Vereinbarung zur Auftragsverarbeitung

Die Regelungen dieser Vereinbarung zur Auftragsverarbeitung gelten zwischen der DHL Paket GmbH - nachfolgend "Auftragsverarbeiter" genannt - und ihren Kunden - nachfolgend "Verantwortliche" genannt - für die über die zur Erbringung von Postdienstleistung erforderliche Datenverarbeitung hinausgehende Verwaltung von personenbezogenen Daten in den bereitgestellten Online-Systeme zur Versandvorbereitung. Diese Vereinbarung findet nur Anwendung, soweit "Verantwortliche" die von der DHL Paket GmbH bereitgestellten Adressbuchfunktionen zur dauerhaften und sendungsunabhängigen Verwaltung ihrer Kundenadressen nutzen.

Die DHL Paket GmbH stellt den Verantwortlichen mit den Online-Systemen, insbesondere des DHL Geschäftskundenportals, DHL Abholportal, DHL Retourenportal und DHL Lieferantenportal zusätzliche - nicht für die Erbringung von Postdienstleistungen notwendige - Funktionen zur dauerhaften und sendungsunabhängigen Verwaltung ihrer Kundenadressen - nachfolgend "Adressbuchfunktionen" genannt - zur Verfügung.

Diese Vereinbarung zur Auftragsverarbeitung gilt für einen unbegrenzten Zeitraum und kann vom Verantwortlichen jederzeit durch die Einstellung der Nutzung der Adressbuchfunktionen sowie Löschung aller gespeicherten Daten in den Adressbuchfunktionen beendet werden.

  1. Art und Zweck der beabsichtigten Verarbeitung
    Die Nutzung der Adressbuchfunktionen ist optional und dient der dauerhaften und sendungsunabhängigen Verwaltung der Kundenadressen des Verantwortlichen. Die Eingabe, Änderung, Speicherung und Löschung erfolgt durch den Verantwortlichen selbst. Die Nutzung dieser Adressbuchfunktionen ist für die Erbringung von Postdienstleistungen nicht erforderlich, sondern unterstützt lediglich den Verantwortlichen bei der Verwaltung seiner Versandadressen.
  2. Die Durchführung der vereinbarten Datenverarbeitung erfolgt ausschließlich innerhalb der EU/des EWR. Jede einzelne Übermittlung personenbezogener Daten über die EU/den EWR hinaus erfordert die vorherige (schriftliche (auch per E-Mail)) Zustimmung des Verantwortlichen und erfolgt nur dann, wenn die in Artikel 44 ff. DSGVO dargelegten bestimmten Bedingungen erfüllt wurden.
  3. Arten von Daten
    Der Gegenstand der Verarbeitung personenbezogener Daten beinhaltet die folgenden Arten/Kategorien von Daten:
    - Name
    - Kontaktdaten
    - Adresse

Die Kategorien von betroffenen Personen beinhalten:

