Datenschutz-Grundverordnung (DSGVO)

Drucken

  1. Zweck

    Zweck dieser Klauseln ist es, die Bedingungen festzulegen, unter denen sich der Unterauftragnehmer verpflichtet, im Auftrag des für die Verarbeitung Verantwortlichen die nachstehend definierten Verarbeitungen personenbezogener Daten vorzunehmen. Im Rahmen ihrer vertraglichen Beziehungen verpflichten sich die Parteien, die geltenden Vorschriften für die Verarbeitung personenbezogener Daten einzuhalten, insbesondere die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016, die ab dem 25. Mai 2018 gilt (im Folgenden "die europäische Datenschutzverordnung").

  2. Beschreibung der Verarbeitung, die Gegenstand der Unterauftragsvergabe ist

    Der Unterauftragnehmer ist befugt, im Namen des für die Verarbeitung Verantwortlichen die personenbezogenen Daten zu verarbeiten, die für die Erbringung der nachstehend beschriebenen Dienstleistungen erforderlich sind:

    Service Überprüfung von Identitätsdokumenten (Personalausweis, Reisepass, Aufenthaltsgenehmigung) und anderen persönlichen Dokumenten (RIB, Adressnachweis, Gehaltsabrechnung, Steuerbescheid, Führerschein usw.)
    Art der Maßnahmen Erfassung des Dokumentenbildes, Empfang, Extraktion der Dokumentendaten, Kontrolle auf der Grundlage definierter Regeln, Rückgabe der Kontrollergebnisse.
    Zweck der Verarbeitung Überprüfung der von den Endkunden übermittelten Dokumente.
    Kategorien von betroffenen Personen Endkunden
    Informationen, die der für die Verarbeitung Verantwortliche dem Unterauftragnehmer für die Erbringung der unter diesen Vertrag fallenden Dienstleistung zur Verfügung stellt Bild des Ausweises oder Dokuments, möglicherweise direkt vom Endkunden erworben.
    Service Gesichtserkennung zur Identifizierung des Inhabers des Ausweises
    Art der Maßnahmen Nehmen Sie ein Selfie-Foto auf, empfangen Sie das Selfie und vergleichen Sie es automatisch mit dem Gesicht auf dem Ausweisdokument.
    Zweck der Verarbeitung Überprüfung der von den Endkunden übermittelten Dokumente.
    Kategorien von betroffenen Personen Endkunden
    Informationen, die der für die Verarbeitung Verantwortliche dem Unterauftragnehmer für die Erbringung der unter diesen Vertrag fallenden Dienstleistung zur Verfügung stellt Bild des Personalausweises und Selfie des Endkunden, möglicherweise direkt vom Endkunden erworben.

  3. Vertragsdauer

    Dieser Vertrag gilt für den im Vertrag festgelegten Servicezeitraum.

  4. Verpflichtungen des Unterauftragnehmers gegenüber dem für die Verarbeitung Verantwortlichen

    Der Unterauftragnehmer verpflichtet sich dazu:

    • Die Daten nur für den (die) einzigen Zweck(e) zu verarbeiten, der (die) Gegenstand der Unterauftragsvergabe ist (sind)

    • Die Daten gemäß der Beschreibung der Dienstleistung zu verarbeiten, die dem für die Verarbeitung Verantwortlichen in der Anlage zu diesem Vertrag mitgeteilt wurde. Ist der Auftragsverarbeiter nach dem Unionsrecht oder dem Recht des Mitgliedstaats, dem er unterliegt, verpflichtet, Daten in ein Drittland oder an eine internationale Organisation zu übermitteln, so hat er den für die Verarbeitung Verantwortlichen vor der Verarbeitung über seine rechtlichen Verpflichtungen zu unterrichten, es sei denn, das betreffende Gesetz verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses.

    • Die Vertraulichkeit der im Rahmen dieses Vertrags verarbeiteten personenbezogenen Daten zu gewährleisten

    • Sicherstellen, dass die zur Verarbeitung personenbezogener Daten im Rahmen dieses Vertrags befugten Personen:

      • sich zur Vertraulichkeit verpflichten oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen
      • die erforderliche Ausbildung im Bereich des Schutzes personenbezogener Daten erhalten

    • Unterauftragsvergabe: Der Auftragsverarbeiter kann einen anderen Auftragsverarbeiter (im Folgenden: "der nachfolgende Auftragsverarbeiter") mit der Durchführung bestimmter Verarbeitungstätigkeiten beauftragen. In diesem Fall unterrichtet er den für die Verarbeitung Verantwortlichen vorab schriftlich über jede geplante Änderung in Bezug auf die Hinzufügung oder den Austausch anderer Unterauftragnehmer. In diesen Informationen müssen die im Unterauftrag vergebenen Verarbeitungstätigkeiten, die Identität und die Kontaktdaten des Unterauftragnehmers sowie die Daten des Unterauftrags klar angegeben werden. Der für die Verarbeitung Verantwortliche verfügt über eine Mindestfrist von 15 Tagen ab dem Datum des Erhalts dieser Informationen, um seine Einwände vorzubringen. Die Unterauftragsvergabe kann nur erfolgen, wenn der für die Verarbeitung Verantwortliche nicht innerhalb der vereinbarten Frist widersprochen hat.

