Auftragsverarbeitungsvertrag
Aktualisiert am 30. März 2023
1. ZWECK
Dieser Auftragsverarbeitungsvertrag (nachfolgend der "AVV") ist Bestandteil des Vertrages. Dieser AVV regelt die Bedingungen, unter denen Yousign sich verpflichtet, die Verarbeitung der im Zusammenhang mit der Erbringung der Dienste übermittelten personenbezogenen Daten vorzunehmen gemäß Artikel 28 der Verordnung (EU) 2016/679 (im Folgenden "DSGVO").
Dieser AVV tritt mit dem Tag der Vertragsunterzeichnung in Kraft und bleibt während der gesamten Dauer der Vertragsbeziehung zwischen Yousign und dem Abonnenten/Nutzer in Kraft.
2. DEFINITIONEN
Alle kursiv gedruckten Begriffe, die in diesem AVV nicht definiert sind, haben die ihnen hier zugewiesene Bedeutung.
3. BESCHREIBUNG DER DATENVERARBEITUNG
Der Abonnent/Nutzer ermächtigt Yousign ausschließlich zum Zweck der Vertragserfüllung, in seinem Namen die Verarbeitung personenbezogener Daten (im Folgenden "autorisierte Verarbeitung") durchzuführen, die für die Erbringung der Dienstleistungen erforderlich ist.
Die Art der Vorgänge, die in Zusammenhang mit den personenbezogenen Daten durchgeführt werden, sind die Erhebung, die Extraktion, die Erfassung, die Verwaltung, die Speicherung, die Anpassung, die Änderung, die Archivierung, die Einsichtnahme, die Übermittlung, der Abgleich, die Anonymisierung und die Löschung von personenbezogenen Daten.
Zweck der Datenverarbeitung ist die Erbringung der im Vertrag beschriebenen Dienste.
Bei den verarbeiteten personenbezogenen Daten handelt es sich um alle Daten, die für die Erbringung der im Vertrag beschriebenen Dienste erforderlich sind. Grundsätzlich gelten als relevant die in den Dokumenten enthaltenen Daten, die unten aufgeführten Identifikationsdaten der betroffenen Personen und die Verbindungsdaten, die die Aktivitäten der Nutzer und Drittunterzeichner auf der Plattform aufzeichnen.
Zu den betroffenen Personen gehören alle Personen, deren personenbezogene Daten verarbeitet werden müssen, um die Erbringung der im Vertrag beschriebenen Dienste zu gewährleisten, d. h. der Abonnent, die Nutzer, die Drittunterzeichner und die Besucher der Plattform.
4. ROLLEN DER PARTEIEN
Die Parteien erkennen ausdrücklich an, dass der Abonnent/Nutzer der Verantwortliche der Datenverarbeitung ist und Yousign ein Auftragsverarbeiter für alle autorisierten Verarbeitungen im Zusammenhang mit der Erfüllung des Vertrages.
Yousign ist vom Nutzer/Abonnenten ermächtigt, die für die Erbringung der Dienste erforderlichen personenbezogenen Daten im Namen des für die Datenverarbeitung Verantwortlichen zu verarbeiten.
5. AUSWAHL DER DIENSTE
Der Abonnent/Nutzer trägt die alleinige Verantwortung für die Wahl der Dienste und muss sich vergewissern, dass die Dienste, die er im Rahmen seiner beruflichen Tätigkeit abonniert, die vom für die Datenverarbeitung Verantwortlichen geforderten Merkmale und Bedingungen aufweisen.
Yousign stellt dem Abonnenten/Nutzer unter den im Abschnitt "Audits" genannten Bedingungen Informationen über die im Zusammenhang mit den Diensten ergriffenen Sicherheitsmaßnahmen zur Verfügung, damit der Abonnente/Nutzer die Übereinstimmung dieser Maßnahmen mit der vom für die Datenverarbeitung Verantwortlichen zugewiesenen autorisierten Verarbeitung beurteilen kann.
