Datos contractuales de la parte contratante
Vertragstext
Contrato de encargo de tratamiento de conformidad con el art. 28, sec. 3 del Reglamento General de Protección de Datos (RGPD)
entre el responsable del tratamiento:
[[Firma]]
[[Name]]
[[Strasse]] [[Strasse2]]
[[PLZ]] [[Ort]]
– Parte contratante –
y el encargado del tratamiento:
Saal Digital Fotoservice GmbH
Weidenauer Straße 160
57076 Siegen
Alemania
– Parte contratada –
Preámbulo
En este acuerdo, se especifican las obligaciones en materia de protección de datos de las partes contractuales que se derivan del encargo de tratamiento descrito en este acuerdo y en el Anexo A. Es de aplicación en cualquier actividad que esté relacionada con la prestación del servicio y a raíz de la cual los trabajadores de la parte contratada o terceros contratados por la parte contratada pudieran entrar en contacto con los datos personales de la parte contratante.
Los acuerdos particulares en este acuerdo de protección de datos prevalecen sobre las Condiciones generales de venta de la parte contratada.
§ 1. Definiciones
(1) Datos personales
Según el art. 4, sec. 1 del RGPD se consideran datos personales toda información que tenga relación con una persona física identificada o identificable (en adelante, "el interesado"); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
(2) Encargado del tratamiento
Según el art. 4, sec. 8 del RGPD, un encargado del tratamiento es una persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
(3) Instrucción
Una instrucción es un requerimiento, en general por escrito, de la parte contratante relacionado con un tratamiento concreto a nivel de protección de datos que el proveedor lleva a cabo con los datos personales (por ejemplo, conservación, seudonimización, eliminación, comunicación). Las instrucciones son dadas por la parte contratante y pueden modificarse, completarse o sustituirse por instrucciones particulares. Las instrucciones de la parte contratante se enviarán por escrito o por correo electrónico.
§ 2 Objeto, duración y concreción del encargo de tratamiento
De este acuerdo se deriva el objeto y la duración del encargo, así como el tipo y la finalidad del tratamiento. En particular, es parte esencial del tratamiento de datos el desglose de datos del Anexo A.
Este acuerdo es de aplicación hasta que sea revocado. Su revocación ha de formularse por escrito.
§ 3 Ámbito de aplicación y responsabilidad
La parte contratada realiza un tratamiento de los datos personales por encargo de la parte contratante, que comprende unas tareas que se concretan en este acuerdo. La parte contratante es el único responsable en virtud de este acuerdo del cumplimiento de las disposiciones legales de la normativa de protección de datos, en particular de la legalidad de la cesión de datos a la parte contratada, así como de la legalidad del tratamiento de datos ("responsable" en el sentido del art. 4, núm. 7 del RGPD).
§ 4 Obligaciones de la parte contratada
(1) La parte contratada está facultada para efectuar un tratamiento de los datos de los interesados exclusivamente en virtud del encargo y de acuerdo con las instrucciones de la parte contratante, salvo que exista un caso excepcional según lo dispuesto en el art. 28, sec. 3, a) del RGPD. La parte contratada informará a la parte contratante de inmediato si considera que una instrucción contraviene leyes vigentes. La parte contratada está facultada para suspender la ejecución de la instrucción hasta que la parte contratante la confirme o modifique.
(2) La parte contratada adaptará la organización interna de la empresa dentro de su ámbito de responsabilidad para que cumpla con los requerimientos específicos en materia de protección de datos. Aplicará medidas técnicas y organizativas para la adecuada protección de los datos de la parte contratante de tal forma que se satisfagan las exigencias del Reglamento General de Protección de Datos (art. 32 del RGPD). La parte contratada deberá aplicar medidas técnicas y organizativas para asegurar a largo plazo la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento. La parte contratante conoce estas medidas técnicas y organizativas, y asume que estas ofrecen un nivel de protección adecuado frente a los riesgos de los datos a tratar.
La parte contratada se reserva el derecho a modificar las medidas de seguridad en cuestión, aunque se ha de garantizar que el nivel de protección acordado no se vea afectado.
