Hovedkontraktens detaljer
Vertragstext
Kontrakt om databehandlingsaftale i overenstemmelse med artikel 28, stk. 3, i den generelle databeskyttelsesforordning(GDPR).
mellem den ansvarlige person:
[[Firma]]
[[Name]]
[[Strasse]] [[Strasse2]]
[[PLZ]] [[Ort]]
- Ordregiver -
og ordregiveren:
Saal Digital Fotoservice GmbH
Weidenauer Straße 160
57076 Siegen, Tyskland
- Ordregiver -
Præambel
Denne aftale skal angive parternes juridiske forpligtelser vedrørende databeskyttelse, som beskrevet i denne aftale og i tillæg A. Det gælder for alle aktiviteter, der er relateret til tjenesten, og hvor medarbejdere fra ordremodtageren eller tredjeparter, der er ansat af ordremodtageren, kan komme i kontakt med ordregiverens personoplysninger. De særlige aftaler i denne databeskyttelsesaftale har forrang frem for de generelle salgsbetingelser.
§ 1 Definitioner
(1) Personoplysninger
I henhold til artikel 4, stk 1 i GDPR er personoplysninger enhver form for information om en identificeret eller identificerbar fysisk person (”den registrerede”); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres,navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.
(2) Databehandler
I henhold til artikel 4, stk 8 i GDPR er en databehandler en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.
(3) Instruktion
En instruktion er et skriftligt krav fra ordregiver vedrørende en specifik behandling på det databeskyttelsesniveau, som ordremodtageren behandler personoplysningerne (f.eks. opbevarelse, pseudonymisering, sletning, offentliggørelse). Instruktionen gives af ordregiveren og kan ændres, udfyldes eller erstattes af specifikke instruktioner. Ordregiverens anvisninger sendes skriftligt eller via email.
§ 2 Formål, varighed og specifikation af ordrebehandlingen
Formålet med denne aftale er at definere opgavens formål og varighed, samt type og formålet med behandlingen. Især er oplysningerne i dataene i bilag A en del af databehandlingen.
Denne aftale gælder, indtil den er tilbagekaldt. Din tilbagekaldelse skal være skriftlig.
§ 3 Anvendelsesområde og ansvar
Ordremodtageren behandler personoplysninger på vegne af ordregiveren. Dette omfatter aktiviteter, der er specificeret i denne aftale. Inden for rammerne af aftalen er ordregiveren ene-ansvarlig for at overholde lovbestemmelserne i databeskyttelsesloven, især for lovligheden af dataoverførslen til ordremodtageren, og for lovligheden af databehandlingen ("den dataansvarlige" i henhold til artikel 4 nr.7 i GDPR).
§ 4 Ordremodtagerens forpligtelser
(1) Ordremodtageren må kun behandle data fra personer inden for rækkevidden af kundens ordre og instruktioner, medmindre der foreligger en usædvanlig sag i henhold til artikel 28, stk. 3, litra a) i GDPR. Ordremodtageren skal straks underrette kunden om, at han mener, at et direktiv overtræder den gældende lovgivning. Ordremodtageren kan suspendere gennemførelsen af instruktionen, indtil den er blevet bekræftet eller ændret af ordregiveren.
(2) Ordremodtageren vil tilpasse virksomhedens interne organisation inden for sit ansvarsområde, så den overholder de specifikke krav til databeskyttelse. Tekniske og organisatoriske foranstaltninger vil blive anvendt til at beskytte kundens data tilstrækkeligt på en sådan måde, at kravene i den generelle databeskyttelsesforordning er opfyldt (artikel 32 i GDPR). Ordremodtageren er forpligtet til at anvende tekniske og organisatoriske foranstaltninger for at sikre en langsigtet fortrolighed, integritet, tilgængelighed og permanent modstandsdygtighed i behandlingssystemer og -tjenester. Ordremodtageren er opmærksom på disse tekniske og organisatoriske foranstaltninger, og er ansvarlig for at tilbyde et tilstrækkeligt beskyttelsesniveau mod risikoen for de data, der skal behandles.Ordremodtageren forbeholder sig ret til at ændre de pågældende sikkerhedsforanstaltninger, selvom det skal sikres, at det aftalte beskyttelsesniveau ikke påvirkes.
