Contract
1 Baggrund, formål og omfang
1.1 Som led i den Dataansvarliges (Beierholms kunde) ind gåelse af aftale om levering af ydelser, som beskrevet i Aftalen, foretager Databehandleren (Beierholm) be handling af personoplysninger, som den Dataansvarlige er ansvarlig for. Beierholm må, som Databehandler, alene foretage behandling af personoplysninger efter instruks fra den Dataansvarlige (Beierholms kunde).
1.2 Behandling af personoplysninger er omfattet af Per sondataforordningen (EuropaParlamentets og Rådets forordning 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne
oplysninger) med tilhørende retsakter samt heraf afledt national lovgivning, herunder særligt Databeskyttelses loven.
1.3 I henhold til Persondataforordningen art. 28, stk. 3 og , jf. punkt 1.2, er det et krav, at der mellem den Dataansvar lige og Databehandleren indgås skriftlig aftale om den behandling, som skal foretages; en såkaldt ’Databehand leraftale’. Denne Aftale udgør sådan Databehandleraftale.
2 Personoplysninger omfattet af aftalen
2.1 Alle typer personoplysninger, som er nødvendige i forbin delse med opfyldelse af Aftalen med Parterne, er omfat tet. Aftalen omfatter oplysninger om personer, som har eller har haft ansættelse, ejerskab eller anden tilknyt ning til Kunden. Aftalen indeholder nærmere oplysninger om behandlingen, herunder de behandlede oplysninger, behandlingens formål og karakter, den dataansvarliges og databehandlerens forpligtelser og rettigheder samt varigheden af behandlingen.
3 Geografiske krav
3.1 Den behandling af persondata, som Databehandleren foretager efter aftale med den Dataansvarlige, må alene foretages af Databehandleren eller underdatabehandlere, jf. pkt. 5, indenfor det Europæiske Økonomiske Samar bejde (EØS). Databehandleren er ingenlunde berettiget
til at lade databehandling foregå udenfor EØS uden den Dataansvarliges skriftlige samtykke, med mindre dette kræves for at opfylde den kontraktlige forpligtigelse, databehandleren har overfor den dataansvarlige.
1 Hintergrund, Zweck und Umfang
1.1 Im Rahmen des mit dem für die Datenverarbeitung Ver antwortlichen (dem Kunden Beierholms) abgeschlossenen Vertrags über die Erbringung von Leistungen, wie im Ver trag beschrieben, verarbeitet der Auftragsverarbeiter (Beierholm) personenbezogene Daten, für die der Daten verantwortliche verantwortlich ist. Xxxxxxxxx darf als Datenverarbeiter personenbezogene Daten nur gemäß den Anweisungen des Datenverantwortlichen (Beierholms Kunde) verarbeiten.
1.2 Die Verarbeitung von personenbezogenen Daten unterliegt der Datenschutzgrundverordnung (Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbei tung personenbezogener Daten und zum freien Datenver kehr) nebst dazugehöriger Rechtsakte sowie den daraus abgeleiteten nationalen gesetzlichen Bestimmungen, darunter insbesondere dem dänischen Datenschutzgesetz.
1.3 Art. 28 Abs. 3 der Datenschutzgrundverordnung und vgl. Abs. 1.2, schreiben vor, dass zwischen dem Verantwort lichen und dem Auftragsverarbeiter ein schriftlicher Vertrag über die durchzuführende Datenverarbeitung, ein sogenannter „Auftragsverarbeitungsvertrag“, abzu schließen ist. Dieser Vertrag stellt einen solchen Auf tragsverarbeitungsvertrag dar.
2 Personenbezogene Daten im sinne dieses Vertrages
2.1 Alle Arten von personenbezogenen Daten, die zur Er füllung des zwischen den Parteien abgeschlossenen Vertrages erforderlich sind, fallen unter den Vertrag. Der Vertrag umfasst Daten zu Personen, die als Xxxxxx xxxxxx, Inhaber oder in sonstiger Weise mit dem Kunden verknüpft sind oder waren. Der Vertrag enthält nähere Angaben über die vorzunehmende Datenverarbeitung, darunter Angaben über die zu verarbeitenden Daten,
Zweck und Art der Verarbeitung, die Pflichten und Rechte des Datenverantwortlichen und des Auftragsverarbeiters sowie die Dauer der Verarbeitung.
3 Geografische Anforderungen
3.1 Die vom Auftragsverarbeiter gemäß Vereinbarung mit dem Datenverantwortlichen vorzunehmende Verarbeitung von personenbezogenen Daten hat ausschließlich durch den Auftragsverarbeiter oder durch Unterauftragsverarbei ter, vgl. Abschnitt 5, innerhalb des Europäischen Wirt schaftsraumes (EWR), zu erfolgen. Der Auftragsverar beiter ist in keinem Fall berechtigt, die Datenverarbeitung ohne schriftliche Zustimmung des Datenverantwortlichen außerhalb des EWR stattfinden zu lassen, es sei denn, dies
ist zur Erfüllung seiner vertraglichen Pflichten gegenüber dem Datenverantwortlichen erforderlich.
