Vereinbarung zur Datenverarbeitung

Zuletzt aktualisiert: April 20, 2022

Diese Datenverarbeitungsvereinbarung ist integraler Bestandteil der Allgemeinen Geschäftsbedingungen von Timerise, die unter https://timerise.io/legal-tac-en.html verfügbar sind .

1. DEFINITIONS
   The terms used in Agreement will have the same meaning as assigned to them below and in the Personal Data Protection Law, which among others imply that:
   1. „Timerise“ bedeutet Timerise Sp. z o.o. mit Sitz in Wroclaw, Polen, Anschrift: ul. Inowrocławska 21C/1, 53-653 Wroclaw, Polen, E-Mail: [email protected], Steueridentifikationsnummer (NIP): 8971890756;
   2. „Vereinbarung“ bedeutet diese Datenverarbeitungsvereinbarung;
   3. „Hauptvertrag“ bezeichnet den Vertrag, in dessen Rahmen Sie die Dienste nutzen. Die Allgemeinen Geschäftsbedingungen sind unter https://timerise.io/legal-tac-en.html abrufbar .
   4. „Dienste“ bedeutet Timerise-Dienste, die es dem Kunden z.B. ermöglichen, die Plattform zu nutzen.
   5. „Plattform“ bezeichnet die von Timerise geschaffene, entwickelte und gewartete Online-Buchungsplattform, die in die Website des Kunden integriert werden kann und von den Endnutzern direkt von der Website des Kunden aus genutzt wird.
   6. „Personenbezogene Daten“ sind alle Informationen, die direkt oder indirekt zur Identifizierung einer lebenden natürlichen Person dienen können, die im Rahmen des Abkommens mit der Verarbeitung betraut ist;
   7. „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Erfassen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung von Informationen, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten;
   8. „Verantwortlicher für die Datenverarbeitung“ ist derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, d.h. Sie als Kunde, der die Dienste von Timerise nutzt;
   9. „Datenverarbeiter“ bezeichnet eine Person, die personenbezogene Daten im Auftrag des für die Datenverarbeitung Verantwortlichen verarbeitet, d.h. Timerise als Anbieter der von Ihnen genutzten Dienste;
   10. „Unterauftragsverarbeiter“ bezeichnet einen von Timerise beauftragten Unterauftragnehmer. Der Unterauftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen gemäß der Verpflichtung des Unterauftragsverarbeiters, seine Dienstleistungen für Timerise zu erbringen;
   11. „GDPR“ bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung);
   12. „Höhere Gewalt“ bezeichnet eine Situation, die sich der Kontrolle der betroffenen Partei entzieht, einschließlich, aber nicht beschränkt auf Brände, Überschwemmungen, Epidemien, einschließlich Ereignissen im Zusammenhang mit der Bekämpfung der SARS-CoV-2-Infektion und der Ausbreitung der durch diesen Virus verursachten Infektionskrankheit, Embargos, Kriege (unabhängig davon, ob ein Krieg erklärt wurde oder nicht), Aufstände, Unruhen, Streiks, Versäumnisse oder Verzögerungen bei der Tätigkeit einer Verwaltungsbehörde.
       
       
2. ALLGEMEINE BESTIMMUNGEN
   1. Der für die Verarbeitung Verantwortliche beauftragt Timerise als Auftragsverarbeiter mit der Verarbeitung personenbezogener Daten und verpflichtet sich daher, die personenbezogenen Daten in Übereinstimmung mit der DSGVO und dieser Vereinbarung zu verarbeiten.
   2. Zu den vom für die Verarbeitung Verantwortlichen anvertrauten personenbezogenen Daten gehören die personenbezogenen Daten von Personen, die die Timerise-Plattform im Zusammenhang mit der Erbringung von Dienstleistungen nutzen. Die personenbezogenen Daten, die im Rahmen dieses Abkommens anvertraut werden, sind in Anhang Nr. 1 aufgeführt.
   3. Timerise wird personenbezogene Daten nur für die Dauer des Hauptvertrags verarbeiten.
   4. Timerise und der für die Verarbeitung Verantwortliche vereinbaren, dass es keinen Fall einer automatisierten Entscheidungsfindung unter Verwendung personenbezogener Daten geben wird.
   5. Diese Vereinbarung stellt die dokumentierte Anweisung des für die Verarbeitung Verantwortlichen zur Verarbeitung der personenbezogenen Daten dar. Timerise wird den für die Verarbeitung Verantwortlichen unverzüglich informieren, wenn die Anweisung einen Verstoß gegen die DSGVO, diese Vereinbarung oder andere geltende Datenschutzgesetze darstellt.
      