(3) Ordremodtageren vil, hvis det er aftalt og inden for sine muligheder, hjælpe ordregiveren med at opfylde anmodninger og krav fra interesserede parter i overensstemmelse med kapitel III i GDPR, samt i overensstemmelse med forpligtelserne i artikel 33 op til 36 i GDPR.
(4) Ordremodtageren garanterer, at de medarbejdere, der arbejder for ordremodtageren, og som er involveret i behandlingen af data fra klienten og andre personer, forbydes at behandle data uden for instruktionerne. Desuden garanterer ordremodtageren, at de personer,der har tilladelse til at behandle personoplysningerne, er forpligtet til fortrolighed eller er omfattet af en passende retlig tavshedspligt. Tavshedspligten/fortroligheden fortsætter, selv efter at ordren er afsluttet.
(5) Ordremodtageren vil informere ordregiveren med det samme, hvis han eller hun bliver opmærksom på krænkelser i beskyttelsen af ordregiverens personoplysninger.
Ordremodtageren vil træffe de nødvendige foranstaltninger for at beskytte dataene og reducere de mulige negative konsekvenser for de berørte personer og straks informere ordregiveren.
(6) Ordremodtageren vil udpege en kontaktperson for kunden i tilfælde af tvivl om databeskyttelse, der er begrænset til denne aftale.
(7) Ordremodtageren skal sikre sig, at sine forpligtelser bliver opfyldt i henhold til Art. 32 stk. 1 point d) i GDPR ved at etablere en procedure for regelmæssig gennemgang af effektiviteten af de tekniske og organisatoriske foranstaltninger for at sikre sikkerheden ved behandling.
(8) Ordremodtageren retter eller sletter de aftalte data, hvis ordregiver beder om det, og dette er inkluderet i en instruktion. Hvis sletning i overensstemmelse med databeskyttelse eller en tilsvarende begrænsning af databehandling ikke er mulig, skal ordremodtageren slette datamedier og andre materialer, i overensstemmelse med databeskyttelsen på grundlag af, en individuel bestilling er foretaget af ordregiveren, eller returnere disse data til kunden, med mindre andet er aftalt.
I særlige tilfælde, der skal fastlægges af ordregiveren, aftales en lagring, kompensation og beskyttelsesforanstaltninger separat.
(9) Data, datamedier samt alle andre materialer skal enten udleveres efter afslutningen af ordren eller slettes på ordregiverens anmodning.
(10) I tilfælde af et krav fra en berørt person med hensyn til eventuelle krav i henhold til artikel 82 i GDPR forpligter ordremodtageren sig til at hjælpe ordregiveren med at forsvare kravet efter hans bedste evne.
§ 5 Ordregivers forpligtelser
(1) Ordregiveren skal straks oplyse ordremodtageren, hvis han finder fejl eller uregelmæssigheder i henhold til databeskyttelsesbestemmelserne i ordren.
(2) I tilfælde af en klage fra en tredjemand til ordregiveren i henhold til artikel 82 i GDPR bliver §4, stk. 10, anvendt.
(3) Ordregiveren skal give ordremodtageren kontaktdetaljerne på en kontaktperson, i tilfælde af spørgsmål om databeskyttelse i denne aftale.
§ 6 Forespørgsler fra berørte personer
Hvis en berørt person henvender sig til ordremodtageren med krav om rettelse, sletning eller information, henviser ordremodtageren den berørte person til ordregiveren, forudsat at henvisningen er mulig ifølge data fra den berørte person. Ordremodtageren fremsender straks den pågældende persons krav til ordregiveren. Ordremodtageren skal støtte ordregiveren inden for rammerne af sine muligheder og aftalte instruktioner. Ordremodtageren er ikke ansvarlig, hvis ordregiveren ikke reagerer på den pågældende persons anmodning, ikke reagerer korrekt eller ikke reagerer rettidigt.
