login
demo
order

Also Energy EMEA

マスター サービス契約の別紙:

データ処理契約(「DPA」)

§1 DPA の範囲と主題

  1. AE® energy GmbH, Franz- Ehrlich- Strasse 9, 12489
    Berlin (「AE」) は、AE の申し出と契約内容の受諾宣言に基づいて、1 つまたは複数の契約を締結しました。
    AE のパートナー (「顧客」)。
  2. この DPA の主題は、AE のオファーおよび AE の T&C に記載されている、サポート/メンテナンスおよび/またはサービスおよび/またはソフトウェア ライセンス (サービスとしてのソフトウェア – クラウド) に関する基本的な契約 (以下、「契約」とも呼ばれます) に起因します。
  3. この DPA の期間は、本契約の期間に対応します。
§2 個人データの処理の性質と目的
  1. 個人データの処理の性質および目的 AE によるお客様向けのサービスとは、サポート/メンテナンスおよびその他のサービスのパフォーマンスと、インターネットを介したソフトウェアのプロビジョニングです。
  2. 契約上合意された事項の約束 個人データの処理は、欧州連合 (EU) の加盟国または欧州経済地域 (EEA) の加盟国内、またはサービスが実行され、個人データが保管されている州内でのみ、AE によって実行されるものとします。
  3. 個人情報の処理対象 データは次のデータ カテゴリで構成されます
    1. ファーストネームと姓
    2. 連絡先データ
    3. お客様の従業員の役職および職務に関する情報
    4. プラントの運営主体に関する顧客履歴、契約、請求および支払いデータ
    5. 従業員の許可レベル
  4. データ主体のカテゴリは、顧客の従業員で構成されます。

§3 技術的および組織的対策

  1. 処理の開始前に、AE は、契約の締結前に定められた必要な技術的および組織的措置の実行を文書化し、これらの文書化された措置を検査のために顧客に提示するものとします。 お客様が同意すると、文書化された措置がこの DPA の基礎となります。 お客様による検査で修正の必要性が示される限り、そのような修正は相互の合意によって実施されるものとします。 お客様が修正の必要性を示さずに申し出を受け入れた場合、技術的および組織的措置は受け入れられたと見なされます。
  2. AE は、処理されたデータのセキュリティを確立するものとします。
    第 28 条第 3 項 c および第 32 条 GDPR に基づく個人データ。 両当事者は、DPA 締結の時点で、付録 1 に記載されている技術的および組織的対策で十分であると考えています。
  3. 技術的および組織的な対策は次のとおりです。
    技術の進歩とさらなる開発の対象となります。 この点で、AE が代替の適切な措置を実施することは許容されます。 その際、定義された対策のセキュリティ レベルが低下してはなりません。 実質的な変更は文書化する必要があります。
  4. AE は、権限を与えられたすべての人が、
    お客様の個人データを処理する前に、機密保持を約束しているか、機密保持の法的義務を負っています。

§4 データ主体の権利要求

  1. AE は、GDPR 第 12 条から第 22 条に従って、お客様の透明性義務の履行に関してお客様をサポートするものとします。 AE は、お客様にそのようなサポートを提供することに対して報酬を請求する場合があります。 オファーで合意された標準の時給が適用されるものとします。
  2. AE は、顧客に代わって処理されているデータの処理を修正、消去、または制限することはできませんが、顧客からの文書化された指示がある場合に限ります。
  3. データ主体が修正、消去、または処理の制限に関して直接 AE に連絡する限り、AE はデータ主体の要求を顧客に直ちに転送します。

