Personvernpolicy

Status for 08.12.2017

Innledningen

Denne avtalen spesifiserer databeskyttelsesforpliktelsene til avtalepartene som følge av ordrebehandlingen beskrevet i denne avtalen og i § 3 og § 4. Det gjelder alle aktiviteter knyttet til toujou-tjenestene der ansatte hos entreprenøren eller tredjeparter bestilt av entreprenøren kan komme i kontakt med kundens personopplysninger.

Partene er klar over at fra 25.05.2018 gjelder EUs personvernforordning (GDPR: EU-forordning 2016/679) og at kravene til ordrebehandling da generelt er basert på art. 28 GDPR. Inntil da gjelder § 11 i Federal Data Protection Act (BDSG). Regelverket som opphører å gjelde fra 25.05.2018 er derfor fastsatt i [hakeparenteser].

Individuelle avtaler i denne databeskyttelsesavtalen har forrang fremfor leverandørens generelle vilkår og betingelser (GTC).

§ 1 Definisjoner

1. PersonopplysningerI henhold til § 3 abs. 1 BDSG er personopplysninger individuelle opplysninger om personlige eller faktiske forhold til en identifisert eller identifiserbar fysisk person. I henhold til artikkel 4(1) i GDPR betyr personopplysninger all informasjon knyttet til en identifisert eller identifiserbar fysisk person (heretter kalt "registrert"); en identifiserbar fysisk person er en som kan identifiseres, direkte eller indirekte, spesielt ved henvisning til en identifikator som et navn, et identifikasjonsnummer, stedsdata, en online identifikator eller til en eller flere spesielle funksjoner som uttrykker den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sosiale identiteten til den fysiske personen.
2. Databehandling på vegne av eller behandlere
   I henhold til § 11 Abs. 3 BDSG, databehandlingen på vegne av lagring, endring, overføring, blokkering eller sletting av personopplysninger av entreprenøren på vegne av klienten. I henhold til artikkel 4(8) i GDPR er en databehandler en fysisk eller juridisk person, offentlig myndighet, etat eller et annet organ som behandler personopplysninger på vegne av behandlingsansvarlig.
3. Direktiv
   Instruksjon er instruksjonen rettet mot en bestemt databeskyttelseshåndtering (for eksempel lagring, pseudonymisering, sletting, overgivelse) av entreprenøren med personopplysninger, vanligvis skriftlig instruksjon fra klienten. Instruksjonene er utstedt av kunden og kan endres, suppleres eller erstattes av individuelle instruksjoner (individuelle instruksjoner). Klientens instruksjoner må gis skriftlig eller via e-post.

§ 2 Omfang og ansvar

1. Leverandøren skal på vegne av oppdragsgiver sørge for utvikling, driftstjenester og vedlikeholdstiltak for forhåndskonfigurerte TYPO3-systemer. Det er i denne sammenheng ikke utelukket at leverandøren får tilgang til eller kjennskap til personopplysninger. I henhold til [§ 11 Abs. 5 BDSG eller]. Artikkel 28 GDPR, er det derfor nødvendig å inngå en avtale om behandling på vegne av selskapet.
2. Oppdragsgiver har valgt entreprenøren som tjenesteyter innenfor rammen av due diligence-forpliktelsene i [§ 11 BDSG eller] art. 28 GDPR. En forutsetning for at databehandling i bestillingen er tillatt, er at oppdragsgiver legger inn bestillingen skriftlig hos leverandøren. Denne kontrakten inneholder, i henhold til partenes vilje og spesielt klienten, den skriftlige ordren for ordrebehandling i henhold til [§ 11 BDSG eller] Artikkel 28 (3) GDPR og regulerer rettighetene og forpliktelsene til partene i databeskyttelse i forbindelse med levering av hostingtjenester.
3. Eierskapet til personopplysningene ligger utelukkende hos kunden som "kontrollør" i henhold til Federal Data Protection Act eller General Data Protection Regulation. På grunn av dette ansvaret kan kunden også be om korrigering, sletting, blokkering og overlevering av personopplysninger i løpet av kontraktens løpetid og etter oppsigelse av kontrakten.