  • Vertragskunden von DHL Paket GmbH
  • Kunden von Vertragskunden der DHL Paket GmbH
  • Beauftragte von Vertragskunden der DHL Paket GmbH
  1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ist der Auftragsverarbeiter verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, und zwar auf eine Art und Weise, dass die Verarbeitung personenbezogener Daten die Anforderungen des anwendbaren Datenschutzrechts, insbesondere der DSGVO und dieser Vereinbarung, erfüllt. Der Auftragsverarbeiter erkennt hiermit die Rechte der betroffenen Personen, wie vorstehend angegeben, an und gewährleistet diese. Zu diesem Zweck und nach Maßgabe von Art. 32 DSGVO ergreift der Auftragsverarbeiter technische und organisatorische Maßnahmen und bestätigt hiermit deren Umsetzung.
  2. Die vorzunehmenden Maßnahmen sind Maßnahmen der Datensicherheit und Maßnahmen, die ein angemessenes Schutzniveau in Bezug auf das Risiko betreffend Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme gewährleisten. Stand der Technik, Implementierungskosten, Art, Umfang und Zwecke der Verarbeitung sowie Eintrittswahrscheinlichkeit und Schwere eines Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Artikel 32 Absatz 1 DSGVO sind zu berücksichtigen.
  3. Die technischen und organisatorischen Maßnahmen ändern sich mit dem technischen Fortschritt und werden beständig weiterentwickelt. In diesem Zusammenhang kann der Auftragsverarbeiter geeignete alternative Maßnahmen ergreifen. Das Sicherheitsniveau der genannten Maßnahmen darf jedoch nicht unter das in dieser Vereinbarung vereinbarte Niveau sinken.
  4. Unbeschadet des Vorstehenden hat der Auftragsverarbeiter ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen einzuführen, um die in dieser Vereinbarung vereinbarte Sicherheit der Verarbeitung zu gewährleisten.
  1. Der Auftragsverarbeiter darf personenbezogene Daten nur auf Weisung des Verantwortlichen berichtigen, löschen oder sperren. Beantragt eine betroffene Person die Berichtigung oder Löschung direkt beim Auftragsverarbeiter, hat der Auftragsverarbeiter diesen Antrag unverzüglich an den Verantwortlichen weiterzuleiten.
  2. Der Auftragsverarbeiter hat den Verantwortlichen nach Möglichkeit bei der Erfüllung der Pflicht des Verantwortlichen zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person zu unterstützen. Zu diesen Rechten zählen das "Recht auf Vergessen werden" sowie die Rechte auf Berichtigung, Datenübertragbarkeit und Auskunft.
  3. Der Auftragsverarbeiter haftet nicht dafür, dass der Antrag einer betroffenen Person nicht, nicht korrekt oder nicht rechtzeitig seitens des Verantwortlichen beantwortet worden ist.

Neben den in dieser Vereinbarung enthaltenen Regelungen und Pflichten hat der Auftragsverarbeiter die gesetzlichen Vorschriften nach Artikel 28-33 DSGVO zu beachten. Dies vorausgeschickt, verpflichtet sich der Auftragsverarbeiter insbesondere dazu,

