prijspakkertje.nl | Heeft u vragen? |
GDPRAgreement on Processing of Personal Data in Orders
According to Art. 28 Para.3 General Data Protection Regulation (GDPR) (Order
Data Processing) 1.
Preamble
Scope,
type and purpose of the proposed data processing Before sending an email, the Client regularly provides blacklists with email addresses. Emails cannot be sent to the email addresses contained therein are by the order processor. It is also possible that before an email campaign is carried out, a customer list supplied by the Client must be compared against the customer base of the order processor, e.g. in order to exclude existing customers from the advertising campaign. a) Place of data agreement: The contractually agreed service is provided in principle and exclusively within the territory of the Federal Republic of Germany, in a member state of the European Union or in another contracting state to the Agreement on the European Economic Area. Any movement of data to a third country requires the prior consent of the client and is subject to compliance with the special statutory requirements. b) The blacklists and customer lists are delivered by the Client in accordance with the currently valid data protection regulations and the Client bears full responsibility for the organisational/technical measures for this. Type
of Data Categories
of Data Subject
a) The Contractor shall document the implementation of required technical and organisational measures set out prior to the placing of an order before the start of processing, particularly with regard to the execution of the specific order as a one-time standard procedure and shall pass this on to the Client for review. Upon acceptance of the order by the Client, the documented measures become the basis of the order. If the Client's review results in a need for adjustment, this must be implemented by mutual agreement. b) The Contractor must provide the security according to Art. 28 para. 3 letter c, 32 EU GDPR in particular in conjunction with Art. 5 para. 1, para. 2 EU GDPR, insofar as within their sphere of influence. Overall, the measures to be taken are data security measures, which are taken to ensure a level of protection appropriate to the risk with regard to the confidentiality, integrity, availability and resilience of the systems. On this point, the state of the art, the costs of implementation, the nature, scope and purposes of processing, and the varying likelihood and risk severity for the rights and freedoms of natural persons in the sense of Art. 32 para. 1 EU GDPR must be taken into account. c) Technical and organisational measures are subject to technical progress and further developments. In that regard, the Contractor is permitted to implement adequate alternative measures. The security level of the specified measures must be adequate. Significant changes must be documented once as a standard procedure.
b) Insofar as it is included in the scope of services, the deletion concept, the right to be forgotten, correction, data portability and information shall be ensured directly by the Contractor in accordance with the documented instructions of the Client.
2. Changes to the subject of processing and changes to procedures shall be agreed jointly between the Client and the Contractor and specified in writing or in a documented electronic format (email is sufficient). 3. The Client shall issue all orders, partial orders and instructions in writing or in a documented electronic format (e-mail is sufficient). Verbal instructions must be confirmed immediately in writing or in electronic text form. 4. Prior to the start of processing, and then regularly and in an appropriate manner, the Client is entitled to satisfy themselves of the compliance with the technical and organisational measures taken by the Contractor and with the obligations laid down in this agreement. 5. The Client shall inform the Contractor immediately if errors or irregularities are noticed during the verification of the order results. 6. The Client is obliged to treat all knowledge of business secrets and data security measures obtained by the Contractor as confidential under the terms of the agreement. This obligation shall continue even after this agreement has been terminated. 7. The Client is responsible for the permissibility of data collection, processing and use. This also applies to the obligations of the Client under the Law against Unfair Competition (in particular to obtain consent in accordance with § 7 UWG) and the Telecommunications Secrecy Act (§ 88 TKG). The Contractor points out that no advertising in violation of legal regulations may be sent by the Client. 8. Responsibility for data processing; the Client bears the responsibility for processing and is responsible to third parties for compliance with the provisions of the data protection laws. The Client is responsible for his own assessment of the admissibility of order data processing and the order under data protection law. If the Client is of the opinion that the processing carried out by the Contractor violates the Client obligations, they must point this out to the Contractor and ensure that the data processing complies with the law by issuing appropriate instructions. 9. The Client is solely responsible for the lawful data collection (consent by double opt-in procedure or according to §7 para. 3 UWG etc.) and the secure transmission of data to the Contractor for the purpose of data processing within the scope of this agreement. The Client assures that they shall only collect and provide to the Contractor such data from their customers and users who have explicitly consented to such collection, processing and, if applicable, evaluation. In particular, the Client is aware that an evaluation of personal data (e.g. response data such as opening emails and clicks) of a recipient within the scope of 'tracking' is only possible if the Client confirms to the Contractor that they have the consent of the respective recipient for the evaluation of their personal data. 10. Notification and instruction obligations: In the event of a direct request for information, notification, warning or instruction from the supervisory authority in accordance with Art. 58 GDPR, the Client must support the Contractor and ensure that the official request can be complied with in accordance with this agreement.
