Anlage zum Vertrag mit ilohngehalt

Vertrag über Auftragsverarbeitung

Dieser Vertrag über Auftragsverarbeitung ist eine Anlage zum Vertrag mit ilohngehalt, welcher zwischen den Parteien (im Folgenden „Vertrag mit ilohngehalt“) geschlossen wurde. Dieser Vertrag über Auftragsverarbeitung stellt einen festen Bestandteil des Vertrages mit ilohngehalt im Rahmen von dessen Bestimmungen über die Verarbeitung von personenbezogene Daten dar.

Der folgende Vertrag über Auftragsverarbeitung (im Folgenden „der AV-Vertrag“) wird hiermit geschlossen zwischen der im Vertrag mit ilohngehalt als „Kunden“ bezeichneten Partei und der ilohngehalt internetservices GmbH, Kokkolastr. 2, 40882 Ratingen, Deutschland (im Folgenden „der Anbieter“, zusammen mit dem Kunden auch „die Partei“ oder „die Parteien“).

1. Geltungsbereich

1.1. Der Anbieter verarbeitet personenbezogene Daten für den Kunden im Rahmen der in Anhang 1 aufgeführten Tätigkeiten sowie dem dort aufgeführten Umfang.

1.2. Die Art der vom Anbieter verarbeiteten personenbezogenen Daten, der Zweck der Verarbeitung und die Kategorien der personenbezogenen Daten sowie die Kategorien der betroffenen Personen sind ebenfalls definiert in Anhang 1.

1.3. Dieser Vertrag regelt alleinig die Verarbeitung von personenbezogenen Daten durch den Anbieter für den Kunden.

1.4. Personenbezogene Daten sind laut § 3 Abs. 1 BDSG und Art. 4 (1) der Datenschutz-Grundverordnung, EU 2016/679, Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

2. Verarbeitung personenbezogener Daten

2.1. Der Anbieter verarbeitet personenbezogene Daten nur in den Grenzen eines Auftrages des Kunden.

2.2. Anweisung: Der Anbieter wird angewiesen, personenbezogene Daten nur zu den Zwecken zu verarbeiten, welche im Anhang 1 aufgeführt sind. Der Anbieter darf keine personenbezogenen Daten für andere Zwecke als solche dort angegebenen verarbeiten oder nutzen. Dies beinhaltet auch die Übermittlung von personenbezogenen Daten an ein Dritte oder eine internationale Organisation, außer EU-Recht oder das Recht eines Staates, dem der Anbieter unterliegt, zwingen den Anbieter zu einer solchen Handlung. In einem solchen Fall muss der Anbieter den Kunden unverzüglich schriftlich über die Rechtspflicht des Anbieters informieren bevor die Verarbeitung oder Übermittlung erfolgt. Dies gilt nicht, wenn dem Anbieter rechtlich eine solche Benachrichtigung aufgrund gewichtiger Gründe des Allgemeinwohls nicht erlaubt ist.

2.3. Sollte der Anbieter Anweisungen des Kunden für unvereinbar mit der Datenschutz-Grundverordnung, anderen Datenschutzvorschriften der Europäischen Union oder dem Datenschutzrecht eines EU-Mitgliedstaates halten, so wird der Anbieter den Kunden hierüber schriftlich in Kenntnis setzen.

2.4. Der Kunde haftet dafür, dass er alle notwendigen Rechte zur Verarbeitung der personenbezogenen Daten, welche diesem Vertrag zugrunde liegen, innehält, sowie die notwendigen Rechte, um den Anbieter mit der Verarbeitung dieser personenbezogenen Daten zu beauftragen, sowie dafür, dass er alle notwendigen Einwilligungen eingeholt hat.

3. Anforderungen an den Anbieter

3.1. Der Anbieter verpflichtet sich, die personenbezogenen Daten unter Einhaltung der deutschen Datenschutzgesetze, insbesondere des Bundesdatenschutzgesetzes (BDSG), sowie der Datenschutz-Grundverordnung zu verarbeiten.

3.2. Der Anbieter verpflichtet sich, sicherzustellen, dass Unterauftragsverarbeiter sowie Mitarbeiter und andere Dritte, welche er mit der Ausübung seiner Leistungspflichten oder Teilen hiervon beauftragt, eine angemessene Geheimhaltungsvereinbarung unterzeichnet haben oder entsprechenden gesetzlichen Geheimhaltungsverpflichtungen unterliegen.