  1. personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten, sofern er nicht durch das anwendbare Recht, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist; in einem solchen Fall teilt der Auftragsverarbeiter, sofern gesetzlich gestattet, dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung der personenbezogenen Daten mit. Der Auftragsverarbeiter hat mündliche Weisungen unverzüglich schriftlich oder per E-Mail zu bestätigen.
  2. den Verantwortlichen unverzüglich in Kenntnis zu setzen, wenn er der Auffassung ist, dass eine Weisung gegen Datenschutzrecht oder -vorschriften verstößt. In diesem Fall ist der Auftragsverarbeiter berechtigt, die Ausübung der jeweiligen Weisungen auszusetzen, bis der Verantwortliche diese bestätigt oder ändert.
  3. einen Datenschutzbeauftragten zu ernennen oder, falls er nicht zur Ernennung eines Datenschutzbeauftragten verpflichtet ist, einen sonstigen Ansprechpartner zu ernennen, der für Fragen des Datenschutzes verantwortlich zeichnet.
  4. ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.
  5. Zugang zu den personenbezogenen Daten nur zu gewähren, wenn und soweit dieser Zugang für die Erbringung der Dienstleistungen vorgeschrieben und erforderlich ist und sofern die entsprechenden Mitarbeiter und Berater angemessene Vertraulichkeitsvereinbarungen unterzeichnet und sich zur Vertraulichkeit verpflichtet haben.
    Der Auftragsverarbeiter und jede dem Auftragsverarbeiter und/oder dem Verantwortlichen unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie rechtlich zur Verarbeitung verpflichtet sind.
  6. den Verantwortlichen unverzüglich über Prüfungen, Untersuchungen und/oder Verwaltungsmaßnahmen seitens einer Aufsichtsbehörde in Kenntnis zu setzen, soweit sie den Gegenstand dieser Vereinbarung betreffen und dies rechtlich zulässig ist.
  7. falls der Verantwortliche Gegenstand einer Untersuchung der Aufsichtsbehörde, eines Verfahrens wegen Ordnungswidrigkeiten oder eines Strafverfahrens, eines Haftungsanspruchs seitens einer betroffenen Person oder eines Dritten bzw. eines sonstigen Anspruchs in Verbindung mit dieser Vereinbarung und der Datenverarbeitung durch den Auftragsverarbeiter wird, sich nach Kräften zu bemühen, den Verantwortlichen zu unterstützen.
  8. den Verantwortlichen so bald wie möglich über etwaige Beschwerden, Anträge bzw. Ersuchen oder sonstige Mitteilungen von betroffenen Personen, Datenschutzbehörden oder Dritten in Verbindung mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter und/oder den Verantwortlichen in Kenntnis zu setzen. Sofern der Verantwortliche nach geltendem Datenschutzrecht verpflichtet ist, auf einen Antrag einer betroffenen Person in Verbindung mit der Verarbeitung der Daten dieser betroffenen Person zu antworten, hat der Auftragsverarbeiter den Verantwortlichen bei der Übermittlung der verlangten Informationen zu unterstützen. Allerdings hat der Auftragsverarbeiter nicht direkt auf Anträge betroffener Personen zu antworten, sondern diese betroffenen Personen an den Verantwortlichen zu verweisen.
  1. Der Auftragsverarbeiter darf ohne die vorherige ausdrückliche schriftliche Zustimmung des Verantwortlichen keinen weiteren Auftragsverarbeiter (d. h. Unterauftragnehmer) beauftragen.
  2. Falls der Auftragsverarbeiter im Namen des Verantwortlichen einen weiteren Auftragsverarbeiter mit bestimmten Verarbeitungstätigkeiten beauftragt, werden diesem weiteren Auftragsverarbeiter im Wege eines schriftlichen Vertrags dieselben Pflichten wie in dieser Vereinbarung auferlegt.
  3. Auf der Grundlage der in dieser Ziffer enthaltenen Bestimmungen stimmt der Verantwortliche zu, dass der Auftragsverarbeiter Unterauftragnehmer hinzuziehen kann. Vor Hinzuziehung oder Ersetzung der Unterauftragnehmer informiert der Auftragsverarbeiter den Verantwortlichen rechtzeitig mit angemessener Vorankündigung über einen neuen weiteren Auftragsverarbeiter (einschließlich der vollständigen Angaben zu der von dem neuen Auftragsverarbeiter vorgenommenen Verarbeitung). Die Vorankündigung erfolgt im DHL Geschäftskundenportal.
  4. Bevor ein weiterer Auftragsverarbeiter zum ersten Mal personenbezogene Daten des Verantwortlichen verarbeitet, hat der Auftragsverarbeiter eine angemessene Due-Diligence-Prüfung durchzuführen, um sicherzustellen, dass der weitere Auftragsverarbeiter in der Lage ist, das in dieser Vereinbarung, dem Dienstleistungsvertrag und nach anwendbarem Recht vorgeschriebene Schutzniveau für die personenbezogenen Daten des Verantwortlichen zu bieten.
  5. Hat der Verantwortliche berechtigte Einwendungen gegen den Einsatz eines weiteren Auftragsverarbeiters durch den Auftragsverarbeiter, hat der Verantwortliche dies dem Auftragsverarbeiter umgehend schriftlich innerhalb von fünf Geschäftstagen nach Zugang der Mitteilung des Auftragsverarbeiters mitzuteilen. Zur Klarstellung: Die Parteien vereinbaren, dass Einwendungen des Verantwortlichen nicht berechtigt sind, wenn der weitere Auftragsverarbeiter der Sicherheitsprüfung für Lieferanten des Auftragsverarbeiters standgehalten hat - es sei denn, der Verantwortliche kann nachweisen, dass der neue Auftragsverarbeiter ein unangemessenes Risiko für den Schutz personenbezogener Daten darstellt (z. B. wenn der weitere Auftragsverarbeiter in der Vergangenheit gegen Sicherheitsbestimmungen verstoßen hat) oder ein Wettbewerber des Verantwortlichen ist.