§ 7 Bevismuligheder
(1) Ordremodtageren skal bevise overfor ordregiveren, at han har overholdt forpligtelserne i denne aftale på passende vis.
(2) I det enestående tilfælde, at ordregiver kræver en inspektion, eller den kræves af en inspektør pålagt af sidstnævnte, vil den finde sted i løbet af normal åbningstid, uden at afbryde den normale drift og efter aftale, samt under hensyntagen til at give varsel i rimelig tid. Ordremodtageren kan kræve, at det skal ske på betingelse af en forudgående aftale, samt at der skal indgås en fortrolighedsaftale vedr. data fra andre kunder samt vedr. de tekniske og organisatoriske foranstaltninger. I tilfælde af at inspektøren ansat af ordregiveren, er i et konkurrenceforhold med ordremodtagerens part, har ordremodtageren ret til at klage. Ordremodtageren har ret til at anmode om vederlag for samarbejdet i forbindelse med udførelsen af en inspektion. Brug af inspektion er som regel begrænset til en dag pr. kalenderår.
(3) Hvis en kontrolmyndighed med ansvar for databeskyttelse eller en anden form for offentlig kontrolmyndighed i ordergiverens part foretager en inspektion, anvendes §2. Det er ikke nødvendigt at underskrive en fortrolighedsaftale, hvis denne kontrolmyndighed er underlagt en professionel eller juridisk tavshedspligt, hvor en lovovertrædelse i straffelovgivningen er strafbar.
§ 8 Underleverandør (andre databehandlere)
(1) Brugen af underleverandør som en yderliger databehandler er kun tilladt, hvis det er ifølge aftale med ordregiveren.
(2) En underleverandøraftale skal godkendes, hvis ordremodtageren pålægger andre leverandører til at levere en del af eller hele den service, der er aftalt i denne aftale. Ordremodtageren skal indgå aftaler med disse tredjeparter i det omfang, det er nødvendigt for at sikre passende databeskyttelses- og informations- sikkerhedsforanstaltninger. De aftalte tjenester eller de delvise tjenester, der beskrives nedenfor, udføres med af følgende underleverandører:
Underleverandørens navn og adresse
Amazon Web Services Germany GmbH
Krausenstr. 38
10117 Berlin
Datacenter i AWS Region Frankfurt, Tysland (Datacenter)
Beskrivelse af delvise tjenester
-Billedforbedring
-Forbehandling
-Datalagring
Hvis de nævnte underleverandører bliver ændret, eller der skal tilføjes flere underleverandører, vil ordremodtageren anmode om samtykke fra ordregiveren, selv om denne ikke kan nægte uden at nævne en væsentlig begrundelse, der støttes af databeskyttelsesbestemmelserne.
(3) I tilfælde af at ordremodtageren laver en bestilling hos en eller flere underleverandører, er ordremodtageren forpligtet til at overdrage underleverandøren sine forpligtelser i henhold til databeskyttelsesforordningen og denne aftale.
§ 9 Pligt til at informere, krav i skriftlig form, gældende retssystem
(1) Hvis ordregiverens data er truet af beslaglæggelse, eller beslaglæggelse ved en konkurs, afviklingsprocedure eller af andre begivenheder eller foranstaltninger fra tredjeparter, vil ordremodtageren straks underrette ordregiveren om det. Ordremodtageen underretter straks alle de ansvarlige i denne sammenhæng om, at suveræniteten og ejerskabet af data udelukkende er hos ordregiveren som ”dataansvarlig” som defineret i den generelle databeskyttelsesforordning.
(2) Ændringer og tilføjelser til dette bilag og alle dets komponenter, herunder eventuelle kontrakter fra ordremodtageren, kræver en skriftlig aftale, som også kan være i elektronisk form (tekst-formular) med en udtrykkelig angivelse af, at det er et ændringsforslag eller en ændring. Dette gælder også for ophævelse af dette formkrav.
