Processor Agreement

Zu den Vereinbarungen über die rechtmäßige Verarbeitung personenbezogener Daten

Version: 2018

Parteien:

  1. Die Gesellschaft mit beschränkter Haftung Payt B.V., nachfolgend ‘Processor’ genannt; und
  2. Der Kunde, im Folgenden “Datenverantwortlicher “ genannt;

Im Folgenden gemeinsam als “Parteien” und einzeln als “Partei” bezeichnet.

Angesichts der Tatsache, dass:

  • Der Auftragsverarbeiter hat eine Online-Plattform für Schuldnerkontroll- und Inkassodienste entwickelt;

  • Der für die Verarbeitung Verantwortliche nimmt die Dienste des Auftragsverarbeiters in Anspruch oder möchte sie in Anspruch nehmen;

  • Diese Nutzung bringt es mit sich, dass der Auftragsverarbeiter personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet oder verarbeiten wird;

  • Der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter möchten ihre gegenseitigen Rechte, Pflichten und Vereinbarungen in Bezug auf die Verarbeitung personenbezogener Daten im Rahmen dieser Dienstleistung in dieser Auftragsverarbeitungsvereinbarung festlegen.

  • Die folgenden Anlagen sind Bestandteil dieser Auftragsverarbeitungsvereinbarung:

    • ANLAGE 1: Personenbezogene Daten; Zweck, Art und Weise und Mittel der Verarbeitung; Aufbewahrungsfristen.
    • ANLAGE 2: Sicherheitsmaßnahmen.
  • Sollte eine Bestimmung eines Anhangs mit einer Bestimmung der Auftragsverarbeitungsvereinbarung unvereinbar sein oder gegen diese verstoßen, so hat die Bestimmung des Anhangs Vorrang.

Artikel 1: Begriffsbestimmungen

In dieser Auftragsverarbeitervereinbarung haben die folgenden Begriffe, die immer mit einem Großbuchstaben gekennzeichnet sind, sowohl im Singular als auch im Plural die folgende Bedeutung:

1.1 Betroffene Person: die natürliche Person, auf die sich die personenbezogenen Daten beziehen, oder ihr Vertreter.

1.2 Auftragsverarbeiter: die Einrichtung, die personenbezogene Daten zugunsten des Verantwortlichen verarbeitet, ohne dessen direkter Weisungsbefugnis unterworfen zu sein. In dieser Vereinbarung über den Auftragsverarbeiter ist dies die Payt B.V.

1.3 Anhang: ein Teil des Auftragsverarbeitungsvertrags, in dem weitere Erläuterungen und Informationen zu einem bestimmten Teil oder zu bestimmten Bestandteilen der Dienstleistungen gegeben werden.

1.4 Personenbezogene Daten: alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

1.5 Verantwortlicher: die natürliche oder juristische Person oder jedes andere Rechtssubjekt, das allein oder gemeinsam mit anderen den Zweck und die Mittel für die Verarbeitung personenbezogener Daten festlegt. In dieser Auftragsverarbeitungsvereinbarung ist dies der Auftraggeber.

1.6 Verarbeitung: jede Handlung oder eine ganze Reihe von Handlungen in Bezug auf personenbezogene Daten, einschließlich des Sammelns, Bestellens, Speicherns, Aktualisierens, Änderns, Anforderns, Abrufens, Nutzens, der Bereitstellung durch Weiterleitung, Verteilung oder eine andere Art der Bereitstellung, des Zusammenfassens, Verknüpfen sowie des Abschirmens, Löschens oder Vernichtens von personenbezogenen Daten.

Artikel 2: Dauer und Beendigung

2.1 Diese Auftragsverarbeitervereinbarung wird nach ihrer Unterzeichnung durch die Parteien am Tag ihrer letzten Unterzeichnung geschlossen.