      
3. DIE AUSSAGEN DES CONTROLLERS
   1. Der für die Verarbeitung Verantwortliche erklärt durch den Abschluss dieses Abkommens, dass:
      1. die personenbezogenen Daten werden im Zusammenhang mit den geschäftlichen oder satzungsgemäßen Tätigkeiten des für die Verarbeitung Verantwortlichen verarbeitet,
      2. der für die Verarbeitung Verantwortliche über eine angemessene und gültige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten verfügt, wie sie von der DSGVO oder anderen geltenden Datenschutzgesetzen gefordert wird,
      3. es keine rechtlichen Hindernisse gibt, die der Übertragung der Verarbeitung personenbezogener Daten an Timerise gemäß dieser Vereinbarung entgegenstehen.
   2. Der für die Verarbeitung Verantwortliche ist verpflichtet, Timerise unverzüglich über alle Umstände zu unterrichten, die ihn an der ordnungsgemäßen Erfüllung dieses Vertrags hindern könnten.
      
      
4. TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
   1. Timerise wird unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie des Risikos einer Verletzung der Rechte und Freiheiten natürlicher Personen mit unterschiedlicher Wahrscheinlichkeit und Schwere geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.
   2. Timerise wird dem für die Verarbeitung Verantwortlichen innerhalb von 10 Arbeitstagen nach Anfrage des für die Verarbeitung Verantwortlichen eine Beschreibung der von Timerise verwendeten technischen und organisatorischen Maßnahmen übermitteln.
   3. Die Beschreibung der technischen und organisatorischen Maßnahmen ist ein Betriebs- und Geschäftsgeheimnis von Timerise. Der für die Verarbeitung Verantwortliche ist verpflichtet, über die technischen und organisatorischen Maßnahmen von Timerise Stillschweigen zu bewahren.
   4. Timerise erklärt, dass es Personen die Verarbeitung personenbezogener Daten gestatten wird, die unter der Autorität von Timerise handeln und deren Zugang zu personenbezogenen Daten für die Erbringung der Dienstleistungen erforderlich ist, und dass es ein Verzeichnis dieser Personen führen wird. Darüber hinaus verpflichten sich die zur Verarbeitung personenbezogener Daten befugten Personen zur Vertraulichkeit oder sind durch eine entsprechende gesetzliche Verpflichtung zur Vertraulichkeit gebunden.
      
      
5. DIE PFLICHT DES VERARBEITERS
   1. Timerise unterstützt den für die Verarbeitung Verantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtung, auf Anfragen der betroffenen Person bei der Ausübung ihrer Rechte gemäß Kapitel III der DSGVO zu reagieren, und zwar im Rahmen der Möglichkeiten von Timerise und unter Berücksichtigung der Art der Verarbeitung der personenbezogenen Daten.
   2. Timerise unterstützt den für die Verarbeitung Verantwortlichen bei der Erfüllung der in den Artikeln 32 bis 36 der Datenschutz-Grundverordnung festgelegten Pflichten unter Berücksichtigung der Art der Verarbeitung und der Timerise vorliegenden Informationen.
   3. Timerise ist verpflichtet, den für die Verarbeitung Verantwortlichen unverzüglich über alle Verfahren, Entscheidungen oder Beschlüsse von Gerichten oder Verwaltungsbehörden in Bezug auf personenbezogene Daten sowie über alle Überprüfungen und Inspektionen von Aufsichtsbehörden in Bezug auf die im Rahmen dieses Vertrags anvertrauten personenbezogenen Daten zu informieren.
   4. Timerise kann personenbezogene Daten nicht ohne die dokumentierten Anweisungen des für die Verarbeitung Verantwortlichen löschen oder ändern.
      
