Report Bynder wird im Forrester Wave™: Digital Asset Management Systems, Q1 2024 als Leader ausgezeichnet

Zum Report
v.2

Datenverarbeitungszusatz

Die deutsche Version dieses Datenverarbeitsungszusatz wird lediglich aus Gründen der Kundenannehmlichkeit zur Verfügung gestellt. Sollte eine Mehrdeutigkeit oder ein Konflikt zwischen verschiedenen Übersetzungen bestehen, so ist die englische Fassung maßgeblich und ausschlaggebend.

Als PDF herunterladen

Dieser Datenverarbeitungszusatz, einschließlich seiner Anhänge („DPA“), ergänzt die Vereinbarung zwischen dem Kunden und dem jeweiligen Bynder-Vertragspartner („Bynder“) bezüglich der Verwendung und des Zugriffs auf das Produkt („Vereinbarung“) und bildet einen integralen Bestandteil derselben, so wie dies in den Standard-Nutzungsbedingungen von Bynder (v.14) geregelt ist, die unter www.bynder.com/de/rechtliches/ („Bedingungen“) verfügbar sind. Der DPA enthält die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Daten des Kunden durch Bynder im Zusammenhang mit dem Produkt. Sofern in diesem DPA oder der Vereinbarung nicht anders definiert, haben alle im Abschnitt 1 dieses DPA aufgelisteten Begriffe die angegebenen Bedeutungen.

  1. Definitionen

    AUFSICHTSBEHÖRDE bezeichnet eine unabhängige Behörde, die von einem EU-Mitgliedstaat gemäß der DSGVO errichtet wird.
    AUFTRAGSVERARBEITER bezeichnet das Unternehmen, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
    BETROFFENE PERSON bezeichnet die identifizierte oder identifizierbare Person, auf die sich personenbezogene Daten beziehen.
    DATENSCHUTZGESETZGEBUNG bezeichnet alle Gesetze und Vorschriften, die auf die Verarbeitung personenbezogener Daten im Rahmen der Vereinbarung anwendbar sind.
    DSGVO bezeichnet die Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, unter Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
    EWR bezeichnet den Europäischen Wirtschaftsraum.
    KUNDE bezeichnet die juristische Person, die Vertragspartei der Vereinbarung mit Bynder ist.
    PERSONENBEZOGENE DATEN bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, sofern diese Daten von Bynder im Namen des Kunden verarbeitet werden.
    STANDARDSVERTRAGSKLAUSELN bezeichnet Anhang 4, der diesem DPA gemäß dem Durchführungsbeschluss (EU) 2021/914 der Europäischen Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 beigefügt ist und Teil des Europäischen Parlaments und des Rates bildet.
    UNTERAUFTRAGSVERARBEITER bezeichnet einen von Bynder beauftragten Auftragsverarbeiter
    VERANTWORTLICHER bezeichnet das Unternehmen, das über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.
    VERARBEITUNG (und alle Zeitformen des dazugehörigen Verbs) bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschung oder die Vernichtung;

  1. Verarbeitung personenbezogener Daten

    1. Umfang, Rollen und Details der Verarbeitung. Dieser DPA, einschließlich aller Anhänge, gilt, wenn personenbezogene Daten von Bynder gemäß der Vereinbarung verarbeitet werden. In Bezug auf die Verarbeitung personenbezogener Daten ist der Kunde der Verantwortliche, Bynder der Auftragsverarbeiter, wobei Bynder Unterauftragsverarbeiter gemäß den in Abschnitt 6 unten dargelegten Anforderungen beauftragen kann. Die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Arten personenbezogener Daten und Kategorien von Betroffenen, die im Rahmen dieses DPA verarbeitet werden, werden in Anhang 1 dieses DPA näher dargelegt.

