Auftragsverarbeitungsvertrag
(A) Die Parteien haben einen Dienstleistungsvertrag („Hauptvertrag“) geschlossen, wonach die Jimdo GmbH, Stresemannstr. 375, 22761 Hamburg, Deutschland („Jimdo“, der „Auftragsverarbeiter“) den vereinbarten Online-Dienst (den „Dienst“) für dich (den „Kunden”) erbringt.
(B) Gemäß Art. 28 (1) EU-Verordnung 2016/679 - Datenschutzgrundverordnung („DSGVO“)gilt: Wenn die Verarbeitung im Auftrag eines Verantwortlichen erfolgen soll, darf der Kunde nur Auftragsverarbeiter einsetzen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so umgesetzt werden, dass die Verarbeitung den Anforderungen der DSGVO entspricht und den Schutz der Rechte der betroffenen Person gewährleistet. In Übereinstimmung mit Art. 28 (3) DSGVO wird die Verarbeitung durch einen Auftragsverarbeiter im Auftrag eines Verantwortlichen durch einen Vertrag geregelt, der für Jimdo gegenüber dem Kunden verbindlich ist und in dem der Gegenstand und die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sowie die Rechte und Pflichten des Kunden festgelegt sind. Dieser Vertrag regelt insbesondere die Pflichten von Jimdo nach Art. 28 (3) DSGVO.
(C) Mit diesem Vertrag einschließlich der hierin in Bezug genommenen Dokumente ("Auftragsverarbeitungsvereinbarung"" oder "AVV") beabsichtigen die Parteien, die erforderliche vertragliche Grundlage für die Verarbeitung von personenbezogenen Daten durch Jimdo bei der Bereitstellung von Jimdos Dienstleistung zu schaffen. Personenbezogene Daten haben die Bedeutung, die ihnen durch Artikel 4(1) DSGVO zugewiesen wird. Für die Zwecke dieser AVV gelten die in der DSGVO enthaltenen Definitionen für alle kursiv geschriebenen Begriffe dieser AVV, insbesondere für die in Artikel 4 DSGVO beschriebenen. Unterverarbeiter sind _Auftragsverarbeiter von Jimdo, d. h. Dritte, die gemäß dieser AVV befugt sind, die personenbezogenen Daten wie im Hauptvertrag beschrieben zu verarbeiten, um Teile des Dienstes und den damit verbundenen technischen Support bereitzustellen.
DAHER einigen sich die Parteien nun auf Folgendes:
1. Umfang und Einzelheiten der Verarbeitung
1.1 Für die Erbringung einiger Leistungen des Hauptvertrages verarbeitet Jimdo personenbezogene Daten (Art. 4 (1) DSGVO) als Auftragsverarbeiter (Art. 4 (8) DSGVO) im Auftrag des Kunden als Verantwortlicher (Art. 4 (7) DSGVO.
1.2 Der Gegenstand, der spezifische Dienst, der von Jimdo im Auftrag des Kunden erbracht wird, die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen sind im Hauptvertrag festgelegt.
1.3 Der Umfang und die Einzelheiten des Dienstes können sich gemäß den Bestimmungen des Hauptvertrags ändern.
2. Rechte und Pflichten des Kunden
2.1 Der Kunde ist für die Einhaltung der für den Verantwortlichen gemäß der DSGVO geltenden Pflichten verantwortlich, insbesondere für die Einhaltung der Grundsätze in Bezug auf die Verarbeitung von personenbezogenen Daten gemäß Kapitel II der DSGVO und die Einhaltung der Rechte der betroffenen Personen gemäß Kapitel III der DSGVO.
2.2 Die Bestimmungen dieser AVV, insbesondere die Einzelheiten der Verarbeitung gemäß 1.2, dienen als allgemeine Anweisung, personenbezogene Daten zu verarbeiten, soweit dies für die Erbringung des Dienstes angemessenerweise erforderlich ist.
2.3 Jimdo verpflichtet sich, dem Kunden auf Verlangen alle erforderlichen Informationen über seine Pflichten aus diesem Vertrag zu erteilen und insbesondere die Durchführung der technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO nachzuweisen. Um dem Kunden die Wahrnehmung dieser Kontrollrechte und -pflichten vor und während des Vertragsverhältnisses zu ermöglichen, stellt Jimdo dem Kunden auf Anfrage einen Auszug von einer unabhängigen Instanz nach Art. 42 DSGVO, d. h. einen vom Datenschutzbeauftragten verfassten Prüfbericht über die regelmäßige Überprüfung des Datenschutzmanagementsystems von Jimdo und der von Jimdo getroffenen _technischen und organisatorischen Maßnahmen _zur Verfügung. Der Bericht wird im Einklang mit der regelmäßigen Prüfung durch den Datenschutzbeauftragten von Jimdo mindestens alle 24 Monate aktualisiert.