(3) I tilfælde af modsigelser har bestemmelserne i denne aftale om databeskyttelse forrang i forhold til kontraktens bestemmelser. Skulle enkelte dele af dette bilag være ugyldige, påvirker dette ikke gyldigheden af resten af bilaget.
(4) Den tyske lov er gældende.
§ 10 Ansvar og skader
Ordregiveren og ordremodtageren er hæfter for de berørte personer i overensstemmelse med bestemmelserne i artikel 82 i GDPR.
§ 11 Adskillelse klausul, jurisdiktion, Anvendelighed
(1) Hvis en bestemmelse i denne aftale er eller bliver ugyldig eller uhåndhævelig, påvirker dette ikke de resterende bestemmelser i denne aftale. Parterne er enige om at erstatte den ugyldige eller uhåndhævede bestemmelse med en gyldig og fuldbyrdelsesbestemmelse, som bedst nærmer sig parternes økonomiske formål. Dette gælder også i tilfælde af lovgivningsmæssige huller.
(2) Ændringer og tilføjelser til denne aftale og alle dens komponenter, herunder eventuelle garantier fra ordremodtageren, skal ske skriftligt, som også kan være i elektronisk form (tekst-formular) og skal angive, at det er et ændringsforslag eller tillæg til denne aftale. Dette gælder også i tilfælde af afkald på formkravet.
(3) Denne oversættelse har kun til formål at orientere og er ikke et juridisk bindende dokument. De oprindelige bestemmelser kan findes i den originale tyske version.
(4) Stedet for jurisdiktion er Siegen, Tyskland.
16.07.2026, [[Ort]]
Underskrevet af [[Name]]
16.07.2026, Siegen
Underskrevet af Reinhard Saal, Robin Saal, Tim Saal, Florian Stellwag (Administrerende direktør, Saal Digital Fotoservice GmbH)
[Denne aftale er gyldig uden underskrift.]
Appendix B: Tekniske og organisatoriske foranstaltninger
| Foranstaltning |
Beskyttelsesmål |
Beschreibung |
| Zutrittskontrolle |
| Closed Shop-Betrieb (nur berechtigte Personen haben Zutritt) |
C |
. |
| Einsatz eines Zugangskontrollsystems |
C |
Schlüsselregelung und aktuelle Schlüsselliste |
| Einsatz eines Zugangskontrollsystems, Schlüsselregelung und aktuelle Schlüsselliste |
C |
|
| Festlegung der zugangsberechtigten Personen |
C |
. |
| Identifikation durch Ausweise |
C |
. |
| Protokollierung der Zu- und Abgänge |
C |
. |
| Revisionsfähigkeit der Zugangsberechtigungen |
C |
. |
| Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude |
C |
. |
| Zugangsregelungen für betriebsfremde Personen |
C |
. |
| Zugangskontrolle |
| Festlegung der nutzungsberechtigten Personen und Einschränkung der Benutzerrechte auf Tätigkeitsbereiche |
C |
. |
| geteiltes Passwort mit 4-Augen-Prinzip |
C |
Ohne das
Beisein bzw. die Eingabe des 2. Teils des Passworts kein Zugriff. |
| Identifikation und Authentifizierung der Benutzer |
C |
. |
| Passwortrichtlinie |
C |
(Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) |
| Passwortrichtlinie (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) |
C |
|
| Regelungen / Voraussetzungen zur Telearbeit |
C |
(Zwei-Faktor-Authentifizierung) |
| Regelungen / Voraussetzungen zur Telearbeit (Zwei-Faktor-Authentifizierung) |
C |
|
| Sicherung der Datenstationen, Netze und Übertragungsleitungen |
C |
. |
| Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität |
C |
(auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) |
| Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) |
C |
|
| Verschlüsselung der zu übertragenden Daten |
C |
. |
| Zugriffskontrolle |
| Anlegen von revisionsfähigen Benutzerprofilen |
C |
. |