§5 下請け

  1. この DPA における下請けとは、主要なサービスの提供に直接関連するサービスを意味すると理解されるべきです。 これには、電気通信サービス、郵便/輸送サービス、データ キャリアの廃棄などの付随的なサービス、またはデータ処理機器のハードウェアとソフトウェアの機密性、可用性、完全性、回復力を確保するためのその他の手段は含まれません。
  2. お客様は、AE が下請業者 (別の処理業者) に委託する許可を与えるのは、それらの下請業者が、本 DPA に規定されているのと同じデータ保護義務を含む書面による合意に拘束されている場合のみです。
  3. このDPAが締結された時点で、AEは下請け業者を使用しますが、これは顧客によって承認されています。
  4. AE が新しい下請け業者を使用する予定の場合は常に、AE はそのような新しい下請け業者について少なくとも 3 週間前に顧客に通知し、顧客がそれに反対できるようにする必要があります。 顧客が、データ保護の観点から正当な懸念があるため、通知から 2 週間以内にそのような新しい下請業者の使用に異議を唱えた場合、AE は、顧客の注文に関してその下請業者の使用を控えるか、または AE が使用を控えることが期待できない場合、 その下請業者を使用する場合、正当な理由により本契約および本 DPA を終了することができます。
  5. AE は、AE が使用する下請け業者によるデータ保護法に基づく義務の遵守について、顧客に対して責任を負うものとします。
§6 顧客の監督権限
  1. お客様は、AE との協議の後、検査 (オンサイト検査を含む) を実施するか、個々のケースで指定される監査人に検査を実施させる権利を有します。 彼は、AE が事業運営においてこの DPA を順守していることを、通常は適切な時期に発表される無作為のチェックによって納得させる権利を有します。
  2. AE は、顧客が GDPR 第 28 条に従って AE の義務を遵守していることを確認できるようにするものとします。 特に、AE は、要求に応じて必要な情報を顧客に提供することを約束します。
  3. 指示された個人データの特定の処理だけでなく、そのような措置の証拠は、以下によって提供される場合があります。
    1. 第 40 条 GDPR に従って承認された行動規範の遵守、または
    2. 第 42 条 GDPR に従って承認された認証手順による認証、または
    3. 現在の監査人の証明書、レポートまたは 提供レポートより抜粋 独立機関 (例: 監査人、データ保護責任者、IT セキュリティ部門、データ プライバシー監査人、品質監査人) または
    4. IT セキュリティまたはデータ保護監査による適切な認証 (例: BSI-Grundschutz (ドイツ連邦情報技術セキュリティ局 (BSI) によって開発された IT ベースライン保護認証) または ISO/IEC 27001 による)。
  4. AE は、顧客の検査を可能にするための報酬を請求する場合があります。 オファーで合意された標準の時給が適用されるものとします。

§7 AE による侵害の場合の連絡

  1. AE は、お客様が遵守するのを支援するものとします。
    GDPR の第 32 条から第 36 条で言及されている、個人データのセキュリティに関する義務、データ侵害の報告要件、データ保護の影響評価、および事前協議。 お客様は、特にデータ処理活動の記録に関して、データ処理者の文書化要件の履行に関して AE をサポートします。
  2. AE は、サポート サービスに対する補償を請求する場合があります
    サービスの説明に含まれておらず、AE側の障害に起因しないもの。 オファーで合意された標準の時給が適用されるものとします。

§8 指示を出す顧客の権限

  1. AE は、文書化された顧客の指示に基づいて、顧客に代わって個人データのみを処理するものとします。
  2. お客様は、口頭による指示 (少なくともテキスト形式) を直ちに確認するものとします。
  3. AE が指示がデータ保護規則に違反していると判断した場合、AE は直ちに顧客に通知するものとします。 その後、AE は、顧客が指示を確認または変更するまで、関連する指示の実行を一時停止する権利を有するものとします。

§9 個人データの削除と返却

  1. 個人データのコピーまたは複製は、顧客が知ることなく作成されることはありません。ただし、データ処理の秩序ある処理を確保するために必要なバックアップ コピー、およびデータを保持するための規制要件を満たすために必要なバックアップ コピーは除きます。
  2. 契約作業の完了後、または顧客の要求に応じて早期に、遅くとも本契約の終了時に、AE は顧客に引き渡すか、事前の同意を条件として、すべての文書、処理および利用の結果、およびデータ セットを破棄するものとします。 同じことが、接続されたすべてのテスト、廃棄物、冗長、および廃棄された材料に適用されます。
  3. 本契約に従って秩序だったデータ処理を示すために使用される文書は、それぞれの保持期間に従って、AE によって本契約の期間を超えて保存されるものとします。 この契約上の義務から AE を解放するために、契約期間の終了時にそのような文書を顧客に引き渡すことができます。