6. EINHALTUNG DER GELTENDEN VORSCHRIFTEN
Jede Partei erfüllt den Vertrag in Übereinstimmung mit den geltenden Gesetzen und Vorschriften zum Schutz personenbezogener Daten und hält die ihr obliegenden Verpflichtungen, insbesondere die Bestimmungen der DSGVO, in Bezug auf die Vertragserfüllung jederzeit ein.
7. PFLICHTEN DES ABONNENTEN/
NUTZERS ALS VERANTWORTLICHER FÜR DIE DATENVERARBEITUNG
Der Abonnent/Nutzer muss in seiner Eigenschaft als Verantwortlicher für die Datenverarbeitung die ihm nach der DSGVO obliegenden Pflichten erfüllen. Er trägt insbesondere die alleinige Verantwortung für
(i) die Rechtmäßigkeit der autorisierten Verarbeitung, speziell im Hinblick auf die Grundsätze und Verpflichtungen, die in den geltenden Gesetzen und Vorschriften zum Schutz personenbezogener Daten festgelegt sind, vor allem in Bezug auf die Rechtsgrundlage der autorisierten Verarbeitung und die Bereitstellung von Informationen für die betroffenen Personen,
(ii) die Nutzung der Plattform, der Dienste und der von ihnen ausgefüllten, eingestellten, gespeicherten, archivierten, eingesehenen und auf die Plattform hochgeladenen Dokumente,
(iii) das Protokollieren der durchgeführten Verarbeitungen und
(iv) gegebenenfalls für die Erfüllung der Formalitäten vor der Datenverarbeitung.
Darüber hinaus muss der Abonnent/Nutzer Yousign die Daten zur Verfügung stellen, die in den Merkmalen der autorisierten Verarbeitung angegeben sind, und die autorisierte Verarbeitung überwachen, auch durch die Durchführung von Audits unter den im Abschnitt "Audits" beschriebenen Bedingungen.
Der Abonnent/Nutzer muss einen Hauptansprechpartner benennen, der den für die Datenverarbeitung Verantwortlichen vertritt, und dessen Kontaktdaten Yousign über das Unternehmenskonto mitteilen.
Der Abonnent/Nutzer ist für seine Nutzung der Dienste verantwortlich, insbesondere für den Schutz und die Sicherheit der personenbezogenen Daten bei der Übertragung von und zur Plattform.
8. PFLICHTEN VON YOUSIGN ALS AUFTRAGSVERARBEITER
8.1 Einhaltung der Anweisungen
Yousign verarbeitet die personenbezogenen Daten ausschließlich zu den in diesem AVV beschriebenen Zwecken oder wie anderweitig vereinbart in Übereinstimmung mit den rechtmäßigen Anweisungen des Abonnenten/Nutzers.
Sollte Yousign der Ansicht sein, dass eine Anweisung einen Verstoß gegen die DSGVO oder eine andere Bestimmung der geltenden Gesetze und Vorschriften zum Schutz personenbezogener Daten darstellt, wird Yousign den Abonnenten/Nutzer unverzüglich informieren.
Es wird festgelegt, dass die Verpflichtung von Yousign auf die Erbringung der Dienste und das Hosting der Plattform beschränkt ist. Sobald der Verantwortliche für die Datenverarbeitung personenbezogene Daten in die Plattform eingibt, muss er die einschlägigen gesetzlichen Bestimmungen zum Schutz personenbezogener Daten einhalten, einschließlich der Bereitstellung von Informationen für die betroffenen Personen und der Einwilligung, sofern erforderlich.
8.2 Vertraulichkeit
Yousign behält den Zugang zu den autorisierten personenbezogenen Daten ausschließlich denjenigen Mitarbeitern und Auftragsverarbeitern vor, die diesen Zugang benötigen, um ihre Aufgaben im Zusammenhang mit der Vertragserfüllung wahrzunehmen. Yousign gewährleistet, dass all diese Empfänger in Bezug auf die anvertrauten personenbezogenen Daten zur Vertraulichkeit verpflichtet sind.
