LEPAYA – Verarbeitungsvereinbarung

Zuletzt aktualisiert: Dezember 2020

Willkommen bei Lepaya (“Lepaya”, “LTD Group BV”, “LTD NL BV” oder “LTD NL”). Lepaya bietet Software und Dienstleistungen, um den Mitarbeitenden der Kundschaften Learning Journeys anzubieten und den Fortschritt in diesen Journeys zu messen. Wie in unserer Datenschutzvereinbarung (https://lepaya.com/de/datenschutz/) beschrieben, macht Lepaya dies in der in der DSGVO definierten Rolle des Datenverarbeiters (“Datenverarbeiter”), wobei die Kundschaft der Datenverantwortliche (“Datenverantwortlicher”) ist. Diese Datenverarbeitungsvereinbarung (“DVV”) gilt für die Verträge zwischen Lepaya und ihren Kundschaften, es sei denn es wurde eine besondere DVV oder besondere Ausnahmen oder Zusätze zur untenstehenden DVV schriftlich zwischen Lepaya und einer Kundschaft vereinbart.

In dieser Vereinbarung bedeutet “Verarbeitungsprozesse” jede Handlung oder Reihe von Handlungen in Bezug auf personenbezogene Daten (“Daten”), in jedem Fall einschließlich der Sammlung, Erfassung, Organisation, Speicherung, Aktualisierung, Modifizierung, des Abrufes, der Befragung, Nutzung, Bereitstellung durch Übertragung, Verbreitung oder jeglicher anderen Form des Verfügbarmachens, Zusammenbringens, Verbindens, als auch der Abschirmung, Löschung oder Vernichtung von Daten im Kontext des Auftrags des Datenverantwortlichen an Lepaya, um ihre Anwendung (“App”) zugunsten der Digitalisierung der Learning Journey der Mitarbeitenden des Datenverantwortlichen zur Verfügung zu stellen.

In dieser Vereinbarung bedeutet “Daten” personenbezogene Daten, wie: Vorname, Nachname, E-Mail Adresse, Berufsbezeichnung, Geräte ID, Testergebnisse, Telefonnummer.