4 Instruks
4.1 Omfanget af de opgaver, som Databehandleren skal leve re og understøtte, betyder, at der i medfør af Parternes aftale vil ske forskellige former for behandling af person oplysninger. Den dataansvarlige er forpligtet til positivt at oplyse om eventuelle særlige forhold, som levering af Ydelsen skal tage hensyn til.
4.2 Databehandleren handler alene efter dokumenteret instruks fra den Dataansvarlige. Databehandleren skal sikre, at de overladte personoplysninger ikke benyttes til andre formål eller behandles på anden måde, end hvad der fremgår af den Dataansvarliges instruks. Alle de for levering af Ydelsen, jf. Aftalen, nødvendige og beskrevne behandlinger betragtes som dokumenterede.
4.3 Den dataansvarlige er forpligtet til at sikre at den på krævede behandling af personoplysninger sker på lovligt grundlag og med relevante og tilstrækkelige sikkerheds foranstaltninger. Såfremt en instruktion efter Databe handlerens opfattelse er i strid med Databeskyttelseslo ven eller Persondataforordningen, skal Databehandleren orientere den Dataansvarlige herom.
4.4 Denne Aftale og øvrige aftaler om levering af ydelser omfatter de personoplysninger, som er nødvendige for levering af Ydelsen. I den forbindelse henvises der til Aftalen eller øvrige nærmere beskrivelser af ydelsen.
4.5 Såfremt behandlingen af personoplysninger hos Data behandleren sker helt eller delvist ved anvendelse af fjernopkobling, herunder hjemmearbejdspladser, skal Databehandleren fastsætte retningslinjer for medarbej dernes behandling af personoplysninger ved anvendelse af fjernopkobling, som i øvrigt skal opfylde de i Aftalen stillede krav.
4.6 Databehandleren skal så vidt muligt bistå den Dataan svarlige med opfyldelse af den Dataansvarliges forplig telser til at besvare anmodninger om udøvelse af de registreredes rettigheder, herunder om indsigt, berigti gelse, begrænsning eller sletning, hvis de relevante per sonoplysninger behandles af Databehandleren. Modtager
4 Anweisungen
4.1 Der Umfang der vom Auftragsverarbeiter zu erbringen den und zu unterstützenden Leistungen bedeutet, dass im Rahmen des zwischen den Parteien geschlossenen Vertra ges personenbezogene Daten auf unterschiedliche Weise verarbeitet werden. Der Datenverantwortliche ist ver pflichtet, aktiv auf etwaige besondere bei der Erbringung der Leistung zu berücksichtigende Umstände hinzuweisen.
4.2 Der Auftragsverarbeiter handelt ausschließlich nach dokumentierter Anweisung des Datenverantwortlichen. Der Auftragsverarbeiter hat sicherzustellen, dass die überlassenen personenbezogenen Daten nicht für andere Zwecke oder auf andere Weise als in der Anweisung des Datenverantwortlichen beschrieben genutzt oder ver arbeitet werden. Jede zur Erbringung der Leistung, vgl. Vertrag, erforderliche und beschriebene Verarbeitung gilt als dokumentierte Anweisung.
4.3 Der Datenverantwortliche ist verpflichtet, sicherzustel len, dass die erforderliche Verarbeitung personenbe zogener Daten rechtmäßig erfolgt und mit relevanten und angemessenen Sicherheitsmaßnahmen. Sollte eine Anweisung nach Auffassung des Auftragsverarbeiters gegen das Datenschutzgesetz oder die Datenschutz grundverordnung verstoßen, hat der Auftragsverarbeiter dem Datenverantwortlichen dies mitzuteilen.
4.4 Dieser Vertrag und alle sonstigen Verträge über die Erbringung von Leistungen umfassen die zur Erbringung der Leistung erforderlichen personenbezogenen Daten. In diesem Zusammenhang wird auf den Vertrag oder auf sonstige nähere Beschreibungen der Leistung verwiesen.
4.5 Sollte die Verarbeitung von personenbezogenen Daten durch den Auftragsverarbeiter ganz oder teilweise mittels Fernanbindung erfolgen, darunter von Heimarbeitsplätzen aus, hat der Auftragsverarbeiter für die betreffenden Mitarbeiter, die im Übrigen auch die aus dem Vertrag her vorgehenden Anforderungen erfüllen müssen, Richtlinien für die Verarbeitung von personenbezogenen Daten unter Anwendung von Fernanbindungen festzulegen.