3. Rechte und Pflichten von Jimdo
3.1 Jimdo verarbeitet die personenbezogenen Daten nur auf dokumentierte Anweisung des Kunden. Dies gilt auch für die Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation, es sei denn, Jimdo ist gesetzlich verpflichtet, personenbezogene Daten zu verarbeiten. In solchen Fällen informiert Jimdo den Kunden vor der Verarbeitung über diese gesetzliche Vorschrift, es sei denn, Jimdo ist es gesetzlich untersagt, solche Informationen bereitzustellen, z. B. aus wichtigen Gründen des öffentlichen Interesses.
3.2 Jimdo stellt sicher, dass die Personen, die zur Verarbeitung der personenbezogenen Daten, die dieser AVV unterliegen, befugt sind, zur Verschwiegenheit verpflichtet sind und zuvor mit den für ihre Tätigkeit relevanten Datenschutzbestimmungen vertraut gemacht wurden.
3.3 Jimdo ergreift alle technischen und organisatorischen Maßnahmen, die gemäß Art. 32 DSGVO erforderlich sind. Die Einzelheiten der aktuellsten Maßnahmen sind hier aufgeführt. Diese Maßnahmen unterliegen dem technischen Fortschritt und der Feinabstimmung. Jimdo ist daher berechtigt, diese Maßnahmen während der Laufzeit dieser AVV zu ändern oder anzupassen, sofern sie weiterhin den geltenden rechtlichen Anforderungen entsprechen.
3.4 Jimdo benachrichtigt den Kunden unverzüglich, nachdem es von einer Verletzung des Schutzes personenbezogener Daten in Bezug auf personenbezogene Daten, die unter dieser AVV fallen, Kenntnis erlangt hat.
3.5 Der Kunde erteilt hiermit die Genehmigung für die Verarbeitung von personenbezogenen Daten außerhalb der Räumlichkeiten des Auftragsverarbeiters (z. B. Telearbeit, Heimarbeit, mobile Arbeit). Jimdo legt die hierfür erforderlichen technischen und organisatorischen Maßnahmen entsprechend der Verarbeitung in solchen Fällen fest.
3.6 Der Kunde erteilt hiermit eine allgemeine Genehmigung für die Beauftragung von Unterauftragsverarbeitern (wie in Abschnitt „C�“ oben definiert) für die Erbringung der Dienstleistung. Die derzeit von Jimdo beauftragten Unterauftragsverarbeiter sind hier aufgelistet. Der Kunde ist verpflichtet, diesen Link mindestens einmal pro Kalendermonat aufzurufen, um sich über Änderungen an der Liste der Unterauftragsverarbeiter zu informieren. Änderungen an der Liste der Unterauftragsverarbeiter unterliegen den folgenden Bedingungen:
-
a) Der Kunde kann einer Aktualisierung innerhalb der in der Liste der Unterauftragsverarbeiter vorgesehenen Frist widersprechen (z. B. per E-Mail oder Kontaktformular), allerdings nur dann, wenn die Aktualisierung unter Berücksichtigung aller Umstände und unter Abwägung der beiderseitigen Interessen für den Kunden im Hinblick auf den Schutz der personenbezogenen Daten, die dieser DSGVO unterliegen, unzumutbar ist. In diesem Fall wird Jimdo nach eigenem Ermessen die Maßnahmen ergreifen, die Jimdo zur Beseitigung des Beanstandungsgrundes für geeignet hält, und den Kunden über die getroffenen Maßnahmen informieren. Wurde der Widerspruch des Kunden nicht innerhalb von 30 Tagen nach Eingang der Widerspruchsmitteilung bei Jimdo zur beiderseitigen Zufriedenheit gelöst, darf jede Partei den Hauptvertrag mit sofortiger Wirkung kündigen. In diesem Fall gilt Abschnitt 3.9 dieser AVV.
-
b) Beauftragt Jimdo einen Unterauftragsverarbeiter, so gelten für diesen dieselben Datenschutzverpflichtungen wie in dieser AVV festgelegt.
-
c) Erfüllt der Unterauftragsverarbeiter seine Datenschutzpflichten nicht, bleibt Jimdo dem Kunden gegenüber in vollem Umfang für die Erfüllung der Pflichten des Unterauftragsverarbeiters haftbar.