8.3 Sicherheit der autorisierten Verarbeitung
Yousign implementiert und unterhält angemessene technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten vor jeglicher Verletzung, wie auf der Sicherheits-Seite beschrieben. Yousign kann diese Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, sofern diese Änderungen oder Aktualisierungen nicht zu einem niedrigeren Sicherheitsniveau führen.
8.4 Unterauftragsverarbeiter
Yousign verfügt über eine allgemeine Genehmigung des Nutzers/Abonnenten, die es ihm erlaubt, die hier aufgeführten Unterauftragsverarbeiter zu nutzen. Yousign informiert jeden Nutzer/Abonnenten dreißig (30) Tage im Voraus schriftlich über jede geplante Änderung bezüglich der Aufnahme oder Auswechslung von Unterauftragsverarbeitern.
Sollte der Nutzer/Abonnent berechtigte und angemessene Gründe haben, der Ernennung eines neuen Unterauftragsverarbeiters zu widersprechen, muss der Nutzer/Abonnent seine Beschwerde unverzüglich gegenüber Yousign begründen, indem er innerhalb von dreißig (30) Arbeitstagen nach der Benachrichtigung durch Yousign eine schriftliche Mitteilung an den Support-Service sendet, andernfalls wird davon ausgegangen, dass der Nutzer/Abonnent die Änderungen genehmigt und akzeptiert hat.
Sollte es nach Verhandlungen zu keiner Einigung zwischen Yousign und dem Nutzer/Abonnenten kommen, kann letzterer den von der Aktualisierung betroffenen Teil des Vertrags innerhalb von dreißig (30) Tagen nach der Benachrichtigung kündigen.
In jedem Fall geht Yousign bei der Beurteilung, Beauftragung und Überwachung der von Unterauftragsverarbeitern durchgeführten Datenverarbeitung mit angemessener Sorgfalt vor. Dementsprechend müssen die angeworbenen Unterauftragsverarbeiter ausreichende Garantien hinsichtlich der geltenden Verpflichtungen in Bezug auf die Sicherheit der autorisierten Verarbeitung und die Vertraulichkeit der autorisierten personenbezogenen Daten bieten und sind gegenüber Yousign durch identische oder gleichwertige Verpflichtungen wie die in diesem AVV dargelegten gebunden.
Sollte der Unterauftragsverarbeiter seinen Datenschutzverpflichtungen nicht nachkommen, behält Yousign die volle Verantwortung für die Erfüllung seiner Pflichten gegenüber dem Nutzer/Abonnenten.
8.5 Datenübertragung
Falls personenbezogene Daten im Rahmen des Vertrages in ein Land außerhalb der Europäischen Union übermittelt werden, für das kein Angemessenheitsbeschluss vorliegt, wird eine Datenübertragungsvereinbarung gemäß den Standardvertragsklauseln oder, nach Ermessen von Yousign, eine andere geeignete Garantie gemäß Kapitel V der DSGVO umgesetzt.
Sollte Yousign darüber hinaus aufgrund des EU-Rechts oder des Rechts eines Mitgliedstaates, dem Yousign unterliegt, verpflichtet sein, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss es den Abonnenten/Nutzer vor der Verarbeitung über diese rechtliche Verpflichtung informieren, es sei denn, das betreffende Gesetz verbietet diese Information aus wichtigen Gründen des öffentlichen Interesses.
8.6 Rechte der betroffenen Person
Es ist Aufgabe des für die Datenverarbeitung Verantwortlichen, auf Anfragen von betroffenen Personen bezüglich der Ausübung ihrer Rechte in Bezug auf personenbezogene Daten zu reagieren. Soweit möglich, kann Yousign in seiner Eigenschaft als Auftragsverarbeiter den für die Datenverarbeitung Verantwortlichen auf dessen Ersuchen hin bei der Erfüllung seiner Verpflichtung zur Beantwortung von Anträgen der betroffenen Personen auf Ausübung ihrer Rechte unterstützen, insbesondere des Rechts auf Auskunft, Berichtigung, Löschung und Widerspruch, des Rechts auf Einschränkung der Verarbeitung und auf Datenübertragbarkeit sowie des Rechts, keiner automatisierten Entscheidungsfindung (einschließlich Profiling) unterworfen zu werden.