2.2 Diese Auftragsverarbeitungsvereinbarung gilt so lange, wie der Auftragsverarbeiter personenbezogene Daten zugunsten des Verantwortlichen verarbeitet und kann nicht vorzeitig gekündigt werden.

2.3 Der Auftragsverarbeiter stellt alle personenbezogenen Daten auf erstes Ersuchen des Verantwortlichen zur Verfügung, spätestens jedoch innerhalb von zehn Werktagen nach Beendigung dieses Auftragsverarbeitungsvertrags.

2.4 Nach Beendigung dieses Auftragsverarbeitungsvertrags entfernt und/oder vernichtet der Auftragsverarbeiter alle bei ihm vorhandenen personenbezogenen Daten und etwaige Kopien davon.

Der Auftragsverarbeiter kann von den Bestimmungen in den beiden vorstehenden Abschnitten abweichen, soweit für die personenbezogenen Daten eine gesetzliche Aufbewahrungsfrist gilt oder soweit dies erforderlich ist, um die Einhaltung seiner Verpflichtungen gegenüber dem Verantwortlichen nachzuweisen.

Artikel 3: Gegenstand

3.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten zugunsten des für die Verarbeitung Verantwortlichen. Die verantwortliche Stelle stellt dem Auftragsverarbeiter in diesem Zusammenhang personenbezogene Daten zur Verfügung.

3.2 Der für die Verarbeitung Verantwortliche hat die Zwecke für die Verarbeitung der personenbezogenen Daten festgelegt und den Auftragsverarbeiter über diese Verarbeitungszwecke informiert.

3.3 Der Auftragsverarbeiter wird die personenbezogenen Daten nur für die in ANLAGE 1 beschriebenen Zwecke verarbeiten.

3.4 Die vom Auftragsverarbeiter im Auftrag des Verantwortlichen zu verarbeitenden personenbezogenen Daten bleiben, unabhängig davon, wie sie erhalten wurden, Eigentum des Verantwortlichen und/oder der betroffenen Person.

3.5 Der für die Verarbeitung Verantwortliche garantiert gegenüber dem Auftragsverarbeiter, dass der Inhalt, die Verwendung und/oder die Verarbeitung der personenbezogenen Daten nicht unrechtmäßig ist und keine Rechte Dritter verletzt, dass diese personenbezogenen Daten rechtmäßig erhoben und weitergegeben werden und schützt den Auftragsverarbeiter vor Rechtsansprüchen Dritter, gleich aus welchem Grund, im Zusammenhang mit der Verarbeitung dieser personenbezogenen Daten, es sei denn, der für die Verarbeitung Verantwortliche weist nach, dass die Tatsachen, auf denen der Anspruch beruht, dem Auftragsverarbeiter zuzurechnen sind.

Artikel 4: Durchführung der Verarbeitung

4.1 Der Auftragsverarbeiter ist nur für die Verarbeitung personenbezogener Daten verantwortlich, die er im Rahmen der angebotenen Dienstleistungen unter den in dieser Auftragsverarbeitervereinbarung genannten Bedingungen verarbeitet. Für die sonstige Verarbeitung personenbezogener Daten, einschließlich der Erhebung personenbezogener Daten durch den Verantwortlichen und/oder Dritte, ist der Auftragsverarbeiter ausdrücklich nicht verantwortlich.

4.2 Der Auftragsverarbeiter wird keine personenbezogenen Daten in Ländern außerhalb des Europäischen Wirtschaftsraums (“EWR”) verarbeiten, die kein angemessenes Schutzniveau bieten, es sei denn, er hat die ausdrückliche vorherige schriftliche Genehmigung des für die Verarbeitung Verantwortlichen eingeholt und die gesetzlichen Anforderungen sind erfüllt. Die Übermittlung personenbezogener Daten in Länder außerhalb des EWR, die kein angemessenes Sicherheitsniveau bieten, ist nicht zulässig.

