Vertragszusatz zur Datenverarbeitung

  1. Begriffsbestimmungen
    In diesem Vertragszusatz zur Datenverarbeitung steht „DSGVO“ für die Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) und die Begriffe „Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“ und „Verarbeitung“ haben dieselben Bedeutungen, die in der DSGVO festgelegt sind. „verarbeitet“ und „verarbeiten“ sind gemäß der Begriffsbestimmung von „Verarbeitung“ auszulegen. Alle anderen hierin definierten Begriffe haben dieselben Bedeutungen, die an anderer Stelle in dieser Vereinbarung festgelegt sind.
  2. Datenverarbeitung
    1. Bei der Durchführung seiner Tätigkeiten als Auftragsverarbeiter gemäß dieser Vereinbarung bestätigt Facebook in Bezug auf jedwede in deinen Daten enthaltenen personenbezogen Daten („Deine personenbezogenen Daten“), dass:
      1. die Dauer, der Gegenstand, die Art und der Zweck der Verarbeitung den Angaben in der Vereinbarung entsprechen;
      2. in den Arten der verarbeiteten personenbezogenen Daten auch diejenigen enthalten sind, die in der Begriffsbestimmung deiner Daten aufgeführt sind;
      3. die Kategorien betroffener Personen auch deine Vertreter, Nutzer/innen und sonstige Personen umfassen, die durch deine personenbezogenen Daten identifiziert werden oder identifizierbar sind; und
      4. deine Pflichten und Rechte als Datenverantwortlicher hinsichtlich deiner personenbezogenen Daten denen in dieser Vereinbarung dargelegten Pflichten und Rechten entsprechen.
    2. Sofern Facebook deine personenbezogenen Daten gemäß oder im Zusammenhang mit der Vereinbarung verarbeitet, hat Facebook
      1. deine personenbezogenen Daten nur gemäß deiner im Rahmen dieser Vereinbarung dokumentierten Weisung, auch in Bezug auf die Übermittlung deiner personenbezogenen Daten, und vorbehaltlich jedweder von Artikel 28(3)(a) der DSGVO gestatteter Ausnahmen zu verarbeiten;
      2. zu gewährleisten, dass sich seine gemäß dieser Vereinbarung zur Verarbeitung deiner personenbezogenen Daten befugten Mitarbeiter zur Vertraulichkeit verpflichtet haben oder in Bezug auf deine personenbezogenen Daten einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
      3. die in der Ergänzung zur Datensicherheit dargelegten technischen und organisatorischen Maßnahmen zu treffen;
      4. die unten in den Abschnitten 2.c und 2.d dieses Vertragszusatzes zur Datenverarbeitung genannten Bedingungen bei der Ernennung von Unterauftragsverarbeitern einzuhalten;
      5. dich nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen zu unterstützen, sofern dies über Workplace möglich ist, damit du deinen Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person gemäß Kapitel III der DSGVO nachkommen kannst;
      6. dich unter Berücksichtigung der Art der Verarbeitung und der Facebook zur Verfügung stehenden Informationen bei der Einhaltung deiner Pflichten gemäß Artikel 32 bis 36 der DSGVO zu unterstützen;
      7. die personenbezogenen Daten gemäß dieser Vereinbarung bei deren Beendigung zu löschen, sofern das Recht der Europäischen Union oder des Mitgliedsstaats keine längere Speicherung der personenbezogenen Daten verlangt;
      8. dir die in dieser Vereinbarung beschriebenen Informationen über Workplace zur Verfügung zu stellen, um Facebooks Pflicht zu erfüllen, sämtliche Informationen verfügbar zu machen, die zum Nachweis der Erfüllung der Pflichten von Facebook gemäß Artikel 28 DSGVO erforderlich sind; und
      9. dafür zu sorgen, dass ein von Facebook ausgewählter externer Prüfer jährlich eine SOC 2 Typ II-Prüfung oder eine andere Prüfung nach Branchenstandard in Bezug auf Workplace durchführt. Ein solcher externer Prüfer wird hiermit von dir beauftragt. Auf deine Aufforderung hin stellt Facebook dir eine Ausfertigung seines jeweils aktuellen Prüfberichts zur Verfügung, der dann zu den vertraulichen Informationen von Facebook gehört.
    3. Du autorisierst Facebook, seine sich aus dieser Vereinbarung ergebenden Datenverarbeitungspflichten an seine verbundenen Unternehmen und andere Dritte weiterzuvergeben, von denen Facebook dir auf dein schriftliches Ersuchen hin eine Liste bereitstellen wird. Facebook darf dies jedoch nur mittels schriftlicher Vereinbarung mit einem solchen Unterauftragsverarbeiter tun, durch die dem Unterauftragsverarbeiter dieselben Datenschutzpflichten auferlegt werden, wie sie Facebook gemäß dieser Vereinbarung auferlegt werden. Wenn ein Unterauftragsverarbeiter solchen Pflichten nicht nachkommt, bleibt Facebook dir gegenüber unbeschränkt haftbar für die Erfüllung der Datenschutzpflichten dieses Unterauftragsverarbeiters.
    4. Wenn Facebook nach (i) dem 25. Mai 2018 oder (ii) dem Datum des Inkrafttretens (je nachdem, welcher Zeitpunkt der spätere ist) (einen) zusätzliche(n) oder Ersatz-Unterauftragsverarbeiter beauftragt, hat Facebook dich spätestens vierzehn (14) Tage vor der Einsetzung eines solchen / solcher zusätzlichen oder Ersatz-Unterauftragsverarbeiter(s) darüber zu informieren. Du kannst der Beauftragung eines solchen / solcher zusätzlichen oder Ersatz-Unterauftragsverarbeiter(s) innerhalb von vierzehn (14) Tagen nach Erhalt einer entsprechenden Benachrichtigung von Facebook widersprechen, indem du die Vereinbarung mit sofortiger Wirkung durch schriftliche Mitteilung an Facebook kündigst.
    5. Facebook hat dich unverzüglich zu informieren, wenn es Kenntnis von einer Verletzung des Schutzes personenbezogener Daten hinsichtlich deiner personenbezogenen Daten erlangt. Eine solche Mitteilung hat entweder zum Zeitpunkt der Benachrichtigung oder möglichst bald danach relevante Details der Verletzung des Schutzes personenbezogener Daten zu enthalten. Wenn möglich, einschließlich der Zahl der betroffenen Datensätze, der Kategorie und der ungefähren Zahl der betroffenen Nutzer/innen, der voraussichtlichen Folgen der Verletzung und ggf. jedweder tatsächlichen oder vorgeschlagenen Maßnahmen zur Abmilderung der möglichen nachteiligen Auswirkungen der Verletzung.