      
6. AUDITS
   1. Timerise gewährt dem für die Verarbeitung Verantwortlichen Zugang zu allen Informationen, die erforderlich sind, um zu überprüfen, ob die in diesem Vertrag festgelegten Verpflichtungen von Timerise eingehalten werden, wobei die Beschränkungen aufgrund von Betriebs- und Geschäftsgeheimnissen von Timerise und Unterauftragsverarbeitern zu berücksichtigen sind.
   2. Nimmt der für die Verarbeitung Verantwortliche die Dienste Dritter in Anspruch, so darf es sich bei diesen Dritten nicht um Wettbewerber von Timerise handeln. Darüber hinaus ist der für die Verarbeitung Verantwortliche verpflichtet, diesen Dritten zur Geheimhaltung aller Informationen über Timerise, die Betriebs- und Geschäftsgeheimnisse sind, zu verpflichten.
   3. Der für die Verarbeitung Verantwortliche ist verpflichtet, Timerise spätestens vierzehn (14) Arbeitstage vor der Prüfung über die geplante Prüfung zu informieren. Der Vermerk über die geplante Prüfung sollte den geplanten Umfang dieser Prüfung enthalten.
   4. Die Durchführung eines Audits darf für Timerise keine unangemessene Belastung darstellen. Insbesondere darf ein Audit nicht außerhalb der normalen Geschäftszeiten von Timerise durchgeführt werden oder länger als drei (3) Arbeitstage dauern.
   5. Ein Audit wird nicht häufiger als einmal pro Jahr durchgeführt, es sei denn, es ergibt sich die Notwendigkeit eines zusätzlichen Audits als Folge einer Verletzung des Schutzes personenbezogener Daten durch Timerise.
   6. Falls eine Prüfung darin besteht, auf Anfrage des für die Verarbeitung Verantwortlichen Informationen über die Verarbeitung personenbezogener Daten bereitzustellen, wird Timerise die erforderlichen Informationen spätestens sieben (7) Werktage nach Erhalt einer solchen Anfrage bereitstellen.
   7. Das Audit wird in einem von beiden Parteien unterzeichneten Protokoll dokumentiert. Falls der für die Verarbeitung Verantwortliche Bedenken hinsichtlich der Verarbeitung personenbezogener Daten feststellt, ist er berechtigt, Empfehlungen auszusprechen. Timerise wird die erforderlichen Abhilfemaßnahmen ergreifen, wenn sie gerechtfertigt sind und sich auf die unbestrittenen Verpflichtungen von Timerise beziehen.
   8. Der Controller trägt alle Kosten einer Prüfung.
   9. Verstößt der für die Verarbeitung Verantwortliche gegen seine in Abschnitt 6 genannten Verpflichtungen, ist Timerise berechtigt, die Durchführung des Audits zu verweigern, was keinen Verstoß gegen die Erfüllung dieses Vertrags darstellt und dem für die Verarbeitung Verantwortlichen keine Ansprüche einräumt.
      