3.3. Der Anbieter verpflichtet sich, angemessene technische und organisatorische Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten zu treffen, insbesondere zum Schutz gegen:

(i)  Löschung, Verlust oder Veränderung (unabsichtlich oder rechtswidrig) oder
(ii) Zugriff oder Veröffentlichung ohne entsprechende Genehmigung oder
(iii) Verarbeitung unter Verstoß gegen anwendbares Recht, insbesondere der Datenschutz-Grundverordnung.

3.4. Der Anbieter verpflichtet sich darüber hinaus, alle rechtlich bindenden Standards bezüglich Sicherheitsmaßnahmen einzuhalten, welche den Anbieter direkt binden, inklusive aller Standards bezüglich Sicherheitsmaßnahmen des Landes, in welchem der Anbieter seine Niederlassung hat sowie des Landes, in welchem die Datenverarbeitung stattfindet.

3.5. Bei der Wahl der angemessenen technischen und organisatorischen Sicherheitsmaßnahmen muss insbesondere Rücksicht genommen werden auf:

(i) das derzeitige technische Niveau,
(ii) die Kosten der Umsetzung,
(iii) Art, Umfang, Zusammenhang und Zweck der Verarbeitung sowie eine Risikobewertung von potentieller Eintrittswahrscheinlichkeit und Schwere der Gefährdung von Rechten von natürlichen Person.

3.6. Der Anbieter ist verpflichtet, nach Aufforderung durch den Kunden diesem die Informationen zur Verfügung zu stellen, die notwendig sind, um zu beurteilen, ob der Anbieter die Verpflichtungen aus diesem Vertrag erfüllt und die notwendigen technischen organisatorischen Sicherheitsmaßnahmen ergriffen hat.

3.7. Der Anbieter verpflichtet sich, jährlich auf eigene Kosten eine Beurteilung eines unabhängigen Experten hinsichtlich der Erfüllung der Verpflichtung zur Umsetzung von Sicherheitsmaßnahmen des Anbieters aus diesem Vertrag einzuholen. Die Beurteilung ist auf die Webseite www.ilohngehalt.de des Anbieters hoch zu laden. Der Anbieter ist berechtigt, eine alternative Webseite zur Veröffentlichung der Beurteilung zu benennen. Der Kunde ist über eine solche Änderung schriftlich zu informieren.

3.8. Darüber hinaus ist der Kunde berechtigt, einen unabhängigen Experten auf Kosten des Kunden zu benennen, welcher sodann berechtigt ist, Zugang zu den Teilen der physischen Einrichtungen des Anbieters zu erhalten, in denen personenbezogene Daten verarbeitet werden. Des Weiteren ist der vom Kunden benannte Experte berechtigt, die Informationen zu erhalten, welche notwendig sind, um zu beurteilen, ob der Anbieter angemessene technische und organisatorische Sicherheitsmaßnahmen ergriffen hat. Der Experte hat jedoch keinen Zugriff auf Informationen über die grundsätzlichen Kostenstrukturen des Anbieters oder Informationen bezüglich anderer Kunden des Anbieters. Der Kunde verpflichtet sich nach Aufforderung des Anbieters eine Verschwiegenheitserklärung zu unterzeichnen. Unabhängig von der Unterzeichnung einer Verschwiegenheitserklärung hat der Experte Informationen, welche er über den Anbieter gesammelt oder von diesem übermittelt bekommen hat als streng vertraulich zu behandeln. Solche Informationen dürfen allenfalls an den Kunden weitergereicht werden. Die Weiterleitung an Dritte oder die Verwendung dieser Informationen darf nur zum Zwecke der Beurteilung erfolgen, ob der Anbieter die notwendigen technischen organisatorischen Sicherheitsmaßnahmen ergriffen hat.