(3) La parte contratada colaborará, de haberse convenido así y dentro de sus posibilidades, con la parte contratante en el diligenciamiento de solicitudes y reclamaciones de interesados de acuerdo con el capítulo III del RGPD, así como en el cumplimiento de las obligaciones recogidas desde el art. 33 hasta el art. 36 del RGPD.
(4) La parte contratada garantizará que se prohíba el tratamiento de los datos al margen de la instrucción a los empleados que se ocupen del tratamiento de los datos de la parte contratante y a otras personas que trabajen para la parte contratada. Asimismo, la parte contratada garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria. La obligación de confidencialidad o secreto se cumplirá también tras la finalización del encargo.
(5) La parte contratada informará a la parte contratante sin más dilación cuando tenga conocimiento de infracciones en la seguridad de los datos personales de la parte contratante.
La parte contratada aplicará las medidas necesarias para proteger los datos y minimizar las posibles consecuencias perjudiciales para los interesados. Para ello, se pondrá de acuerdo sin más demora con la parte contratante.
(6) La parte contratada designará a una persona de contacto para la parte contratante en caso de dudas sobre protección de datos que se circunscriban a este acuerdo.
(7) La parte contratada garantizará que cumple con las obligaciones derivadas del art. 32, sec. 1, letra d del RGPD para implementar un proceso de verificación regular sobre la eficacia de las medidas técnicas y organizativas al objeto de garantizar la seguridad del tratamiento.
(8) La parte contratada rectificará o suprimirá los datos objetos del acuerdo si así se lo indica la parte contratante y si la instrucción así lo contempla. En el supuesto de que no sea posible llevar a cabo una supresión o correspondiente limitación del tratamiento de datos que respete la protección de datos, la parte contratada se encargará de destruir los soportes de almacenamiento de datos y cualquier otro material por petición de la parte contratante, respetando la normativa de protección de datos, o devolverá esos soportes de almacenamiento a la parte contratante, salvo que no se haya pactado anteriormente.
En los casos especiales que serán determinados por la parte contratante, si se realiza una conservación o entrega, se deberá acordar en cada caso una remuneración y las medidas de protección.
(9) Los datos, soportes de almacenamiento, así como cualquier otro tipo de material serán, bien entregados, o bien eliminados a la finalización del contrato por petición de la parte contratante.
(10) En caso de un requerimiento de la parte contratante por un interesado en relación con alguna posible reclamación según lo dispuesto en el art. 82 del RGPD, la parte contratada se comprometerá a facilitar apoyo a la parte contratante en la defensa contra la reclamación dentro de sus posibilidades.
§ 5 Obligaciones de la parte contratante
(1) La parte contratante tendrá que informar a la parte contratada sin dilación y exhaustivamente si se percata en los resultados del encargo de errores o irregularidades con relación a la normativa de protección de datos.
(2) En caso de un requerimiento de la parte contratante por un interesado en relación con alguna posible reclamación según lo dispuesto en el art. 82 del RGPD, es de aplicación el § 4, sección 10.
(3) La parte contratante designará a una persona de contacto para la parte contratada en caso de las dudas sobre protección de datos que se circunscriban a este acuerdo.
§ 6 Solicitudes de interesados
En caso de que un interesado se comunique con la parte contratada para solicitar la rectificación, eliminación o información, la parte contratada pondrá en contacto al interesado con la parte contratante, siempre que sea posible relacionarlo con la parte contratante según la información facilitada por el interesado. La parte contratada reenviará la petición del interesado a la parte contratante sin más dilación. La parte contratada colaborará con la parte contratante dentro de sus posibilidades en relación con la instrucción si así se ha convenido. La parte contratada no se responsabilizará en el supuesto de que la solicitud del interesado quede sin contestar, no sea contestada con exactitud o no sea contestada por la parte contratante dentro de plazo.
§ 7 Opciones de comprobación
(1) La parte contratada demostrará a la parte contratante con medios adecuados que cumple con las obligaciones establecidas en este acuerdo.