      
7. ZUSAMMENARBEIT MIT UNTERAUFTRAGSVERARBEITERN
   1. Timerise erhält eine allgemeine Ermächtigung, Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten zu beauftragen, die Timerise im Rahmen dieses Vertrags anvertraut wurden.
   2. Die zum Zeitpunkt des Abschlusses dieses Abkommens beteiligten Unterauftragsverarbeiter sind in Anlage 2 aufgeführt.
   3. Timerise ist verpflichtet, den für die Verarbeitung Verantwortlichen über alle Pläne bezüglich der Einschaltung neuer Unterauftragsverarbeiter zu informieren. Der für die Verarbeitung Verantwortliche kann gegen solche Änderungen innerhalb von fünf (5) Werktagen nach Erhalt der Informationen von Timerise Einspruch erheben.
   4. Der für die Verarbeitung Verantwortliche erklärt, dass er Kenntnis davon hat, dass er einem Wechsel des Unterauftragsverarbeiters widerspricht: (i) dazu führen kann, dass Timerise nicht mehr in der Lage ist, die Dienstleistungen zu erbringen, wovon Timerise den für die Verarbeitung Verantwortlichen unverzüglich unterrichten wird; (ii) Timerise berechtigt, den Hauptvertrag und/oder diesen Vertrag mit einer Frist von 14 Tagen zu kündigen, ohne dass dies negative rechtliche Folgen hat. Während der Kündigungsfrist wird Timerise die Unterauftragsverarbeiter, gegen die der Einspruch erhoben wurde, nicht einsetzen.
   5. Timerise stellt sicher, dass Timerise nur solche Unterauftragsverarbeiter einsetzt, die ausreichende Garantien für eine angemessene Umsetzung der Anforderungen der DSGVO und dieser Vereinbarung bieten.
      
      
8. VERLETZUNG DES SCHUTZES PERSONENBEZOGENER DATEN
   1. Wenn Timerise von einer Verletzung des Schutzes personenbezogener Daten erfährt, ist Timerise verpflichtet, den für die Verarbeitung Verantwortlichen innerhalb der nächsten 48 Stunden zu informieren.
   2. Die Mitteilung sollte Folgendes enthalten:
      1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Angabe der Kategorien und der ungefähren Anzahl der betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der von der Verletzung betroffenen personenbezogenen Datensätze;
      2. den Namen und die Kontaktdaten einer Person, bei der weitere Auskünfte eingeholt werden können;
      3. eine Beschreibung der möglichen Folgen der Verletzung des Schutzes personenbezogener Daten;
      4. eine Beschreibung der Maßnahmen, die Timerise ergriffen hat oder zu ergreifen gedenkt, um die Folgen der Verletzung des Schutzes personenbezogener Daten zu beheben und auf ein Mindestmaß zu beschränken.
   3. Wenn und soweit die Informationen nicht zum oben angegebenen Zeitpunkt bereitgestellt werden können, können sie ohne unangemessene Verzögerung nachgereicht werden.
   4. Timerise ist verpflichtet, Verstöße gegen personenbezogene Daten zu dokumentieren.
      
      
9. REGELN DER PARTEIENHAFTUNG
   1. Die Haftung von Timerise für Schäden, die durch die Verarbeitung personenbezogener Daten entstehen, ist auf dreitausend (3.000) EUR begrenzt.
   2. Keine Vertragspartei haftet gegenüber der anderen Vertragspartei und keine Vertragspartei wird so behandelt, als sei sie ihren Verpflichtungen aus diesem Abkommen nicht oder nur mit Verzögerung nachgekommen, wenn die Nichterfüllung oder Verzögerung auf höhere Gewalt zurückzuführen ist, vorausgesetzt, die betreffende Vertragspartei unternimmt angemessene Anstrengungen, um die Nichterfüllung oder Verzögerung zu vermeiden oder zu beheben, und setzt die Erfüllung der Verpflichtungen aus diesem Abkommen mit angemessener Bereitschaft fort, wenn sie dies getan hat. Jede Vertragspartei unterrichtet die andere Vertragspartei unverzüglich über eine Verzögerung oder Nichterfüllung aufgrund höherer Gewalt. Die Parteien werden sich bemühen, die Verzögerung oder Nichterfüllung wie oben beschrieben zu beheben.
      