4.6 Der Auftragsverarbeiter hat soweit möglich den Daten verantwortlichen zu unterstützen bei der Erfüllung seiner Pflicht zur Beantwortung von Anfragen vonseiten betrof fener Personen, die ihre diesbezüglichen Rechte geltend machen, unter anderem betreffend Auskunft, Berichti gung, Einschränkung der Verarbeitung oder Löschung,
Databehandleren sådan henvendelse fra den registrerede person, orienterer Databehandleren den Dataansvarlige herom.
4.7 Den Dataansvarlige hæfter for alle Databehandlerens omkostninger ved sådan bistand, jf. pkt. 4.6, herunder til Databehandlerens eventuelle underdatabehandlere. Da tabehandlerens bistand afregnes til Databehandlerens til enhver tid gældende timetakst for sådant arbejde.
5 Brug af underdatabehandler
5.1 Den Dataansvarlige giver generelt Databehandleren sam tykke til anvendelse af underdatabehandlere forudsat, at de i Aftalen stillede betingelser for dette er opfyldt. Den dataansvarlige meddeles om ændring i databehandlerens underdatabehandlere ved opdatering af oversigten over underdatabehandlere.
5.2 Underdatabehandleren er under Databehandlerens instruks. Databehandleren har indgået skriftlig databe handleraftale med underdatabehandleren, hvori det er sikret, at underdatabehandleren opfylder krav tilsvarende dem, som stilles til Databehandleren af den Dataansvarli ge i medfør af Aftalen.
5.3 Omkostninger forbundet med etablering af aftaleforhol det til en underdatabehandler, herunder omkostninger til udarbejdelse af databehandleraftale og eventuel etab lering af grundlag for overførsel til tredjelande, afholdes af Databehandleren og er således den Dataansvarlige uvedkommende.
5.4 Såfremt den Dataansvarlige måtte ønske at instrue re underdatabehandlere direkte, bør dette alene ske efter drøftelse med og via Databehandleren. Hvis den Dataansvarlige afgiver instruks direkte overfor under
databehandlere, skal den Dataansvarlige senest samtidig underrette Databehandleren om instruksen og baggrun den for denne. Hvor den Dataansvarlige instruerer under databehandlere direkte, a) er Databehandleren fritaget for ethvert ansvar, og enhver følge af sådan instruks er
sofern die betreffenden personenbezogenen Daten durch den Auftragsverarbeiter verarbeitet werden. Erhält der Auftragsverarbeiter eine solche Anfrage vonseiten einer betroffenen Person, so hat er den Datenverantwortlichen hierüber zu informieren.
4.7 Der Datenverantwortliche haftet für sämtliche dem Auftragsverarbeiter durch eine solche Unterstützung entstehenden Kosten, vgl. Abs. 4.6, darunter auch etwa ige vom Auftragsverarbeiter in Anspruch genommene Unterauftragsverarbeiter. Die vom Auftragsverarbeiter geleistete Unterstützung wird zum jeweils geltenden Stundensatz des Auftragsverarbeiters für eine solche Tätigkeit abgerechnet.
5 Inanspruchnahme von Unterdatenverarbeitern
5.1 Der Datenverantwortliche erteilt dem Auftragsverarbei ter eine allgemeine Zustimmung zur Beauftragung von Unterauftragsverarbeitern unter der Voraussetzung, dass die im Vertrag diesbezüglich gestellten Bedingungen erfüllt sind. Der Datenverantwortliche ist durch Aktua lisierung der Liste der Unterauftragsverarbeiter über Änderungen in der Zusammensetzung der vom Auftrags verarbeiter beauftragten Unterauftragsverarbeiter zu informieren.
5.2 Der Unterauftragsverarbeiter unterliegt den Anweisun gen des Auftragsverarbeiters. Der Auftragsverarbeiter hat mit dem Unterauftragsverarbeiter einen schriftli chen Auftragsverarbeitungsvertrag abgeschlossen, mit dem gewährleistet wird, dass auch der Unterauftrags verarbeiter die gemäß Vertrag vonseiten des Datenver antwortlichen an den Auftragsverarbeiter gestellten Anforderungen zu erfüllen hat.
5.3 Etwaige mit dem Abschluss eines Vertrages mit einem Unterauftragsverarbeiter verbundene Kosten, darunter Kosten für das Aufsetzen eines Auftragsverarbeitungs vertrages und die etwaige Herstellung einer Grundlage für eine Übertragung in Drittländer, werden vom Auf tragsverarbeiter getragen und sind somit nicht Sache des Datenverantwortlichen.