    2. Verarbeitung personenbezogener Daten durch den Kunden. Der Kunde ist verpflichtet, bei der Nutzung des Produkts personenbezogene Daten in Übereinstimmung mit den Anforderungen der Datenschutzgesetzgebung zu verarbeiten, einschließlich aller anwendbaren Anforderungen zur Benachrichtigung der betroffenen Personen über die Inanspruchnahme von Bynder als Auftragsverarbeiter. Um jeglichen Zweifel auszuschließen, sei festgehalten, dass die Weisungen des Kunden zur Verarbeitung personenbezogener Daten den Datenschutzgesetzen entsprechen müssen. Der Kunde trägt die alleinige Verantwortung für die Richtigkeit, Qualität und Rechtmäßigkeit personenbezogener Daten und die Mittel, mit denen der Kunde in den Besitz personenbezogene Daten gekommen ist.

    3. Verarbeitung personenbezogener Daten durch Bynder. Bynder ist verpflichtet, personenbezogene Daten als vertrauliche Informationen zu behandeln und personenbezogene Daten im Namen des Kunden und nur in Übereinstimmung mit den dokumentierten Weisungen des Kunden für folgende Zwecke zu verarbeiten: (i) Verarbeitung in Übereinstimmung mit der Vereinbarung und den anwendbaren Bestellformularen; und (ii) Verarbeitung, die von Benutzern bei ihrer Nutzung des Produkts veranlasst wird.

  1. Weisungen

    1. Verbundene Unternehmen des Kunden. Der Kunde erklärt hiermit, dass er befugt ist, Bynder Weisungen bezüglich der Datenverarbeitung von personenbezogenen Daten zu erteilen und anderweitig im Namen von verbundenen Unternehmen des Kunden im Rahmen dieses DPA zu handeln.

    2. Dokumentierte Anweisungen. Dieser DPA und die Vereinbarung sind die vollständigen und endgültigen dokumentierten Weisungen des Kunden zum Zeitpunkt der Unterzeichnung der Vereinbarung mit Bynder über die Verarbeitung personenbezogener Daten. Zusätzliche oder alternative Weisungen sind gesondert und schriftlich zu vereinbaren.

    3. Ausnahme. Wenn Bynder gesetzlich verpflichtet ist, eine zusätzliche Verarbeitungstätigkeit durchzuführen, wird Bynder den Kunden vor Beginn dieser Verarbeitungstätigkeit über diese gesetzliche Anforderung informieren, es sei denn, eine solche Mitteilung ist gesetzlich verboten.

    4. Weisungen, die gegen die Datenschutzgesetzgebung verstoßen könnten. Wenn eine Weisungen des Kunden nach Ansicht von Bynder gegen die Datenschutzgesetzgebung verstoßen könnten, ist Bynder berechtigt, die Befolgung dieser Weisungen abzulehnen und wird den Kunden über die Gründe für die Ablehnung informieren. In solchen Fällen muss der Kunde rechtzeitig alternative Weisungen erteilen und Bynder kann die Verarbeitung der betroffenen personenbezogenen Daten (mit Ausnahme ihrer sicheren Speicherung) so lange aussetzen, bis Bynder annehmbare Weisungen erhält.

  1. Personal von Bynder

    1. Geheimhaltungspflichten. Bynder wird dafür Sorge tragen, dass sein Personal, das mit der Verarbeitung personenbezogener Daten befasst ist, über den vertraulichen Charakter der personenbezogenen Daten informiert wird und schriftliche Vertraulichkeitsvereinbarungen unterzeichnet hat.

    2. Begrenzter Zugriff. Bynder wird dafür Sorge tragen, dass der Zugriff von Bynder auf personenbezogene Daten auf jenes Personal beschränkt ist, das Dienstleistungen in Übereinstimmung mit der Vereinbarung erbringt.

    3. Datenschutzbeauftragter. Bynder hat einen Datenschutzbeauftragten („DPO“) bestellt. Der bestellte DPO ist unter [email protected] erreichbar.