      
10. SONSTIGE VORSCHRIFTEN ÜBER PERSONENBEZOGENE DATEN – CCPA
    1. Wenn der für die Verarbeitung Verantwortliche personenbezogene Daten von Personen verarbeitet, die im Bundesstaat Kalifornien, USA, ansässig sind („ansässig“), im Sinne des kalifornischen Verbraucherschutzgesetzes („CCPA“), und diese Daten an Timerise als Auftragsverarbeiter im Rahmen dieser DPA und des Hauptvertrags übermittelt, muss der für die Verarbeitung Verantwortliche Timerise über diese Tatsache informieren, bevor wir mit der Verarbeitung der personenbezogenen Daten beginnen.
    2. Timerise wird die personenbezogenen Daten von Einwohnern nur dann erheben, speichern, verwenden oder weitergeben, wenn dies zur Erfüllung des Geschäftszwecks des für die Verarbeitung Verantwortlichen gemäß dem Hauptvertrag oder dem CCPA erforderlich ist.
    3. Timerise wird die persönlichen Daten der Einwohner auch nicht an Dritte verkaufen.
    4. Timerise haftet nicht für Verstöße des für die Verarbeitung Verantwortlichen gegen das CCPA.
       
       
11. BEENDIGUNG DIESER VEREINBARUNG
    1. Falls Timerise gegen seine Verpflichtungen aus diesem Vertrag verstößt und den Mangel nicht innerhalb von vierzehn (14) Tagen, nachdem Timerise von dem Verstoß in Kenntnis gesetzt wurde, oder innerhalb der zwischen den Parteien vereinbarten Frist behebt, hat der Controller das Recht, diesen Vertrag mit sofortiger Wirkung oder mit der vom Controller mitgeteilten längeren Kündigungsfrist zu kündigen.
    2. Wenn der Vertrag ausläuft oder beendet wird, wird Timerise auf Anweisung des für die Verarbeitung Verantwortlichen innerhalb von vierzehn (14) Tagen alle personenbezogenen Daten löschen oder in einer für den für die Verarbeitung Verantwortlichen akzeptablen Weise an den für die Verarbeitung Verantwortlichen zurückgeben und vorhandene Kopien löschen, es sei denn, die Aufbewahrung der personenbezogenen Daten ist nach der DSGVO oder anderen geltenden Gesetzen erforderlich.
    3. Timerise ist berechtigt, personenbezogene Daten in anonymisierter Form zu verarbeiten, da es sich nicht mehr um personenbezogene Daten im Sinne der DSGVO handelt.
       
       
12. SCHLUSSBESTIMMUNGEN
    1. Die Timerise nach dem Hauptvertrag zustehende Vergütung umfasst auch die Erfüllung der Verpflichtungen von Timerise nach diesem Vertrag.
    2. Diese Vereinbarung tritt mit dem Datum der Hauptvereinbarung in Kraft, die einen integralen Bestandteil der Vereinbarung bildet.
    3. Änderungen dieser Vereinbarung müssen zumindest in elektronischer Form erfolgen, andernfalls sind sie null und nichtig.
    4. Die Anhänge zu diesem Abkommen sind Bestandteil des Abkommens:
       1. Anhang Nr. 1 – eine Liste der personenbezogenen Daten, die uns im Rahmen dieses Abkommens anvertraut werden,
       2. Anhang Nr. 2 – eine Liste der Unterauftragsverarbeiter.
    5. Der für die Verarbeitung Verantwortliche sichert zu und gewährleistet, dass die im Namen des für die Verarbeitung Verantwortlichen handelnde Person, einschließlich der Person, die diesen Vertrag abgeschlossen hat, die Person ist, die befugt ist, den für die Verarbeitung Verantwortlichen zu vertreten und diesen Vertrag abzuschließen.
    6. Sollte eine Bestimmung dieses Vertrages ungültig oder unwirksam sein, so bleiben die übrigen Bestimmungen dieses Vertrages trotzdem verbindlich und wirksam.
    7. Diese Vereinbarung unterliegt polnischem Recht, und die polnischen Gerichte werden alle Streitigkeiten, die sich daraus ergeben, entscheiden.
    8. Die Parteien verpflichten sich, etwaige Streitigkeiten innerhalb von 30 Tagen gütlich beizulegen. Kann die Streitigkeit nicht gütlich beigelegt werden, ist das für den Sitz von Timerise zuständige ordentliche Gericht zuständig.