The Contractor has additional legal obligations under Art. 28 to 33 EU GDPR to comply with the provisions of this order; in this respect, they guarantee particular compliance with the following requirements: a) Written appointment of a data protection
officer who shall perform their duties in accordance with Art. 38 and 39 of the
EU GDPR if obliged to do so. b) If the Contractor is not obliged to appoint a data protection officer, the Client shall be informed of a contact person with full name and contact details [title, first name, surname, organisational unit, telephone, e-mail] by the Contractor. c) The maintenance of confidentiality in
accordance with Art. 28 para. 3 clause 2 letter b, 29, 32 para. 4 EU GDPR. d) The implementation and observance of all
technical and organisational measures required for this contract in accordance
with Art. 28 para. 3 clause 2 letter c, 32 EU GDPR f) Immediate information from the Client as to control procedures and measures taken by the supervisory authority in so far as they relate to this order. This also applies insofar as a competent authority is conducting an investigation in the context of an administrative offence or criminal procedure with regard to the processing of personal data in the processing of orders with the Contractor. g) If the Client is subject to an inspection by the supervisory authority, administrative or criminal proceedings, the liability claim of a data subject or a third party or any other claim in connection with the processing of the order with the Contractor, the Contractor must support them to the best of their ability. h) If the Contractor is subject to an inspection by the supervisory authority, an administrative offence or criminal proceedings, the liability claim of a data subject or a third party or any other claim in connection with an order with the Client, the Client must provide services without restriction and free of charge. i) The Contractor shall regularly monitor internal processes and technical and organisational measures to ensure that processing within their area of responsibility is carried out in accordance with the requirements of the applicable data protection legislation and that the rights of the data subject are protected. j) Verifiability of the technical and organisational measures taken by the Client within the framework of their controlling authority. k) The Contractor shall process personal data only under this agreement and under the instructions of the Client, unless they are required to do so by the law of the Union or the Member States to which the order processor is subject (e.g. investigations by law enforcement or state protection authorities), in which case the order processor shall inform the controller of these legal requirements before processing, unless the law in question prohibits such communication on grounds of an important public interest (Art. 28 para. 3 clause 2 letter a GDPR). l) The Contractor shall not use the data provided for processing for any other purposes, in particular not for their own purposes. Copies and duplicates shall not be created without knowledge of the Client. m) The Contractor guarantees that they will undertake all measures agreed for contractual processing in the field of the processing of personal data in line with the order. The Contractor also guarantees that the data processed will be kept separate from other data in their possession. n) Dedicated data carriers that originate from the Client or are used for the Client shall be specially marked. Input and output as well as the current use are documented. The Contractor must cooperate to the extent necessary in fulfilling the rights of the data subjects in accordance with Art. 12 - 22 GDPR by the Client, in the creation of the processing directory, as well as in required data protection impact assessments carried out by the Client, and assist the Client appropriately, as far as possible (Art. 28 para. 3 clause 2 letter a GDPR). 6. The Contractor shall draw the Client's attention to the fact that an instruction issued by the Client violate legal requirements (Art. 28 para. 3 clause 3 GDPR). The Contractor is authorised to suspend implementation of the corresponding instruction until it is confirmed or modified by the responsible personnel of the Client following examination. q) The Contractor must correct or delete personal data from the order, or restrict its processing if the client demands this by means of instructions and if the legitimate interests of the Contractor do not oppose this. r) If a data subject addresses the Contractor with claims for correction, deletion or information, the Contractor shall refer the data subject to the Client, provided that it is possible to allocate the data subject to the Client according to their data. The