(2) En el caso concreto de que sea necesario llevar a cabo una inspección por parte de la parte contratante o uno de sus auditores contratados, tendrá lugar dentro del horario comercial habitual sin alterar el normal funcionamiento de la empresa, con cita previa y dándose un tiempo razonable. La parte contratada puede poner como condición para ello que haya cita previa con la suficiente antelación y que se firme un acuerdo de confidencialidad con relación a los datos de otros clientes y las medidas técnicas y organizativas implementadas. En caso de que el auditor contratado por la parte contratante se encuentre en relación de competencia con la parte contratada, tendrá la parte contratada derecho a oponerse. La parte contratada está facultada para solicitar una remuneración por colaborar en la realización de una inspección. El uso de la inspección queda limitado por regla general a un día por año natural.
(3) En caso de que una autoridad de control encargada de la protección de datos o algún otro tipo de autoridad de control pública de la parte contratante realice una inspección, será de aplicación la sección 2. No se requiere firmar un acuerdo de confidencialidad si esta autoridad de control está sujeta a un secreto profesional o legal en el que sea punible una infracción según el código penal.
§ 8 Subcontratistas (otros encargados del tratamiento)
(1) El uso de subcontratistas como otros encargados del tratamiento está permitido exclusivamente si la parte contratante ha prestado su consentimiento previamente.
(2) Una relación con subcontratistas de obligada aceptación tiene lugar cuando la parte contratada contrata a otros proveedores para prestar parte o la totalidad del servicio que se ha pactado en este acuerdo. La parte contratada cerrará acuerdos con estos terceros en la medida necesaria para garantizar el mantenimiento de medidas adecuadas en materia de protección de datos y seguridad de la información.
Los servicios pactados o los servicios parciales descritos a continuación son prestados con la colaboración de los siguientes subcontratistas:
Nombre y domicilio social del subcontratista
Amazon Web Services Germany GmbH
Krausenstr. 38
10117 Berlín (Alemania)
Centro informático en la región de AWS en Fráncfort, Alemania (centro informático)
Descripción de los servicios prestados parcialmente
-Corrección de imagen
-Tratamiento previo de impresión
-Almacenamiento de datos
Antes de apoyarnos en otros o sustituir los subcontratistas expuestos anteriormente, la parte contratada solicitará el consentimiento de la parte contratante, aunque este no se podrá desestimar sin citar un motivo de peso fundamentado en la normativa de protección de datos.
(3) En caso de que la parte contratada realice encargos a subcontratistas, la parte contratada quedará obligada a transferir al subcontratista sus obligaciones derivadas de la normativa de protección de datos y de este acuerdo.
§ 9 Deber de informar, exigencia de forma escrita, sistema jurídico aplicable
(1) En caso de que los datos de la parte contratante se vean expuestos a causa de un embargo o una incautación, o por un proceso de insolvencia o de tipo concursal, o con motivo de cualquier otro acontecimiento o medida impuesta por terceros que afecten a la parte contratada, la parte contratada deberá informar a la parte contratante al respecto sin dilación. La parte contratada informará de inmediato a todos los responsables que guarden relación con este asunto de que los derechos y la propiedad de los datos pertenecen exclusivamente a la parte contratante como "responsable" en el sentido del Reglamento General de Protección de Datos.
(2) Cualquier modificación o ampliación de este anexo y de todas sus partes, más las posibles garantías de la parte contratada inclusive, requieren de un acuerdo por escrito, que también se puede presentar en formato electrónico (en forma de texto), y de la mención expresa de que se trata de una modificación o ampliación de estas condiciones. Esto es de aplicación también en caso de renunciar a la exigencia de forma.
(3) En caso de eventuales recursos, tienen preferencia las cláusulas de este acuerdo relativas a la protección de datos sobre las cláusulas de este acuerdo. Si se declaran nulas partes concretas de este anexo, la validez de las partes restantes del anexo no quedará afectada por ello.
(4) Es de aplicación el sistema jurídico alemán.
§ 10 Responsabilidad e indemnización
Tanto la parte contratante como la parte contratada responderán frente a los interesados según lo establecido en el acuerdo pactado en el art. 82 del RGPD.
