AML- DSGVO- Informationsklausel

Stand zum 25.05.2018

Begriffe:

Für die Zwecke der vorliegenden Verordnung:

"VERORDNUNG" bedeutet Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), auch als DSGVO bekannt.

"Verletzung des Schutzes von personenbezogenen Daten" bedeutet eine Verletzung der Sicherheit, die einen zufälligen bzw. rechtswidrigen Verlust, Vernichtung, eine Modifikation, eine unberechtigte Veröffentlichung bzw. einen unberechtigten Zugang zu personenbezogenen Daten, die verschickt, verwahrt oder anders verarbeitet werden, bewirkt.

Im Zusammenhang mit dem bereits geschlossenen Vertrag über die Erbringung von Dienstleistungen durch amavat® an den Kunden und im Zusammenhang damit, dass die Verarbeitung der vom Kunden anvertrauten personenbezogenen Daten im Auftrag des Kunden erfolgen soll:

1. Erklärt amavat®, dass sie ausreichende Garantien für die Implementierung geeigneter technischer und organisatorischer Maßnahmen bietet, damit die Datenverarbeitung den Anforderungen der Verordnung entspricht und die Rechte der betroffenen Personen schützt.
2. Jede Übermittlung von personenbezogenen Daten des Kunden an amavat® (zum Zwecke der Erfüllung des Dienstleistungsvertrages) gilt als Auftrag über eine Datenverarbeitung.
3. Soweit nichts anderes vereinbart ist (d.h. es wurde keine gesonderte Vereinbarung über die Beauftragung mit der Verarbeitung von personenbezogenen Daten geschlossen), erfolgt die Verarbeitung der vom Auftraggeber anvertrauten personenbezogenen Daten durch amavat® auf der Grundlage der vorliegenden Bestimmungen. Dies bedeutet insbesondere, dass:
   1. amavat® die personenbezogenen Daten nur auf einen schriftlichen Auftrag des Auftraggebers verarbeitet - dies gilt auch für die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation - es sei denn, eine solche Verpflichtung ergibt sich aus dem Unionsrecht oder dem inländischen Recht, dem amavat® unterliegt; in diesem Fall informiert amavat® den Auftraggeber vor Beginn der Verarbeitung über diese rechtliche Verpflichtung, es sei denn, dieses Recht verbietet eine solche Information aufgrund eines wichtigen öffentlichen Interesses.
   2. amavat® stellt sicher, dass die zur Bearbeitung von Personendaten befugten Personen sich zur Geheimhaltung verpflichten oder einer entsprechenden gesetzlichen Geheimhaltungspflicht unterstehen.
   3. amavat® wird alle gemäß Artikel 32 der Verordnung erforderlichen Maßnahmen treffen.
   4. amavat® wird die Nutzungsbedingungen eines anderen Verarbeiters einhalten.
   5. amavat® unterstützt den Kunden, unter Berücksichtigung des Verarbeitungscharakters, so weit wie möglich durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung der Verpflichtung, auf Anfragen der betroffenen Person bei der Ausübung ihrer Rechte gemäß Kapitel III der Verordnung zu reagieren.
   6. amavat® unterstützt den Kunden, unter Berücksichtigung des Verarbeitungscharakters und der ihm zugänglichen Informationen bei der Erfüllung der in den Artikeln 32 bis 36 der Verordnung genannten Pflichten.
   7. amavat® wird nach Beendigung der Verarbeitung, je nach dem Kundenwunsch, alle personenbezogenen Daten einschl. deren Kopien löschen, oder diese dem Kunden zurück geben, es sei denn, das Unionsrecht oder das nationale Recht schreibt eine Aufbewahrung der personenbezogenen Daten vor.
   8. amavat® wird dem Kunden alle Informationen zur Verfügung stellen, die für den Nachweis der Einhaltung der in diesem Absatz genannten Verpflichtungen erforderlich sind, und ermöglicht ggf. veranlasst die Durchführung von Audits, einschließlich Prüfungen, durch den Kunden oder einen vom Kunden beauftragten Prüfer.

Im Zusammenhang mit der Verpflichtung nach Absatz (h) wird amavat® den Kunden unverzüglich informieren, sobald der ihr erteilte Verarbeitungsauftrag, ihrer Ansicht nach, als Verstoß gegen die Verordnung oder andere Rechtsvorschriften der Union oder der Mitgliedstaaten zum Datenschutz gilt.

4. Der Kunde bestätigt, dass er damit einverstanden ist, dass amavat® weitere Auftragsverarbeiter einsetzt, insbesondere, aber nicht ausschließlich, vom Kreis der getsix®-Unternehmensgruppe, die unter https://getsix.de/impressum/ aufgeführt sind, und von HLB-Partnerfirmen, die unter https://amavat.de/ueber-uns/mitgliedsfirmen/ aufgeführt sind (je nach dem Land, für das diese Dienstleistung gilt).
   
   Der Kunde hat die Möglichkeit, dem Einsatz weiterer Auftragsverarbeiter durch amavat® zu widersprechen. Eine Beanstandung gegenüber einem Unternehmen, das für die Erbringung der amavat®-Dienstleistungen eine Schlüsselrolle spielt, kann zur Kündigung der Dienstleistungsvereinbarung führen.
5. Bedient sich amavat® eines anderen Auftragsverarbeiters, um bestimmte Verarbeitungstätigkeiten im Auftrag des Kunden durchzuführen, so werden diesem anderen Auftragsverarbeiter durch Vertrag oder andere Rechtsakte, die dem Unionsrecht oder dem nationalen Recht unterliegen, dieselben Datenschutzverpflichtungen auferlegt wie in diesen AGB, insbesondere die Verpflichtung, ausreichende Sicherheiten für die Durchführung geeigneter technischer und organisatorischer Maßnahmen zu bieten, damit die Verarbeitung den Anforderungen der Verordnung entspricht. Kommt dieser andere Auftragsverarbeiter seinen Datenschutzverpflichtungen nicht nach, trägt amavat® gegenüber dem Auftraggeber die volle Verantwortung für die Erfüllung der Verpflichtungen dieses anderen Auftragsverarbeiters.
6. Der Vertrag oder eine sonstige Rechtshandlung nach Absatz 5 haben die Schriftform, darunter die elektronische Form.
7. Unbeschadet der Artikel 82, 83 und 84 der Verordnung gilt amavat®, wenn sie bei der Bestimmung der Verarbeitungszwecke und Verarbeitungsmittel gegen die Verordnung verstößt, als der Verantwortliche für die Verarbeitung.
8. amavat® verpflichtet sich, den Kunden unverzüglich über folgendes zu benachrichtigen:
   1. über jede Aufforderung des Zugangs zu personenbezogenen Daten seitens der zuständigen Behörden, es sei denn, es liegt ein gesetzlich begründetes Mitteilungsverbot vor,
   2. über jede Entdeckung oder jeden Verdacht einer Verletzung des Schutzes personenbezogener Daten (spätestens innerhalb von 24 Stunden),
   3. über jede Anfrage der Person, deren Daten sie im Auftrag des Kunden verarbeitet, wobei sie nicht auf die Anfrage antwortet.