4.3 Der Auftragsverarbeiter speichert und verarbeitet die personenbezogenen Daten des für die Verarbeitung Verantwortlichen getrennt von den personenbezogenen Daten, die er für sich selbst oder im Auftrag Dritter verarbeitet.

4.4 Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten auf ordnungsgemäße und sorgfältige Weise und in Übereinstimmung mit den Verpflichtungen, denen er als Auftragsverarbeiter gemäß der Datenschutzgesetzgebung, wie z.B. der Allgemeinen Datenschutzverordnung, unterliegt.

4.5 Der für die Verarbeitung Verantwortliche stellt dem Auftragsverarbeiter die Daten zur Verfügung, die für die Durchführung der Aufgaben erforderlich sind. Der für die Verarbeitung Verantwortliche stellt nur die (personenbezogenen) Daten zur Verfügung, die für die Durchführung der Aufgaben des Auftragsverarbeiters erforderlich sind und die der für die Verarbeitung Verantwortliche zu diesem Zweck bereitstellen kann.

Artikel 5: Sicherheit personenbezogener Daten

5.1 Die Parteien vereinbaren, dass der Auftragsverarbeiter angemessene technische und organisatorische Sicherheitsmaßnahmen ergreift, die unter Berücksichtigung des Stands der Technik und der damit verbundenen Kosten der Art der zu verarbeitenden personenbezogenen Daten entsprechen, um die personenbezogenen Daten vor Verlust, unrechtmäßiger Kenntnisnahme, Verfälschung oder unrechtmäßiger Verarbeitung zu schützen und die (rechtzeitige) Verfügbarkeit der personenbezogenen Daten zu gewährleisten.

5.2 Die Parteien erkennen an, dass sich die Sicherheitsanforderungen ständig ändern und dass eine effektive, häufige Bewertung und regelmäßige Verbesserung veralteter Sicherheitsmaßnahmen erforderlich ist. Aus diesem Grund wird der Auftragsverarbeiter die Sicherheitsmaßnahmen zum Schutz personenbezogener Daten laufend bewerten und gegebenenfalls verschärfen, ergänzen oder verbessern, um seinen Verpflichtungen nachzukommen.

5.3 Zusätzlich zu den in diesem Artikel genannten Maßnahmen ergreift der Auftragsverarbeiter die in Anlage 2 näher beschriebenen Sicherheitsmaßnahmen.

5.4 Der Auftragsverarbeiter garantiert nicht, dass die Sicherheit unter allen Umständen wirksam ist.

Artikel 6: Kontrolle

6.1 Der für die Verarbeitung Verantwortliche hat das Recht, einmal im Jahr einen (Penetrations-)Test durchzuführen (zu lassen), um die Vereinbarungen im Rahmen dieser Auftragsverarbeitervereinbarung zu kontrollieren. Der Verantwortliche kann dies selbst tun oder durch einen unabhängigen Steuerberater, einen registrierten Informationstechniker oder einen anderen dafür zertifizierten Prüfer durchführen lassen.

6.2 Der Auftragsverarbeiter speichert die für die (Penetrations-)Tests dieses Artikels erforderlichen Belegdaten, wie z.B. Systemprotokolle.

6.3 Die Personen, die den Test durchführen, werden die beim Auftragsverarbeiter geltenden Sicherheitsverfahren einhalten.

6.4 Der Auftragsverarbeiter verpflichtet sich, seine Unterstützung zu gewähren und alle für den Test angemessenen Informationen rechtzeitig zur Verfügung zu stellen.

6.5 Die Kosten eines Tests trägt der für die Verarbeitung Verantwortliche, es sei denn, es wird schriftlich etwas anderes vereinbart.

6.6 Der für die Verarbeitung Verantwortliche kündigt einen beabsichtigten Test schriftlich an, woraufhin der Auftragsverarbeiter dafür sorgt, dass dieser Test innerhalb einer angemessenen Frist beginnen kann.

