Auftragsverarbeitung gemäß Art. 28 Abs. 3 (DSGVO)
AV-Vertrag
Dieser Auftragsverarbeitungsvertrag wird zwischen den folgenden Parteien geschlossen:
-
Auftraggeber (Verantwortlicher): Die Einzelperson oder Organisation, die als Mitglied oder Nutzer der Writers Guild of Europe (WGE) das Online-Portal zur Registrierung und Sicherung ihrer Werke nutzt. Der Auftraggeber ist für die Einhaltung der datenschutzrechtlichen Vorgaben, insbesondere der Datenschutz-Grundverordnung (DSGVO), im Hinblick auf die Verarbeitung seiner eigenen oder fremder personenbezogener Daten verantwortlich.
-
Auftragsverarbeiter: Die Writers Guild of Europe (WGE), die als Anbieter des Online-Portals fungiert. Die WGE übernimmt im Rahmen dieses Vertrags die Rolle des Auftragsverarbeiters und ist für die Verarbeitung personenbezogener Daten im Auftrag des Auftraggebers verantwortlich. Dabei handelt die WGE ausschließlich nach den Weisungen des Auftraggebers und verpflichtet sich zur Einhaltung der DSGVO, insbesondere des Art. 28 DSGVO.
Dieser Vertrag regelt die Rechte und Pflichten der Parteien im Rahmen der Verarbeitung personenbezogener Daten sowie der Übermittlung und Sicherung von Werken, die über das Online-Portal der WGE hochgeladen werden.
1. Einleitung, Geltungsbereich und Definitionen
(1) Dieser Vertrag regelt die Rechte und Pflichten des Auftraggebers und des Auftragsverarbeiters (im Folgenden „Parteien“ genannt) im Rahmen der Verarbeitung personenbezogener Daten sowie der digitalen Übermittlung und Registratur von Werken (z. B. Drehbücher, Kompositionen, Treatments) auf dem Online-Portal der WGE.
(2) Das Online-Portal ist eine digitale Plattform, die als zentraler Zugangspunkt zu verschiedenen Informationen, Diensten oder Anwendungen der Writers Guild of Europe dient. Nutzer können hier auf eine Vielzahl von Inhalten und Funktionen zugreifen, ohne mehrere einzelne Websites besuchen zu müssen.
(3) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen der Auftragsverarbeiter im Rahmen der Erfassung und Sicherung von Werken über das Online-Portal personenbezogene Daten des Auftraggebers oder Dritter verarbeitet.
(4) In diesem Vertrag verwendete Begriffe sind entsprechend der Definition in der Datenschutz-Grundverordnung (DSGVO) zu verstehen. Der Auftraggeber ist der „Verantwortliche“, der Auftragsverarbeiter ist der „Auftragsverarbeiter“.
2. Gegenstand und Dauer der Verarbeitung
(1) Der Auftragsverarbeiter erbringt folgende Verarbeitungen:
- Registrierung und Dokumentation von Werken (z. B. Drehbücher, Kompositionen, Treatments) über das Online-Portal der WGE zur Sicherung des geistigen Eigentums des Auftraggebers.
- Verarbeitung und Speicherung personenbezogener Daten, die im Zusammenhang mit dem Werk des Auftraggebers stehen (z. B. Name, Kontaktinformationen, Werkbeschreibung).
(2) Die Verarbeitung beginnt mit dem Upload des Werkes durch den Auftraggeber. Die personenbezogenen Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Beendigung des Vertragsverhältnisses werden die Daten fristgerecht gelöscht, es sei denn, gesetzliche Aufbewahrungsfristen verlangen eine längere Speicherung. Das Recht auf außerordentliche (fristlose) Kündigung besteht, sodass registrierte Werke sofort gelöscht werden können. Die Löschung erfolgt fristgerecht oder sofort und umgehend nach Eingang der Kündigung gemäß den Vorgaben der DSGVO und ISO 21964.
3. Art, Zweck und betroffene Personen der Datenverarbeitung
(1) Die Verarbeitung umfasst folgende Tätigkeiten:
- Erhebung, Speicherung, Organisation und Verwaltung der hochgeladenen Werke und der damit verbundenen personenbezogenen Daten des Auftraggebers.
(2) Die Verarbeitung dient dem Zweck der Registrierung und Sicherung von Werken des Auftraggebers, um diese vor unerlaubter Fremdverwertung zu schützen und die Beweisfähigkeit im Falle von Plagiatsstreitigkeiten zu gewährleisten.
(3) Folgende personenbezogene Daten werden im Rahmen der Registrierung verarbeitet:
- Name des Autors, Kontaktdaten, Werkdaten (Titel des Werkes, Beschreibung, Dateiupload), Informationen über das Werk (z. B. Drehbuch, Treatment, Komposition).
(4) Kategorien der betroffenen Personen:
- Der Auftraggeber (Urheber/Autor).
- Alle Personen, die im Rechtsgeschäft zur Writers Guild of Europe stehen und das Online-Portal nutzen (z. B. Co-Autoren, Vertragspartner).
4. Pflichten des Auftragsverarbeiters
(1) Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich auf Weisung des Auftraggebers und im Rahmen der Registratur und Speicherung des Werkes. Die Daten werden zu keinem anderen Zweck genutzt, insbesondere nicht für eigene Zwecke.
(2) Der Auftragsverarbeiter verpflichtet sich, die relevanten Datenschutzvorschriften, insbesondere die DSGVO, einzuhalten und die Vertraulichkeit der übermittelten Daten zu gewährleisten.
