsere Richtlinie sieht den Respekt der Datenschutzrechte unserer Nutzer vor. Unser Geschäftsmodell basiert auf kostenpflichtigen Hublead-Abonnements.

  • Zwei-Faktor-Authentifizierung wird bei Drittanbieter-Diensten verwendet, die Hublead nutzt
  • Jeder Computer, auf dem Hublead-Entwicklungstools laufen, ist gesichert und auf dem neuesten Stand
  • Mitarbeiter, die über unser internes System auf Kundendaten zugreifen können, haben unterschiedliche Sicherheitsstufen. Wir stellen sicher, dass sie nur Zugang zu relevanten Daten haben (z. B. keine Chat-Nachrichten, keine Endkundendaten).
  • Hublead-Mitarbeitercomputer speichern keine Kundendaten
  • Wir haben keine Server oder Sicherheitsschlüssel in unseren Büros. So stellen wir sicher, dass Hublead- und Nutzerdaten bei einem Einbruch in unsere Büros nicht gefährdet sind.

Infrastruktur- und Datensicherheit

Hier sind einige unserer Praktiken in Bezug auf Infrastruktur- und Datenmanagement:

  • Alle Server und Dienste laufen mit den neuesten Sicherheitsupdates und werden sofort gepatcht, wenn eine Kernel-Schwachstelle veröffentlicht wird
  • Server befinden sich in Frankreich
  • Unsere Datenbanken werden täglich gesichert
  • Unser Netzwerk ist durch Firewalls geschützt
  • Unser System verfügt über ein automatisiertes Überwachungssystem, das es uns ermöglicht, Probleme zu erkennen, bevor sie unsere Kunden betreffen
  • Server-Authentifizierung mittels geschützter SSH-Schlüssel (direkte Passwort-Authentifizierung ist nicht möglich)
  • Missbrauchende IP-Adressen werden automatisch gesperrt oder ratenbegrenzt (verhindert Brute-Force-Angriffe auf Konten)
  • Gesamter Datenverkehr ist verschlüsselt (TLS)
  • Unsere Datenbanken sind im Ruhezustand verschlüsselt
  • CRM-Token unserer Nutzer haben eine zusätzliche Verschlüsselungsschicht

Anhang 2 – Anbieter

  1. GitHub: Code-Versionierung und -Freigabe
  2. Google Workspace: E-Mail- und Drive-Dienste
  3. HubSpot: CRM
  4. Stripe: Zahlungsdienstleister

Anhang 3 – Allgemeine Informationen

Kategorien verarbeiteter personenbezogener Daten

Standard (Name, LinkedIn-URL, öffentliche E-Mail und Telefon, Berufsbezeichnung, Unternehmensinformationen, Fähigkeiten, Land, Ausbildung, Berufserfahrung)

Speicherdauer

Weniger als eine Stunde, in den meisten Fällen gar nicht gespeichert

Rechtsgrundlage

Erfüllung des mit dem Kunden geschlossenen Vertrags

Zwecke

Übertragung personenbezogener Daten von LinkedIn in ein CRM