3.9. Der Anbieter verpflichtet sich den Kunden unverzüglich schriftlich zu benachrichtigen, sollte er Kenntnis von Folgendem erlangen:

(i) jede Anfrage oder Aufforderung einer Behörde zur Offenlegung personenbezogener Daten, welche Gegenstand dieses Vertrages sind, außer dem Anbieter ist es aufgrund von Union Recht oder dem Recht des Staates welchen der Anbieter unterliegt untersagt, den Kunden entsprechend zu informieren,
(ii) jeder Verdacht oder jede Beobachtung einer Sicherheitslücke, welche dazu führen kann, dass personenbezogene Daten, welche entsprechend dieses Vertrages übermittelt, gespeichert oder anderweitig vom Anbieter verarbeitet werden, unbeabsichtigt oder rechtswidrig gelöscht, verloren, verändert oder unberechtigt veröffentlicht werden können oder wenn diese Sicherheitslücke einen unberechtigten Zugriff auf diese personenbezogenen Daten ermöglichen könnte,
(iii) jeder Verdacht oder jede Beobachtung eines Verstoßes gegen die Pflichten des Anbieters entsprechend den Abschnitten 3.3 und 3.4 dieses Vertrages,
(iv)    jede Anfrage oder Aufforderung einer betroffenen Person oder eines Dritten hinsichtlich des Zugriffs auf personenbezogene Daten.

3.10. Der Anbieter verpflichtet sich, den Kunden bei der Bearbeitung von Anfragen einer betroffenen Person entsprechend dem Kapitel drei der Datenschutz-Grundverordnung zu unterstützen. Dies beinhaltet auch Unterstützung bei Anfragen nach Zugriff, Berichtigung, Sperrung und Löschung.

3.11. Der Anbieter unterstützt den Kunden bei der Sicherstellung der Einhaltung der Pflichten nach Art. 32 bis 36 der Datenschutz-Grundverordnung sowie der Pflichten entsprechend dem Recht des Mitgliedstaates, nach welchem die Unterstützung des Anbieters eine Voraussetzung dafür ist, dass der Kunde seinen Pflichten nachkommen kann. Dies beinhaltet die Bereitstellung der erforderlichen Informationen an den Kunden hinsichtlich jedes Zwischenfalls nach Abschnitt 3.9.2 dieser Vereinbarung sowie die Bereitstellung aller erforderlichen Informationen hinsichtlich einer Datenschutz-Folgenabschätzung entsprechend Art. 35 f. der Datenschutz-Grundverordnung, insoweit der Anbieter Zugriff auf solche Informationen hat.

3.12. Der physikalische Standort der für die Verarbeitung von personenbezogenen Daten verwendeten Server, Dienstleistungszentren, etc. werden vom Anbieter in Anhang 1 aufgelistet. Der Anbieter verpflichtet sich, den Kunden vorab schriftlich über eine Verlagerung der physikalische Standorte zu informieren. Eine formelle Ergänzung des Anhang 1 ist in einem solchen Fall nicht notwendig. Eine Vorabinformation in schriftlicher Form oder per E-Mail ist ausreichend.

3.13. Der Kunde ist zur Vergütung der vom Anbieter zur Durchführung von Leistungen entsprechend eines Auftrages des Kunden gem. den Abschnitten 3.6, 3.8, 3.9.1 und 3.9.2, 3.10, 3.11, 7.4 und 7.5 dieses AV-Vertrages aufgewendeten Zeit und Materialien verpflichtet. Die Kosten für diese Leistungen entsprechen den Preisen, welche auf der Webseite des Anbieters unter www.ilohngehalt.de oder auf einer alternativ für diesen Zweck vom Anbieter bestimmten Webseite des Anbieters aufgeführt sind.

4. Datenimporteur, Unterauftragsverarbeiter

4.1. Der Anbieter ist berechtigt, Unterauftragsverarbeiter zu beauftragen. Zum Zeitpunkt des Abschlusses dieses AV-Vertrages arbeitet der Anbieter mit den in Anhang 2 aufgeführten Unterauftragsverarbeitern zusammen. Der Anbieter hat den Kunden mindestens zwei Monaten im Voraus mit einer entsprechenden Beschreibung über jede geplante Veränderung oder Erweiterung von Unterauftragsverarbeitern zu informieren. Der Kunde kann innerhalb einer Frist von zwei Wochen nach der Benachrichtigung durch den Anbieter die Beauftragung des Unterauftragsverarbeiter ablehnen. In einem solchen Fall ist der Anbieter berechtigt, jegliche Verträge mit dem Kunden hinsichtlich der Verarbeitung von personenbezogenen Daten des Kunden mit einer Kündigungsfrist von einem Monat zu kündigen. Nach Beendigung der Zusammenarbeit mit dem Unterauftragsverarbeiter hat der Anbieter Kunden schriftlich zu informieren.

