Bestätigung der Verarbeitung personenbezogener Daten

Bestätigung der Verarbeitung personenbezogener Daten

Diese Bedingungen legen die Grundsätze für die Verarbeitung personenbezogener Daten der Unternehmer und ihrer Mitarbeiter fest, die mit Legal Building Verträge im Zusammenhang mit erteilten und von uns angenommenen Bestellungen geschlossen haben.

Sofern in diesen Bedingungen von Folgendem die Rede ist:

• Unternehmer – sind damit Unternehmer gemeint, die einen Vertrag mit Legal Building geschlossen haben.
• Legal Building – ist damit die Gesellschaft KFE Holding Sp. z o.o. mit Sitz in Warschau, ul. Czerniakowska 71, KRS-Nummer 0000255059, gemeint.
• Parteien – sind damit gemeinsam der Unternehmer und Legal Building gemeint.

• § 1 GEGENSTAND DES VERTRAGS

1. Der Unternehmer und Legal Building schließen einen Vertrag über die Auftragsverarbeitung personenbezogener Daten (im Folgenden „Bedingungen“ genannt), auf dessen Grundlage der Unternehmer Legal Building die Verarbeitung personenbezogener Daten im Umfang des erteilten Auftrags überträgt.
2. Die Übertragung personenbezogener Daten an Legal Building erfolgt zum Zweck der Erbringung der im Auftrag festgelegten Dienstleistung.
3. Legal Building darf die übermittelten personenbezogenen Daten ausschließlich im im Auftrag festgelegten Umfang und Zweck sowie nur soweit verarbeiten, wie es für die Erbringung der Dienstleistungen erforderlich ist.
4. Der Umfang der übermittelten Daten sowie die Datenkategorien hängen jeweils von der Art der erbrachten Dienstleistung ab.

• § 2 ERKLÄRUNGEN UND PFLICHTEN LEGAL BUILDING

1. Legal Building erklärt hiermit, dass sie über die infrastrukturellen Ressourcen, Erfahrung, Kenntnisse sowie qualifiziertes Personal verfügt, um die Dienstleistung ordnungsgemäß und im Einklang mit den geltenden Rechtsvorschriften zu erbringen. Insbesondere erklärt Legal Building, dass ihr die Grundsätze der Verarbeitung und Sicherung personenbezogener Daten bekannt sind, die sich aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: „DSGVO“) ergeben.
2. Legal Building verpflichtet sich:
   2.1. die anvertrauten personenbezogenen Daten ausschließlich auf Grundlage des Auftrags und dieser Vereinbarung zu verarbeiten;
   2.2. den Zugang zu den anvertrauten personenbezogenen Daten ausschließlich Personen zu gewähren, die aufgrund des Umfangs ihrer Aufgaben von Legal Building eine Autorisierung zur Verarbeitung erhalten haben und nur zum Zweck der Erfüllung der sich aus dem Auftrag ergebenden Pflichten;
   2.3. sicherzustellen, dass die zur Verarbeitung personenbezogener Daten befugten Personen sich zur Vertraulichkeit verpflichten;
   2.4.  geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko der Verletzung der Rechte oder Freiheiten natürlicher Personen entsprechendes Sicherheitsniveau zu gewährleisten, deren personenbezogene Daten von Legal Building verarbeitet werden;
   2.5. den Unternehmer nach Möglichkeit (durch den Einsatz geeigneter technischer und organisatorischer Maßnahmen) bei der Erfüllung der Pflicht zu unterstützen, auf Anfragen betroffener Personen in Bezug auf die Ausübung ihrer in Kapitel III der DSGVO festgelegten Rechte zu antworten;
   2.6. den Unternehmer in Bezug auf Folgendes zu unterstützen:
   2.6.1. die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und die Benachrichtigung der betroffenen Personen über eine solche Verletzung;
           2.6.2. die Durchführung einer Datenschutz-Folgenabschätzung durch den Unternehmer sowie die Durchführung von Konsultationen mit der Aufsichtsbehörde;
3. ein schriftliches (auch elektronisches) Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die im Auftrag des Unternehmers durchgeführt werden;
4. dem Unternehmer auf dessen Verlangen alle Informationen zur Verfügung zu stellen, die erforderlich sind, um die Einhaltung der sich aus den geltenden Rechtsvorschriften, insbesondere der DSGVO, ergebenden Pflichten nachzuweisen, und zwar unverzüglich, spätestens jedoch innerhalb von 3 Werktagen;
5. dem Unternehmer oder einem vom Unternehmer autorisierten Auditor die Durchführung von Prüfungen zu ermöglichen;
6. den Unternehmer unverzüglich zu informieren, wenn Legal Building der Ansicht ist, dass eine ihr erteilte Anweisung einen Verstoß gegen die DSGVO oder andere nationale oder europäische Datenschutzvorschriften darstellt;
7. die personenbezogenen Daten nur so lange aufzubewahren, wie es der Unternehmer festgelegt hat oder wie es sich aus den allgemein geltenden Rechtsvorschriften ergibt.

