Also Energy EMEA
Annex to the Master Services Agreement:
Data Processing Agreement (“DPA”)
§1 Scope and subject of the DPA
- AE® energy GmbH, Franz- Ehrlich- Strasse 9, 12489
Berlin (“AE”) has concluded one or several agreement(s) on the basis of an offer of AE and the declaration of acceptance of the contractual
partner of AE (“Customer”). - Subject matter of this DPA results from the underlying agreements regarding support/ maintenance and/or services and/or software licenses (Software as a Service – Cloud) as described in the offer of AE and AE’s T&C (hereinafter also summarized as “Agreement”).
- The duration of this DPA corresponds to the duration of the Agreement.
§2 Nature and purpose of the intended processing of personal data
- Nature and purpose of processing of personal data by AE for the Customer is the performance of support/maintenance and other services and the provisioning of software via the internet.
- The undertaking of the contractually agreed processing of personal data shall be carried out by AE exclusively within a Member State of the European Union (EU) or within a Member State of the European Economic Area (EEA) or in the state where the services are performed and where the personal data are stored.
- The subject matter of the processing of personal
data comprises the following data categories
- First names and surnames
- Contact data
- Information about position and task of employees of the Customer
- The Customer history, contract, billing and payments data with respect to the operating entity of a plant
- Authorization level of the employee
- The categories of data subjects comprise of the employees of the Customer.
§3 Technical and organizational measures
- Before the commencement of processing, AE shall document the execution of the necessary technical and organizational measures set out prior to concluding of the Agreement and shall present these documented measures to the Customer for inspection. Upon acceptance by the Customer, the documented measures become the foundation of this DPA. Insofar as the inspection by the Customer shows the need for amendments, such amendments shall be implemented by mutual agreement. If the Customer accepts an offer without indicating the need for amendments, the technical and organizational measures are deemed to be accepted.
- AE shall establish the security of the processed
personal data in accordance with Article 28 Paragraph 3 Point c, and Article 32 GDPR. The parties consider the technical and organizational measures as described in Appendix 1 as sufficient at the moment of the conclusion of the DPA. - The technical and organizational measures are
subject to technical progress and further development. In this respect, it is permissible for AE to implement alternative adequate measures. In doing so, the security level of the defined measures must not be reduced. Substantial changes must be documented. - AE shall ensure that all persons authorized to
process personal data of Customer, prior to the start of the processing, either have committed themselves to confidentiality or are subject to legal obligations of confidentiality.
§4 Data Subjects’ Rights Requests
- AE shall support Customer with regard to fulfilling Customer’s transparency obligations in accordance with Article 12 to 22 GDPR. AE may claim remuneration for providing Customer such support. The standard hourly rates agreed upon in an offer shall apply.
- AE may not on its own authority rectify, erase or restrict the processing of data that is being processed on behalf of the Customer, but only on documented instructions from the Customer.
- Insofar as a data subject contacts AE directly concerning a rectification, erasure, or restriction of processing, AE will immediately forward the data subject’s request to the Customer.
§5 Subcontracting
- Subcontracting for the purpose of this DPA is to be understood as meaning services which relate directly to the provision of the principal service. This does not include any ancillary services, such as telecommunication services, postal/transport services or the disposal of data carriers, or other measures to ensure the confidentiality, availability, integrity and resilience of the hardware and software of data processing equipment.
- Customer grants permission to AE to commission subcontractors (another processors) only if those subcontractors are bound by a written agreement including the same data protection obligations as set out in this DPA.
- At the time this DPA is concluded, AE uses subcontractors, which hereby are approved by Customer.
- Whenever AE intends using new subcontractors, AE must notify Customer at least three weeks in advance of such new subcontractors, so Customer can object to it. If Customer objects to the use of such new subcontractors within two weeks of notification due to – from a data protection perspective – justified concerns, AE will either refrain from using that subcontractor with regard to Customer’s order or, if AE cannot be expected to refrain from using that subcontractor, may terminate the Agreement and this DPA for cause.
- AE shall be liable vis-à-vis Customer for compliance with the obligations under data protection law by the subcontractors used by AE.
§6 Supervisory powers of the Customer
- The Customer has the right, after consultation with AE, to carry out inspections (including onsite inspections) or to have them carried out by an auditor to be designated in each individual case. He has the right to convince himself of the compliance with this DPA by AE in his business operations by means of random checks, which are ordinarily to be announced in good time.
- AE shall ensure that the Customer is able to verify compliance with the obligations of AE in accordance with Article 28 GDPR. In particular, AE undertakes to give the Customer the necessary information on request.
