040 / 285 386 30

KGV

Datenschutz

(1) Art der Daten
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:
– Personenstammdaten
– Kommunikationsdaten (z.B. Telefon, E-Mail)
– Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
– Vertragsabrechnungs- und Zahlungsdaten

1. Rechte von betroffenen Personen
(1) Der Auftragnehmer unterstützt den Auftraggeber in seinem Verantwortungsbereich und soweit möglich mittels geeigneter technischorganisatorischer Maßnahmen bei der Beantwortung und Umsetzung von Anträgen betroffener Personen hinsichtlich ihrer Datenschutzrechte. Er darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers beauskunften, portieren, berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

(2) Soweit vom Leistungsumfang umfasst, sind die Rechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung sowie Daten Portabilität nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

2. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
(1) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung personenbezogener Daten sämtliche einschlägigen gesetzlichen Datenschutzvorschriften einzuhalten. Dies umfasst insbesondere die Pflichten gemäß Art. 28 bis 33 DSGVO.

(2) Datenschutzorganisation / Ansprechpartner
a) Der Auftragnehmer ist gemäß den gesetzlichen Vorgaben nicht zur Benennung eines Datenschutzbeauftragten verpflichtet. Ungeachtet dessen wird Herr Silvio Schneider als datenschutzrechtlicher Ansprechpartner benannt.
b) Als datenschutzrechtlicher Ansprechpartner beim Auftragnehmer wird benannt:

Name: Herr Silvio Schneider
Funktion: Assistenz der Geschäftsleitung / datenschutzrechtlicher Ansprechpartner
Telefon: 040 28 53 86 314
E-Mail: s.schneider@kreativegv.com

Ein Wechsel des benannten Ansprechpartners wird dem Auftraggeber unverzüglich mitgeteilt.

(3) Vertraulichkeit
Der Auftragnehmer verpflichtet sich, alle mit der Verarbeitung personenbezogener Daten befassten Personen gemäß Art. 28 Abs. 3 Satz 2 lit. b DSGVO auf die Vertraulichkeit zu verpflichten oder sicherzustellen, dass diese einer gesetzlichen Verschwiegenheitspflicht unterliegen.
Die Personen werden vor Aufnahme ihrer Tätigkeit über die einschlägigen Datenschutzvorschriften informiert.

(4) Weisungsgebundene Verarbeitung
Personen, die dem Auftragnehmer unterstellt sind und Zugang zu personenbezogenen Daten haben, dürfen diese ausschließlich entsprechend den dokumentierten Weisungen des Auftraggebers verarbeiten, es sei denn, sie sind aufgrund gesetzlicher Vorschriften zu einer abweichenden Verarbeitung verpflichtet.

(5) Technische und organisatorische Maßnahmen
Der Auftragnehmer verpflichtet sich zur Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 Satz 2 lit. c DSGVO in Verbindung mit Art. 32 DSGVO.

(6) Zusammenarbeit mit Aufsichtsbehörden
Der Auftragnehmer unterstützt den Auftraggeber auf Anfrage bei der Erfüllung seiner Pflichten gegenüber der zuständigen Datenschutzaufsichtsbehörde, insbesondere bei Kontrollen, Anfragen oder Prüfungen, soweit diese die im Rahmen dieses Vertrags erfolgende Auftragsverarbeitung betreffen.

(7) Informationspflichten
Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn ihm Kontrollhandlungen oder Maßnahmen der Aufsichtsbehörde bekannt werden, die sich auf die im Rahmen dieses Vertrags durchgeführte Auftragsverarbeitung beziehen.
Dies gilt auch für Ermittlungen im Rahmen eines Ordnungswidrigkeiten- oder Strafverfahrens im Zusammenhang mit der Verarbeitung personenbezogener Daten.

(8) Unterstützung bei Rechtsansprüchen
Soweit der Auftraggeber aufgrund der Auftragsverarbeitung einer Kontrolle, einem behördlichen Verfahren, einem Haftungsanspruch einer betroffenen Person oder eines Dritten oder sonstigen Ansprüchen ausgesetzt ist, unterstützt der Auftragnehmer den Auftraggeber hierbei nach besten Kräften.

(9) Interne Kontrollen
Der Auftragnehmer überprüft regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten in seinem Verantwortungsbereich im Einklang mit den geltenden datenschutzrechtlichen Anforderungen erfolgt und die Rechte der betroffenen Personen gewahrt bleiben.

(10) Nachweisbarkeit
Der Auftragnehmer stellt dem Auftraggeber auf Verlangen geeignete Nachweise über die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen im Rahmen der Kontrollbefugnisse gemäß diesem Vertrag zur Verfügung. Der Auftraggeber ist berechtigt, die Einhaltung dieses Vertrags sowie der einschlägigen Datenschutzvorschriften beim Auftragnehmer zu überprüfen. Der Auftragnehmer ermöglicht dem Auftraggeber oder einem von diesem beauftragten Prüfer nach angemessener Vorankündigung während der üblichen
Geschäftszeiten Audits und Inspektionen, soweit dies zur Kontrolle der Auftragsverarbeitung erforderlich ist. Der Auftragnehmer wirkt an den Prüfungen in angemessenem Umfang mit und stellt die hierfür erforderlichen Informationen und Nachweise zur Verfügung. Betriebs- und Geschäftsgeheimnisse des Auftragnehmers sind dabei zu wahren; Prüfungen sind auf das notwendige Maß zu beschränken.

3. Löschung und Rückgabe von personenbezogenen Daten
(1) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Fernverpflegungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis
stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung
datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen
Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.