マスター サービス契約の付属書:

Datenverarbeitungsvertrag („DV-Vertrag“)

§1 Umfang und Gegenstand des DV-Vertrags

  1. AE® energy GmbH, Franz- Ehrlich- Strasse 9, 12489 Berlin („AE“) hat eine oder mehrere Vereinbarung(en) auf Grundlage eines Angebots von AE und der Annahmeerklärung des Vertragspartners („Kunde“) geschlossen.
  2. Der Gegenstand dieses DV-Vertrags geht aus den zugrundeliegenden Vereinbarungen hinsichtlich Service/Wartung und/oder Dienstleistungen und/ oder Softwarelizenzen (Software-as-a-Service – Cloud) hervor, wie im Angebot von AE oder in den AGB von AE beschrieben (im Folgenden auch als „Vereinbarung“ zusammengefasst).
  3. Die Laufzeit dieses DV-Vertrags entspricht der Laufzeit der Vereinbarung.

§2 Art und Zweck der beabsichtigten Verarbeitung personenbezogener Daten

  1. Sinn und Zweck der Verarbeitung
    personenbezogener Daten durch AE für den Kunden ist die Erbringung von Service/Wartungs- und anderen Dienstleistungen und die Bereitstellung
    von Software über das Internet.
  2. Die Aufgabe der vertraglich vereinbarten
    Verarbeitung personenbezogener Daten wird von AE ausschließlich innerhalb eines Mitgliedsstaats der Europäischen Union (EU) oder innerhalb eines Mitgliedsstaats des Europäischen Wirtschaftsraums (EWR) oder in dem Staat ausgeführt, in dem die Dienstleistungen erbracht werden und die
    personenbezogenen Daten gespeichert sind.
  3. Der Gegenstand der Verarbeitung
    personenbezogener Daten umfasst die folgenden Datenkategorien:
    1. Vor- und Nachnamen
    2. Kontaktdaten
    3. Informationen zu Stellung und Aufgabe von Mitarbeitern des Kunden
    4. Die Verlaufs-, Vertrags-, Rechnungs- und Zahlungsdaten des Kunden in Bezug auf die operative Einheit eines Werks.
    5. Berechtigungsstufe des Mitarbeiters
  4. Die Kategorien von betroffenen Personen umfassen
    die Mitarbeiter des Kunden.

§3 Technische und organisatorische Maßnahmen

  1. Vor Beginn der Verarbeitung muss AE die Ausführung der erforderlichen technischen und organisatorischen Maßnahmen dokumentieren, die vor dem Abschluss der Vereinbarung dargelegt wurden, und diese dokumentierten Maßnahmen dem Kunden zur Prüfung vorlegen. Mit der Annahme durch den Kunden werden die dokumentierten Maßnahmen zur Grundlage des DV-Vertrags. Sofern sich bei der Prüfung durch den Kunden Änderungsbedarf zeigt, werden diese Änderungen in gegenseitiger Absprache vorgenommen. Falls der Kunde ein Angebot annimmt, ohne auf Änderungsbedarf hinzuweisen, gelten die technischen und organisatorischen Maßnahmen als angenommen.
  2. AE sorgt im Einklang mit Artikel 28 Absatz 3 lit. c) und Artikel 32 DS-GVO für die Sicherheit der verarbeiteten personenbezogenen Daten. Die Parteien sehen die technischen und organisatorischen Maßnahmen wie in Anhang 1 beschrieben zum Zeitpunkt des Vertragsabschlusses als ausreichend an.
  3. Die technischen und organisatorischen Maßnahmen unterliegen technischem Fortschritt und Weiterentwicklung. In dieser Hinsicht ist es zulässig, dass AE geeignete Alternativmaßnahmen implementiert. Dabei darf das Sicherheitsniveau der definierten Maßnahmen nicht herabgesetzt werden. Erhebliche Änderungen müssen
    dokumentiert werden.
  4. AE hat sicherzustellen, dass alle zur Verarbeitung personenbezogener Daten befugten Personen sich vor Beginn der Verarbeitung zur Vertraulichkeit verpflichtet haben oder gesetzlichen Verschwiegenheitspflichten unterliegen.

