Der Kunde hat bei der Formcentric GmbH ein Abonnement für die Nutzung des von der Formcentric GmbH über die Website https://www.formcentric.com bereitgestellten Formularmanagers „Formcentric“ und die damit verbundene Bereitstellung von Speicherplatz durch die Formcentric GmbH (nachfolgend „Dienst“) gebucht. Bei dem Dienst handelt es sich um ein professionelles Formularmanagementsystem, vermittels dessen sich digitale Geschäftsprozesse abbilden und automatisieren lassen. So ermöglicht der Dienst dem Kunden, die Formulare auf der Webseite „formcentric.com“ zu nutzen oder diese in den digitalen Auftritt des Kunden einzubinden und die in die Formulare eingegebenen Daten der Benutzer der Formulare (nachfolgend „Benutzer“) zu managen. Abgelegt werden die Daten der Benutzer auf Servern der Formcentric GmbH bzw. deren Dienstleister in der Europäischen Union. In diesem Zusammenhang werden auch personenbezogene Daten im Sinne der Datenschutzgrundverordnung ("DSGVO") verarbeitet. Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen gilt nachfolgernder Auftragsverarbeitungsvertrag.
2.1 Im Zusammenhang mit der Ausführung des Dienstes erhält die Formcentric GmbH Zugriff auf personenbezogene Daten des Kunden und der Benutzer (nachfolgend gemeinschaftlich "Kundendaten"). Die Formcentric GmbH wird diese ausschließlich im Auftrag und nach Weisung des Kunden im Sinne von Art. 4 Nr. 8 und Art. 28 DSGVO verarbeiten.
2.2 Die Verarbeitung der Kundendaten durch die Formcentric GmbH erfolgt ausschließlich in der in Ziff. 3 Abs. 1 und 2 spezifizierten Art sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen Personen ist in Ziff. 3 Abs. 3 dargestellt.
2.3 Die Verarbeitung der Kundendaten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland erfolgt nur nach vorheriger Zustimmung des Kunden, die in Textform zu erteilen ist, und darf nur stattfinden, wenn die besonderen Voraussetzungen der Art. 44 bis 49 DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
3.1 Art und Zweck der Auftragsverarbeitung ist die Erbringung von Leistungen gemäß dem von dem Kunden geschlossenen Abonnements, namentlich des Webhostings und die dafür erforderlichen Verarbeitungsvorgänge in Bezug auf die von den Redakteuren des Kunden erstellten von den Benutzern des Kunden ausgefüllten Formulare:
- Verwaltung von personenbezogenen Daten zur Registrierung und zum Login
- Speicherung von personenbezogenen Daten
- Ermöglichung des Zugriffs auf bzw. des Exports von online gehosteten Inhalten, Funktionen zum Teilen mit Nutzern
- Benutzernamen und Passwörter der Redakteure und der Benutzer des Dienstes
- Primärdaten (in den Formularen eingetragene Dateien und Dokumente)
- Personenstammdaten (z.B. Name, Anrede)
- Kommunikationsdaten (E-Mail-Adresse der Redakteure und Benutzer)
- Benutzerinhaltsdaten
- Einträge des Systemlogs (relevante Aktionen von Benutzern), u.a. Zeitpunkt des letzten erfolgreichen oder fehlgeschlagenen Logins; verkürzte IP-Adresse
- freigeschaltete Redakteure des Kunden
- Benutzer des Dienstes
4.1 Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DSGVO ist allein der Kunde verantwortlich. Die Formcentric GmbH wird alle Anfragen, die erkennbar an den Kunden gerichtet sind, unverzüglich an diesen weiterleiten.
4.2 Die Formcentric GmbH verarbeitet die Kundendaten nur im Rahmen des Abonnements und ausschließlich im Auftrag und nach Weisung des Kunden iSv Art. 28 DSGVO (Auftragsverarbeitung), dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Der Kunde hat insoweit das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch "Weisungsrecht"). Wird die Formcentric GmbH durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem sie unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt die Formcentric GmbH dies und die dem zugrundeliegenden rechtlichen Anforderungen dem Kunden vor der Verarbeitung mit.
4.3 Weisungen durch den Kunden erfolgen grundsätzlich in Textform. Mündliche Weisungen sind von der Formcentric GmbH unverzüglich schriftlich oder in Textform zu bestätigen und zu dokumentieren. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen den Parteien abzustimmen und schriftlich oder in einem elektronischen Format zu dokumentieren. Sollte es der Formcentric GmbH unzumutbar sein, eine Weisung des Kunden umzusetzen, so ist die Formcentric GmbH berechtigt, die Verarbeitung zu beenden.
4.4 Der Kunde ist verpflichtet, alle im Rahmen des Abonnements erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der Formcentric GmbH vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung des Abonnements bestehen.