5.4 Sofern der Datenverantwortliche den Unterauftragsver arbeitern auf direktem Wege Anweisungen erteilen möchte, sollte dies ausschließlich nach Absprache mit dem und durch den Auftragsverarbeiter erfolgen. Für den Fall, dass der Datenverantwortliche Unterauftragsverarbeitern direkt Anweisungen erteilt, hat der Datenverantwortliche späte stens gleichzeitig damit den Auftragsverarbeiter über die erfolgte Anweisung und den Grund dafür zu informieren. Wenn der Datenverantwortliche Unterauftragsverarbeitern
alene den Dataansvarliges ansvar, b) hæfter den Data ansvarlige for enhver omkostning, som instruksen måtte medføre for Databehandleren, herunder er Databehand leren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al arbejdstid, som en sådan direkte instruks måtte medføre for Databehandleren og
c) den Dataansvarlige er selv ansvarlig overfor under databehandlere for enhver omkostning, vederlag eller anden betaling til underdatabehandleren, som den direkte instruks måtte medføre.
5.5 Databehandleren forbeholder sig ret til anvendelse af underdatabehandlere til at forestå den tekniske drift til levering af Ydelsen.
5.6 Den Dataansvarlige accepterer ved indgåelsen af nær værende Aftale, at Databehandleren er berettiget til at skifte underdatabehandler forudsat, at en eventuel ny underdatabehandler overholder tilsvarende betingel ser, som stilles i nærværende pkt. 5 til den nuværende underdatabehandler, samt at dette meddeles den data ansvarlige jf. punkt 5.1.
6 Behandling og videregivelse af personoplysninger
6.1 Den Dataansvarlige indestår for at have fornøden hjem mel til behandling af personoplysningerne omfattet af nærværende Aftale.
6.2 Databehandleren må ikke uden skriftligt samtykke fra den Dataansvarlige videregive oplysninger til tredjemand, medmindre sådan videregivelse følger af lovgivningen eller af en bindende anmodning fra en retsinstans eller en databeskyttelsesmyndighed, eller det fremgår af denne Aftale.
6.3 Databehandleren må ikke uden skriftligt samtykke fra den Dataansvarlige behandle personoplysningerne til andre formål, end dem der følger af Aftalen.
6.4 Databehandleren må ikke opbevare personoplysninger ne i længere tid, end hvad der er nødvendigt i forhold til opfyldelse af de(t) formål, hvortil personoplysningerne er
indsamlet, jf. Aftalen. Databehandleren skal således slette
direkt Anweisungen erteilt, a) ist der Auftragsverarbeiter von jedweder Haftung befreit, und für jede Folge einer solchen Anweisung haftet allein der Datenverantwortliche,
b) haftet der Datenverantwortliche für sämtliche seitens des Auftragsverarbeiters aufgrund der Anweisung ent stehenden Kosten, und der Auftragsverarbeiter ist dabei berechtigt, dem Datenverantwortlichen sämtlichen seitens des Auftragsverarbeiters aufgrund einer solchen direk ten Anweisung entstehenden Arbeitsaufwand zu seinem üblichen Stundensatz in Rechnung zu stellen, und c) haftet der Datenverantwortliche selbst gegenüber den Unterauf tragsverarbeitern für jedwede Kosten, Vergütungen oder sonstige aufgrund der direkten Anweisung an die Unterauf tragsverarbeiter zu leistende Zahlungen
5.5 Der Auftragsverarbeiter behält sich das Recht vor, im Rahmen der Erbringung der Leistung Unterauftragsver arbeiter mit der technischen Abwicklung zu beauftragen.
5.6 Der Datenverantwortliche erklärt sich beim Abschluss dieses Vertrages damit einverstanden, dass der Auf tragsverarbeiter berechtigt ist, einen beauftragten Unterauftragsverarbeiter auszutauschen, vorausge setzt, dass ein etwaiger neuer Unterauftragsverarbeiter ebenfalls die gemäß Abs. 5 dieses Auftragsverarbeitungs vertrages an den derzeitigen Unterauftragsverarbeiter gestellten Bedingungen erfüllt, sowie dass der Datenver antwortliche hierüber informiert wird, vgl. Abs. 5.1.
6 Verarbeitung und weitergabe von personenbezogenen Daten
6.1 Der Datenverantwortliche steht dafür ein, die für die Ver arbeitung der unter diesen Vertrag fallenden personen bezogenen Daten erforderliche Berechtigung zu besitzen.
6.2 Der Auftragsverarbeiter darf nicht ohne schriftliche Genehmigung des Datenverantwortlichen Daten an Dritte weitergeben, es sei denn, eine solche Offenlegung erfolgt aufgrund gesetzlicher Bestimmungen oder aufgrund ei ner verbindlichen Aufforderung einer Rechtsinstanz oder einer Datenschutzbehörde, oder etwas anderes geht aus diesem Vertrag hervor.
6.3 Der Datenverarbeiter darf die personenbezogenen Daten ohne die schriftliche Zustimmung des Datenverantwort lichen nicht für andere als die sich aus der Vereinbarung ergebenden Zwecke verarbeiten.