§ 3 Bestillingens innhold og varighet

1. Emnet for bestillingen er TYPO3-tjenesten hosting i tariffen bestilt av kunden.
2. Denne avtalen trer i kraft ved inngåelse av toujou-kontrakten (ifølge GTC, www.toujou.de/no/vilkaar/) og slutter vanligvis med oppsigelse av den underliggende hovedkontrakten i samsvar med GTC. Retten til ekstraordinær oppsigelse forblir upåvirket.

§ 4 Beskrivelse av behandlingen, opplysningene og de registrerte

Omfanget, typen og formålet med behandlingen samt typen data defineres via skjemaer opprettet eller brukt av klienten. Bruken, innholdet og omfanget av disse skjemaene er kundens ansvar. Videre er det tilgang til alt innhold, mediedata (bilder, videoer, dokumenter ...), som er lastet opp og satt inn i systemet av redaktører. Sirkelen av registrerte er definert av redaktører i TYPO3-systemet (ansatte eller agenter for klienten) samt besøkende og brukere av nettstedet hans generert fra systemet.

§ 5 Tekniske og organisatoriske tiltak

Leverandøren forplikter seg overfor Oppdragsgiver til å følge de tekniske og organisatoriske tiltak som er hensiktsmessige og nødvendige for å overholde gjeldende personvernforskrifter. 

1. Siden Leverandøren utfører vertstjenestene for Klienten utenfor Oppdragsgivers forretningslokaler, må Leverandøren dokumentere leverandørens tekniske og organisatoriske tiltak i henhold til [§ 9 BDSG og vedlegget til § 9 setning 1 BDSG eller] artikkel 28 (3) (C) GDPR, artikkel 32 GDPR i forbindelse med artikkel 5 (1) og (2) GDPR og overlevere dem til Oppdragsgiver for undersøkelse.
2. Tiltakene er ment å sikre datasikkerhet og sikre et beskyttelsesnivå som er egnet for risikoen med hensyn til konfidensialitet, integritet, tilgjengelighet og robusthet av systemene knyttet til denne ordren. Ved å gjøre dette må det tas hensyn til de ulike sannsynlighetene for forekomst og alvorlighetsgrad av risikoen for fysiske personers rettigheter og friheter i henhold til artikkel 32(1).
3. Den eksisterende på tidspunktet for inngåelse av kontrakten samt gjeldende tilstand av tekniske og organisatoriske tiltak er knyttet til denne avtalen som vedlegg A "Tekniske og organisatoriske tiltak i betydningen § 9 BDSG". Partene er enige om at endringer i tekniske og organisatoriske tiltak kan være nødvendig for å tilpasse seg tekniske og juridiske forhold. Vesentlige endringer som kan påvirke integriteten, konfidensialiteten eller tilgjengeligheten av personopplysningene skal avtales av Leverandøren på forhånd med Oppdragsgiver. Tiltak som bare medfører mindre tekniske eller organisatoriske endringer eller som ikke påvirker integriteten, konfidensialiteten og tilgjengeligheten av personopplysninger, kan iverksettes av entreprenøren uten koordinering med oppdragsgiver. Leverandøren kan når som helst finne en oppdatert versjon av kundens tekniske og organisatoriske tiltak her.