  6. Unbeschadet des Vorstehenden kommen die Parteien bei Einwendungen des Verantwortlichen gegen die Beauftragung eines weiteren Auftragsverarbeiters zusammen, um nach Treu und Glauben über eine geeignete Lösung zu beraten. Der Auftragsverarbeiter kann insbesondere beschließen, (i) den vorgesehenen Auftragsverarbeiter nicht einzusetzen oder (ii) von dem Verantwortlichen verlangte Korrekturmaßnahmen zu ergreifen und den Auftragsverarbeiter zu beauftragen. Ist keine genannte oder sonstige Option vernünftigerweise durchführbar und hat der Verantwortliche nach wie vor berechtigte Einwendungen, kann der Verantwortliche von dieser Vereinbarung durch Löschen aller gespeicherten Daten und Einstellung der Nutzung der Adressbuchfunktionen zurücktreten.
  7. Sofern und soweit ausgelagerte Nebendienstleistungen betroffen sind, ist der Auftragsverarbeiter verpflichtet, angemessene und rechtsverbindliche vertragliche Vereinbarungen abzuschließen sowie angemessene Kontrollmaßnahmen zu ergreifen, um adäquate Maßnahmen für den Schutz und die Sicherheit der Daten des Verantwortlichen zu gewährleisten.
  1. Nach angemessener Vorankündigung von mindestens 10 Geschäftstagen seitens des Verantwortlichen und um die Einhaltung der technischen und organisatorischen Sicherheitsmaßnahmen sowie der aus dieser Vereinbarung erwachsenden Pflichten sicherzustellen und zu überprüfen, hat der Auftragsverarbeiter dem Verantwortlichen oder einem von dem Verantwortlichen beauftragten Prüfer die Durchführung regelmäßiger Prüfungen zu gestatten, wenn
    (a) der Verantwortliche die begründete Vermutung hat, dass der Auftragsverarbeiter nicht im Einklang mit den technisch-organisatorischen Maßnahmen und / oder den Verpflichtungen aus dieser Vereinbarung handelt;
    (b) sich ein Sicherheitsvorfall ereignet hat;
    (c) eine solche Prüfung durch die für den Verantwortlichen zuständige Aufsichtsbehörde gefordert wird.
  2. Ungeachtet des Vorstehenden kann der Nachweis für die Einhaltung der Vorschriften folgendermaßen erbracht werden:
    (a) Einhaltung der genehmigten Verhaltensregeln und/oder
    (b) Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Artikel 42 DSGVO und/oder
    (c) aktuelle Zertifikate von Prüfern, Berichte oder Auszüge aus Berichten unabhängiger Stellen. Auf Verlangen des Verantwortlichen hat der Auftragsverarbeiter dem Verantwortlichen eine Abschrift des von dem externen Prüfer unterzeichneten Prüfungsberichts zur Verfügung zu stellen, sodass der Verantwortliche angemessen überprüfen kann, ob der Auftragsverarbeiter die technischen und organisatorischen Maßnahmen und Pflichten im Rahmen dieser Vereinbarung umsetzt bzw. erfüllt.
  3. Prüfungen werden zu den üblichen Geschäftszeiten, in angemessenem Umfang und ohne Störung des Betriebsablaufs durchgeführt. Für den Fall, dass der Verantwortliche die Prüfung durch einen von ihm beauftragten unabhängigen Prüfer durchführen lässt, hat dieser zuvor eine Verschwiegenheitserklärung zu unterzeichnen. Zudem darf der unabhängige Prüfer nicht in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen.
  4. Sofern die Prüfung seitens des Auftragsverarbeiters oder eines anderen Auftragsverarbeiters Aufwendungen bedeutet, die über einen Geschäftstag hinausgehen, ist der Verantwortliche damit einverstanden, jeden darüber hinaus gehenden Tag zu erstatten.
  1. Der Auftragsverarbeiter hat den Verantwortlichen bei der Erfüllung der Pflichten betreffend die Sicherheit personenbezogener Daten, die Meldepflichten bei Verletzungen des Schutzes personenbezogener Daten, die Datenschutz-Folgenabschätzungen und vorherige Konsultationen nach Maßgabe von Artikel 33 bis 36 DSGVO zu unterstützen. Dies umfasst insbesondere
    (a) die Pflicht, eine Verletzung des Schutzes personenbezogener Daten unverzüglich dem Verantwortlichen zu melden.
    (b) die Pflicht, den Verantwortlichen im Hinblick auf die Pflicht des Verantwortlichen zur Bereitstellung von Informationen zur betroffenen Person zu unterstützen und dem Verantwortlichen unverzüglich sämtliche relevanten Informationen zur Verfügung zu stellen.
    (c) die Unterstützung des Verantwortlichen bei einer Datenschutz-Folgenabschätzung.
    (d) die Unterstützung des Verantwortlichen in Bezug auf das Verzeichnis der Verarbeitungstätigkeiten.
    (e) die Unterstützung des Verantwortlichen in Bezug auf die Konsultation der Aufsichtsbehörde.
  2. Der Auftragsverarbeiter kann für die unter Absatz 1 lit. (c) und (d) genannten Unterstützungsleistungen Ersatz verlangen.
  1. Nach Abschluss der Auftragsarbeiten oder vorher auf Verlangen des Verantwortlichen, jedoch spätestens bei Beendigung der Nutzung der Adressbuchfunktionen, hat der Auftragsverarbeiter dem Verantwortlichen die Löschung der personenbezogenen Daten anzuzeigen.
  2. Unterlagen, die als Nachweis für die ordnungsgemäße Datenverarbeitung dienen, sind von dem Auftragsverarbeiter gemäß den entsprechenden Speicherbestimmungen aufzubewahren. Der Auftragsverarbeiter kann sie dem Verantwortlichen nach Beendigung der Dienstleistung aushändigen, um von seinen diesbezüglichen Pflichten befreit zu werden.