6.4 Der Datenverarbeiter darf die personenbezogenen Daten nicht länger speichern, als es für die Erfüllung des Zwecks bzw. der Zwecke, für die die personenbezogenen Daten erhoben wurden, erforderlich ist, vgl. Der Deal. Der Daten
alle personoplysninger, når Databehandleren ikke længere har et sagligt formål med at opbevare dem, samt i hen hold til gældende lovgivning.
7 Sikkerhed
7.1 Databehandleren skal træffe passende tekniske og orga nisatoriske sikkerhedsforanstaltninger mod, at person oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommen des kendskab, misbruges eller i øvrigt behandles i strid med lovgivningen, jf. pkt. 1.2 og pkt. 1.3 ovenfor.
7.2 Databehandleren er altid berettiget til at implementere alternative sikkerhedsforanstaltninger under forudsæt ning af, at sådanne sikkerhedsforanstaltninger som mini mum opfylder eller giver større sikkerhed end de nuvæ rende sikkerhedsforanstaltninger og i øvrigt opfylder de stillede krav til sikkerhed. Databehandleren skal garantere af disse ændringer til enhver tid overholder relevante krav i Persondataforordningen.
7.3 Databehandleren bistår den dataansvarlige med efter levelse af de forpligtigelser der påligges den data ansvarlige jf. Persondataforordningens art. 1522.
Den dataansvarlige faktureres den til enhver tid gæl dende timesats.
7.4 Databehandleren skal efter nærmere aftale med den Dataansvarlige så vidt muligt bistå den Dataansvarlige med at sikre overholdelse af forpligtelserne i forordnin gens artikel 32 (gennemførelse af passende tekniske og organisatoriske foranstaltninger), 35 (foretagelse af kon sekvensanalyse vedrørende databeskyttelse) og 36 (for udgående høring). I den forbindelse er Databehandleren berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådan aftale måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.
7.5 Såfremt det i pkt. 7.4 anførte fører til skærpede sikker hedsforanstaltninger i forhold til det allerede aftalte mellem Parterne i medfør af denne Aftale, implementerer Databehandleren, så vidt det er muligt, sådanne for anstaltninger forudsat, at Databehandleren modtager betaling herfor, jf. pkt. 7.6 nedenfor.
verarbeiter muss daher alle personenbezogenen Daten löschen, wenn der Datenverarbeiter keinen legitimen Zweck mehr für deren Speicherung hat und in Überein stimmung mit der geltenden Gesetzgebung.
7 Sicherheit
7.1 Der Auftragsverarbeiter hat angemessene technische und organisatorische Maßnahmen gegen eine Verletzung der Sicherheit zu treffen, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Verän derung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang Dritter zu personenbezogenen Daten führt, vgl. Abs. 1.2 und 1.3 oben.
7.2 Der Auftragsverarbeiter ist stets berechtigt, alternative Sicherheitsmaßnahmen zu implementieren, unter der Vor aussetzung, dass die betreffenden Sicherheitsmaßnahmen als Minimum den aktuellen Sicherheitsmaßnahmen entspre chen oder ein höheres Maß an Sicherheit als diese bieten und insgesamt den gestellten Sicherheitsanforderungen genügen. Der Auftragsverarbeiter hat zu gewährleisten, dass diese Änderungen zu jeder Zeit den einschlägigen An forderungen der Datenschutzgrundverordnung entsprechen.
7.3 Der Auftragsverarbeiter unterstützt den Datenverant wortlichen bei der Erfüllung der diesem obliegenden Pflich ten, vgl. Art. 1522 Datenschutzgrundverordnung. Hierfür wird dem Datenverantwortlichen der jeweils geltende Stundensatz in Rechnung gestellt.
7.4 Der Auftragsverarbeiter hat nach näherer Vereinbarung mit dem Datenverantwortlichen diesen soweit möglich bei der Erfüllung seiner Pflichten gemäß Artikel 32 der Verordnung (über das Treffen angemessener techni scher und organisatorischer Maßnahmen), 35 (über die Durchführung von DatenschutzFolgenabschätzungen) und 36 (über die vorherige Konsultation) zu unterstützen. In diesem Zusammenhang ist der Auftragsverarbeiter berechtigt, dem Datenverantwortlichen seinen üblichen Stundensatz für sämtlichen seitens des Auftragsver arbeiters mit einer solchen Vereinbarung verbundenen Arbeitsaufwand in Rechnung zu stellen, und der Daten verantwortliche haftet gleichermaßen für etwaige an Unterauftragsverarbeiter zu leistenden Zahlungen.
7.5 Sofern mit der unter Abs. 7.4 beschriebenen Pflicht eine Verschärfung der Sicherheitsmaßnamen einhergeht im Vergleich zu dem, was bereits im Rahmen dieses Vertra ges zwischen den Parteien vereinbart worden ist, wird der Auftragsverarbeiter die betreffenden Maßnahmen soweit möglich implementieren, unter der Voraussetzung, dass er hierfür eine Vergütung erhält, vgl. Abs. 7.6 unten.