Artikel 7: Meldepflichtige Datenlecks und Überwachung

7.1 Im Falle einer Verletzung im Zusammenhang mit personenbezogenen Daten im Einflussbereich des Auftragsverarbeiters wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich nach der Entdeckung entsprechend informieren.

7.2 Die Meldepflicht umfasst in jedem Fall die Meldung der Tatsache, dass ein Leck oder ein Vorfall aufgetreten ist, sowie die (vermutete) Ursache des Lecks oder des Vorfalls, die derzeit bekannten und/oder erwarteten Folgen und die (vorgeschlagene) Lösung.

7.3 Der für die Verarbeitung Verantwortliche wird, wenn er dies für erforderlich hält, die betroffenen Personen und andere Dritte, einschließlich der Aufsichtsbehörde “Autoriteit Persoonsgegevens”, über ein Datenleck oder andere Vorfälle informieren. Es ist dem Auftragsverarbeiter nicht gestattet, Informationen über ein Datenleck oder andere Vorfälle direkt an betroffene Personen oder andere Dritte weiterzugeben, es sei denn, der Auftragsverarbeiter ist gesetzlich dazu verpflichtet oder hat die Erlaubnis des für die Verarbeitung Verantwortlichen erhalten.

Artikel 8: Vertraulichkeit

8.1 Alle personenbezogenen Daten, die der Auftragsverarbeiter von dem für die Verarbeitung Verantwortlichen erhält und/oder selbst im Rahmen dieses Auftragsverarbeitungsvertrags erhebt, unterliegen einer Geheimhaltungsverpflichtung gegenüber Dritten.

8.2 Der Auftragsverarbeiter stellt sicher, dass sein Personal an die in diesem Artikel festgelegte Geheimhaltungsverpflichtung gebunden ist.

8.3 Die Geheimhaltungsverpflichtung gilt nicht, soweit der Datenverantwortliche ausdrücklich die Erlaubnis erteilt hat, die Informationen an Dritte weiterzugeben, wenn die Weitergabe der Informationen an Dritte in Anbetracht der Art des erteilten Auftrags und der Durchführung dieses Auftragsverarbeitungsvertrags logisch notwendig ist oder wenn eine gesetzliche Verpflichtung zur Weitergabe der Informationen an Dritte besteht. Im Falle der Weitergabe von Informationen an Dritte aufgrund einer rechtlichen Verpflichtung wird der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen so schnell wie möglich und in jedem Fall vor der Weitergabe informieren.

Artikel 9: Rechte der betroffenen Personen

9.1 Der Auftragsverarbeiter unterstützt die verantwortliche Stelle in vollem Umfang, um nach Genehmigung und im Auftrag der verantwortlichen Stelle:

a) den betroffenen Personen Zugang zu den sie betreffenden personenbezogenen Daten in strukturierter, aktueller und maschinenlesbarer Form zu gewähren;

b) die Verarbeitung personenbezogener Daten auf ihre Speicherung oder auf die Verarbeitung zu beschränken, für die die betroffene Person ihre Einwilligung erteilt hat, bis der für die Verarbeitung Verantwortliche entscheidet, dass die Beschränkung der Verarbeitung aufgehoben werden muss;

c) die personenbezogenen Daten der betroffenen Personen zu löschen oder zu berichtigen;

d) nachzuweisen, dass personenbezogene Daten entfernt oder berichtigt wurden, wenn sie unrichtig sind (oder, falls der für die Verarbeitung Verantwortliche nicht zustimmt, dass personenbezogene Daten unrichtig sind, die Tatsache nachzuweisen, dass die betroffene Person ihre personenbezogenen Daten für unrichtig hält).