    • Recht auf Information der betroffenen Personen: Je nachdem, ob die Informationen von dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter erhoben werden, ist der für die Verarbeitung Verantwortliche bzw. der Auftragsverarbeiter verpflichtet, die von der Verarbeitung betroffenen Personen zum Zeitpunkt der Datenerhebung zu informieren.

    • Ausübung der persönlichen Rechte: Der Unterauftragnehmer muss den für die Verarbeitung Verantwortlichen so weit wie möglich bei der Erfüllung seiner Verpflichtung unterstützen, auf Anträge auf Ausübung der Rechte der betroffenen Personen zu reagieren: Recht auf Auskunft, Berichtigung, Löschung und Widerspruch, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Recht, nicht Gegenstand einer automatisierten Einzelentscheidung zu sein (einschließlich Profiling).
      Wenn die betroffenen Personen beim Unterauftragnehmer Anträge auf Ausübung ihrer Rechte stellen, muss der Unterauftragnehmer diese Anträge unmittelbar nach ihrem Eingang per E-Mail an eine Kontaktperson bei dem für die Verarbeitung Verantwortlichen senden, deren Kontaktdaten im Anhang zum Vertrag aufgeführt sind.

    • Benachrichtigung über Verletzungen des Schutzes personenbezogener Daten: Der Auftragsverarbeiter benachrichtigt den für die Verarbeitung Verantwortlichen über jede Verletzung des Schutzes personenbezogener Daten innerhalb von höchstens 24 Stunden, nachdem er davon Kenntnis erlangt hat, und zwar per E-Mail an eine Kontaktperson des für die Verarbeitung Verantwortlichen, deren Kontaktdaten im Anhang zum Vertrag aufgeführt sind. . Dieser Meldung sind alle zweckdienlichen Unterlagen beigefügt, die es dem für die Verarbeitung Verantwortlichen ermöglichen, diese Verletzung gegebenenfalls der zuständigen Kontrollbehörde zu melden.
      Nach Zustimmung des für die Verarbeitung Verantwortlichen meldet der Unterauftragnehmer im Namen und im Auftrag des für die Verarbeitung Verantwortlichen der zuständigen Kontrollbehörde (der CNIL) die Verletzungen des Schutzes personenbezogener Daten so schnell wie möglich, spätestens jedoch 72 Stunden nach Kenntnisnahme, es sei denn, die betreffende Verletzung stellt kein Risiko für die Rechte und Freiheiten natürlicher Personen dar.
      Die Meldung enthält mindestens:

      • beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, einschließlich, soweit möglich, der Kategorien und der ungefähren Zahl der von der Verletzung betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
      • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können;
      • beschreibung der voraussichtlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
      • eine Beschreibung der Maßnahmen, die der für die Verarbeitung Verantwortliche ergriffen hat oder zu ergreifen gedenkt, um die Verletzung des Schutzes personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abmilderung etwaiger negativer Folgen.
        Wenn und soweit es nicht möglich ist, alle diese Informationen gleichzeitig zu übermitteln, können die Informationen ohne unangemessene Verzögerung schrittweise übermittelt werden.

    • Hilfe des Unterauftragnehmers im Rahmen der Erfüllung der Verpflichtungen des für die Verarbeitung Verantwortlichen: Der Auftragsverarbeiter unterstützt den für die Datenverarbeitung Verantwortlichen bei der Durchführung der Arbeiten:

      • folgenabschätzungen in Bezug auf den Datenschutz
      • vorherige Konsultation der Aufsichtsbehörde.

    • Sicherheitsmaßnahmen: Der Unterauftragnehmer verpflichtet sich, die folgenden Sicherheitsmaßnahmen zu ergreifen:

      • Die in der Datenbank gespeicherten personenbezogenen Daten werden mit AES256 verschlüsselt.
      • Die als Bild auf dem Dateisystem gespeicherten Daten werden mit AES256 verschlüsselt.
      • Sobald die Daten nicht mehr benötigt werden, werden sie unverzüglich gelöscht.
      • Technische Spuren enthalten keine persönlichen Informationen.
      • Die Daten sind bei der Übertragung durch TLS-Verbindungen geschützt.
      • Der externe Zugang zum Dienst ist durch Sicherheitseinrichtungen geschützt, deren Konfigurationen regelmäßig überprüft werden.
      • Die Daten, die in der Datenbank aufbewahrt werden (für die Dauer ihrer Verarbeitung oder während ihrer Verwendung für den für die Verarbeitung Verantwortlichen), werden in einer replizierten Datenbank aufbewahrt, die es ermöglicht, den Dienst bei einem Ausfall eines Knotens wiederherzustellen. Bei einem Ausfall aller Knoten wird ein Geschäftskontinuitätsplan ausgelöst, der die letzte tägliche verschlüsselte Datensicherung verwendet.
      • Die Datenverarbeitungsknoten sind redundant ausgelegt, so dass der Dienst auch bei Ausfall eines Knotens aufrechterhalten werden kann.
      • Der gesamte Dienst wird in Echtzeit überwacht, und ein automatisches Warnsystem informiert die Systemadministratoren über jede Anomalie bei der Erbringung des Dienstes.
      • Der Zugang zu den Servern ist auf bestimmte Personen beschränkt. Alle Aktionen dieser Personen auf diesen Servern werden in unveränderlichen Protokollen aufgezeichnet.
      • Ein jährliches Audit des Dienstes überprüft die Einhaltung der Verfahren und Vigilanzmaßnahmen.
      • Hinweis: Die Daten werden nicht anonymisiert / pseudonymisiert, da der Zweck des Dienstes darin besteht, die Identität des Endnutzers zu überprüfen.

    • Schicksal der Daten: Nach Beendigung der Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung dieser Daten verpflichtet sich der Unterauftragnehmer, alle personenbezogenen Daten an den für die Verarbeitung Verantwortlichen zurückzugeben und anschließend zu vernichten.
      Die Rückgabe muss mit der Vernichtung aller in den Informationssystemen des Unterauftragnehmers vorhandenen Kopien einhergehen.
      Da der Unterauftragnehmer selbst entwickelte Lern- und automatische Verarbeitungsalgorithmen verwendet, ist er vom für die Verarbeitung Verantwortlichen ermächtigt, Daten zum Zwecke der Verbesserung dieser Algorithmen aufzubewahren. Die gespeicherten Daten werden von einem speziellen Team des Unterauftragnehmers verwendet, dessen Mitglieder alle eine besondere Vertraulichkeitsverpflichtung unterzeichnet haben. Die gespeicherten Daten sind außerhalb des internen Informationssystems des Unterauftragnehmers nicht zugänglich.

    • Datenschutzbeauftragter: Der Auftragsverarbeiter teilt dem für die Verarbeitung Verantwortlichen den Namen und die Kontaktdaten seines Datenschutzbeauftragten mit, sofern er einen solchen gemäß Artikel 37 der europäischen Datenschutzverordnung bestellt hat.

    • Register der Kategorien von Verarbeitungstätigkeiten: Der Auftragsverarbeiter erklärt, dass er ein schriftliches Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des für die Verarbeitung Verantwortlichen durchgeführt werden, führt:

      • den Namen und die Kontaktdaten des für die Datenverarbeitung Verantwortlichen, in dessen Auftrag sie handeln, sowie die Namen aller Unterauftragnehmer und gegebenenfalls des Datenschutzbeauftragten;
      • die Kategorien der im Auftrag des für die Verarbeitung Verantwortlichen durchgeführten Verarbeitungen;
      • gegebenenfalls die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Angabe dieses Drittlandes oder dieser internationalen Organisation und - im Falle der Übermittlung gemäß Artikel 49 Absatz 1 Unterabsatz 2 der Europäischen Datenschutzverordnung - der Dokumente, die das Bestehen angemessener Garantien belegen
      • soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, einschließlich, aber nicht beschränkt auf, wie erforderlich:
        • pseudonymisierung und Verschlüsselung personenbezogener Daten; oder Mittel zur Gewährleistung der kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Verarbeitungssystemen und -diensten;
        • mittel zur Wiederherstellung der Verfügbarkeit personenbezogener Daten und des Zugangs zu ihnen innerhalb angemessener Fristen im Falle eines physischen oder technischen Zwischenfalls; oder ein Verfahren zur Prüfung, Analyse und regelmäßigen Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

    • Documentation: Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen die erforderlichen Unterlagen zur Verfügung, um die Einhaltung aller seiner Verpflichtungen nachzuweisen und die Durchführung von Audits, einschließlich Inspektionen, durch den für die Verarbeitung Verantwortlichen oder einen anderen von ihm beauftragten Prüfer zu ermöglichen, und trägt zu diesen Audits bei.

  5. Pflichten des für die Verarbeitung Verantwortlichen gegenüber dem Auftragsverarbeiter

    Der für die Datenverarbeitung Verantwortliche verpflichtet sich zu:

    • Dem Unterauftragnehmer die in Abschnitt II dieser Klauseln genannten Daten zur Verfügung zu stellen

    • Dokumentieren Sie alle Anweisungen bezüglich der Verarbeitung der Daten durch den Verarbeiter schriftlich

    • Im Vorfeld und während der gesamten Dauer der Verarbeitung sicherstellen, dass der Auftragsverarbeiter die in der europäischen Datenschutzverordnung vorgesehenen Verpflichtungen einhält

    • Überwachung der Verarbeitung, einschließlich Durchführung von Audits und Inspektionen beim Verarbeiter