Contractor shall immediately forward the request of the data subject to the Client. The Contractor shall support the Client within the scope of his possibilities and upon instruction, to the extent agreed upon. The Contractor shall not be liable if the Client does not respond to the request of the data subject, does not respond correctly or does not respond in due time. s) Should inspections be necessary in individual cases by the Client or an auditor commissioned by the Client, they shall be carried out during normal business hours without disrupting operations after notification, taking into account an appropriate lead time. The Contractor may make them subject to prior notification with a reasonable lead time and to the signing of a confidentiality agreement with regard to the data of other customers and the technical and organisational measures set up. If the inspector commissioned by the Client is in a competitive relationship with the Contractor, the Contractor has a right of objection against them. t) Costs incurred by the Contractor as a result of their active support shall be reimbursed to them to an appropriate extent. The cost of an inspection is generally limited to one day per calendar year for the Contractor. u) The Contractor confirms that they are
aware of the relevant data protection regulations of the GDPR for order
processing. The Contractor further assures that they familiarise the employees
employed during the execution of the work with the relevant provisions of data
protection before starting the work and obliges them to maintain secrecy for
the time of their work as well as after termination of the employment
relationship in an appropriate manner (Art. 28 para. 3 clause 2 letter b and
Art. 29 GDPR). The Contractor monitors compliance with the data protection
regulations in their company. 8.
Authorised Representatives of the Client and the Contractor 9.
Subcontracts a) Subcontractual relationships within the
meaning of this provision are understood as those services which relate
directly to the provision of the main service. b) The Contractor may only commission subcontractors with prior explicit written or documented consent of the Client. Excluded from this are technical service providers based within the EU. c) The transfer of the Client's personal data to the subcontractor and commencement of their initial activities are only permitted if all requirements for subcontracting are met. d) If the subcontractor performs the agreed service outside the EU/EEA, the Contractor shall take appropriate measures to ensure the admissibility under data protection law. e) Further outsourcing by the subcontractor is not permitted; all contractual provisions in the contractual chain must also be imposed on the other subcontractors. f) At present, the subcontractors specified in Appendix 2 with name, address and order content, are engaged in processing personal data for the Contractor to the extent specified therein. The Client has agreed to their appointment. The Contractor shall always inform the person responsible of any intended change in regard to the addition of new or the replacement of existing subcontractors, giving the customer the opportunity to appeal such changes (§ 28 para. 2 clause 2 GDPR). 10.
Control Rights of the Client a) The Client is entitled to carry out inspections in consultation with the Contractor or to have them carried out by inspectors to be appointed in individual cases. They have the right to conduct periodic random checks, which, as a rule, must be notified in good time, to ensure compliance with this agreement by the Contractor in their business operations. b) The Contractor shall ensure that the Client can satisfy themselves of the Contractor's compliance with the obligations in accordance with Art. 28 of the GDPR. The Contractor is required to provide the necessary information to the Client on request and to demonstrate in particular the implementation of the technical and organisational measures. c) Proof of such measures, which do not
only relate to the specific order, may be provided by: 11.
Supporting the Client in Fulfilling their Obligations a) The Contractor shall assist the Client in complying with the obligations set out in Articles 32 to 36 of the GDPR concerning the security of personal data, notification obligations in the event of data breaches, data protection impact assessments and prior consultations. In particular this includes: - ensuring an adequate level of protection
through technical and organisational measures which take into account the
circumstances and purposes of processing as well as the predicted probability
and severity of a possible infringement of rights due to security gaps, and
which enable an immediate determination of relevant infringement events 12.