9.2 Der Auftragsverarbeiter wird darüber hinaus auf erstes Ersuchen des für die Verarbeitung Verantwortlichen so schnell wie möglich, spätestens jedoch innerhalb von fünf Werktagen nach einem entsprechenden Ersuchen, Folgendes veranlassen

a) die schriftliche Erteilung aller notwendigen Informationen, die der für die Verarbeitung Verantwortliche verlangt;

b) die Verbesserung, Ergänzung, Entfernung oder Abschirmung der personenbezogenen Daten.

9.3 Der Auftragsverarbeiter unterstützt den für die Verarbeitung Verantwortlichen so weit wie möglich bei der Erfüllung der Verpflichtungen, die ihm nach den geltenden Rechtsvorschriften im Bereich der Verarbeitung personenbezogener Daten obliegen.

Artikel 10: Bereitstellung und Weitergabe personenbezogener Daten an Unterauftragsverarbeiter

10.1 Der Auftragsverarbeiter hat das Recht, Dritte mit der Verarbeitung der personenbezogenen Daten zu beauftragen, wenn:

a) der Auftragsverarbeiter dies im Voraus schriftlich angekündigt hat; oder

b) der Auftragsverarbeiter die Erlaubnis des für die Verarbeitung Verantwortlichen eingeholt hat; oder

c) wenn der Einsatz von Dritten in Anbetracht der Art des Auftrags und/oder der Durchführung dieser Auftragsverarbeitungsvereinbarung logisch erforderlich ist.

10.2 Der Auftragsverarbeiter stellt sicher, dass der/die betreffende(n) Dritte(n) mindestens die gleichen Verpflichtungen übernimmt/übernehmen, denen der Auftragsverarbeiter gemäß diesem Auftragsverarbeitungsvertrag unterliegt.

10.3 Zur ordnungsgemäßen Durchführung der Dienstleistungen setzt der Auftragsverarbeiter Dritte ein, und der Auftragsverarbeiter gibt die im Auftrag des Datenverantwortlichen erhobenen personenbezogenen Daten in jedem Fall (jedoch nicht ausschließlich) an die in ANLAGE 1 genannten Partner weiter.

10.4 Für den Fall, dass der Dritte, den der Auftragsverarbeiter einsetzen möchte, seinen Sitz außerhalb des EWR hat, versichert der Auftragsverarbeiter unbeschadet des Vorstehenden, dass dieser Dritte ein angemessenes Schutz- und Sicherheitsniveau für personenbezogene Daten im Sinne der Allgemeinen Datenschutzverordnung gewährleistet.

10.5 Der Auftragsverarbeiter ist gegenüber dem für die Verarbeitung Verantwortlichen für den/die von ihm eingesetzten Dritten verantwortlich.

10.6 Für den Fall, dass der für die Verarbeitung Verantwortliche den Auftragsverarbeiter auffordert, personenbezogene Daten an einen Dritten weiterzugeben, der nicht in der Liste mit den Namen der Parteien, mit denen der Auftragsverarbeiter Daten austauscht, wie in ANLAGE 1 vorgesehen, aufgeführt ist, ist das in diesem Artikel Festgelegte nicht anwendbar und der für die Verarbeitung Verantwortliche haftet in vollem Umfang für etwaige Schäden, die direkt oder indirekt daraus entstehen.

10.7 Der Auftragsverarbeiter kann personenbezogene Daten auch an Dritte weitergeben, wenn der Auftragsverarbeiter aufgrund eines Ersuchens oder einer kompetent erlassenen Anordnung einer Regierungs- oder Justizbehörde oder im Zusammenhang mit einer gesetzlichen Verpflichtung die Daten an einen Dritten weitergeben muss.

Artikel 11: Schlussbestimmungen

11.1 Änderungen dieser Auftragsverarbeitervereinbarung sind nur wirksam, wenn sie zwischen den Parteien schriftlich festgelegt wurden.

11.2 Diese Auftragsverarbeitervereinbarung hat Vorrang vor allen anderen Vereinbarungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter über die Verarbeitung personenbezogener Daten.