  1. Sicherheit der Verarbeitung

    1. Maßnahmen. Bynder hat geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, oder unbefugten Offenlegung und Zugriff („Sicherheitsmaßnahmen“) ergriffen und wird diese beibehalten, so wie in Anhang 3 dieses DPA beschrieben, einschließlich gegebenenfalls:

      • der Pseudonymisierung und Verschlüsselung personenbezogener Daten;
      • der Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Datenverarbeitungssystemen zu gewährleisten;
      • vorbehaltlich des Service Level Agreements die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugriff zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; und
      • der regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

    2. Der Kunde hat eigenständig beurteilt, ob die Sicherheitsmaßnahmen, so wie in Anhang 3 dieses DPA beschrieben, den Anforderungen des Kunden entsprechen.

    3. Zertifizierungen Dritter. Bynder hat Zertifizierungen Dritter gemäß Anhang 3 dieses DPA erhalten. Auf schriftliches Verlangen des Kunden, jedoch nicht mehr als einmal pro Jahr und vorbehaltlich der in der Vereinbarung festgelegten Geheimhaltungsverpflichtungen, stellt Bynder dem Kunden eine Kopie der jeweils neuesten Drittzertifizierung und des Auditberichts von Bynder, soweit zutreffend, zur Verfügung.

  1. Unterauftragsverarbeiter

    1. Allgemeine Genehmigung. Der Kunde stimmt zu, dass Bynder Unterauftragsverarbeiter beauftragen kann, um Bynders vertragliche Verpflichtungen aus diesem DPA zu erfüllen oder bestimmte Dienstleistungen in Bynders Namen zu erbringen.

    2. Pflichten des Unterauftragsverarbeiters. Bynder wird eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter schließen und Bynder wird, soweit der Unterauftragsverarbeiter die gleichen Verarbeitungsaktivitäten durchführt, die von Bynder bereitgestellt werden, dem Unterauftragsverarbeiter Datenschutzverpflichtungen auferlegen, die den Anforderungen diesem DPA entsprechen.

    3. Liste der Unterauftragsverarbeiter. Bynder beauftragt derzeit die in Anhang 2 dieses DPA aufgeführten Unterauftragsverarbeiter. Eine Liste der Unterauftragsverarbeiter ist auch auf der Website von Bynder unter www.bynder.com/de/rechtliches/unterauftragsverarbeiter („Seite der Unterauftragsverarbeiter“) zu finden. Bynder aktualisiert die Seite der Unterauftragsverarbeiter mit allen Änderungen durch Hinzuziehung oder Ersetzen von Unterauftragsverarbeiter und unterrichtet den Kunden mindestens sieben Kalendertage im Voraus, bevor diese Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten beginnen.

    4. Widerspruchsrecht. Der Kunde kann der Einsetzung eines neuen Unterauftragsverarbeiters auf angemessener und legitimer Grundlage widersprechen. Für den Fall, dass sich der Kunde gegen einen neuen Unterauftragsverarbeiter ausspricht, muss der Kunde innerhalb der in Abschnitt 6.3 festgelegten Frist von sieben Kalendertagen eine schriftliche Mitteilung an [email protected] senden, in der die spezifischen Bedenken des Kunden bezüglich des neuen Unterauftragsverarbeiters dargelegt sind, um Bynder so die Möglichkeit zu geben, auf diese Bedenken zu reagieren. Bynder kann nach eigenem Ermessen (i) den Unterauftragsverarbeiter nicht ernennen und/oder einen alternativen Unterauftragsverarbeiter vorschlagen; (ii) Schritte unternehmen, um die spezifischen Bedenken des Kunden zu berücksichtigen ; oder (iii) dem Kunden das Bynder-Produkt ohne jenen besonderen Aspekt zur Verfügung stellen, der die Einsetzung des beanstandeten Unterauftragsverarbeiters beinhalten würde. Wenn Bynder nicht in der Lage ist oder nach vernünftigem Ermessen feststellt, dass es wirtschaftlich unvernünftig ist, eine der Optionen in Abschnitt 6.4 (i)-(iii) zu erfüllen, kann der Kunde die Vereinbarung gemäß Abschnitt 19.3 der Bedingungen kündigen.