Wendet sich eine betroffene Person direkt an Yousign, um eines ihrer Rechte auszuüben, so wird Yousign die betroffene Person so schnell wie möglich an den für die Datenverarbeitung Verantwortlichen verweisen, damit dieser auf ihre Anfrage antworten kann. Yousign kann den für die Datenverarbeitung Verantwortlichen bei der Beantwortung von Anfragen in angemessenem Umfang unterstützen, doch bleibt der für die Datenverarbeitung Verantwortliche für die Rückmeldungen verantwortlich.
8.7 Benachrichtigung über die Verletzung des Schutzes personenbezogener Daten
Yousign benachrichtigt den Abonnenten/Nutzer über jede Verletzung des Schutzes personenbezogener Daten. Dieser Benachrichtigung sind alle relevanten Informationen beizufügen, die es dem Abonnenten/Nutzer ermöglichen, gegebenenfalls die zuständige Aufsichtsbehörde über den Verstoß zu informieren.
8.8 Verzeichnis der Verarbeitungstätigkeiten
Yousign erklärt, dass es über ein schriftliches Verzeichnis aller Kategorien von Verarbeitungen verfügt, die im Auftrag des für die Datenverarbeitung Verantwortlichen in Übereinstimmung mit den Bestimmungen der DSGVO durchgeführt werden.
8.9 Informationen und Unterstützung für den für die Datenverarbeitung Verantwortlichen
Auf schriftlichen Antrag des Abonnenten/Nutzers leistet Yousign diesem angemessene Unterstützung bei der gemäß DSGVO vorgesehenen Durchführung von Datenschutz-Folgenabschätzungen und der vorhergehenden Konsultation der zuständigen Aufsichtsbehörde. Yousign stellt dem für die Datenverarbeitung Verantwortlichen alle erforderlichen Informationen über die autorisierte Verarbeitung zur Verfügung, um ihn bei der Erfüllung seiner gesetzlichen Pflichten zu unterstützen.
9. AUDITS
Der für die Datenverarbeitung Verantwortliche kann zur Überprüfung der Einhaltung dieses AVV auf eigene Kosten organisatorische oder technische Audits durchführen oder von Dritten durchführen lassen, sofern die Bestimmungen dieses Abschnitts eingehalten werden. Möglich ist bis zu ein (1) Audit pro Jahr für höchstens drei (3) Arbeitstage, wobei die von Yousign-Personal aufgewendete Zeit dem für die Datenverarbeitung Verantwortlichen in Rechnung gestellt wird.
Die Prüfung muss im Einklang mit den Sicherheitsvorschriften und -anforderungen von Yousign durchgeführt werden. Ohne die vorherige schriftliche Einwilligung von Yousign wird kein Audit, gleich aus welchem Grund, zugelassen. Yousign kann die Auswahl eines bestimmten Prüfers wegen mangelnder Unabhängigkeit oder wegen eines Interessenkonflikts mit dem betreffenden Prüfer ablehnen. In diesem Fall teilt der für die Datenverarbeitung Verantwortliche Yousign den Namen eines anderen Prüfers mit.
Jedes Audit muss Gegenstand einer Prüfungsvereinbarung sein, die vom für die Datenverarbeitung Verantwortlichen schriftlich vorgelegt und von Yousign mindestens dreißig (30) Tage vor Beginn des Audits förmlich genehmigt wird. In der Prüfungsvereinbarung müssen der genaue Umfang, die Grenzen, die Ausschlüsse, die Ziele, die Art der Tests und die von den Prüfern angewandte Methodik, die Daten und Uhrzeiten, das Eskalationsverfahren im Falle eines Vorfalls während der Prüfung und die Kontaktdaten aller interessierten Parteien im Detail festgelegt werden.