11.3 Auf diese Auftragsverarbeitungsvereinbarung ist ausschließlich das niederländische Recht anwendbar.

11.4 Streitigkeiten über oder im Zusammenhang mit dieser Auftragsverarbeitungsvereinbarung werden ausschließlich dem Gericht vorgelegt, das für den Ort der Niederlassung des Auftragsverarbeiters zuständig ist.

Anhang 1: Personenbezogene Daten; Zweck, Methode und Mittel der Verarbeitung; Aufbewahrungsfristen

Verarbeitete personenbezogene Daten

Daten über Schuldner des für die Verarbeitung Verantwortlichen:
a) Name, Anschrift, Wohnsitz, Telefonnummer, E-Mail-Adresse, Geschlecht, Schuldnerdaten und Rechnungsdaten.

Kategorien von betroffenen Personen
a) Schuldner

Zwecke, Methode und Mittel der Verarbeitung

Die personenbezogenen Daten werden vom Auftragsverarbeiter zu folgenden Zwecken verarbeitet:
a) die Zahlung der über Payt eingereichten Forderungen durch den für die Datenverarbeitung Verantwortlichen zu erwirken;
b) auf der Grundlage aktueller und historischer Inkassodaten einen Score-Wert zu ermitteln, anhand dessen die Wahrscheinlichkeit der Einbringlichkeit festgestellt werden kann;
c) einen Beitrag zur Vermeidung von Überschuldung und anderen problematischen Verschuldungssituationen der betroffenen Personen zu leisten;
d) die Durchführung der zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter vereinbarten Dienstleistungen zu ermöglichen.
Diese personenbezogenen Daten werden in den entsprechenden Softwaresystemen des Auftragsverarbeiters verarbeitet und gespeichert.

Für die ordnungsgemäße Durchführung der Dienstleistungen schaltet der Auftragsverarbeiter Dritte ein und gibt die im Auftrag des für die Verarbeitung Verantwortlichen erhobenen personenbezogenen Daten weiter an:

Parteien, die das Hosting und die Wartung der Website bereitstellen, Parteien, von denen wir Cookies, Plug-ins, Anwendungen und/oder andere Software auf der Website verwenden, Postverarbeiter, Gerichtsvollzieher, Anbieter von E-Mail-, SMS- und telefonischen Weiterleitungsdiensten und Banken oder andere Finanzinstitute, mit denen Payt im Rahmen der Bereitstellung von Finanzierungen für seine Kunden zusammenarbeitet.

Eine aktuelle Liste mit den Namen der Parteien, mit denen Payt Daten austauscht, sowie eine Interpretation der Daten und des Zwecks des Austauschs dieser Daten kann über info@paytsoftware.com angefordert werden.

Anhang 2: Sicherheitsmaßnahmen

Der Auftragsverarbeiter ergreift u. a. Sicherheitsmaßnahmen in den folgenden Bereichen, wie in seiner Informationssicherheitspolitik dargelegt. Payt verfügt über eine ISO 27001-Zertifizierung für seine Informationssicherheitspolitik.

a) Sicherheit der Mitarbeiter;
b) Kontrolle der Unternehmensressourcen;
c) Zugangssicherheit;
d) Kryptographie;
e) Physische Sicherheit;
f) Sicherheit der Abläufe;
g) Kommunikationssicherheit;
h) Beschaffung etc. von Systemen;
i) Beziehungen zu Lieferanten;
j) Verwaltung von Informationssicherheitsvorfällen;
k) Aspekte der Verwaltung der Betriebskontinuität;
l) Einhaltung der Vorschriften.

Bitte nehmen Sie Kontakt mit uns auf, wenn Sie vertrauliche Informationen über die Sicherheitspolitik und die Erklärung über die Anwendbarkeit erhalten möchten.

Payt

KvK: 08155915
BTW: NL817576320B01

Hauptsitz

Ubbo Emmiussingel 21
9711 BB Groningen
The Netherlands