    5. Haftung. Bynder bleibt für die Leistung eines Unterauftragsverarbeiters in demselben Umfang verantwortlich, in dem Bynder verantwortlich wäre, wenn es die Leistungen des jeweiligen Unterauftragsverarbeiters gemäß den Bedingungen dieses DPA direkt ausführen würde.

  1. Rechte einer betroffenen Person

    Bynder wird, soweit gesetzlich zulässig, den Kunden unverzüglich benachrichtigen, wenn Bynder eine Anfrage einer betroffenen Person hinsichtlich der Ausübung der Rechte der betroffenen Person gemäß der Datenschutzgesetzgebung, insbesondere Kapitel III der DSGVO, erhält („Anfrage der betroffenen Person“). Unter Berücksichtigung der Art der Verarbeitung wird Bynder den Kunden durch geeignete technische und organisatorische Maßnahmen unterstützen, soweit dies möglich ist, damit der Kunde seiner Verpflichtung zur Beantwortung von Anfragen betroffener Personen im Rahmen der Datenschutzgesetzgebung nachkommen kann. Soweit der Kunde eine Anfrage der betroffenen Person nicht bearbeiten kann, wird Bynder auf Anfrage des Kunden wirtschaftlich angemessene Anstrengungen unternehmen, um den Kunden bei der Beantwortung dieser Anfrage der betroffenen Person zu unterstützen. Soweit gesetzlich zulässig, ist der Kunde für alle Kosten verantwortlich, die sich aus der Bereitstellung einer solchen Unterstützung durch Bynder ergeben.

  1. Unterstützung des Kunden bei der Erfüllung eigener Pflichten

    Unter Berücksichtigung der Art der Verarbeitung und der Bynder zur Verfügung stehenden Informationen unterstützt Bynder den Kunden in angemessener Weise bei der Erfüllung seiner einschlägigen Verpflichtungen gemäß Artikel 32 bis 36 DSGVO. Soweit gesetzlich zulässig, ist der Kunde für alle Kosten verantwortlich, die sich aus der Bereitstellung einer solchen Unterstützung durch Bynder ergeben.

  1. Meldung von Verletzungen des Schutzes personenbezogener Daten

    Bynder benachrichtigt den Kunden unverzüglich, jedenfalls stets innerhalb von 48 Stunden, nachdem Bynder von der unbeabsichtigten oder unrechtmäßigen Vernichtung, dem Verlust, der Veränderung, der unbefugten Offenlegung oder dem Zugriff auf personenbezogene Daten, die von Bynder oder seinen Unterauftragsverarbeitern übermittelt, gespeichert oder anderweitig verarbeitet wurden, Kenntnis erlangt hat („Verstöße beim Schutz personenbezogener Daten“). Die Benachrichtigung über Verstöße beim Schutz personenbezogener Daten, falls zutreffend, wird per E-Mail an die E-Mail-Adresse gesendet, die für Mitteilungen im entsprechenden Bestellformular angegeben ist; falls keine E-Mail-Adresse angegeben ist, erfolgt die Mitteilung an einen oder mehrere Produktadministrator(en) des Kunden. Bynders Verpflichtung, den Kunden über eine Verletzung des Schutzes personenbezogener Daten zu informieren, stellt keine Anerkennung eines Verschuldens oder einer Haftung durch Bynder in Bezug auf die Verletzung des Schutzes personenbezogener Daten dar. Die Verpflichtungen aus diesem Abschnitt 9 gelten nicht für Vorfälle, die vom Kunden oder seinen Benutzern verursacht werden.