The Client's Authority to Issue Instructions a) The Client shall immediately confirm verbal instructions in text form. b) The Client must inform the Contractor without delay if they are of the opinion that an instruction violates data protection regulations. The Client shall be entitled to suspend the execution of the relevant instruction until it has been confirmed or changed by the person responsible.
a) Copies and duplicates shall not be created without knowledge of the Client. This excludes backups, if they are necessary to ensure proper data processing, as well as data that is required in order to comply with legal retention requirements. b) Upon completion of the contractual work, or earlier, if requested by the Client – but no later than termination of the Service Agreement – the Contractor shall destroy all documents of the Client which have come into their possession, drafted processing and user results and all data resources that are related to the contractual relationship or destroy them in line with data protection regulations. The same applies to testing and excess material. Documentation that serves as proof of order-compliant and proper data processing must be kept by the Contractor in accordance with the respective retention periods beyond the term of the Agreement. 14.
Liability The Contractor is only liable to the Client within the scope of Art. 82 para.2 clause 2 GDPR and only if the Contractor culpably violates an obligation imposed on the by the GDPR. The liability of the Contractor is further excluded if the violation was caused by the Client. In particular, the Contractor shall not be liable in cases in which the technical and organisational measures of the Contractor which were agreed with the Client do not comply with the requirements of Art. 32 GDPR because the Client fails to fulfil his information obligations according to 3.3.2 or does not do so on time. Insofar as the Contractor's liability under the above paragraphs is excluded in whole or in part, the Client shall indemnify the Contractor upon the first inquiry against all claims raised by third parties against the Contractor due to data processing on behalf of the Client and shall bear the costs of the necessary legal defence including all court and legal costs to the statutory amount. In addition, facultative costs of the Contractor shall be borne in this context. The same applies if a claim is made by third parties on the basis of the collection or transmission of their data to the Contractor or on the basis of the evaluation of the data within the scope of tracking, or if a claim by third parties exceeds the share of fault attributable to the Contractor in the case of joint and several liability. The Client is obliged to support the Contractor in an appropriate manner in the defence against claims raised by third parties, to provide without delay, truthfully and completely all information which could be necessary for the examination of the claims and the defence against them, and to make all appropriate evidence available to the Contractor. The liability of the Client and the Contractor is determined externally and internally in accordance with the provisions of Art. 82 EU GDPR. The corresponding regulation of the general terms and conditions of the Contractor applies to liability. 15.
Signature APPENDIX
I: Subcontractors The contractually agreed services are carried out with the involvement of subcontractors who are involved in this processing. Below are listed all the subcontractors who are directly involved in the provision of services for the Client, and who may have or may have had access to the Client's data. This also includes external IT service providers with corresponding access rights. Subcontractors 1.
Webanizer AG Schulgasse 5 84359 Simbach
am Inn, Germany Service description: Email dispatch solution 2.
Beyond Relationship Marketing GmbH,
Wendenstrasse 21B 20097 Hamburg, Germany 3. FREEMEDIA INTERNET, S.L (DoctorSender), Carrer Filà Abencerrajes, 4, 03804 Alcoi, Alacant Telephone: +34965524819 Email: info@doctorsender.com Service description: Email dispatch solution 4. Ongage LTD, 575 S. Broadway, 4th floor, White Plains, NY, 10601 Telephone: 1-866-593-2980 Email: support@ongage.zendesk.com Service description: Email dispatch solution 5.
1&1 Internet SE, Elgendorfer Str.
57, 56410 Montabaur, Germany Service description:
Hosting 6.