• § 3 WEITERVERARBEITUNG

1. Der Unternehmer erteilt seine Zustimmung, dass Legal Building die Verarbeitung personenbezogener Daten an weitere Auftragsverarbeiter in dem Umfang weitervergeben darf, der für die Erfüllung des Auftrags erforderlich ist.  Legal Building ist verpflichtet, über alle geplanten Änderungen im Zusammenhang mit der Hinzufügung oder dem Ersatz weiterer Auftragsverarbeiter zu informieren.
2. Legal Building stellt sicher, dass sie ausschließlich die Dienste solcher weiteren Auftragsverarbeiter in Anspruch nimmt, die ausreichende Garantien für die Umsetzung geeigneter technischer und organisatorischer Maßnahmen bieten, damit die Verarbeitung den Anforderungen der DSGVO sowie den geltenden Datenschutzvorschriften, die in § 2 Abs. 1 Nr. 2 genannt sind und die Legal Building vor dem 25. Mai 2018 einzuhalten hat, entspricht und die Rechte der betroffenen Personen schützt.
3. Legal Building wird in der Vereinbarung mit dem weiteren Auftragsverarbeiter sicherstellen, dass diesem die entsprechenden Pflichten auferlegt werden, die den Pflichten Legal Building entsprechen.

• § 4 AUDIT

1. Der Unternehmer ist berechtigt, ein Audit zur Überprüfung der Einhaltung der geltenden Datenschutzvorschriften bei der Verarbeitung personenbezogener Daten durch Legal Building durchzuführen.
2. Der Unternehmer informiert Legal Building mindestens 4 Werktage vor dem geplanten Audittermin über die Absicht, das Audit durchzuführen. Sollte das Audit aus wichtigen Gründen nach Einschätzung von Legal Building zum angegebenen Termin nicht durchgeführt werden können, informiert Legal Building den Unternehmer hierüber unter Angabe der Gründe. In diesem Fall legen die Parteien gemeinsam einen neuen Audittermin fest.
3. Nach Durchführung des Audits erstellt der Vertreter des Unternehmers ein Prüfprotokoll, das von den Vertretern beider Parteien unterzeichnet wird. Legal Building verpflichtet sich, innerhalb der mit dem Unternehmer vereinbarten Frist die im Prüfprotokoll enthaltenen Handlungsempfehlungen umzusetzen, sofern diese akzeptiert werden.

• § 5 MELDUNG VON VERLETZUNGEN

1. Legal Building ist verpflichtet, Verfahren zur Erkennung von Datenschutzverletzungen sowie zur Umsetzung geeigneter Abhilfemaßnahmen einzuführen und anzuwenden.
2. Nach Feststellung einer Verletzung des Schutzes der ihm vom Unternehmer anvertrauten personenbezogenen Daten meldet Legal Building diese unverzüglich, jedoch nach Möglichkeit nicht später als innerhalb von 36 Stunden nach Entdeckung der Verletzung, an den Unternehmer. Die Meldung enthält Informationen über die Umstände und die Ursache der Verletzung.
3. Bis zum Erhalt von Anweisungen des Unternehmers ergreift Legal Building unverzüglich alle zumutbaren Maßnahmen, um die negativen Folgen der Verletzung zu begrenzen und zu beheben.
4. Legal Building ist verpflichtet, alle Datenschutzverletzungen zu dokumentieren, einschließlich der Umstände der Verletzung, ihrer Folgen und der ergriffenen Abhilfemaßnahmen. Legal Building ist verpflichtet, dem Unternehmer auf dessen Verlangen diese Dokumentation unverzüglich zur Verfügung zu stellen.
5. Ohne ausdrückliche Anweisung des Unternehmers wird Legal Building keine Meldung erstatten:
   5.1 an die betroffenen Personen oder
   5.2. an die Aufsichtsbehörde.

• § 6 VERTRAGSDAUER UND HAFTUNGSREGELN

1. Der Vertrag wird für eine bestimmte Dauer geschlossen und endet mit Abschluss der Dienstleistung.
2. Der Unternehmer kann den Vertrag unter Einhaltung einer Kündigungsfrist von einem Monat kündigen.
3. Nach Beendigung des Vertrags ist Legal Building verpflichtet, alle personenbezogenen Daten und deren Kopien gemäß den Anweisungen des Unternehmers in der mit dem Unternehmer vereinbarten Weise und innerhalb der vereinbarten Frist zurückzugeben oder zu vernichten, es sei denn, geltendes nationales oder europäisches Recht schreibt eine Aufbewahrung dieser Daten vor. Die Kosten für die Rückgabe oder Vernichtung der personenbezogenen Daten und deren Kopien trägt der Unternehmer.

• § 7 SCHLUSSBESTIMMUNGEN

1. Für Angelegenheiten, die nicht durch diese Bedingungen geregelt sind, gelten die Bestimmungen des Bürgerlichen Gesetzbuches, der DSGVO sowie anderer geltender Datenschutzvorschriften.
2. Alle Streitigkeiten im Zusammenhang mit dem Vertrag werden dem zuständigen Gericht am Sitz von Legal Building vorgelegt.