§ 6 Rettelse, begrensning og sletting av data

1. Entreprenøren kan ikke selvstendig korrigere, slette eller begrense behandlingen av data som behandles på oppdragsbasis, og kan bare gjøre det hvis den har en dokumentert instruksjon fra klienten. Hvis en registrert henvender seg direkte til entreprenøren i forbindelse med noe av dette, skal leverandøren umiddelbart henvise denne anmodningen til klienten for godkjenning.
2. Implementering av slettingskonseptet, retten til å bli glemt, korreksjon, dataportabilitet og levering av informasjon skal sikres av entreprenøren direkte, men bare i samsvar med en dokumentert instruksjon fra klienten.
3. Kopier eller duplikater av data skal ikke opprettes uten klientens viten. Dette inkluderer ikke sikkerhetskopier i den grad disse er nødvendige for å sikre ordnet databehandling eller data som kreves for å overholde lovbestemte oppbevaringsforpliktelser.
4. Ved inngåelse av det kontraktsfestede arbeidet eller før dette på klientens anmodning – men senest ved slutten av serviceavtalen – må leverandøren overlevere til klienten eller ødelegge, underlagt forhåndsavtale og i samsvar med krav til databeskyttelse, alle dokumenter og resultater av behandling og bruk i sin besittelse samt databeholdninger knyttet til kontraktsforholdet. Det samme gjelder enhver test og avvist materiale. Protokollen for sletting må gis på forespørsel.
5. Dokumentasjon som er ment som bevis på at data er behandlet i samsvar med bestillingen og på en ryddig måte, må oppbevares av entreprenøren utover kontraktens slutt i samsvar med de respektive oppbevaringsperiodene. Det kan, for egen lettelse, overlevere dette til klienten på slutten av kontrakten.

§ 7 Leverandørens forpliktelser

1. Leverandøren har ikke lov til å behandle personopplysninger som ikke gjelder levering av vertskapstjenester. Med mindre klienten har godtatt dette skriftlig.
2. Entreprenøren bekrefter at han – i den grad han er juridisk forpliktet til å gjøre det – har en personvernombud i selskap innenfor betydningen av [§ 4f BDSG eller] Artt. 38, 39 GDPR.De nåværende kontaktdetaljene til personvernombudet er lett tilgjengelige på entreprenørens hjemmeside. 
3. Leverandøren skal informere Kunden umiddelbart dersom en instruksjon gitt av Kunden etter eget syn bryter med lovbestemmelser. Entreprenøren har rett til å suspendere utførelsen av den aktuelle instruksjonen til den er bekreftet eller endret av klienten.
4. Leverandøren skal uten forsinkelse informere Oppdragsgiver om alvorlige forstyrrelser i driften, mistanke om brudd på personvern eller andre uregelmessigheter i behandlingen av Oppdragsgivers personopplysninger.
5. I tilfelle leverandøren bestemmer eller fakta begrunner antagelsen om at personopplysninger som behandles av ham for klienten, er underlagt brudd på juridisk beskyttelse av personopplysninger i henhold til [§ 42a BDSG eller] art. 33 GDPR (brudd på databeskyttelse eller brudd på data), for eksempel ved ulovlig overføring av dem eller på annen måte kommer til oppmerksomhet fra tredjeparter ulovlig, må leverandøren informere klienten umiddelbart og fullstendig via  For å informere tid, type og omfang av hendelsen eller hendelser skriftlig eller tekstform (faks / e-post). Varselet til oppdragsgiver må inneholde minst følgende opplysninger: Entreprenøren er også forpliktet til umiddelbart å informere om hvilke tiltak leverandøren har iverksatt for å forhindre ulovlig overføring eller uautorisert kunnskap fra tredjeparter i fremtiden.
   1. En beskrivelse av arten av bruddet på personopplysningene, som indikerer, der det er mulig, kategoriene og omtrentlig antall registrerte, de aktuelle kategoriene og omtrentlig antall personopplysninger.
   2. Navnet og kontaktinformasjonen til personvernombudet eller et annet kontaktpunkt for ytterligere informasjon.
   3. En beskrivelse av de sannsynlige konsekvensene av bruddet på personopplysningene.
   4. En beskrivelse av tiltakene som er truffet eller foreslått for å rette opp brudd på personvern og eventuelle tiltak for å redusere den potensielle negative effekten.
6. Leverandøren skal på forespørsel gi Oppdragsgiver den informasjon som er nødvendig for listen over behandlingsaktiviteter etter [§ 4g avsnitt 2 punkt 1 BDSG eller] Art. 30 para. 1 GDPR og, som databehandler, opprettholder et register over behandlingsaktiviteter i samsvar med art. 30 avsnitt 2 GDPR.
7. Leverandøren skal sørge for at de ansatte som er involvert i behandlingen av klientens personopplysninger i samsvar med [§ 5 BDSG eller] Artt. 28 para. 3 setning 2 lit. b, 29, 32 para. 4 GDPR for å opprettholde konfidensialitet og har tidligere blitt kjent med de relevante bestemmelsene om databeskyttelse. Leverandøren og enhver person som er underordnet Leverandøren som har tilgang til personopplysninger, kan bare behandle slike opplysninger i samsvar med Oppdragsgivers instruks, herunder fullmaktene som er gitt i denne Avtalen, med mindre de er juridisk forpliktet til å behandle dem. Denne taushetsplikten eksisterer fortsatt selv etter at aktiviteten er avsluttet.
8. Oppfyllelsen av ovennevnte forpliktelser må kontrolleres av entreprenøren og bevises på en hensiktsmessig måte
9. Videre forplikter Leverandøren seg til å støtte Oppdragsgiver i samsvar med forpliktelsene som er angitt i art. 34-36 GDPR i samsvar med art. 28 nr
   1. Som en del av sin plikt til å gi informasjon til de registrerte og klienten i denne sammenhengen, å gi all relevant informasjon uten forsinkelse.
   2. Når du utfører konsekvensutredningen av databeskyttelse.
   3. I forbindelse med en forutgående konsultasjon med tilsynsmyndigheten
10. Oppdragsgiver og oppdragstaker skal arbeide med tilsynsmyndigheten på forespørsel for å oppfylle sine plikter.
11. Entreprenøren må informere klienten umiddelbart om eventuelle inspeksjoner og tiltak fra tilsynsmyndigheten i den grad disse gjelder denne ordren. Dette gjelder også dersom en kompetent myndighet foretar undersøkelser som en del av en administrativ eller straffesak knyttet til behandling av personopplysninger knyttet til kontraktsbehandling hos entreprenøren.
12. Hvis klienten er gjenstand for en inspeksjon av tilsynsmyndigheten, eventuelle administrative eller straffesaker, et erstatningskrav fra en registrert eller tredjepart, eller et annet krav knyttet til kontraktsbehandling av entreprenøren, må entreprenøren støtte det etter beste evne.
13. Leverandøren skal regelmessig kontrollere interne prosesser samt tekniske og organisatoriske tiltak for å sikre at behandlingen som den er ansvarlig for, gjennomføres i samsvar med kravene i relevant personvernlovgivning og beskyttelse av den registrertes rettigheter er garantert.