- Evidence of such measures, which concern not only the specific processing of personal data as instructed, may be provided by
- Compliance with approved Codes of Conduct pursuant to Article 40 GDPR or
- Certification according to an approved certification procedure in accordance with Article 42 GDPR or
- Current auditor’s certificates, reports or excerpts from reports provided by independent bodies (e.g. auditor, Data Protection Officer, IT security department, data privacy auditor, quality auditor) or
- A suitable certification by IT security or data protection auditing (e.g. according to BSI-Grundschutz (IT Baseline Protection certification developed by the German Federal Office for Security in Information Technology (BSI)) or ISO/IEC 27001).
- AE may claim remuneration for enabling Customer inspections. The standard hourly rates agreed upon in an offer shall apply.
§7 Communication in the case of infringements by AE
- AE shall assist the Customer in complying with the
obligations concerning the security of personal data, reporting requirements for data breaches, data protection impact assessments and prior consultations, referred to in Articles 32 to 36 of the GDPR. Customer supports AE regarding the fulfilment of the documentation requirements of a data processor, especially regarding the records of data processing activities. - AE may claim compensation for support services
which are not included in the description of the services and which are not attributable to failures on the part of AE. The standard hourly rates agreed upon in an offer shall apply.
§8 Authority of the Customer to issue instructions
- AE only shall process personal data on behalf of Customer based on documented instructions of Customer.
- The Customer shall immediately confirm oral instructions (at the minimum in text form).
- AE shall inform the Customer immediately if AE considers that an instruction violates Data Protection Regulations. AE shall then be entitled to suspend the execution of the relevant instructions until the Customer confirms or changes them.
§9 Deletion and return of personal data
- Copies or duplicates of personal data shall never be created without the knowledge of the Customer, except for back-up copies as far as they are necessary to ensure orderly data processing, and those required to meet regulatory requirements to retain data.
- After conclusion of the contracted work, or earlier upon request by the Customer, at the latest upon termination of the Agreement, AE shall hand over to the Customer or – subject to prior consent – destroy all documents, processing and utilization results, and data sets related to the contract that have come into AE’s possession, in a data- protection compliant manner. The same applies to any and all connected test, waste, redundant and discarded material.
- Documentation which is used to demonstrate orderly data processing in accordance with the Agreement shall be stored beyond the term of the Agreement by AE in accordance with the respective retention periods. It may hand such documentation over to the Customer at the end of the term of the Agreement to relieve AE of this contractual obligation.
Anhang zum Master Services Agreement:
Datenverarbeitungsvertrag („DV-Vertrag“)
§1 Umfang und Gegenstand des DV-Vertrags
- AE® energy GmbH, Franz- Ehrlich- Strasse 9, 12489 Berlin („AE“) hat eine oder mehrere Vereinbarung(en) auf Grundlage eines Angebots von AE und der Annahmeerklärung des Vertragspartners („Kunde“) geschlossen.
- Der Gegenstand dieses DV-Vertrags geht aus den zugrundeliegenden Vereinbarungen hinsichtlich Service/Wartung und/oder Dienstleistungen und/ oder Softwarelizenzen (Software-as-a-Service – Cloud) hervor, wie im Angebot von AE oder in den AGB von AE beschrieben (im Folgenden auch als „Vereinbarung“ zusammengefasst).
- Die Laufzeit dieses DV-Vertrags entspricht der Laufzeit der Vereinbarung.
§2 Art und Zweck der beabsichtigten Verarbeitung personenbezogener Daten
- Sinn und Zweck der Verarbeitung
personenbezogener Daten durch AE für den Kunden ist die Erbringung von Service/Wartungs- und anderen Dienstleistungen und die Bereitstellung
von Software über das Internet. - Die Aufgabe der vertraglich vereinbarten
Verarbeitung personenbezogener Daten wird von AE ausschließlich innerhalb eines Mitgliedsstaats der Europäischen Union (EU) oder innerhalb eines Mitgliedsstaats des Europäischen Wirtschaftsraums (EWR) oder in dem Staat ausgeführt, in dem die Dienstleistungen erbracht werden und die
personenbezogenen Daten gespeichert sind. - Der Gegenstand der Verarbeitung
personenbezogener Daten umfasst die folgenden Datenkategorien:- Vor- und Nachnamen
- Kontaktdaten
- Informationen zu Stellung und Aufgabe von Mitarbeitern des Kunden
- Die Verlaufs-, Vertrags-, Rechnungs- und Zahlungsdaten des Kunden in Bezug auf die operative Einheit eines Werks.
- Berechtigungsstufe des Mitarbeiters
- Die Kategorien von betroffenen Personen umfassen
die Mitarbeiter des Kunden.