5.1 Die Formcentric GmbH wird personenbezogene Daten ausschließlich im Rahmen der zu dem Abonnement getroffenen Vereinbarungen und nach Weisungen des Kunden (Ziff. 4) verarbeiten, sofern sie nicht zu einer anderen Verarbeitung durch das Recht der Europäischen Union oder deren Mitgliedstaaten, denen die Formcentric GmbH unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt die Formcentric GmbH dem Kunden diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DSGVO).
5.2 Die Formcentric GmbH verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen als die in dem Abonnement vorgesehenen Zwecke, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden, sofern nicht technisch für die Erbringung der geschuldeten Leistungen erforderlich, ohne Wissen des Kunden nicht erstellt.
5.3 Die Formcentric GmbH wird ein Verzeichnis zu allen Kategorien von im Auftrag des Kunden durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Abs. 2 DSGVO führen. Das Verzeichnis ist dem Kunden auf dessen Verlangen zur Verfügung zu stellen.
5.4. Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis Art. 22 DSGVO durch den Kunden, sowie der Einhaltung der in den Art. 32 bis Art. 36 DSGVO, insbesondere an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz- Folgeabschätzungen des Kunden wird die Formcentric GmbH im notwendigen Umfang mitwirken und dem Kunden soweit möglich angemessen unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Macht eine betroffene Person Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich ihrer Daten, unmittelbar gegenüber der Formcentric GmbH geltend, wird die Formcentric GmbH dieses Ersuchen unverzüglich an den Kunden weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird die Formcentric GmbH nicht mit der betroffenen Person in Kontakt treten.
5.5 Die Formcentric GmbH wird den Kunden unverzüglich und vor der Verarbeitung darauf aufmerksam machen, wenn eine von dem Kunden erteilte Weisung (Ziff. 4) ihrer Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Die Formcentric GmbH ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Kunden nach Überprüfung bestätigt oder geändert wird.
5.6 Die Formcentric GmbH wird personenbezogene Daten aus dem Auftragsverhältnis berichtigen, löschen oder deren Verarbeitung einschränken, wenn der Kunde dies mittels einer Weisung verlangt und berechtigte Interessen der Formcentric GmbH dem nicht entgegenstehen.
5.7 Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder die betroffene Person wird die Formcentric GmbH nur nach vorheriger Weisung oder Zustimmung durch den Kunden erteilen.
5.8 Die Formcentric GmbH wird bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Kunden die Vertraulichkeit wahren und die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut machen und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichten (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).
5.9 Sollten die Daten bei der Formcentric GmbH durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so wird die Formcentric GmbH den Kunden hierüber unverzüglich informieren, sofern ihr dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Die Formcentric GmbH wird in die zuständigen Stellen in einem solchen Fall darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich bei dem Kunden als „Verantwortlichem“ im Sinne der DSGVO liegt.
5.10 Die Formcentric GmbH wird die Einhaltung der datenschutzrechtlichen Vorschriften in ihrem Betrieb überwachen.
5.11 Datenschutzbeauftragter für den Datenschutz bei der Formcentric GmbH ist Herr/Frau
D&C Datenschutz und Consulting
Dirk Borbe
Belemannweg 15
22419 Hamburg
Telefon: +49 162 58 17 253
E-Mail: info@dundc.org
Ein Wechsel des Datenschutzbeauftragten wird dem Kunden unverzüglich mitgeteilt. Die jeweils aktuellen Kontaktdaten des Datenschutzbeauftragten sind zudem auf der Website der Formcentric GmbH unter https://formcentric.com/de/impressum/ frei zugänglich hinterlegt.
Die Formcentric GmbH wird den Kunden unverzüglich, schriftlich oder in Textform, über Störungen und Verstöße der Formcentric GmbH oder der bei ihr beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten informieren. Dasselbe gilt für Prüfungen der Formcentric GmbH durch die Datenschutz-Aufsichtsbehörde. Die Meldungen enthalten jeweils zumindest die in Art. 33 Absatz 3 DSGVO genannten Angaben. Die Formcentric GmbH wird den Kunden erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Kunden wird Formcentric GmbH jedoch nur nach vorheriger Weisung gem. vorstehender Ziff. 4 durchführen.
7.1 Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden mindestens die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität der Systeme und Dienste, sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird
7.2 Die Formcentric GmbH wird ihre innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Sie wird alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Kundendaten gem. Art. 32 DSGVO ergreifen und diese für die Dauer der Verarbeitung der Kundendaten aufrechterhalten Die aktuellen technischen und organisatorischen Maßnahmen der Formcentric GmbH sind unter dem folgenden Link einsehbar.
TOM
7.3 Die Maßnahmen der Formcentric GmbH können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, werden aber das Schutzniveau des Art. 32 DSGVO nicht unterschreiten.
8.1 Der Kunde ist damit einverstanden, dass die Formcentric GmbH sich eines oder mehrerer Subunternehmer mittels Unterauftragsverhältnissen als Auftragsverarbeiter („Subunternehmerverhältnis“) zur Verarbeitung der personenbezogenen Daten bedienen kann.