Ausschließlicher Gerichtsstand für Streitigkeiten aus dieser Vereinbarung und aus allen einzelnen Frachtverträgen in seinem Anwendungsbereich ist Bonn. Es gilt deutsches Recht.

  1. Werden Daten des Verantwortlichen Gegenstand einer Durchsuchung und Beschlagnahme, eines Pfändungsbeschlusses, einer Einziehung im Rahmen eines Konkurs- oder Insolvenzverfahrens bzw. ähnlicher Ereignisse oder Maßnahmen Dritter, während sie im Verantwortungsbereich des Auftragsverarbeiters sind, so hat der Auftragsverarbeiter den Verantwortlichen hierüber unverzüglich in Kenntnis zu setzen. Der Auftragsverarbeiter hat sämtlichen Beteiligten dieser Maßnahme unverzüglich mitzuteilen, dass sich hiervon betroffene Daten ausschließlich im Eigentum des Verantwortlichen befinden und in dessen Verantwortungsbereich liegen, dass der Verantwortliche das alleinige Verfügungsrecht über diese Daten hat und dass der Verantwortliche für die Anwendung des Datenschutzrechts zuständig ist.
  2. Sollte eine Bestimmung dieser Vereinbarung gleich aus welchem Grund für ungültig, rechtswidrig oder undurchsetzbar befunden werden, wird die betreffende Bestimmung ausgenommen und bleiben die übrigen Bestimmungen dieser Vereinbarung so in vollem Umfang in Kraft und rechtswirksam, als wäre diese Vereinbarung ohne die ungültige Bestimmung geschlossen worden.
  3. Diese Vereinbarung unterliegt dem Recht der Bundesrepublik Deutschland.

Sie können sich dieses Dokument für Ihre Unterlagen herunterladen.

Bonn, 22.03.2018