| Benutzerbezogene Protokollierung der (Fehl-)Zugriffe |
C |
. |
| Beschränkung der freien Abfragemöglichkeiten von Datenbanken |
C |
(Query-Sprache) |
| Beschränkung der freien Abfragemöglichkeiten von Datenbanken (Query-Sprache) |
C |
|
| Einführung zugriffsbeschränkender Maßnahmen |
C |
(z. B. nur Leseberechtigung) |
| Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung) |
C |
|
| Einsatz von Verschlüsselungsverfahren |
C |
. |
| Identifikation und Authentifizierung der Benutzer |
C |
. |
| Maschinelle Überprüfung der Berechtigungen |
C |
. |
| Zentrale Vergabestelle von Benutzerrechten |
C |
. |
| Weitergabekontrolle |
| Externe Zugriffe auf Daten erfolgt ausschließlich über VPN bzw. verschlüsselten Verbindungen |
C |
. |
| Sichere Übertragung der Daten im Internet durch SSL-Verschlüsselung (https) |
C |
. |
| Eingabekontrolle |
| Festlegung von Eingabebefugnissen |
I |
. |
| Protokollierung der Eingaben, Veränderungen und Löschungen |
I |
. |
| Speicherung des Veranlassers |
I |
. |
| Auftragskontrolle |
| Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber |
C, I, A |
. |
| Formalisierung der Auftragserteilung |
C, I, A |
. |
| Klare Vereinbarungsgestaltung und -ausführung |
C, I, A |
. |
| Protokollierung und Kontrolle der ordnungsgemäßen Vereinbarungsausführung |
C, I, A |
. |
| Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen. |
C, I, A |
. |
| Sorgfältige Auswahl des Auftragnehmers |
C, I, A |
. |
| Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragnehmers |
C, I, A |
. |
| Verpflichtung auf die Vertraulichkeit Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO |
C, I, A |
. |
| Verfügbarkeitskontrolle |
| Application-/Device-Control |
A |
. |
| Brandmelder |
A |
. |
| Klimatisierung |
A |
. |
| Objektsicherung insb. der Serverräume |
A |
. |
| Permanente Serverüberwachung durch Monitoring-Software |
A |
. |
| USV (Unterbrechungsfreie Stromversorgung) |
A |
. |
| Virenschutz / Firewall |
A |
. |
| Trennungsgebot |
| Für interne Zwecke (z.B. Entwicklung, Test und Backup) werden getrennte Systeme mit eigener Datenstruktur genutzt |
C |
. |
| Mandantentrennung auf Auftragsebene - Logische Trennung der Daten |
C |
. |
| Pseudonymisierung |
| Trennung Stammdaten |
C |
Trennung von Kundenstammdaten und Auftragsdaten in der Produktion |
| Verschlüsselung |
| Speicherung |
C |
Verschlüsselte Datenspeicherung (z.B. Dateiverschlüsselung nach AES256 Standard) |
| Übertragung |
C |
Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung nach PGP oder S/Mime, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL, Einsatz FTAPI - Datentransfertool) |
| Wiederherstellbarkeit |
| Backup-Systeme zur Wiederherstellung verlorener Daten |
A |
. |
| Dezentrale Datensicherung |
A |
. |
| Mehrfach redundantes Active-Active-Cluster |
A |
. |
| Testen der Wiederherstellung |
A |
. |
| Managementsystem |
| Durchführung regelmäßiger interner Audits |
C, I, A |
. |
| Durchführung regelmäßiger IT-Schwachstellenanalysen (z.B. Penetrationstest) |
C, I, A |
. |
| Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen |
C, I, A |
. |
| Einsatz von Software mit datenschutzfreundlichen Voreinstellungen gem. (Art. 25 Abs. 2 DS-GVO) |
C, I, A |
. |
| Incident-Response-System zur Nachvollziehbarkeit von Sicherheitsverstößen und Problemen |
C, I, A |
. |
| Managementsystem zum Datenschutz und der Informationssicherheit (in Anlehnung an ISO 27001) |
C, I, A |
. |
Underskrivere