(3) Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung eingesetzten Personen über die datenschutzrechtlichen Anforderungen informiert und zur Vertraulichkeit verpflichtet sind.
(4) Der Auftragsverarbeiter verpflichtet sich, geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um ein angemessenes Schutzniveau für die verarbeiteten Daten zu gewährleisten (z. B. Verschlüsselung beim Upload der Werke, Zugriffsbeschränkungen).
(5) Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, wenn er feststellt, dass Weisungen des Auftraggebers gegen gesetzliche Vorschriften verstoßen.
(6) Subunternehmer: Der Auftragsverarbeiter ist berechtigt, Subunternehmer zur Erfüllung der vertraglichen Leistungen einzusetzen, insbesondere IT-Dienstleister und Hosting-Anbieter. Der Auftraggeber wird rechtzeitig über den Einsatz neuer Subunternehmer informiert. Der Auftraggeber hat das Recht, bei gewichtigen datenschutzrechtlichen Bedenken Widerspruch gegen den Einsatz eines bestimmten Subunternehmers einzulegen. Der Auftragsverarbeiter stellt sicher, dass alle Subunternehmer denselben Datenschutzstandards unterliegen und vertraglich zur Einhaltung der DSGVO verpflichtet werden.
(7) Meldung von Datenschutzverletzungen: Der Auftragsverarbeiter verpflichtet sich, den Auftraggeber unverzüglich zu informieren, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Diese Meldung erfolgt unverzüglich nach Bekanntwerden der Datenschutzverletzung, um dem Auftraggeber die Erfüllung seiner Meldepflichten gemäß Art. 33 DSGVO zu ermöglichen.
5. Sicherheit der Verarbeitung
(1) Der Auftragsverarbeiter verpflichtet sich, angemessene technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der verarbeiteten Daten und Werke zu gewährleisten. Diese Maßnahmen umfassen insbesondere:
- Isolierter Speicher für sichere Datenverarbeitung und -speicherung.
- AES-256-Verschlüsselung während der Speicherung und Übertragung.
- SSL-Verschlüsselung für den gesamten Datenverkehr.
- Verifizierung der Werke durch Hashwert und zufällig generierten Schlüssel.
- Multi-Faktor-Authentifizierung (MFA) für den Zugriff auf das System.
- Sichere Datenbank-Integration.
- Zero-Trust-Architektur für Zugriffsprüfungen.
- Mehrstufiges Berechtigungssystem.
(2) Die Sicherheitsmaßnahmen werden regelmäßig überprüft und den aktuellen technischen Standards angepasst, um sicherzustellen, dass das vereinbarte Sicherheitsniveau stets gewährleistet ist.
(3) Der Auftragsverarbeiter stellt sicher, dass die verarbeiteten Daten streng von anderen Datenbeständen getrennt und alle Zugriffe protokolliert werden.
(4) Kopien oder Duplikate der hochgeladenen Werke werden nur im Rahmen der technisch notwendigen Speicherung und Sicherung erstellt.
6. Beendigung des Vertrags und Löschung der Daten
(1) Bei Beendigung des Vertragsverhältnisses durch Kündigung durch eine der Vertragsparteien werden die personenbezogenen Daten und Werke des Auftraggebers fristgerecht oder sofort und umgehend nach Eingang der Kündigung gelöscht.
(2) Die Löschung und Vernichtung der Daten erfolgt gemäß den Vorgaben der DSGVO und der Norm ISO 21964 (Datenvernichtung).
7. Unterstützung bei Datenschutz-Folgenabschätzungen (DSFA)
Falls erforderlich, unterstützt der Auftragsverarbeiter den Auftraggeber bei der Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO und bei der Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO.
8. Hosting-Dienstleistungen
(1) Der Auftragsverarbeiter nutzt einen externen Dienstleister zur Erbringung von Hosting-Leistungen für das Online-Portal. Dieser Dienstleister fungiert als Subunternehmer im Sinne von Art. 28 DSGVO.
(2) Der Subunternehmer ist vertraglich zur Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet, insbesondere zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der verarbeiteten personenbezogenen Daten.
(3) Der Auftragsverarbeiter stellt sicher, dass der Hosting-Dienstleister die personenbezogenen Daten ausschließlich gemäß den Weisungen des Auftragsverarbeiters verarbeitet und alle relevanten Datenschutzvorschriften einhält.
(4) Der Auftraggeber wird über den Einsatz und mögliche Änderungen des Hosting-Dienstleisters rechtzeitig informiert und hat das Recht, bei gewichtigen datenschutzrechtlichen Bedenken Widerspruch einzulegen.
9. Unterstützung bei Betroffenenrechten
(1) Der Auftragsverarbeiter unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Rechte betroffener Personen gemäß Art. 15-22 DSGVO.
(2) Anfragen betroffener Personen, die beim Auftragsverarbeiter direkt eingehen, werden unverzüglich an den Auftraggeber weitergeleitet. Der Auftragsverarbeiter stellt sicher, dass Anfragen zur Auskunft, Löschung oder Berichtigung gemäß den Weisungen des Auftraggebers und den Anforderungen der DSGVO bearbeitet werden.
10. Regelmäßige Überprüfung der technischen und organisatorischen Maßnahmen (TOMs)
(Die ergriffenen technischen und organisatorischen Maßnahmen (TOMs) werden regelmäßig überprüft und, falls erforderlich, an den Stand der Technik angepasst, um die Sicherheit der personenbezogenen Daten zu gewährleisten.