1. Auftrag

  • Der Datenverantwortliche hat Lepaya beauftragt seine Trainings/Bildungsangebote zu stärken. Dies führt zur Ausführung von Verarbeitungsprozessen, wie im Vertrag zwischen dem Datenverantwortlichen und LTD und in diesem DVV beschrieben. Im Fall eines Konfliktes zwischen dem Dienstleistungsvertrag und dieser DVV, wird der Inhalt dieser DVV vorrangig sein.
  • Lepaya ist nicht berechtigt, Handlungen in Bezug auf die Daten vorzunehmen, außer auf der Grundlage schriftlicher Anweisungen des Datenverantwortlichen. Lepaya wird die Daten nur für die im Vertrag genannten Zwecke verarbeiten und garantiert, dass es die Daten niemals für eigene (kommerzielle) Zwecke nutzen, verwenden oder anderweitig verarbeiten wird. Wenn eine auf Lepaya anwendbare Rechtsvorschrift der Union oder eines Mitgliedstaats die Verarbeitung vorschreibt, wird Lepaya den Datenverantwortlichen vor der Verarbeitung über diese Rechtsvorschrift unterrichten, es sei denn, diese Rechtsvorschrift verbietet eine solche Unterrichtung aus wichtigen Gründen des öffentlichen Interesses.
  • Lepaya kann die in Artikel 1.1 genannten Verarbeitungen an Dritte, einschließlich verbundener Unternehmen oder Unterauftragnehmer, auslagern. Beispiele für Unterauftragsverarbeiter sind Auth0 für die Nutzerauthentifizierung und Amazon Web Services als Unterauftragsverarbeiter für das Hosting unserer Plattform. Die vollständige Liste der Unterverarbeiter finden Sie hier. Lepaya stellt sicher, dass diese Dritten an alles gebunden sind, was in dieser Vereinbarung festgelegt ist. Lepaya bleibt für alle Handlungen und/oder Unterlassungen der beauftragten Dritten verantwortlich.
  • Lepaya stellt sicher, dass nur die Mitarbeitenden oder sonstigen Auftragnehmer von Lepaya, die die Daten verarbeiten müssen, Zugang zu den Daten haben. Lepaya wird diese Mitarbeitenden oder sonstigen Untergebenen von Lepaya angemessen unterweisen und sicherstellen, dass sie mit den Verantwortlichkeiten und Verpflichtungen im Rahmen dieser Vereinbarung und der geltenden Gesetze und Vorschriften vertraut sind.
  • Lepaya stellt auf Anfrage des Datenverantwortlichen die Informationen zur Verfügung, die erforderlich sind, um die Einhaltung dieser DVV sowie die Einhaltung der geltenden Datenschutzgesetze und -vorschriften nachzuweisen.
  • Auf Antrag des Datenverantwortlichen gewährt Lepaya dem Datenverantwortlichen Zugang zu den Daten und beantwortet Fragen und Anträge des Datenverantwortlichen in Bezug auf die Verarbeitung der Daten. Lepaya wird außerdem innerhalb von zwei (2) Wochen nach Aufforderung durch den Datenverantwortlichen:
    • a) dem Datenverantwortlichen eine Kopie aller Daten oder Daten über eine bestimmte Person, die sich in seinem Besitz oder unter seiner Kontrolle befinden, sowie eine Kopie aller Dokumente, in denen diese Daten enthalten sind, und eine Übersicht über alle Systeme, in denen diese Daten enthalten sind, sowie über alle anderen Verarbeitungen dieser Daten durch Lepaya in einem Format, das der Datenverantwortliche vernünftigerweise verlangt, zur Verfügung zu stellen;
    • b) bestimmte Daten gemäß den Anweisungen des Datenverantwortlichen zu löschen, sperren oder berichtigen; und/oder
    • c) die Nichteinhaltung bestimmter Aufforderungen zur Löschung, Sperrung oder Berichtigung sowie die Gründe dafür festzuhalten.
  • Lepaya benachrichtigt den Datenverantwortlichen innerhalb von zweiundsiebzig (72) Stunden, wenn eine zuständige Behörde ein rechtsverbindliches Ersuchen um Bereitstellung der Daten gestellt hat, es sei denn, Lepaya ist nicht befugt, den Datenverantwortlichen davon in Kenntnis zu setzen, wie z. B. im Falle einer strafrechtlichen Anordnung zur Wahrung der Vertraulichkeit einer strafrechtlichen Untersuchung.
