1. Verantwortliche Stelle der Datenverarbeitung
1.1. Verantwortung für die Datenverarbeitung ist:
Schrott Hartmann GmbH
An der Steinlach 26
65474 Bischofsheim
Tel. 6144 / 971 236
Schrott-hartmann@t-online.de
2. Datenschutz
2.1. Schrott Hartmann und der Vertragspartner (als Vertragsparteien) sind sich bewusst, dass zu Zwecken der Anbahnung, Vorberei-tung, Durchführung, Erfüllung und Auflösung von Verträgen im Sinne Einkaufs-, Verkaufs- und Zahlungsbedingungen („AGBs“) der Austausch von Namen, Vornamen, Kontaktdaten und anderen personenbezogenen Daten gemäß Art. 4 Nr. 1 Europäischen Datenschutzgrundverordnung (DSGVO) zwischen den Vertragsparteien notwendig ist.
2.2. Personen sind dabei natürliche Personen, die dem Interessenbereich von Schrott Hartmann oder dem Vertragspartner zuorden-bar sind, insbesondere solche, die in gesetzlicher Vertretung oder Stellvertretung für Schrott Hartmann oder dem Vertragspartner im Geltungsbereich auftreten („Personal“).
2.3. Personenbezogene Daten im Sinne der Datenschutzerklärung sind insbesondere: Name, Vorname, Akademischer- oder Berufsti-tel, E-Mail-Adresse, Telefonnummer, Anschrift, Tätigkeits- oder Aufgabenbereich (Beschäftigung, Position), Arbeitsort, Unter-schrift, Foto- und/oder Bildaufnahme, Tonaufnahme des Personals.
Personenbezogene Daten von Minderjährigen und andere besondere/sensible Kategorien von Personenbezogenen Daten (z.B. Gesundheitszustand, Vorstrafen, genetische Merkmale, Rasse, Glaubensrichtung oder politische Zugehörigkeit einer natürlichen Person) werden nicht weitergegeben oder sonst verarbeitet.
2.4. Die Parteien verpflichten sich zur rechtmäßigen Verarbeitung (z.B. Verwendung, Offenlegung, Übermittlung, Löschung) der per-sonenbezogenen Daten des Personals von Schrott Hartmann durch den Vertragspartner und die Verarbeitung von personenbe-zogenen Daten des Personals des Vertragspartners durch Schrott Hartmann im Geltungsbereich der AGBs. Die Parteien ver-pflichten sich als Verantwortliche im Sinne der DSVGO weiter, die rechtmäßige Verarbeitung der personenbezogenen Daten ihres eigenen Personals sicherzustellen und dessen Rechte wahrzunehmen.
2.5. Diejenige Partei, die personenbezogene Daten ihres Personals ursprünglich erhoben hat, gilt als Verantwortlicher im Sinne des Art. 5 Unterabsatz (2) DSGVO und haftet ihrem Personal gegenüber für die rechtmäßige Verarbeitung dieser personenbezogenen Daten.
2.6. Den Parteien ist bewusst, dass sie hinsichtlich der personenbezogenen Daten, die von der anderen Partei im Rahmen der Ge-schäftstätigkeit an sie überlassen werden, jeweils als Auftragsverarbeiter im Sinne des Art. 4 Abs. 8 DSGVO gelten und somit die gemäß Art. 28 DSGVO bestehenden Pflichten und bestehenden Pflichten und Anforderungen zu erfüllen haben.
Insbesondere:
2.6.1. bestätigen die Parteien jeweils allein und eigenständig, dass sie hinreichend Garantien dafür bieten, dass geeignete techni-sche und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DGSVO erfolgt und den Schutz der in DSGVO geregelten Rechte des Personals gewährleistet ist.