7.6 Omkostninger forbundet med sådan implementering af foranstaltninger, jf. pkt. 7.5, afholdes af den Dataan svarlige og er således Databehandleren uvedkommende. Databehandleren er endvidere berettiget til at fakturere den Dataansvarlige med sin sædvanlige timetakst for al Databehandlerens arbejdstid, som sådan implementering måtte medføre for Databehandleren, ligesom den Data ansvarlige hæfter for eventuel betaling til underdatabe handleren.
8 Tilsynsret
8.1 Databehandleren skal på den Dataansvarliges anmodning give den Dataansvarlige tilstrækkelige informationer til, at denne kan påse, at Databehandleren har truffet de nødvendige tekniske og organisatoriske sikkerhedsforan staltninger.
8.2 I det omfang den Dataansvarlige tillige ønsker, at dette skal omfatte den behandling, som sker hos underdata behandlere, oplyses Databehandleren om dette. Databe handleren indhenter herefter tilstrækkelige oplysninger fra underdatabehandleren.
8.3 Såfremt den Dataansvarlige ønsker at foretage tilsyn, som anført i dette pkt. 8, skal den Dataansvarlige altid give Databehandleren et varsel på mindst 30 dage i sådan forbindelse.
8.4 Såfremt databehandleren får udarbejdet en sikkerheds revisionsrapport, som beskriver sikkerhedsforholdene hos databehandleren i overensstemmelse med pkt. 8.1, er den Dataansvarlige berettiget til at få udleveret en kopi heraf. Kopi af sådan sikkerhedsrevisionsrapport fremsendes på anmodning til den dataansvarlige, såfremt databehandle ren får udarbejdet en sådan.
8.5 Såfremt den Dataansvarlige ønsker at få udarbejdet anden eller yderligere sikkerhedsrevisionsrapport udover de i pkt. 8.4 omtalte, eller at der i øvrigt ønskes foreta get tilsyn af Databehandlerens eller underdatabehand lerens persondatabehandling, herunder såfremt den dataansvarlige ønsker sikkerhedsrevisionsrapport udar bejdet på et nærmere bestemt tidspunkt, aftales dette nærmere med Databehandleren. Databehandleren eller underdatabehandleren kan til enhver tid kræve, at en sådan sikkerhedsrevisionsrapport udarbejdes i overens stemmelse med en anerkendt revisionsstandard (fx ISAE
7.6 Die mit der Implementierung derartiger Maßnahmen, vgl. Abs. 7.5, verbundenen Kosten werden vom Daten verantwortlichen getragen und sind somit nicht Sache des Auftragsverarbeiters. Der Auftragsverarbeiter ist berechtigt, dem Datenverantwortlichen seinen üblichen Stundensatz für sämtlichen seitens des Auftragsverar beiters mit einer solchen Implementierung verbundenen Arbeitsaufwand in Rechnung zu stellen, und der Daten
verantwortliche haftet gleichermaßen für eine etwaige an einen Unterauftragsverarbeiter zu leistende Zahlung.
8 Überprüfungsrecht
8.1 Auf Wunsch des Datenverantwortlichen hat der Auf tragsverarbeiter dem Datenverantwortlichen die für eine Überprüfung, ob vom Auftragsverarbeiter die erforderli chen technischen und organisatorischen Sicherheitsmaß nahmen getroffen wurden, benötigten Informationen zur Verfügung zu stellen.
8.2 Soweit der Datenverantwortliche wünscht, dass sich die Überprüfung auch auf die bei etwaigen Unterauftrags verarbeitern stattfindende Verarbeitung erstrecken soll, wird er dem Auftragsverarbeiter dies mitteilen. Der
Auftragsverarbeiter wird daraufhin die benötigten Infor mationen vom Unterauftragsverarbeiter einholen.
8.3 Sofern der Datenverantwortliche eine Überprüfung wie in diesem Abs. 8 beschrieben vornehmen möchte, hat er dies stets gegenüber dem Auftragsverarbeiter unter
Einhaltung einer Frist von mindestens 30 Tagen im Voraus anzukündigen.
8.4 Soweit der Auftragsverarbeiter einen Sicherheitsprüf bericht erstellen lässt, in dem die Sicherheitsbedingungen beim Auftragsverarbeiter in Übereinstimmung mit Abs. 8.1 beschrieben werden, ist der Datenverantwortliche berech tigt, eine Kopie des Berichts ausgehändigt zu bekommen. Sofern der Auftragsverarbeiter einen solchen Sicherheits prüfbericht erstellen lässt, ist dem Datenverantwortlichen auf Wunsch eine Kopie davon zu übersenden.