Host Europe GmbH Hansestr. 111; 51149
Cologne Germany; Fax +49 2203 9934 1042; Telephone: 0800 467 8387; Email:
support@hosteurope.de; Internet: https://www.hosteurope.de; Service
description: Hosting 7. Microsoft Deutschland GmbH. Walter-Gropius-Strasse 5; 80807 Munich; Germany. Telephone: +49 89 31 76 0; Fax: +49 89 31 76 1000 www.microsoft.com/de-de/ 8. OVH HISPANO S.L.U.. C/ Alcalá 21, 5ª planta, 28014 Madrid Spain. Telephone: +34 91 758 34 77; https://www.ovh.es/; Email: soporte@ovh.es Service description: Hosting 9. Episerver GmbH. Wallstraße 16, 10179 Berlin Germany. Tel: +49 (0)30 76 80 78 0; https://www.optimizely.com/; Email: infodach@episerver.com APPENDIX
II: Technical and organisational measures by the Contractor The Contractor does not operate their own
data centre. All personal data is stored and processed in the infrastructures
of subcontractors and their specialised IT service providers based within the
European Union (see APPENDIX I). 1.
Confidentiality Access
control Requirements-oriented design of the
authorisation concept and access rights as well as their monitoring and
logging. Separation checks
Input
control 3.
Availability and Loading Capacity
Vereinbarung über die Verarbeitung personenbezogener
Daten im Auftrag nach Art. 28 Abs.3 Datenschutz-Grundverordnung (DS-GVO)
(Auftragsdatenverarbeitung) 1. Präambel
Art und
Zweck der vorgesehenen Verarbeitung von Daten Der Auftraggeber liefert vor der Durchführung einer Email-Versendung regelmäßig Blacklisten mit Email-Adressen an. Die darin enthaltenen Email-Adressen werden durch den Auftragsverarbeiter von den Versendungen ausgeschlossen. Es kann zudem vorkommen, dass vor der Durchführung einer Email-Kampagne eine durch den Auftraggeber angelieferte Kundenliste gegen den Kundenbestand des Auftragsverarbeiters abgeglichen werden muss, z.B. um Bestandskunden von der werblichen Ansprache auszuschließen. a) Ort der Datenvereinbarung: Die vertraglich vereinbarte Dienstleistung wird grundsätzlich und ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen erfüllt sind. b) Die Anlieferung der Blacklisten und Kundenlisten erfolgen durch den Auftraggeber gemäß den aktuell geltenden Datenschutzverordnungen und organisatorische/technische Maßnahmen hierzu sind in vollem Maße in der Verantwortung des Auftraggebers. Art der
Daten Kategorien
betroffener Personen
a) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung einmalig als Standardprozess zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Annahme des Auftrags durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. b) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 EU-DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 EU-DSGVO herzustellen, soweit in seinem Einflussbereich. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 EU-DSGVO zu berücksichtigen. c) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind einmalig als Standardprozess zu dokumentieren.
b) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
2. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format (E-Mail ist ausreichend) festzulegen. 3. Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen schriftlich oder in einem dokumentierten elektronischen Format (E-Mail ist ausreichend). Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen. 4. Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen. 5. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. 6. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen. 7. Der Auftraggeber trägt die Verantwortung für die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung. Dies betrifft auch die Verpflichtung der Auftraggeber nach dem Gesetz gegen unlauteren Wettbewerb (insbesondere zur Einholung einer Einwilligung nach § 7 UWG) und dem Fernmeldegeheimnis gemäß Telekommunikationsgesetz (§ 88 TKG). Der Auftragnehmer weist darauf hin, dass keine Werbung unter Verstoß gegen gesetzliche Vorschriften durch die Auftraggeber versandt werden darf. 8. Verantwortlichkeit für Datenverarbeitung; Auftraggeber trägt die Verantwortung für die Verarbeitung und ist gegenüber Dritten für die Einhaltung der Vorschriften der Datenschutzgesetze verantwortlich. Auftraggeber hat die datenschutzrechtliche Zulässigkeit der Auftragsdatenverarbeitung und des Auftrags eigenverantwortlich selbst zu beurteilen. Ist Auftraggeber der Meinung, die Verarbeitung durch den Auftragnehmer verstoße gegen Pflichten von Auftraggeber, so hat er den Auftragnehmer hierauf hinzuweisen und eine rechtskonforme Datenverarbeitung durch entsprechende Weisungen sicherzustellen. 9. Auftraggeber ist allein für die rechtmäßige Erhebung der Daten (Einwilligung durch Double-Opt-In Verfahren oder gemäß §7 Abs. 3 UWG etc.) und die sichere Übermittlung der Daten an den Auftragnehmer zum Zwecke der Datenverarbeitung im Umfang dieser Vereinbarung verantwortlich. Der Auftraggeber sichert zu, nur solche Daten von seinen Kunden und Nutzern zu erheben und dem Auftragnehmer zur Verfügung zu stellen, die ausdrücklich zu einer solchen Erhebung, Verarbeitung und ggf. einer Auswertung eingewilligt haben. Insbesondere ist dem Auftraggeber bewusst, dass eine Auswertung personenbezogener Daten (z.B. Response-Daten wie Öffnungen und Klicks) eines Empfängers im Rahmen eines sog. Trackings nur möglich ist, wenn Auftraggeber den Auftragnehmer bestätigt, dass ihm von jeweiligen Empfänger die Einwilligung für die Auswertung der personenbezogenen Daten vorliegt. 10. Mitteilungs- und Weisungspflichten: Im Falle eines unmittelbaren Auskunftsverlangens, Hinweises, einer Warnung oder Anweisung der Aufsichtsbehörde gemäß Art. 58 DSGVO hat Auftraggeber den Auftragnehmer zu unterstützen und sicherzustellen, dass dem behördlichen Verlangen im Einklang mit dieser Vereinbarung Folge geleistet werden kann.
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 EU-DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben: a) Schriftliche Bestellung eines
Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 EU-DSGVO
ausübt sofern er dazu verpflichtet ist. b) Insofern der Auftragnehmer nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist wird dem Auftraggeber beim Auftragnehmer ein Ansprechpartner mit vollständigem Namen und Kontaktdaten mitgeteilt [Anrede, Vorname, Name, Organisationseinheit, Telefon, E-Mail]. c) Die Wahrung der Vertraulichkeit gemäß Art.
28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 EU-DSGVO. d) Die Umsetzung und Einhaltung aller für
diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen
entsprechend Art. 28 Abs. 3 S. 2 lit. c, 32 E-DSGVO f) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt. g) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen. h) Soweit der Auftragnehmer seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit Auftrag beim Auftraggeber ausgesetzt ist, hat ihn der Auftraggeber uneingeschränkt und kostenfrei dienlich zu sein. i) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird. j) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse. k) Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). l) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. m) Der Auftragnehmer sichert im Bereich der
auftragsgemäßen Verarbeitung von personenbezogenen n) Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert. o) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz- Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). p) Der Auftragnehmer wird den Auftraggeber darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. q) Der Auftragnehmer hat personenbezogene
Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren
Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung r) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird. s) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Aufragnehmer stehen, hat der Auftragnehmer gegen dieses ein Einspruchsrecht. t) Kosten die dem Auftragnehmer durch seine Unterstützungshandlung entstehen, sind ihm im angemessenen Umfang zu erstatten. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt. u) Der Auftragnehmer bestätigt, dass ihm die
für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften
der DS-GVO bekannt sind. Er sicher weiter zu, dass er die bei der Durchführung
der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für
sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit
ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in
geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit.
b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen
Vorschriften in seinem Betrieb. 8.