§ 8 Kundens rettigheter og plikter

1. Oppdragsgiver har rett til når som helst å gi utfyllende instrukser til leverandøren om type, omfang og prosedyre for utvikling, pleie og vedlikehold av programvare og/eller IT-systemer. Instruks kan gis skriftlig, på e-post eller muntlig. Oppdragsgiver skal umiddelbart bekrefte muntlige instrukser til entreprenøren i tekstform (f.eks. e-post).
2. Klienten må informere entreprenøren umiddelbart og fullstendig hvis han oppdager feil eller uregelmessigheter med hensyn til databeskyttelsesforskrifter under undersøkelsen av ordreresultatene.
3. Klienten er ansvarlig for rapporteringsforpliktelsene som følger av [§ 42a BDSG eller] art. 33 para. 1 GDPR.
4. Kunden skal bestemme tiltakene for retur av databærerne som er gitt og / eller sletting av de lagrede personopplysningene etter at bestillingen er fullført ved kontrakt eller ved instruksjon.
5. Hvis klienten utsteder individuelle instruksjoner som går utover det kontraktsmessig avtalte omfanget av tjenestene, skal de resulterende kostnadene bæres av kunden.

§ 9 Ivareta rettighetene til den registrerte

1. Oppdragsgiver er ansvarlig for å ivareta den registrertes rettigheter.
2. I den grad entreprenørens samarbeid er nødvendig for å beskytte rettighetene til de registrerte – spesielt til informasjon, korreksjon, [blokkering eller], begrensning, dataportabilitet eller sletting – av oppdragsgiver, skal entreprenøren treffe de nødvendige tiltak i samsvar med oppdragsgiverens instruks.
3. I den grad en registrert kontakter entreprenøren direkte med det formål å korrigere, slette eller [blokkere eller]. Hvis dataene hans skulle være begrenset eller dataportabilitet, vil entreprenøren umiddelbart videresende denne forespørselen til klienten.
4. Forskrift om eventuell godtgjørelse for tilleggsutgifter som følge av samarbeidstjenester i forbindelse med påstand om rettigheter til registrerte mot oppdragsgiver hos entreprenøren, forblir upåvirket.