8.5 Sollte der Datenverantwortliche neben dem unter Abs.
8.4 beschriebenen Bericht die Anfertigung eines anderen oder zusätzlichen Sicherheitsprüfberichts wünschen oder im Übrigen eine Überprüfung der beim Auftragsver arbeiter oder Unterauftragsverarbeiter stattfindenden Verarbeitung personenbezogener Daten vornehmen wollen, so ist dies mit dem Auftragsverarbeiter näher zu vereinbaren; dies gilt auch für die Erstellung eines Sicher heitsprüfberichts zu einem näher bestimmten Zeitpunkt. Der Auftragsverarbeiter oder der Unterauftragsverar beiter kann jederzeit darauf bestehen, dass ein solcher
3000 eller 3402 med referenceramme til ISO 27001:2013, 27002:2014, 27701:2019 eller lignende) af en alment an erkendt og uafhængig tredjepart, som beskæftiger sig med sådanne forhold.
8.6 Den Dataansvarlige afholder alle omkostninger i forbin delse med tilsyn af sikkerhedsforhold hos Databehandle ren samt i forhold til underdatabehandleren, herunder er Databehandleren berettiget til at fakturere den Dataan svarlige med sin sædvanlige timetakst for al Databehand lerens arbejdstid, som sådant tilsyn måtte medføre for Databehandleren, ligesom den Dataansvarlige hæfter for eventuel betaling til underdatabehandleren.
9 Brud på persondatasikkerheden
9.1 Såfremt Databehandleren måtte blive bekendt med et brud på persondatasikkerheden, hvorved forstås et brud på sikkerheden, der fører til hændelig eller ulovlig tilintet gørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbe varet eller på anden måde behandlet, er Databehandleren forpligtet til uden unødig forsinkelse at søge at lokalisere sådant brud og søge at begrænse opstået skade i videst muligt omfang, samt i det omfang det er muligt reetable re eventuelt mistede data.
9.2 Databehandleren er endvidere forpligtet til uden unødig forsinkelse dog senenest efter 72 timer at underrette den Dataansvarlige efter at være blevet opmærksom på, at der er sket brud på persondatasikkerheden. Data behandleren skal herefter uden unødig forsinkelse, i det omfang det er muligt, give skriftlig meddelelse til den Dataansvarlige, som så vidt muligt skal indeholde:
a) En beskrivelse af karakteren af bruddet, herunder kategorierne og det omtrentlige antal berørte regi strerede og registreringer af personoplysninger
b) Navn på og kontaktoplysninger for databeskyttelses rådgiveren
c) En beskrivelse af de sandsynlige konsekvenser af bruddet
Sicherheitsprüfbericht in Übereinstimmung mit einer anerkannten Prüfungsnorm (z. B. ISAE 3000 oder 3402 unter Hinzuziehung von ISO 27001:2013, 27002:2014, 27701:2019 o. ä. als Bezugsrahmen) von einem allgemein anerkannten, unabhängigen Dritten erstellt wird, der sich mit derartigen Themen befasst.
8.6 Der Datenverantwortliche trägt sämtliche mit der Über prüfung der Sicherheitsbedingungen beim Auftragsver arbeiter sowie beim Unterauftragsverarbeiter verbunde nen Kosten; dabei ist der Auftragsverarbeiter berechtigt, dem Datenverantwortlichen seinen üblichen Stundensatz für sämtlichen seitens des Auftragsverarbeiters mit einer solchen Überprüfung verbundenen Arbeitsaufwand in Rechnung zu stellen, und der Datenverantwortliche haftet gleichermaßen für eine etwaige an einen Unter auftragsverarbeiter zu leistende Zahlung.
9 Verletzung der Sicherheit personenbezogener Daten
9.1 Sollte dem Auftragsverarbeiter eine Verletzung der Sicherheit personenbezogener Daten bekannt werden, worunter eine Verletzung der Sicherheit zu verstehen ist, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernich tung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang Dritter zu personenbezogenen Daten führt, so ist der Auftrags verarbeiter verpflichtet, unverzüglich Maßnahmen zu ergreifen, um eine solche Verletzung zu lokalisieren, den entstandenen Schaden weitestgehend zu begrenzen sowie etwaig verlorene Daten soweit möglich wiederher zustellen.
9.2 Der Auftragsverarbeiter ist zudem verpflichtet, nachdem er auf eine Verletzung des Schutzes personenbezogener Daten aufmerksam geworden ist, den Datenverantwort lichen unverzüglich, jedoch spätestens innerhalb von 72 Stunden, hierüber zu informieren. Der Auftragsverarbei ter hat daraufhin, soweit dies möglich ist, dem Datenver antwortlichen unverzüglich eine schriftliche Mitteilung zukommen zu lassen, aus der soweit möglich Folgendes hervorgeht:
a) eine Beschreibung der Art der Verletzung mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und personenbezogenen Datensätze;
b) den Namen und die Kontaktdaten des Datenschutzbeauf tragten;
c) eine Beschreibung der wahrscheinlichen Folgen der Ver letzung;
d) En beskrivelse af de foranstaltninger, Databehand leren eller underdatabehandleren har truffet eller foreslår truffet for at håndtere bruddet, herunder foranstaltninger for at begrænse dets mulige skade virkninger.