Weisungsberechtigte des Auftraggebers und des Auftragnehmers 9. Unterauftragsverhältnisse a) Als Unterauftragsverhältnisse im Sinne
dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar
auf die Erbringung der Hauptleistung beziehen. b) Der Auftragnehmer darf Unterauftragnehmer nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Ausgeschlossen hiervon sind technische Dienstleister mit Sitz innerhalb der EU. c) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. d) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU / des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. e) Eine weitere Auslagerung durch den Unterauftragnehmer ist nicht gestattet; Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen. f) Zurzeit sind für den Auftragnehmer die in ANHANG 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden. g) Der Auftragnehmer informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO). 10.
Kontrollrechte des Auftraggebers a) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen. b) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu geben und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. c) Der Nachweis solcher Maßnahmen, die nicht
nur den konkreten Auftrag betreffen, kann erfolgen durch: 11.
Unterstützung des Auftraggebers bei der Einhaltung dessen Pflichten a) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der EU-DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, zur Meldepflichten bei Datenpannen, zur Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören insbesondere - die Sicherstellung eines angemessenen
Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände
und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und
Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken
berücksichtigen und eine sofortige Feststellung von relevanten
Verletzungsereignissen ermöglichen 12.
Weisungsbefugnis des Auftraggebers a) Mündliche Weisungen wird der Auftraggeber unverzüglich in Textform bestätigen. b) Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftraggeber ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.
a) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind. b) Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. c) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. 14.
Haftung Der Auftragnehmer haftet gegenüber dem Auftraggeber nur im Rahmen des ARt.82 abs.2 s.2 DSGVO und nur dann, wenn der Auftragnehmer schuldhaft eine ihr durch die DSGVO auferlegte Pflicht verletzt. Eine Haftung des Auftragnehmers ist weiterhin ausgeschlossen, soweit die Pflichtverletzung durch den Auftraggeber verschuldet wurde. Insbesondere haftet Auftragnehmer gegenüber nicht in Fällen, in denen die mit AG abgestimmten technischen und organisatorischen Maßnahmen des Auftragnehmers deshalb nicht den Anforderungen nach Art. 32 DSGVO entsprechen, weil Auftraggeber seinen Informationspflichten nach 3.3.2 nicht oder nicht rechtzeitig nachkommt. Soweit eine Haftung des Auftragnehmers nach den obigen Ziffern ganz oder teilweise ausgeschlossen ist, stellt Auftraggeber den Auftragnehmer auf erstes Anfordern von allen Ansprüchen frei, die Dritte wegen der Datenverarbeitung im Auftrag von Auftraggeber gegen den Auftragnehmer erheben und übernimmt hierbei die Kosten der notwendigen Rechtsverteidigung einschließlich sämtlicher Gerichts- und Anwaltskosten in gesetzlicher Höhe. Ebenso wie fakultative Kosten des Auftragnehmers in diesem Zusammenhang. Das Gleiche gilt, soweit eine Inanspruchnahme durch Dritte aufgrund der Erhebung oder Übermittlung Ihrer Daten an Auftragnehmer oder aufgrund der Auswertung der Daten im Rahmen des Trackings erfolgt, oder eine Inanspruchnahme durch Dritte den auf Auftragnehmer entfallenden Verschuldensanteil bei einer gesamtschuldnerischen Haftung summenmäßig übersteigt. Auftraggeber ist verpflichtet Auftragnehmer in angemessener Weise bei der Verteidigung gegenüber den von Dritten erhobenen Ansprüchen zu unterstützen, unverzüglich, wahrheitsgemäß und vollständig alle Informationen zur Verfügung zu stellen, die für die Prüfung der Ansprüche und eine Verteidigung erforderlich sein könnten und alle geeigneten Beweismittel dem Auftragnehmer zugänglich zu machen. Die Haftung von Auftraggeber und Auftragnehmer bestimmt sich im Außen- und Innenverhältnis nach den Vorgaben des Art. 82 EU-DSGVO. Für die Haftung gilt die entsprechende Regelung der AGB des Auftragnehmers.