§ 10 Fullmakter

1. Klienten har rett til å kontrollere overholdelse av de lovbestemte bestemmelsene om databeskyttelse og overholdelse av kontraktsbestemmelsene mellom partene, samt overholdelse av entreprenørens instrukser når som helst i den grad det er nødvendig.
2. Leverandøren er forpliktet til å gi Kunden opplysninger i den grad dette er nødvendig for å gjennomføre inspeksjonen i henhold til punkt 1.
3. Etter forhåndsvarsel kan oppdragsgiver gjennomføre inspeksjonen i henhold til punkt 1 i entreprenørens fast driftssted i normal arbeidstid med rimelig tid. Oppdragsgiver skal sørge for at kontrollene kun utføres i den utstrekning det er nødvendig dersom entreprenørens virksomhet blir forstyrret av kontrollene.
4. Ved tiltak fra tilsynsmyndigheten overfor oppdragsgiver i henhold til [§ 38 BDSG eller] art. 58 GDPR, er entreprenøren forpliktet til å gi nødvendig informasjon til klienten, spesielt med hensyn til informasjons- og kontrollforpliktelser.
5. Entreprenøren skal fremlegge bevis på tekniske og organisatoriske tiltak som ikke bare angår den spesifikke ordren. Dette kan gjøres ved å:
   1. overholdelse av godkjente adferdsregler i samsvar med art. 40 GDPR.
   2. sertifisering i henhold til en godkjent sertifiseringsprosedyre i samsvar med art. 42 GDPR.
   3. nåværende attester, rapporter eller rapportutdrag fra uavhengige organer (f.eks. revisorer, revisorer,
   4. databeskyttelsesansvarlige, IT-sikkerhetsoffiserer, databeskyttelsesrevisorer).
6. en egnet sertifisering av IT-sikkerhet eller databeskyttelsesrevisjon (f.eks. i henhold til ISO 27001 eller BSI-Grundschutz).
   Kostnadene ved utgifter til inspeksjon av entreprenøren i henhold til punkt 3 og 4 kan kreves mot oppdragsgiver.

§ 11 Underleveranserelasjoner

1. For levering av hostingtjenester på vegne av klienten, bruker ikke entreprenøren noen tjenester fra tredjeparter som behandler data på hans vegne i samsvar med [§ 11 BDSG eller] Art. 28 GDPR (»underleverandør«).
2. Igangkjøring av underleverandører av entreprenøren etter behov er kun tillatt med skriftlig samtykke fra oppdragsgiver.
3. Klienten samtykker i at entreprenøren kan bruke selskaper til oppfyllelse av tjenester for å oppfylle sine kontraktsfestede tjenester eller underleveranse dem med tjenester. For øyeblikket er dette følgende selskaper:

1. Godkjente underleverandører (per 21.06.2022):

   NAME	ZWECK	ANBIETER
   Google	G Suite Services	Google Inc. 1600 Amphitheatre Parkway Mountain View, CA 94043 USA
   jweiland.net	Infrastruktur for hosting	jweiland.net  Jochen Weiland  Echterdinger Straße 57, 70794 Filderstadt  Germany
   HEXONET	Domene registrering	HEXONET GmbH Talstraße 27 66424 Homburg Germany
   BunnyWay d.o.o.	CDN	Cesta komandanta Staneta 4A 1215 Medvode Slovenia
   punkt.de GmbH	Infrastruktur for hosting	punkt.de GmbH Kaiserallee 13a 76133 Karlsruhe Germany