9.3 For så vidt det ikke er muligt at give de i pkt. 9.2 anførte oplysninger samlet, kan oplysningerne meddeles trinvist uden unødig forsinkelse.
9.4 Tilsvarende er underdatabehandlere pålagt uden unødig forsinkelse at underrette Databehandleren i overens stemmelse med pkt. 9.2 og 9.3.
10 Tavshedspligt
10.1 Databehandleren skal holde personoplysningerne fortro lige og er således alene berettiget til at anvende person oplysningerne som led i opfyldelsen af sine forpligtelser og rettigheder i henhold til Xxxxxxx.
10.2 Databehandleren skal sikre, at de medarbejdere og eventuelle andre, herunder underdatabehandlere, der er autoriseret til at behandle de i Aftalen omfattede per sonoplysninger, er pålagt tavshedspligt.
11 Varighed og ophør af databehandleraftalen
11.1 Aftalen træder i kraft ved Parternes underskrift af Aftalen.
11.2 I tilfælde af, at samarbejdsaftalen ophører, uanset årsag, ophører Aftalen også. Databehandleren er dog forpligtet af denne Aftale, så længe Databehandleren behandler personoplysninger på vegne af den Data ansvarlige, idet den Dataansvarlige snarest muligt og senest 14 dage efter ophør af samarbejdsaftalen skal oplyse Databehandleren skriftligt, hvorledes Databe handleren skal forholde sig til de behandlede personop lysninger. 30 dage efter ophøret af samarbejdsaftalen er Databehandleren berettiget til at slette eller tilba gelevere alle personoplysninger, som er blevet behandlet under den ophørte samarbejdsaftale på vegne af den Dataansvarlige, med mindre EUret eller national ret kræver at disse opbevares.
d) eine Beschreibung der vom Auftragsverarbeiter oder Unterauftragsverarbeiter ergriffenen oder vorge schlagenen Maßnahmen zur Behebung der Verletzung, darunter Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
9.3 Soweit es nicht möglich ist, die unter Abs. 9.2 aufgeführten Informationen gesammelt zu übersenden, können diese auch möglichst unverzüglich schrittweise erteilt werden.
9.4 Entsprechend ist auch der Unterauftragsverarbeiter verpflichtet, den Auftragsverarbeiter unverzüglich gemäß Abs. 9.2 und 9.3 zu informieren.
10 Schweigepflicht
10.1 Der Auftragsverarbeiter hat die personenbezogenen Daten geheim zu halten und ist somit ausschließlich be rechtigt, die personenbezogenen Daten zum Zwecke der Erfüllung und Wahrung seiner vertraglichen Pflichten und Rechte zu verwenden.
10.2 Der Auftragsverarbeiter hat zu gewährleisten, dass seine Mitarbeiter und etwaige andere zur Verarbeitung der personenbezogenen Daten befugte Personen, darunter Unterauftragsverarbeiter, zur Verschwiegenheit ver pflichtet werden.
11 Dauer und Beendigung des Datenverarbeitungsvertrags
11.1 Der Vertrag tritt bei seiner Unterzeichnung durch die Parteien in Kraft.
11.2 Für den Fall, dass der Kooperationsvertrag endet, unge achtet aus welchem Grund, endet auch dieser Vertrag. Der Auftragsverarbeiter bleibt jedoch durch diesen Vertrag verpflichtet, solange er im Auftrag des Daten verantwortlichen personenbezogene Daten verarbeitet, wobei der Datenverantwortliche schnellstmöglich und spätestens innerhalb von 14 Tagen nach Ende des Koope rationsvertrages dem Auftragsverarbeiter schriftlich mitzuteilen hat, wie sich der Auftragsverarbeiter in Bezug auf die verarbeiteten personenbezogenen Daten zu ver halten hat. 30 Tage nach Ende des Kooperationsvertrages ist der Auftragsverarbeiter berechtigt, sämtliche im Rah men des beendeten Kooperationsvertrages im Auftrag des Datenverantwortlichen verarbeiteten personenbezo genen Daten zu löschen oder zurückzugeben, es sei denn, das Unionsrecht oder die nationalen Rechtsvorschriften schreiben eine Speicherung der Daten vor.
Diese „Allgemeinen Geschäftsbedingungen“ und deren Anhänge werden aus der dänischen Version von „Beierholms generelle forretningsbetingelser“ übersetzt. Bei Unstimmigkeiten zwischen der dänischen Version und deren Übersetzung ist die dänische Version anzuwenden.