ANHANG I:
Subunternehmer ANHANG
I: Subunternehmer Die Vertraglich vereinbarten Leistungen werden unter Einschaltung von Subunternehmen durchgeführt, die in diese Verarbeitung mit einbezogen sind. Nachstehend werden alle Subunternehmen aufgeführt, die unmittelbar mit der Leistungserstellung für den Auftraggeber beteiligt sind und möglicherweise Zugriff auf die Daten des AG haben oder haben können. Dazu zählen auch externe IT-Dienstleister mit entsprechenden Zugriffsrechten. Subunternehmer 1.
Webanizer AG Schulgasse 5 84359 Simbach am
Inn, Deutschland Leistungsbeschreibung: Emailversandlösung 2.
Beyond Relationship Marketing GmbH, Wendenstrasse
21B 20097 Hamburg Deutschland 3. FREEMEDIA INTERNET, S.L (DoctorSender), Carrer Filà Abencerrajes, 4, 03804 Alcoi, Alacant Spanien Tel: +34965524819 E-Mail: info@doctorsender.com Leistungsbeschreibung: Emailversandlösung 4. Ongage LTD, 575 S. Broadway, 4th floor, White Plains, NY, 10601 Tel: 1-866-593-2980 E-Mail: support@ongage.zendesk.com Leistungsbeschreibung: Emailversandlösung 5.
1&1 Internet SE, Elgendorfer Str. 57,
56410 Montabaur, Deutschland Leistungsbeschreibung:
Hosting 6.
Host Europe GmbH Hansestr. 111; 51149 Köln Deutschland; Fax
+49 2203 9934 1042; Tel: 0800 467 8387; E-Mail: support@hosteurope.de; Web: https://www.hosteurope.de;
Leistungsbeschreibung: Hosting 7. Microsoft Deutschland GmbH. Walter-Gropius-Straße 5; 80807 München; Deutschland. Tel: +49 89 31 76 0; Fax: +49 89 31 76 1000 www.microsoft.com/de-de/ 8. OVH HISPANO S.L.U.. C/ Alcalá 21, 5ª planta, 28014 Madrid Spanien. Tel: +34 91 758 34 77; https://www.ovh.es/; Email: soporte@ovh.es Leistungsbeschreibung: Hosting 9. Episerver GmbH. Wallstraße 16, 10179 Berlin Deutschland. Tel: +49 (0)30 76 80 78 0; https://www.optimizely.com/; Email: infodach@episerver.com ANHANG
II: Technische und organisatorische Maßnahmen des Auftragnehmers Der Auftragnehmer betreibt kein eigenes
Rechenzentrum. Sämtliche personenbezogenen Daten werden auf den Infrastrukturen
der Subunternehmer und derer spezialisierten IT-Dienstleister mit Sitz
innerhalb der Europäischen Union gespeichert und verarbeitet (siehe ANHANG I). 1.
Vertraulichkeit Zugriffskontrolle Bedarfsorientierte Ausgestaltung des
Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und
Protokollierung. Trennungskontrolle
Eingabekontrolle 3.
Verfügbarkeit und Belastbarkeit
BlueMediaAds GmbH Luipoldstrasse 74a 91052 Erlangen E-Mail: info@prijspakkertje.nl Tel: +49(0)800 / 7236901 Directeur: Mart-Jan Finke | Alpaslan Yasar Btw-identificatienummer volgens § 27 a omzetbelastingwet: DE 306228900 Copyright © 2002-2022 BlueMediaAds GmbH, Erlangen. Alle rechten voorbehouden. BlueMediaAds GmbH is niet verantwoordelijk voor de inhoud van externe links. Dit geldt voor de externe links op de hele website prijspakkertje.nl. Het EU-platform voor de online beslechting van consumentengeschillen vindt u hier: http://ec.europa.eu/consumers/odr/ |
Contact |
afdruk
|
Gegevensbescherming |
Privacy Policy |
GDPR
prijspakkertje.nl |