§4 Betroffenenrechtsanfragen

  1. AE wird den Kunden bei der Erfüllung seiner Transparenzpflichten nach Artikeln 12 bis 22 DSGVO unterstützen. AE kann für diese Unterstützungsleistung für den Kunden eine Vergütung verlangen. Es gelten die in einem Angebot vereinbarten Standardstundensätze.
  2. AE darf nicht eigenmächtig Daten berichtigen, löschen oder deren Verarbeitung beschränken, die für den Kunden verarbeitet werden, sondern darf dies nur auf dokumentierte Weisung des Kunden tun.
  3. Sofern eine betroffene Person AE direkt hinsichtlich einer Berichtigung, Löschung oder Beschränkung der Verarbeitung kontaktiert, leitet AE die Anfrage der betroffenen Person sofort an den Kunden weiter.

§5 Subcontracting

  1. Mit der Vergabe von Unteraufträgen sind im Sinne dieses DV-Vertrags Dienstleistungen gemeint, die direkt mit der Erbringung der Hauptdienstleistung zusammenhängen. Dazu zählen keine Nebendienstleistungen wie Telekommunikationsdienstleistungen, Post- /Transportdienstleistungen oder die Entsorgung von Datenträgern oder andere Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Haltbarkeit der Hardware und Software von Datenverarbeitungsausrüstung.
  2. Der Kunde gestattet es AE, Subunternehmer (weitere Auftragsverarbeiter) zu beauftragen, wenn diese einem schriftlichen Vertrag denselben Datenschutzpflichten unterworfen werden, wie sie AE unter diesem DV-Vertrag obliegen.
  3. AE setzt zum Zeitpunkt des Abschlusses dieses DV-Vertrags Subunternehmer ein, die hiermit von dem Kunden genehmigt werden
  4. Wenn AE einen neuen Subunternehmer einsetzen möchte, ist dies dem Kunden mindestens drei Wochen vorab anzuzeigen, sodass der Kunde die Möglichkeit hat, dagegen Einspruch zu erheben. Erhebt der Kunde innerhalb von zwei Wochen ab Anzeige aufgrund von datenschutzrechtlich begründeten Bedenken Einspruch gegen den Einsatz dieses Subunternehmers, wird AE entweder auf den Einsatz dieses Subunternehmers für den Auftrag des Kunden verzichten oder kann, wenn ihm der Verzicht auf diesen Subunternehmer nicht zugemutet werden kann, die Vereinbarung und diesen DV-Vertrag mit dem Kunden
    außerordentlich kündigen.
  5. AE haftet gegenüber dem Kunden für die Einhaltung der datenschutzrechtlichen Pflichten durch die von AE eingesetzten Subunternehmer.
§6 Kontrollbefugnisse des Kunden
  1. Der Kunde ist in Absprache mit AE berechtigt, Prüfungen (einschließlich solcher vor Ort) durchzuführen oder sie von einem Auditor durchführen zu lassen, der in jedem Einzelfall bestimmt wird. Er ist berechtigt, sich der Einhaltung dieses DV-Vertrags durch AE in seinem Geschäftsbetrieb durch stichprobenartige Prüfungen zu überzeugen, die für gewöhnlich rechtzeitig im Voraus angekündigt werden.
  2. AE muss sicherstellen, dass der Kunde in der Lage ist, die Einhaltung der Pflichten von AE im Einklang mit Artikel 28 DS-GVO zu überprüfen. Insbesondere verpflichtet sich AE, dem Kunden auf Anfrage die erforderlichen Informationen mitzuteilen.
  3. Nachweise für solche Maßnahmen, die nicht nur die spezifische Datenverarbeitung entsprechend der Weisung betreffen, können durch
    1. Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DS-GVO oder
    2. Zertifizierung nach einem genehmigten Zertifizierungsverfahren im Einklang mit Artikel 42 DS-GVO oder
    3. aktuelle Prüfungsberichte, Berichte oder Auszüge aus Berichten vom unabhängigen Stellen (z.B. Auditor,Datenschutzbeauftragter, IT- Sicherheitsabteilung, Datenschutzauditor, Qualitätsauditor) oder
    4. eine geeignete Zertifizierung durch IT- Sicherheits- oder Datenschutzaudits (z.B. nach BSI-Grundschutz) oder ISO/EC 27001 erbracht werden.
  4. AE kann für die Ermöglichung von Prüfungen durch den Kunden eine Vergütung verlangen. Es gelten die in einem Angebot vereinbarten Standardstundensätze.