3.7 Jimdo unterstützt den Kunden unter Berücksichtigung der Art der Verarbeitung durch geeignete technische und organisatorische Maßnahmen, soweit dies möglich ist, bei der Erfüllung der Verpflichtung des Kunden, auf Anfragen zur Ausübung der in Kapitel III DSGVO festgelegten Rechte der Betroffenen in Bezug auf personenbezogene Daten, die dieser DSGVO unterliegen, zu reagieren.
3.8 Jimdo unterstützt den Kunden auf Anfrage in angemessener Weise bei der Erfüllung seiner Pflichten nach den Artikeln 32 bis 36 DSGVO unter Berücksichtigung der Art der Verarbeitung und der Jimdo vorliegenden Informationen über personenbezogene Daten, die dieser DSGVO unterliegen.
3.9 Jimdo löscht vier Wochen nach Beendigung des Vertragsverhältnisses alle personenbezogenen Daten, die dieser DSGVO unterliegen, einschließlich aller vorhandenen Kopien, es sei denn, das Unionsrecht oder das Recht eines Mitgliedstaats schreibt eine längere Speicherung der personenbezogenen Daten vor.
4. Übermittlung personenbezogener Daten in Drittländer
Jimdo und/oder seine Unterauftragsverarbeiter übermitteln und/oder verarbeiten personenbezogene Daten, die dieser DSGVO unterliegen, nur dann in Drittländer(n), wenn die in Kapitel V der DSGVO genannten Bedingungen erfüllt sind.
5. Kontakt
Bei Fragen zu dieser Auftragsverarbeitungsvereinbarung kann Jimdo per E-Mail oder auf dem Postweg kontaktiert werden: Jimdo GmbH, Rechtsabteilung, Stresemannstraße 375, 22761 Hamburg, Deutschland, privacy (at) jimdo.com
6. Schlussbestimmungen
6.1 Dieser AVV tritt mit Abschluss des Hauptvertrages in Kraft. Die Laufzeit dieser AVV entspricht der Laufzeit des Hauptvertrags.
6.2 Jimdo ist berechtigt, diesen AVV bei Bedarf zu ändern, um ihn an geltendes Recht anzupassen oder den Dienst weiterzuentwickeln, sofern diese Änderungen das Verhältnis zwischen dem Kunden und Jimdo nicht wesentlich zu Gunsten von Jimdo verändern würden. Jimdo informiert den Kunden mit einer Frist von (30) Tagen über etwaige Änderungen der Bedingungen dieser AVV, bevor diese in Kraft treten. Die Mitteilung kann per E-Mail oder über den Kundenbereich erfolgen, in dem der AVV heruntergeladen und/oder ausgedruckt werden kann. Die geänderte DSGVO wird wirksam, wenn der Kunde nicht innerhalb der in der Benachrichtigung genannten Frist in Textform (z. B. per E-Mail) widerspricht und den Dienst nach Ablauf der Frist weiter nutzt. Jimdo weist den Kunden in der Benachrichtigung gesondert auf die Folgen der Nichtannahme hin. Die Kündigungsrechte sowohl des Kunden als auch von Jimdo bleiben unberührt.
6.3 Sollte eine Bestimmung dieser AVV ganz oder teilweise unwirksam oder undurchsetzbar sein oder werden, so bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, die unwirksame oder undurchsetzbare Bestimmung gemeinsam durch eine wirksame Bestimmung zu ersetzen, die der unwirksamen oder undurchsetzbaren Bestimmung am nächsten kommt. Das Gleiche gilt für jede Lücke in dieser AVV.
6.4 Im Falle von Konflikten zwischen dieser AVV und anderen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, haben die Bestimmungen dieser AVV Vorrang.
Einzelheiten der Verarbeitung
In den folgenden Beschreibungen werden die Einzelheiten der Datenverarbeitung im Rahmen der von Jimdo bereitgestellten Dienstleistung dargelegt. Die Übersicht ergänzt die AVV.
| Gegenstand | Gegenstand der Verarbeitung ist die Erbringung der Dienstleistung, wie sie im Hauptvertrag beschrieben ist. |
| Beschreibung der Dienstleistung | Bereitstellung der Jimdo-Dienstleistung |
| Dauer der Verarbeitung | Die Dauer der Verarbeitung richtet sich nach der Dauer der Bereitstellung der Dienstleistung. |
| Zweck der Verarbeitung |
|
| Kategorien von betroffenen Personen | Kunden des Verantwortlichen, Kunden oder Besucher der Website oder des Onlineshops des Verantwortlichen, Mitarbeiter des Verantwortlichen, interessierte Parteien. |
| Arten personenbezogener Daten |
|
| Unter-/Auftragsverarbeiter | Die Liste der Unterauftragsverarbeiter kann hier eingesehen werden. |