2. Ved et oppdrag må entreprenøren nøye velge underentreprenør og kontrollere før idriftsettelse at han kan overholde avtalene som er inngått mellom byggherre og entreprenør. Spesielt må leverandøren på forhånd og regelmessig i løpet av kontraktsperioden kontrollere at underleverandøren har tatt de tekniske og organisatoriske tiltakene som kreves for beskyttelse av personopplysninger i samsvar med [§ 9 BDSG eller] art. 28 para. 3 lit. c, 32 GDPR i forbindelse med artikkel 5 para. 1, para. 2 GDPR. Resultatet av inspeksjonen skal dokumenteres av entreprenøren og oversendes byggherren på forespørsel. Leverandøren er forpliktet til å få underleverandøren til å bekrefte at han har et personvernombud i henhold til [§ 4f BDSG eller] Artt. 37-39 GDPR.
   Leverandøren skal sørge for at regelverket som er avtalt i denne kontrakten og eventuelt utfyllende instrukser fra kunden også gjelder for underleverandøren. Leverandøren skal jevnlig følge med på at disse forpliktelsene overholdes.
   Underleverandørens plikt må være skriftlig. Kopi av skriftlig forpliktelse skal sendes klienten på forespørsel.
   Leverandøren er særlig forpliktet til ved hjelp av kontraktsbestemmelser å sikre at kundens og tilsynsmyndighetenes kontrollmyndighet (§ 10) også gjelder for underleverandøren, og at tilsvarende kontrollrettigheter er avtalt av oppdragsgiver og tilsynsmyndigheter. Det er også kontraktfestet at underleverandøren skal tolerere disse kontrolltiltakene og eventuelle kontroller på stedet.

§ 12 Datahemmeligheter og taushetsplikt

1. Entreprenøren forplikter seg til å følge de samme reglene for beskyttelse av hemmeligheter som de som sitter på klienten. Klienten er forpliktet til å informere entreprenøren om eventuelle spesielle hemmelige beskyttelsesregler.
2. Entreprenøren forsikrer at han er klar over gjeldende databeskyttelsesforskrifter og at han er kjent med anvendelsen av dem. 
3. Begge parter forplikter seg til å behandle all informasjon mottatt i forbindelse med gjennomføringen av denne avtalen konfidensielt i en ubegrenset periode og bare bruke den til gjennomføring av kontrakten. Ingen av partene har rett til å bruke denne informasjonen helt eller delvis til andre formål enn de som er nevnt ovenfor, eller til å gjøre denne informasjonen tilgjengelig for tredjeparter.
4. Ovennevnte forpliktelse gjelder ikke informasjon som en av partene har beviselig mottatt fra tredjeparter uten å være forpliktet til å opprettholde hemmelighold eller som er offentlig kjent.

§ 13 Informasjonsforpliktelser, skriftlig skjemaklausul, rettsvalg

1. Skulle klientens personopplysninger bli truet av entreprenøren ved beslag eller beslag, ved insolvens- eller komposisjonsbehandling eller ved andre hendelser eller tiltak fra tredjeparter, må entreprenøren informere kunden umiddelbart. Leverandøren skal umiddelbart informere alle ansvarlige i denne sammenheng om at suvereniteten og eierskapet til personopplysningene utelukkende ligger hos Klienten som "ansvarlig organ" i henhold til Federal Data Protection Act.
2. Endringer og tillegg til dette annekset og alle dets komponenter – inkludert eventuelle forsikringer fra entreprenøren – krever en skriftlig avtale og den uttrykkelige indikasjonen på at det er en endring eller tillegg til disse vilkårene. Dette gjelder også fraskrivelsen av dette formelle kravet.
3. Dersom en bestemmelse i disse vilkårene er ugyldig, skal de resterende bestemmelsene likevel gjelde. Avtalepartene forplikter seg til å erstatte en ineffektiv bestemmelse eller en bestemmelse som mangler i strid med planen i god tro med en bestemmelse som kommer nærmest kontraktspartenes felles formål.

Begrunnelse

Vedlegg A, tekniske og organisatoriske tiltak i henhold til § 9 BDSG

Her finner du »Vedlegg A« i gjeldende versjon samt tidligere versjoner som nedlasting (tysk).

Änderungen

Im Zuge der Entwicklung unterliegen unsere Datenschutzvereinbarungen einer fortlaufenden Überprüfung. Hier finden Sie ein fortlaufendes Protokoll des Änderungsverlaufes.