  1. Rückgabe und Löschung personenbezogener Daten

    1. Auf Verlangen des Kunden in Form einer Mitteilung an [email protected]wird Bynder personenbezogene Daten in Übereinstimmung mit den in der Vereinbarung festgelegten Zeiträumen zurückgeben oder löschen, es sei denn, EU-Recht oder die Gesetze eines EU-Mitgliedstaats verlangen, dass Bynder die personenbezogenen Daten aufbewahrt. Bynder wird personenbezogene Daten 180 Kalendertage nach Beendigung oder Ablauf der Vereinbarung löschen. Bynder ist verpflichtet, personenbezogene Daten in Übereinstimmung mit der/den neuesten Methode(n) zur Datenbereinigung zu entsorgen, so wie in NIST 800-88 („Richtlinien für die Medienbereinigung“) beschrieben.

    2. Ungeachtet gegenteiliger Bestimmungen in diesem DPA kann Bynder personenbezogene Daten aufbewahren, wenn und solange dies gesetzlich vorgeschrieben ist.

    3. Personenbezogene Daten, die in den automatischen Backup- oder Archivierungssystemen von Bynder gespeichert sind, werden automatisch 180 Tage nach dem Backup oder ansonsten so schnell wie technisch möglich gelöscht.

    4. Wenn der Kunde personenbezogene Daten auf einer Festplatte oder anderen Formen von Wechselmedien bereitstellt, müssen diese Wechselmedien verschlüsselt oder passwortgeschützt sein. Bynder wird in Zusammenarbeit mit dem Kunden entweder die Wechselmedien an den Kunden zurückgeben oder diese Wechselmedien durch einen zertifizierten Dritten sicher vernichten. Ein Vernichtungszertifikat kann dem Kunden auf Anfrage zur Verfügung gestellt werden.

  1. Kontrollrechte des Kunden

    1. Zusammenfassender Bericht der Internen Revision. Zusätzlich zu Abschnitt 5.3 prüft Bynder regelmäßig die Sicherheit der Datenverarbeitungssysteme. Auf schriftliches Verlangen des Kunden wird Bynder dem Kunden eine Zusammenfassung der Ergebnisse dieser Prüfung („Zusammenfassender Bericht“) zur Verfügung stellen, um die Einhaltung der Verpflichtungen aus diesem DPA nachzuweisen.

    2. Kontrolle durch den Kunden. Wenn der Kunde belegt, dass der zusammenfassende Bericht die Einhaltung dieses DPA von Bynder nicht zufriedenstellend nachweisen kann und dass er einen begründeten Verdacht hegt, dass Bynder gegen diesen DPA verstößt, kann der Kunde eine Kontrolle in den Räumlichkeiten von Bynder, jedoch nicht öfter als einmal pro Jahr und vorbehaltlich der in der Vereinbarung festgelegten Geheimhaltungsverpflichtungen und der folgenden Bedingungen, durchführen:

      • Der Kunde muss mindestens 30 Tage im Voraus eine schriftliche Mitteilung an [email protected] senden. Eine solche Mitteilung muss die Gründe für den Kontrollantrag angeben und wird mit der Eingangsbestätigung von Bynder wirksam.
      • Kontrollen werden innerhalb eines einvernehmlich vereinbarten Umfangs, einer einvernehmlich bestimmten Dauer und eines einvernehmlich festgelegten Zeitplans durchgeführt; sie werden vom Kunden oder einem von Bynder vorab genehmigten Dritten durchgeführt, wobei diese Genehmigung nicht unangemessen verweigert werden darf; und die Kontrollen werden innerhalb der normalen Geschäftszeiten von Bynder und nach besten Kräften so durchgeführt, dass Störungen des Geschäftsbetriebs von Bynder vermieden werden.