4.2. Vor Beauftragung eines Unterauftragsverarbeiters hat der Anbieter eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter zu treffen, in welcher er dem Unterauftragsverarbeiter die gleichen Pflichten auferlegt, welche den Anbieter aus diesem AV-Vertrag treffen. Hierzu gehört insbesondere die Verpflichtung, angemessene technische und organisatorische Sicherheitsmaßnahmen zu treffen, welche sicherstellen, dass die Verarbeitung von personenbezogenen Daten im Einklang mit der Datenschutz-Grundverordnung erfolgt.

4.3. Der Kunde ist berechtigt, eine Abschrift aller Teile eines Vertrages zwischen dem Anbieter und seinen Unterauftragsverarbeitern zu erhalten, welche die Datenschutzverpflichtungen gemäß Abschnitt 4.2 dieses Vertrages betreffen. Die Zustimmung des Kunden zu einem entsprechenden Vertrag zwischen dem Anbieter und einem Unterauftragsverarbeiter berührt die Verpflichtung des Anbieters zur Einhaltung der Verpflichtung aus diesem AV-Vertrag nicht.

5. Verschwiegenheit

5.1. Der Anbieter hat personenbezogene Daten streng vertraulich zu behandeln.

5.2. Der Anbieter darf personenbezogene Daten nicht an Dritte weitergeben. Dies gilt nicht, wenn die Weitergabe zur Durchführung dieses AV-Vertrages und zur Einhaltung der Verpflichtung gegenüber dem Kunden notwendig ist, solange der Dritte, an welchen die Daten weitergegeben werden über die Vertraulichkeit der Daten informiert wurde und in die vertrauliche Behandlung dieser Daten eingewilligt hat. Das Verbot der Weitergabe gilt auch dann nicht, wenn der Anbieter durch Gesetz zu einer Weitergabe verpflichtet ist.

5.3. Der Anbieter darf nur solchen Mitarbeitern Zugriff auf die personenbezogenen Daten gewähren, bei denen ein Zugriff notwendig ist, um die Verpflichtungen des Anbieters gegenüber dem Kunden zu erfüllen.

5.4. Die Verpflichtungen aus Abschnitt 5. dieses AV-Vertrages gelten zeitlich unbegrenzt, unabhängig davon, ob dieses oder ein anderes Vertragsverhältnis zwischen den Parteien bereits beendet wurde.

6. Ergänzungen und Abänderungen; Abtretung

6.1. Dieser AV-Vertrag darf entsprechend den Bestimmungen aus dem Vertrag mit ilohngehalt ergänzt oder verändert werden.

6.2. Der Anbieter ist berechtigt, Rechte und Pflichten entsprechend diesem AV-Vertrag auch ohne Zustimmung des Kunden auf Dritte zu übertragen, vorausgesetzt das dieser Dritte sich verpflichtet, die personenbezogenen Daten im Einklang mit diesem AV-Vertrag zu verarbeiten.

7. Vertragslaufzeit und Beendigung

7.1. Die Laufzeit dieses AV-Vertrages ist gebunden an den Vertrag mit ilohngehalt. Mit Beendigung des Vertrages mit ilohngehalt wird auch der AV-Vertrag beendet.

7.2. Jede Partei kann diesen AV-Vertrag unter den gleichen Bedingungen kündigen wie den Vertrag mit ilohngehalt.

7.3. Unabhängig von den formell vereinbarten Laufzeiten bleibt dieser AV-Vertrag in Kraft solange der Anbieter personenbezogene Daten im Auftrage des Kunden verarbeitet, solange der Kunde der Datenverantwortliche ist.

7.4. Im Falle der Beendigung des Vertragsverhältnisses wird der Anbieter den Kunden dabei unterstützen, die Datenverarbeitung an einen neuen Datenverarbeiter oder zurück an den Kunden zu übertragen.

7.5. Auf Anfrage des Kunden oder bei Beendigung des Vertragsverhältnisses hat der Anbieter sämtliche personenbezogenen Daten, welche durch den Anbieter im Auftrage des Kunden verarbeitet wurden, an den Kunden zu übersenden oder zu löschen, außer die Speicherung der Daten wird durch Unionsrecht oder das Recht eines EU-Mitgliedstaates vorgeschrieben.