§7 Kommunikation bei Verstößen durch AE

  1. AE unterstützt den Kunden bei der Einhaltung der Pflichten hinsichtlich der Sicherheit personenbezogener Daten, Meldeanforderungen für Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen, auf die in Artikel 32 bis 36 DS-GVO Bezug genommen wird. Der Kunde unterstützt AE hinsichtlich der Erfüllung der Dokumentationsanforderungen eines Auftragsverarbeiters, insbesondere hinsichtlich des
    Verarbeitungsverzeichnisses.
  2. AE kann eine Vergütung für Supportleistungen verlangen, die in der Leistungsbeschreibung nicht enthalten sind und die nicht auf Versäumnisse vonseiten von AE zurückzuführen sind. Es gelten die in einem Angebot vereinbarten Standardstundensätze.

§8 Befugnis des Kunden zur Erteilung von Weisungen

  1. AE darf nur im Rahmen der vom Kunden erteilten und dokumentierten Weisungen personenbezogene Daten des Kunden verarbeiten.
  2. Der Kunde muss mündliche Weisungen sofort bestätigen (mindestens in Textform).
  3. AE muss den Kunden sofort in Kenntnis setzen, falls AE der Ansicht ist, dass eine Weisung datenschutzrechtliche Vorschriften verletzt. AE ist dann berechtigt, die Ausführung der entsprechenden Weisungen auszusetzen, bis der Kunde sie bestätigt oder ändert.

§9 Löschung und Rückgabe personenbezogener Daten

  1. Kopien oder Duplikate personenbezogener Daten dürfen niemals ohne Kenntnis des Kunden erstellt werden, mit Ausnahme von Sicherungskopien, sofern sie erforderlich sind, um eine ordentliche Datenverarbeitung zu gewährleisten, und von Daten, die zur Einhaltung der aufsichtsrechtlichen Anforderungen zur Datenaufbewahrung
    erforderlich sind.
  2. Nach Fertigstellung des Auftrags oder früher auf Anfrage des Kunden, spätestens bei Beendigung der Vereinbarung, übergibt AE alle Unterlagen,Verarbeitungs- und Nutzungsergebnisse und Datensätze im Zusammenhang mit dem Vertrag, die in den Besitz von AE gelangt sind, im Einklang mit Datenschutzvorschriften dem Kunden oder vernichtet diese mit vorheriger Genehmigung. Gleiches gilt für jegliche und alle zugehörigen Test-, redundante und ausgesonderte Materialien sowie Abfälle.
  3. Dokumentation, die verwendet wird, um die ordnungsgemäße Datenverarbeitung im Einklang mit der Vereinbarung nachzuweisen, wird von AE im Einklang mit den jeweiligen Aufbewahrungsfristen über die Vertragslaufzeit hinaus aufbewahrt. Diese Dokumentation kann am Ende der Vertragslaufzeit dem Kunden ausgehändigt werden, um AE von dieser vertraglichen Pflicht zu befreien.

energy!
empowered

Our Technology

Energy Roles

Market Segments

Company

Resources

Services