2.6.2. darf der Vertragspartner personenbezogene Daten des Personals von Schrott Hartmann an weitere Auftragsverarbeiter („Unter-Auftragsverarbeiter“) nur nach vorheriger Mitteilung an Schrott Hartmann zur Verarbeitung weitergeben. Sollte die Verarbeitung der Daten durch den Unter – Auftragsverarbeiter für außerhalb der AGBs liegende Zwecke erfolgen, ist hierfür eine vorherige gesonderte Genehmigung von Schrott Hartmann einzuholen. Bei Weitergabe von personenbezogenen Daten des Personals vom Vertragspartner durch Schrott Hartmann an einen Dritten zur Unter – Auftragsverarbeitung gelten die vorherigen Bestim-mungen sinngemäß.
2.6.3. sind die Parteien verpflichtet, die Verarbeitung personenbezogener Daten dem Unionsrecht oder dem Recht der Mitgliedstaa-ten, der bzw. das sie und ihre Unter – Auftragsverarbeiter bindet, unterzuwerfen.
2.6.4. ist die Höchstdauer der Verarbeitung durch die Parteien und/oder ihre Unter – Auftragsverarbeiter an den Zweck der AGBs und des Vertrags gebunden.
2.6.5. darf die Verarbeitung nur manuell oder maschinell erfolgen, soweit geeignete technische und organisatorische Maßnahmen die Einhaltung der DSGVO und den Schutz der Rechte der betroffenen Personen gewährleisten.
2.6.6. sind die Parteien als jeweils Verantwortliche gemäß Art. 4 Nr. 7 DSGVO berechtigt und verpflichtet, die Rechte ihres Personals nach Art. 15-22 DSGVO in ihrem Vertragsverhältnis unter der Geltung der AGBs zu beachten und durchzusetzen. Insbesondere werden sich die Parteien bei der Bearbeitung von Anträgen gemäß Art. 12ff. DSGVO gegenseitig unterstützen. Die Parteien sind jeweils an die Anweisungen der jeweils anderen Partei bezüglich der von diesen überlassenen personenbezogenen Daten ge-bunden.
2.6.7. bedarf es zur Übermittlung personenbezogener Daten des Personals der einen Partei durch die andere Partei in ein Drittland (Land außerhalb der EU/EWR) der dokumentieren Weisung des Verantwortlichen.
2.6.8. bestätigen die Parteien jeweils allein und eigenständig, dass sie die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder diese einer angemessenen gesetzlichen Verschwiegenheitspflicht unter-lagen.
2.6.9. gewährleisten die Parteien jeweils allein und eigenständig, dass ihre Verantwortlichen und Unter – Auftragsverarbeiter geeig-nete technische und organisatorische Maßnahmen gemäß Art. 32 DGSVO treffen, um ein dem Risiko angemessenes Schutzni-veau zu gewährleisten.
2.6.10. sind die Parteien verpflichtet, einander zu unterstützen bei Meldungen über Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, bei Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten be-troffenen Person sowie bei Durchführung einen Datenschutz – Folgenabschätzung nebst etwaiger vorheriger Konsultation.
2.6.11. hat die jeweilige Partei im Zuge der Auftragsbearbeitung dem Verantwortlichen alle für den Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten erforderlichen Informationen zur Verfügung zu stellen und die Überprüfung – einschließ-lich Inspektoren -, die vom Verantwortlichen oder einem von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen.
2.6.12. hat die Vertragspartei, die im Sinne des Vertrags als Auftragsverarbeiter galt, im Falle einer Beendigung des Vertragsverhält-nisses auf Anforderung des Verantwortlichen binnen angemessenen Frist jedoch höchstens 20 Tage nach der Mitteilung da-von, die personenbezogenen Daten zusammenzustellen und diese nach Wahl des Verantwortlichen entweder zu löschen oder dem verantwortlichen zurückgeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflich-tung zur Speicherung der personenbezogenen Daten besteht.
2.7. Ungeachtet der einschlägigen Regelungen der Datenschutzhinweise. können die Parteien die Erfüllung der von ihnen als Ver-antwortlicher oder Auftragsverarbeiter zu übernehmenden Garantien gemäß Art. 28 der Abs. 1 und 4 DSGVO sowie die Einhaltung der gemäß DSGVO allgemein bestehenden Pflichten durch die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO oder durch eine Zertifizierung gemäß Art. 42 DSGVO nachweisen.