§3 Technische und organisatorische Maßnahmen
- Vor Beginn der Verarbeitung muss AE die Ausführung der erforderlichen technischen und organisatorischen Maßnahmen dokumentieren, die vor dem Abschluss der Vereinbarung dargelegt wurden, und diese dokumentierten Maßnahmen dem Kunden zur Prüfung vorlegen. Mit der Annahme durch den Kunden werden die dokumentierten Maßnahmen zur Grundlage des DV-Vertrags. Sofern sich bei der Prüfung durch den Kunden Änderungsbedarf zeigt, werden diese Änderungen in gegenseitiger Absprache vorgenommen. Falls der Kunde ein Angebot annimmt, ohne auf Änderungsbedarf hinzuweisen, gelten die technischen und organisatorischen Maßnahmen als angenommen.
- AE sorgt im Einklang mit Artikel 28 Absatz 3 lit. c) und Artikel 32 DS-GVO für die Sicherheit der verarbeiteten personenbezogenen Daten. Die Parteien sehen die technischen und organisatorischen Maßnahmen wie in Anhang 1 beschrieben zum Zeitpunkt des Vertragsabschlusses als ausreichend an.
- Die technischen und organisatorischen Maßnahmen unterliegen technischem Fortschritt und Weiterentwicklung. In dieser Hinsicht ist es zulässig, dass AE geeignete Alternativmaßnahmen implementiert. Dabei darf das Sicherheitsniveau der definierten Maßnahmen nicht herabgesetzt werden. Erhebliche Änderungen müssen
dokumentiert werden. - AE hat sicherzustellen, dass alle zur Verarbeitung personenbezogener Daten befugten Personen sich vor Beginn der Verarbeitung zur Vertraulichkeit verpflichtet haben oder gesetzlichen Verschwiegenheitspflichten unterliegen.
§4 Betroffenenrechtsanfragen
- AE wird den Kunden bei der Erfüllung seiner Transparenzpflichten nach Artikeln 12 bis 22 DSGVO unterstützen. AE kann für diese Unterstützungsleistung für den Kunden eine Vergütung verlangen. Es gelten die in einem Angebot vereinbarten Standardstundensätze.
- AE darf nicht eigenmächtig Daten berichtigen, löschen oder deren Verarbeitung beschränken, die für den Kunden verarbeitet werden, sondern darf dies nur auf dokumentierte Weisung des Kunden tun.
- Sofern eine betroffene Person AE direkt hinsichtlich einer Berichtigung, Löschung oder Beschränkung der Verarbeitung kontaktiert, leitet AE die Anfrage der betroffenen Person sofort an den Kunden weiter.
§5 Subcontracting
- Mit der Vergabe von Unteraufträgen sind im Sinne dieses DV-Vertrags Dienstleistungen gemeint, die direkt mit der Erbringung der Hauptdienstleistung zusammenhängen. Dazu zählen keine Nebendienstleistungen wie Telekommunikationsdienstleistungen, Post- /Transportdienstleistungen oder die Entsorgung von Datenträgern oder andere Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Haltbarkeit der Hardware und Software von Datenverarbeitungsausrüstung.
- Der Kunde gestattet es AE, Subunternehmer (weitere Auftragsverarbeiter) zu beauftragen, wenn diese einem schriftlichen Vertrag denselben Datenschutzpflichten unterworfen werden, wie sie AE unter diesem DV-Vertrag obliegen.
- AE setzt zum Zeitpunkt des Abschlusses dieses DV-Vertrags Subunternehmer ein, die hiermit von dem Kunden genehmigt werden
- Wenn AE einen neuen Subunternehmer einsetzen möchte, ist dies dem Kunden mindestens drei Wochen vorab anzuzeigen, sodass der Kunde die Möglichkeit hat, dagegen Einspruch zu erheben. Erhebt der Kunde innerhalb von zwei Wochen ab Anzeige aufgrund von datenschutzrechtlich begründeten Bedenken Einspruch gegen den Einsatz dieses Subunternehmers, wird AE entweder auf den Einsatz dieses Subunternehmers für den Auftrag des Kunden verzichten oder kann, wenn ihm der Verzicht auf diesen Subunternehmer nicht zugemutet werden kann, die Vereinbarung und diesen DV-Vertrag mit dem Kunden
außerordentlich kündigen. - AE haftet gegenüber dem Kunden für die Einhaltung der datenschutzrechtlichen Pflichten durch die von AE eingesetzten Subunternehmer.