    3. Kosten. Die Kosten einer Kontrolle in den Räumlichkeiten von Bynder gemäß Abschnitt 11.2 gehen zu Lasten des Kunden, es sei denn, es wird ein wesentlicher Verstoß (so wie in der Vereinbarung definiert) gegen diesen DPA festgestellt. In diesem Fall trägt Bynder die Kosten.

    4. Nichts in diesem Abschnitt 11 ändert oder modifiziert die Standardvertragsklauseln oder beeinträchtigt die Rechte einer Aufsichtsbehörde oder einer betroffenen Person gemäß den Standardvertragsklauseln.

  1. Internationale Datenübermittlung

    1. Regionen. Der Kunde kann den Ort, an dem die Kundendaten, einschließlich personenbezogener Daten, gehostet werden, in der Vereinbarung angeben („Region“). Sofern nicht anders in diesem DPA vereinbart, oder zur Bereitstellung des vom Kunden in Auftrag gegebenen Produkts und der vom Kunden in Auftrag gegebenen Dienstleistungen oder zur Einhaltung gesetzlicher Bestimmungen erforderlich ist, wird Bynder keine personenbezogenen Daten aus der vom Kunden ausgewählten Region übermitteln. Eine Überführung in ein Drittland findet nur statt, wenn die Bedingungen des Kapitels V der DSGVO erfüllt sind.

    2. Anwendung von Standardvertragsklauseln. Bynder schließt Standardvertragsklauseln mit jedem verbundenen Unternehmen und/oder Unterauftragsverarbeiter ab, wenn die Verarbeitung personenbezogener Daten außerhalb des EWR in ein Drittland übertragen wird, das von der Europäischen Kommission nicht als ein Land anerkannt wird, das ein angemessenes Schutzniveau für personenbezogene Daten bietet. Der Kunde ermächtigt Bynder hiermit, Standardvertragsklauseln (auch) in seinem Namen abzuschließen und beauftragt Bynder, diese gegebenenfalls im Namen des Kunden gegen den jeweiligen Unterauftragsverarbeiter durchzusetzen. Die Standardvertragsklauseln gelten nicht für personenbezogene Daten, die nicht außerhalb des EWR übertragen werden.

    3. Rangfolge. Wenn die Standardvertragsklauseln gelten, ändert oder modifiziert nichts in diesem Abschnitt 12 die Standardvertragsklauseln.

  1. Haftungsbeschränkung

    Die Gesamthaftung jeder Partei, die sich aus diesem DPA ergibt oder mit ihm zusammenhängt, ob aus Vertrag, unerlaubter Handlung oder einer anderen Haftungstheorie, unterliegt dem Abschnitt „Haftungsbeschränkung“ der Vereinbarung, und jede Bezugnahme in diesem Abschnitt auf die Haftung einer Partei steht für die Gesamthaftung dieser Partei und aller ihrer verbundenen Unternehmen im Rahmen der Vereinbarung und aller DPAs zusammen.

  1. Gesamte Vereinbarung, Hierarchie

    Mit Ausnahme der Änderungen, die durch diesen DPA vorgenommen werden, bleibt die Vereinbarung in vollem Umfang in Kraft und wirksam. Wenn es einen Konflikt zwischen einer anderen Vereinbarung zwischen den Parteien, einschließlich der Vereinbarung und diesem DPA, gibt, haben die Bedingungen dieses DPA im Umfang des Konflikts Vorrang.

  1. Laufzeit und Kündigung

    Dieser DPA tritt gleichzeitig mit der Vereinbarung in Kraft und endet automatisch bei Beendigung oder Ablauf der Vereinbarung.

  1. Liste der Anhänge

    Anhang 1: Details der Verarbeitung personenbezogener Daten
    Anhang 2: Liste der Unterauftragsverarbeiter und Bynder-Unternehmen
    Anhang 3: Sicherheitsmaßnahmen
    Anhang 4: Standardvertragsklauseln

Für die Anhänge PDF herunterladen

Veröffentlicht: 23 September 2021