  • Lepaya benachrichtigt den Datenverantwortlichen innerhalb von zweiundsiebzig (72) Stunden, wenn es einen Antrag einer betroffenen Person in Bezug auf die Daten erhält, einschließlich, aber nicht beschränkt auf einen Antrag auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Datenübertragbarkeit und/oder einen Widerspruch gegen die Verarbeitung. Lepaya wird den Datenverantwortlichen durch geeignete technische und organisatorische Maßnahmen bei der Erfüllung seiner Pflicht zur Beantwortung von Anträgen auf Ausübung der Rechte der betroffenen Personen unterstützen.
  • Lepaya wird den Datenverantwortlichen informieren, wenn es zu irgendeinem Zeitpunkt nicht (mehr) in der Lage ist, seinen Verpflichtungen gemäß dieser DVV nachzukommen, oder wenn es absehbar ist, dass es dazu in naher Zukunft nicht (mehr) in der Lage sein wird. Der Datenverantwortliche kann dann beschließen, (i) mit sofortiger Wirkung die Bereitstellung von Daten an Lepaya einzustellen, (ii) Lepaya anzuweisen, die Verarbeitungstätigkeiten auszusetzen, bis Lepaya wieder in der Lage ist, die Verpflichtungen aus dieser DVV ordnungsgemäß zu erfüllen, und/oder (iii) diese Vereinbarung mit sofortiger Wirkung zu kündigen.
  • Lepaya wahrt in Bezug auf die Daten strenge Vertraulichkeit und gewährleistet, dass die zur Verarbeitung der Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder durch eine entsprechende gesetzliche Verpflichtung zur Vertraulichkeit gebunden sind. Lepaya stellt außerdem sicher, dass es Maßnahmen ergriffen hat, um zu gewährleisten, dass nicht mehr Personen als nötig Zugang zu den Daten haben, und dass jede natürliche Person, die unter der Aufsicht von Lepaya handelt und Zugang zu den Daten hat, diese nur im Auftrag des Datenverantwortlichen verwendet, es sei denn, die natürliche Person ist nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
  • Lepaya wird den Datenverantwortlichen benachrichtigen, wenn eine Anweisung des für Datenverantwortlichen nach Ansicht von Lepaya im Widerspruch zu den geltenden Gesetzen und/oder Vorschriften steht, einschließlich, aber nicht beschränkt auf die geltenden Datenschutzgesetze und -vorschriften, oder wenn eine bevorstehende Änderung der geltenden Gesetze und Vorschriften wahrscheinlich negative Auswirkungen auf die Art und Weise hat, in der Lepaya in der Lage sein wird, die Verpflichtungen im Rahmen dieser Vereinbarung zu erfüllen.
  • Lepaya benachrichtigt den Datenverantwortlichen schriftlich innerhalb von achtundvierzig (48) Stunden nach Bekanntwerden eines vermuteten oder tatsächlichen Verstoßes im Zusammenhang mit personenbezogenen Daten (ein “Datenschutzverstoß”), einschließlich, aber nicht beschränkt auf einen tatsächlichen oder vermuteten unbefugten Zugriff, eine unbefugte Offenlegung, Verwendung, einen Verlust, eine Beschädigung oder Zerstörung der Daten durch derzeitige oder frühere Mitarbeitende, Auftragnehmende oder Vertretende von Lepaya oder durch eine andere Person oder durch Dritte. Lepaya unterstützt den Datenverantwortlichen in vollem Umfang bei der Erfüllung seiner diesbezüglichen Pflichten, z. B. auf Wunsch bei der Meldung an die Aufsichtsbehörde und/oder die betroffene(n) Person(en).
  • Lepaya wird den Datenverantwortlichen im Falle einer Untersuchung durch eine Aufsichtsbehörde rechtzeitig unterstützen, wenn und soweit diese Untersuchung in irgendeiner Weise mit der Verarbeitung von Daten im Sinne dieser DVV zusammenhängt.
  • Lepaya wird den Datenverantwortlichen jederzeit rechtzeitig über die Erfüllung seiner Verpflichtungen gemäß Artikel 32 bis 36 der DSGVO informieren, einschließlich, aber nicht beschränkt auf die Verpflichtungen des Datenverantwortlichen in Bezug auf die Sicherheit der Verarbeitung und die Durchführung von Datenschutz-Folgenabschätzungen.