§6 Kontrollbefugnisse des Kunden
- Der Kunde ist in Absprache mit AE berechtigt, Prüfungen (einschließlich solcher vor Ort) durchzuführen oder sie von einem Auditor durchführen zu lassen, der in jedem Einzelfall bestimmt wird. Er ist berechtigt, sich der Einhaltung dieses DV-Vertrags durch AE in seinem Geschäftsbetrieb durch stichprobenartige Prüfungen zu überzeugen, die für gewöhnlich rechtzeitig im Voraus angekündigt werden.
- AE muss sicherstellen, dass der Kunde in der Lage ist, die Einhaltung der Pflichten von AE im Einklang mit Artikel 28 DS-GVO zu überprüfen. Insbesondere verpflichtet sich AE, dem Kunden auf Anfrage die erforderlichen Informationen mitzuteilen.
- Nachweise für solche Maßnahmen, die nicht nur
die spezifische Datenverarbeitung entsprechend der Weisung betreffen, können durch
- Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DS-GVO oder
- Zertifizierung nach einem genehmigten Zertifizierungsverfahren im Einklang mit Artikel 42 DS-GVO oder
- aktuelle Prüfungsberichte, Berichte oder Auszüge aus Berichten vom unabhängigen Stellen (z.B. Auditor,Datenschutzbeauftragter, IT- Sicherheitsabteilung, Datenschutzauditor, Qualitätsauditor) oder
- eine geeignete Zertifizierung durch IT- Sicherheits- oder Datenschutzaudits (z.B. nach BSI-Grundschutz) oder ISO/EC 27001 erbracht werden.
- AE kann für die Ermöglichung von Prüfungen durch den Kunden eine Vergütung verlangen. Es gelten die in einem Angebot vereinbarten Standardstundensätze.
§7 Kommunikation bei Verstößen durch AE
- AE unterstützt den Kunden bei der Einhaltung der Pflichten hinsichtlich der Sicherheit personenbezogener Daten, Meldeanforderungen für Verletzungen des Schutzes personenbezogener Daten, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen, auf die in Artikel 32 bis 36 DS-GVO Bezug genommen wird. Der Kunde unterstützt AE hinsichtlich der Erfüllung der Dokumentationsanforderungen eines Auftragsverarbeiters, insbesondere hinsichtlich des
Verarbeitungsverzeichnisses. - AE kann eine Vergütung für Supportleistungen verlangen, die in der Leistungsbeschreibung nicht enthalten sind und die nicht auf Versäumnisse vonseiten von AE zurückzuführen sind. Es gelten die in einem Angebot vereinbarten Standardstundensätze.
§8 Befugnis des Kunden zur Erteilung von Weisungen
- AE darf nur im Rahmen der vom Kunden erteilten und dokumentierten Weisungen personenbezogene Daten des Kunden verarbeiten.
- Der Kunde muss mündliche Weisungen sofort bestätigen (mindestens in Textform).
- AE muss den Kunden sofort in Kenntnis setzen, falls AE der Ansicht ist, dass eine Weisung datenschutzrechtliche Vorschriften verletzt. AE ist dann berechtigt, die Ausführung der entsprechenden Weisungen auszusetzen, bis der Kunde sie bestätigt oder ändert.
§9 Löschung und Rückgabe personenbezogener Daten
- Kopien oder Duplikate personenbezogener Daten dürfen niemals ohne Kenntnis des Kunden erstellt werden, mit Ausnahme von Sicherungskopien, sofern sie erforderlich sind, um eine ordentliche Datenverarbeitung zu gewährleisten, und von Daten, die zur Einhaltung der aufsichtsrechtlichen Anforderungen zur Datenaufbewahrung
erforderlich sind. - Nach Fertigstellung des Auftrags oder früher auf Anfrage des Kunden, spätestens bei Beendigung der Vereinbarung, übergibt AE alle Unterlagen,Verarbeitungs- und Nutzungsergebnisse und Datensätze im Zusammenhang mit dem Vertrag, die in den Besitz von AE gelangt sind, im Einklang mit Datenschutzvorschriften dem Kunden oder vernichtet diese mit vorheriger Genehmigung. Gleiches gilt für jegliche und alle zugehörigen Test-, redundante und ausgesonderte Materialien sowie Abfälle.
- Dokumentation, die verwendet wird, um die ordnungsgemäße Datenverarbeitung im Einklang mit der Vereinbarung nachzuweisen, wird von AE im Einklang mit den jeweiligen Aufbewahrungsfristen über die Vertragslaufzeit hinaus aufbewahrt. Diese Dokumentation kann am Ende der Vertragslaufzeit dem Kunden ausgehändigt werden, um AE von dieser vertraglichen Pflicht zu befreien.