8.2 Die Formcentric GmbH wird Subunternehmer nur beauftragen, wenn sie den Kunden über die beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter vorher schriftlich oder in Textform informiert. Dabei teilt die Formcentric GmbH dem Kunden Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mit. Der Kunde erhält die Möglichkeit, gegen derartige Änderungen innerhalb von 14 Tagen ab Zugang der Information durch die Formcentric GmbH Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DSGVO). Ein solcher Einspruch gegen Einschaltung/Änderung des Subunternehmers darf nur aus einem sachlichen Grund erfolgen
8.3 Die Formcentric GmbH wird dafür Sorge tragen, dass die in diesem Autragsverarbeitungsvertrag vereinbarten Regelungen auch gegenüber den von ihr beauftragten Subunternehmern gelten, wobei dem Kunden gegenüber dem Subunternehmer sämtliche Kontrollrechte gemäß Ziff. 9 dieses Vertrages eingeräumt werden. Insbesondere ist der Kunde berechtigt, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.
8.4 Der Vertrag mit dem Subunternehmer wird schriftlich oder in Textform abgefasst (Art. 28 Abs. 4 und Abs. 9 DSGVO).
8.5 Eine Beauftragung von Subunternehmern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
8.6 Vorstehende Regelungen geltend entsprechend, wenn der Subunternehmer seinerseits ein weiteres Unterauftragsverhältnis begründen will.
8.7 Zur Zeit sind für die Formcentric GmbH die nachfolgend bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang betraut:
Für Hosting:
Schwarz IT KG
Stiftsbergstraße 1
D-74172 Neckarsulm
Tel 07132-30-474747
info@stackit.de
Mit deren Beauftragung erklärt sich der Kunde hiermit einverstanden.
9.1 Die Formcentric GmbH wird dem Kunden die erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO festgelegten Pflichten zur Verfügung stellen. Im Einzelfall ist der Kunde berechtigt, sich von der Einhaltung der Regelungen dieses Auftragsverarbeitungsvertrages durch Überprüfungen, auch durch vor-Ort Kontrollen selbst oder durch einen von ihm beauftragten sachkundigen Dritten, der in keinem Wettbewerbsverhältnis zur Formcentric GmbH steht, zu überzeugen.
9.2 Der Kunde wird Kontrollen nur im erforderlichen Umfang und in der Regel nach vorheriger Anmeldung durchführen und angemessene Rücksicht auf die Betriebsabläufe und Geschäftszeiten der Formcentric GmbH nehmen. Etwas Anderes gilt nur, sofern eine Kontrolle ohne vorherige Anmeldung erforderlich erscheint, weil andernfalls der Kontrollzweck gefährdet wäre.
9.3 Der Kunde dokumentiert das Kontrollergebnis und teilt es der Formcentric GmbH mit. Bei Fehlern oder Unregelmäßigkeiten, die der Kunde feststellt, hat er die Formcentric GmbH unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Kunde der Formcentric GmbH die notwendigen Verfahrensänderungen unverzüglich mit.
10.1 Die Dauer der Auftragsverarbeitung entspricht der Laufzeit des Abonnements und endet gleichzeitig mit diesem, ohne dass eine gesonderte Kündigung erforderlich ist.
10.2 Der Kunde kann die Auftragsverarbeitung jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß der Formcentric GmbH gegen Datenschutzvorschriften oder die Bestimmungen dieser Regelungen zur Auftragsverarbeitung vorliegt, die Formcentric GmbH eine Weisung des Kunden i.S. d. Regelungen dieses Vertrages nicht ausführen kann oder will oder der Formcentric GmbH Kontrollrechte des Kunden (Ziff. 9) vertragswidrig verweigert.
11.1 Die Formcentric GmbH wird nach Beendigung des Abonnements sämtliche personenbezogenen Daten des Kunden und der Benutzer, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen.
11.2 Die Formcentric GmbH wird dem Kunden die Löschung in einem dokumentierten elektronischen Format bestätigen.
12.1 Im Fall der Geltendmachung eines Schadensersatzanspruches durch eine betroffene Person nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
12.2 Die zwischen den Parteien in dem Abonnement vereinbarte Haftungsregelung gilt auch für Ansprüche aus dieser Vereinbarung zur Auftragsverarbeitung.
13.1 Änderungen und Ergänzungen dieser Vereinbarung zur Auftragsverarbeitung bedürfen der Schriftform oder Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
13.2 Diese Regelungen zur Auftragsdatenverarbeitung gehen im Zweifel den Regelungen des Abonnements vor. Sollten sich einzelne Bestimmungen dieser Regelungen zur Auftragsdatenverarbeitung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.
13.3 Diese Regelungen zur Auftragsdatenverarbeitung unterliegen deutschem Recht. Ausschließlicher Gerichtsstand ist Hamburg.