2. Entsprechende Gesetze und Vorschriften

  • Lepaya wird seinen Verpflichtungen aus dieser Vereinbarung sowie allen geltenden Gesetzen und Vorschriften bei der Ausführung Verarbeitungsprozesse nachkommen, einschließlich, aber nicht beschränkt auf das niederländische Datenschutzgesetz (“Wbp”) und die allgemeine Datenschutzverordnung (“AVG”), und akzeptiert hiermit alle (zukünftigen) Verpflichtungen, die sich daraus ergeben.

3. Sicherheit

  • Lepaya ergreift angemessene technische und organisatorische Maßnahmen zur Sicherung der Daten und wendet ein Sicherheitsniveau an, das die Vertraulichkeit der Daten gewährleistet und die Daten vor Verlust, Veränderung, Zerstörung, Weitergabe oder Zugriff und darüber hinaus vor allen anderen Formen der unrechtmäßigen Verarbeitung der Daten schützt. Unter Berücksichtigung des Stands der Technik und der Kosten für die Umsetzung werden diese Maßnahmen ein angemessenes Sicherheitsniveau im Hinblick auf die mit der Verarbeitung verbundenen Risiken und die Art der zu schützenden Daten gewährleisten.

4. Verarbeitung außerhalb des EWR

  • Ohne vorherige schriftliche Zustimmung der Datenverantwortlichen wird Lepaya keine Daten außerhalb des Europäischen Wirtschaftsraumes verarbeiten oder verarbeiten lassen.

5. Dauer und Beendigung

  • Diese Vereinbarung tritt an dem Tag in Kraft, an dem ein Vertrag zwischen Lepaya und dem Kunden zustande kommt, und bleibt für ein (1) Jahr nach Beendigung dieses Vertrags gültig.
  • Jede Partei kann diesen Vertrag vorzeitig durch schriftliche Kündigung unter Einhaltung einer Kündigungsfrist von drei (3) Monaten auflösen. Die kündigende Partei schuldet der anderen Partei keine Entschädigung im Zusammenhang mit der Kündigung, mit Ausnahme von Gebühren, die im Handelsvertrag zwischen Lepaya und dem Kunden festgelegt sind.
  • Tritt bei einer Partei einer der folgenden Fälle ein, so wird der vorliegende Vertrag mit sofortiger Wirkung und von Rechts wegen beendet, ohne dass eine Inverzugsetzung erforderlich ist und ohne dass die Parteien einander eine Entschädigung schulden:
    • Die Partei (oder deren Unternehmen) existiert nicht mehr oder wurde aufgelöst;
    • Die Partei wurde für insolvent erklärt oder es wurde ihr ein – auch vorübergehender – Zahlungsaufschub gewährt;
    • Die Partei eine Zahlungsaussetzung beantragt hat oder dieser Partei eine Zahlungsaussetzung gewährt wird; und/oder
    • die Partei wird unter Verwaltung gestellt.

6. Folgen der Kündigung

  • Wenn diese Vereinbarung endet, wenn der Datenverantwortliche die Einstellung der Verarbeitung verlangt oder wenn die Aufbewahrungsfrist der Daten von zwei (2) Jahren abgelaufen ist oder wenn die Aufbewahrungsfrist der Daten von einem (1) Jahr abgelaufen ist, stellt Lepaya die Verarbeitung der Daten mit sofortiger Wirkung ein und wird von sich aus, unverzüglich, spätestens jedoch innerhalb einer (1) Woche nach Ablauf der Aufbewahrungsfrist, alle Dokumente, Computerdisketten und andere Informationsträger, einschließlich Kopien davon, die Daten enthalten, an den Datenverantwortlichen zurückgeben, unabhängig davon, ob der Inhalt dieser Informationsträger vom Verarbeiter, vom Datenverantwortlichen oder von einem Dritten hergestellt wurde. Soweit Daten in einem Computersystem von Lepaya gespeichert oder in einer anderen Form aufgezeichnet sind, die vernünftigerweise nicht an eine andere Partei weitergegeben werden kann, vernichtet Lepaya diese Daten, vorbehaltlich anderer Anweisungen des Datenverantwortlichen und sofern Lepaya nicht aufgrund eines Gesetzes der EU oder eines Mitgliedstaates zur Speicherung der Daten verpflichtet ist.

7. Geltendes Recht/zuständiges Gericht

  • Dieser Vertrag unterliegt ausschließlich dem niederländischen Recht. Die Anwendbarkeit des Wiener Kaufrechtsübereinkommens wird ausdrücklich ausgeschlossen.
    Alle Streitigkeiten, die sich im Zusammenhang mit diesem Vertrag ergeben, einschließlich Streitigkeiten über sein Bestehen und seine Gültigkeit, werden von dem zuständigen Gericht in Amsterdam entschieden.

8. Sonstiges

  • Diese Vereinbarung ist für beide Parteien nur mit vorheriger schriftlicher Zustimmung der anderen Partei übertragbar.
  • Diese Vereinbarung kann nur schriftlich geändert oder ergänzt werden.

9. Noch Fragen?
Wenn du Fragen zu dieser DVV hast, kannst du uns immer kontaktieren unter:

LTD NL BV (“Lepaya”)
Nieuwe Looiersdwarsstraat 9
1017 TZ, Amsterdam
Die Niederlande
Handelskammer Nummer: 69556318
UID Nummer: NL 857917171B01
E.Mail: info@lepaya.com