8. Benachrichtigungen

8.1. ist eine Partei zur Benachrichtigung der anderen Partei entsprechend dieses AV-Vertrages verpflichtet, so kann eine solche Verpflichtung unter anderem dadurch erfüllt werden, dass die Zustellung per E-Mail an die von der anderen Partei zuletzt benannten E-Mail-Adresse erfolgt. Die Benachrichtigung des Kunden kann auch durch Einstellung in das System des Kunden erfolgen, welches dieser durch eine Lizenzierung im Rahmen des Vertrages mit ilohngehalt nutzt.

9. Vorrang dieser Vereinbarung

9.1. Im Falle des Widerspruchs einzelner Bestimmungen dieses AV-Vertrages mit Bestimmungen aus anderen schriftlichen oder mündlichen Vereinbarungen zwischen den Parteien sollen die Bestimmungen dieses Vertrages Vorrang genießen.


Anhang 1

Dieser Anhang beschreibt unter anderem die Anweisungen des Kunden an den Anbieter hinsichtlich der Verarbeitung von Daten für den Kunden durch den Anbieter und stellt einen wesentlichen Bestandteil des zugrundeliegenden AV-Vertrages dar.

Anweisungen und Beschreibungen der Verarbeitung von personenbezogenen Daten in ilohngehalt

Zweck und Art der Datenverarbeitung

Die Datenverarbeitung wird dem Anbieter mit dem Zweck anvertraut, dass der Kunde ilohngehalt nutzen kann, welches ein durch den Anbieter gehortetes und geführtes IT System ist, auf welches der Kunde online Zugriff hat. ilohngehalt unterstützt den Kunden bei Gehaltsabrechnungen sowie Steuer- und Rentenversicherungsangelegenheiten in Bezug auf die Mitarbeiter des Kunden. Daneben wird Unterstützung geboten bei der Verwaltung von Urlaubszeiten der Mitarbeiter, der Auszahlung von Gehältern und bei anderen mit den Gehaltsabrechnungen verbundenen verwaltungstechnischen Abläufen. Dies beinhaltet auch die Übertragung von personenbezogenen Daten an ELSTER/ELSTAM, gesetzliche Krankenversicherung, öffentliche Rentenversicherungsträger sowie Unfallversicherungen im Namen des Kunden.

Kategorien von betroffenen Personen

1. Potentielle Mitarbeiter des Kunden, wenn der Kunde Daten über solche Personen in ilohngehalt einträgt.
2. Gegenwärtige Mitarbeiter des Kunden, wenn der Kunde Daten über sich Personen in ilohngehalt einträgt.
3. Vorherige Mitarbeiter des Kunden, wenn der Kunde Daten über sich Personen in ilohngehalt einträgt.

Kategorien von verarbeiteten personenbezogenen Daten

Für die zuvor benannten Kategorien von betroffenen Personen werden die folgenden personenbezogenen Daten verarbeitet: Sozialversicherungsnummer, Name, Adresse, Geburtsdatum, Anstellungsbedingungen, sowie Informationen hinsichtlich der Gehaltsabrechnungen der betroffenen Personen, zum Beispiel Gehalt, Steuern, Rentenbeiträge, Urlaub, Auszahlungen, etc., inklusive aller weiteren persönlichen Daten, welche der Kunde in ilohngehalt einträgt. Bei einer optimalen Nutzung von ilohngehalt werden auch die E-Mail-Adressen, Mobilfunknummern und Bankverbindungen der betroffenen Personen verarbeitet.
Bei Personen der Kategorie 2 wird auch das Datum der Beendigung des Arbeitsverhältnisses verarbeitet.

Besondere Kategorien von verarbeiteten personenbezogenen Daten

In besonderen Fällen kann aufgrund der Höhe des Urlaubsgeldes der betroffenen Personen auf eine Mitgliedschaft der betroffenen Person in einer Gewerkschaft geschlossen werden.

Standort der Verarbeitung

Gydevang 46
DK 3450 Allerød
Denmark

Skomagervej 10
DK 7100 Vejle
Denmark

Übermittlung der Daten

Der Anbieter überträgt gegebenenfalls personenbezogene Daten im Namen des Kunden im Rahmen der dem Kunden gebotenen Leistungen, etwa an ELSTER/ELSTAM, die gesetzlichen Krankenversicherungen und Rentenversicherungsträger oder Unfallversicherungen, etc.


Anhang 2 - Auflistung der derzeitigen Unterauftragsverarbeiter

Aktuell keine.