§ 11 Cláusula de separabilidad y jurisdicción, Aplicabilidad
(1) Si cualquier disposición de este acuerdo fuere invalidada o quedara irrealizable, o sin ser válida o realizable, no quedarán afectadas por ello las restantes disposiciones de este acuerdo. Las partes acuerdan sustituir las disposiciones nulas o irrealizables por disposiciones válidas y realizables que se acerquen más a los intereses económicos de las partes. Esto es de igual aplicación en caso de vacíos legislativos.
(2) Cualquier modificación o ampliación de este acuerdo y de todas sus partes, más las posibles garantías de la parte contratada inclusive, requieren de un acuerdo por escrito o en forma de texto (formato electrónico), y de la mención expresa de que se trata de una modificación o ampliación de este acuerdo. Esto es de aplicación también en caso de renunciar a la exigencia de forma.
(3) Esta traducción se publica con fines informativos y no es un documento legalmente vinculante. Las disposiciones originales se recogen en la versión original en alemán.
(4) Las partes se someten a la jurisdicción de los tribunales de Siegen, Alemania.
16.07.2026, [[Ort]]
Fdo. [[Name]]
16.07.2026, Siegen
Fdo. Reinhard Saal, Robin Saal, Tim Saal, Florian Stellwag (Administradores, Saal Digital Fotoservice GmbH)
[El presente acuerdo es válido sin firma.]
Anexo B: Medidas técnicas y organizativas
| Medida |
Objetivo de protección |
Beschreibung |
| Zutrittskontrolle |
| Closed Shop-Betrieb (nur berechtigte Personen haben Zutritt) |
C |
. |
| Einsatz eines Zugangskontrollsystems |
C |
Schlüsselregelung und aktuelle Schlüsselliste |
| Einsatz eines Zugangskontrollsystems, Schlüsselregelung und aktuelle Schlüsselliste |
C |
|
| Festlegung der zugangsberechtigten Personen |
C |
. |
| Identifikation durch Ausweise |
C |
. |
| Protokollierung der Zu- und Abgänge |
C |
. |
| Revisionsfähigkeit der Zugangsberechtigungen |
C |
. |
| Richtlinien zur Begleitung und Kennzeichnung von Gästen im Gebäude |
C |
. |
| Zugangsregelungen für betriebsfremde Personen |
C |
. |
| Zugangskontrolle |
| Festlegung der nutzungsberechtigten Personen und Einschränkung der Benutzerrechte auf Tätigkeitsbereiche |
C |
. |
| geteiltes Passwort mit 4-Augen-Prinzip |
C |
Ohne das
Beisein bzw. die Eingabe des 2. Teils des Passworts kein Zugriff. |
| Identifikation und Authentifizierung der Benutzer |
C |
. |
| Passwortrichtlinie |
C |
(Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) |
| Passwortrichtlinie (Angabe von Kennwortparametern hinsichtlich Komplexität und Aktualisierungsintervall) |
C |
|
| Regelungen / Voraussetzungen zur Telearbeit |
C |
(Zwei-Faktor-Authentifizierung) |
| Regelungen / Voraussetzungen zur Telearbeit (Zwei-Faktor-Authentifizierung) |
C |
|
| Sicherung der Datenstationen, Netze und Übertragungsleitungen |
C |
. |
| Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität |
C |
(auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) |
| Sperrung der Clients nach gewissem Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung) |
C |
|
| Verschlüsselung der zu übertragenden Daten |
C |
. |
| Zugriffskontrolle |
| Anlegen von revisionsfähigen Benutzerprofilen |
C |
. |
| Benutzerbezogene Protokollierung der (Fehl-)Zugriffe |
C |
. |
| Beschränkung der freien Abfragemöglichkeiten von Datenbanken |
C |
(Query-Sprache) |
| Beschränkung der freien Abfragemöglichkeiten von Datenbanken (Query-Sprache) |