Die während des Audits erhaltenen Informationen sind vertrauliche Informationen und müssen von dem für die Datenverarbeitung Verantwortlichen als solche behandelt werden. Wird das Audit von einem externen Prüfer durchgeführt, so hat der für die Datenverarbeitung Verantwortliche dafür zu sorgen, dass dieser ausreichende Vertraulichkeitsgarantien in Bezug auf die Art der Informationen bietet, auf die er im Laufe des Audits zugreifen kann.
Der für die Datenverarbeitung Verantwortliche übermittelt Yousign planmäßig und unentgeltlich den vollständigen Prüfbericht, damit Yousign seine Anmerkungen machen kann. Falls der Prüfbericht eine Nichterfüllung der in diesem AVV festgelegten Verpflichtungen aufzeigt, legt Yousign auf der Grundlage seiner internen Richtlinien den Zeitrahmen ab dem Erhalt der endgültigen Fassung des Berichts fest, um die festgestellten Mängel und/oder Verstöße zu beheben.
10. SPEICHERUNG, LÖSCHUNG UND WIEDERHERSTELLUNG VON PERSONENBEZOGENEN DATEN
Yousign hält die Speicherfrist für personenbezogene Daten ein, die für die Zwecke gilt, für die die personenbezogenen Daten erhoben oder bereitgestellt wurden, und löscht/anonymisiert sie, sobald diese Zwecke nicht mehr bestehen, vorbehaltlich gesetzlicher Verpflichtungen.
Yousign stellt dem Nutzer/Abonnenten während der gesamten Vertragslaufzeit eine Kopie der im Rahmen der Vertragserfüllung zur Verfügung gestellten personenbezogenen Daten zur Verfügung.
Der Abonnent/Nutzer kann die im Zusammenhang mit der Erbringung der Dienste bereitgestellten personenbezogenen Daten nach Beendigung der Dienste unter den im Vertrag festgelegten Bedingungen zurückfordern. Diese Daten werden dem Nutzer/Abonnenten in einem garantiert interoperablen Format zur Verfügung gestellt.
Yousign löscht außerdem die personenbezogenen Daten nach Beendigung der Dienste und unter den im Vertrag festgelegten Bedingungen, vorbehaltlich der gesetzlichen Speicherpflichten, denen Yousign gegebenenfalls unterliegt.
11. HAFTUNG
Yousign kann nur für Schäden haftbar gemacht werden, die durch eine autorisierte Verarbeitung verursacht wurden, bei der
(i) Yousign die in der DSGVO festgelegten Pflichten, die speziell dem Auftragsverarbeiter obliegen, nicht erfüllt hat oder bei der
(ii) Yousign außerhalb der rechtmäßigen Anweisungen des für die Datenverarbeitung Verantwortlichen oder unter Verletzung derselben gehandelt hat.
12. GESAMTE VEREINBARUNG
Dieser AVV stellt die umfassende Vereinbarung zwischen den Vertragsparteien in Bezug auf den Vereinbarungsgegenstand dar und ersetzt alle früheren oder aktuellen Vereinbarungen zwischen den Parteien zum gleichen Gegenstand, einschließlich aller früheren Versionen der Vereinbarung zum Schutz personenbezogener Daten, die vom Nutzer/Abonnenten und Yousign unterzeichnet wurden.
13. KONTAKT
Bei Fragen zur autorisierten Verarbeitung im Rahmen dieses AVV kann sich der Nutzer/Abonnent über das zu diesem Zweck auf der Yousign-Website bereitgestellte Kontaktformular oder über den Support-Service an Yousign wenden.
Die Yousign SAS mit Sitz in Frankreich ist die Hauptniederlassung von Yousign im Sinne von Artikel 4 DSGVO. Die federführende Aufsichtsbehörde für Yousign für die grenzüberschreitende Verarbeitung im Sinne von Artikel 56 DSGVO ist die CNIL.
14. ANWENDBARES RECHT
Der AVV unterliegt dem nationalen Recht, das für den für die Datenverarbeitung Verantwortlichen gilt, und ist nach diesem auszulegen.