C |
|
| Einführung zugriffsbeschränkender Maßnahmen |
C |
(z. B. nur Leseberechtigung) |
| Einführung zugriffsbeschränkender Maßnahmen (z. B. nur Leseberechtigung) |
C |
|
| Einsatz von Verschlüsselungsverfahren |
C |
. |
| Identifikation und Authentifizierung der Benutzer |
C |
. |
| Maschinelle Überprüfung der Berechtigungen |
C |
. |
| Zentrale Vergabestelle von Benutzerrechten |
C |
. |
| Weitergabekontrolle |
| Externe Zugriffe auf Daten erfolgt ausschließlich über VPN bzw. verschlüsselten Verbindungen |
C |
. |
| Sichere Übertragung der Daten im Internet durch SSL-Verschlüsselung (https) |
C |
. |
| Eingabekontrolle |
| Festlegung von Eingabebefugnissen |
I |
. |
| Protokollierung der Eingaben, Veränderungen und Löschungen |
I |
. |
| Speicherung des Veranlassers |
I |
. |
| Auftragskontrolle |
| Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber |
C, I, A |
. |
| Formalisierung der Auftragserteilung |
C, I, A |
. |
| Klare Vereinbarungsgestaltung und -ausführung |
C, I, A |
. |
| Protokollierung und Kontrolle der ordnungsgemäßen Vereinbarungsausführung |
C, I, A |
. |
| Schulungen aller zugriffsberechtigten Mitarbeiter. Regelmäßig stattfindende Nachschulungen. |
C, I, A |
. |
| Sorgfältige Auswahl des Auftragnehmers |
C, I, A |
. |
| Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO mit Regelungen zu den Rechten und Pflichten des Auftragnehmers |
C, I, A |
. |
| Verpflichtung auf die Vertraulichkeit Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DS-GVO |
C, I, A |
. |
| Verfügbarkeitskontrolle |
| Application-/Device-Control |
A |
. |
| Brandmelder |
A |
. |
| Klimatisierung |
A |
. |
| Objektsicherung insb. der Serverräume |
A |
. |
| Permanente Serverüberwachung durch Monitoring-Software |
A |
. |
| USV (Unterbrechungsfreie Stromversorgung) |
A |
. |
| Virenschutz / Firewall |
A |
. |
| Trennungsgebot |
| Für interne Zwecke (z.B. Entwicklung, Test und Backup) werden getrennte Systeme mit eigener Datenstruktur genutzt |
C |
. |
| Mandantentrennung auf Auftragsebene - Logische Trennung der Daten |
C |
. |
| Pseudonymisierung |
| Trennung Stammdaten |
C |
Trennung von Kundenstammdaten und Auftragsdaten in der Produktion |
| Verschlüsselung |
| Speicherung |
C |
Verschlüsselte Datenspeicherung (z.B. Dateiverschlüsselung nach AES256 Standard) |
| Übertragung |
C |
Verschlüsselte Datenübertragung (z.B. E-Mailverschlüsselung nach PGP oder S/Mime, VPN, verschlüsselte Internetverbindungen mittels TLS/SSL, Einsatz FTAPI - Datentransfertool) |
| Wiederherstellbarkeit |
| Backup-Systeme zur Wiederherstellung verlorener Daten |
A |
. |
| Dezentrale Datensicherung |
A |
. |
| Mehrfach redundantes Active-Active-Cluster |
A |
. |
| Testen der Wiederherstellung |
A |
. |
| Managementsystem |
| Durchführung regelmäßiger interner Audits |
C, I, A |
. |
| Durchführung regelmäßiger IT-Schwachstellenanalysen (z.B. Penetrationstest) |
C, I, A |
. |
| Einsatz softwaregestützter Tools zur Einhaltung der datenschutzrechtlichen Anforderungen |
C, I, A |
. |
| Einsatz von Software mit datenschutzfreundlichen Voreinstellungen gem. (Art. 25 Abs. 2 DS-GVO) |
C, I, A |
. |
| Incident-Response-System zur Nachvollziehbarkeit von Sicherheitsverstößen und Problemen |
C, I, A |
. |
| Managementsystem zum Datenschutz und der Informationssicherheit (in Anlehnung an ISO 27001) |
C, I, A |
. |
Firmantes