Agreement on Processing of Personal Data in Orders
According to Art. 28 Para.3 General Data Protection Regulation (GDPR) (Order
Data Processing)
Between
Business
partner of BlueMediaAds GmbH
(e.g. online agencies, affiliate platforms, advertisers, lead generators and
other advertising intermediaries)
hereinafter referred to as Contractor
and
BlueMediaAds GmbH, Luitpoldstrasse 76a 91052 Erlangen
hereinafter referred to as Client
1.
Preamble
The conclusion of this agreement on data processing is made in the light of the
European General Data Protection Regulation (GDPR), which will enter into force
on the 25th of May 2018. Against this background, the parties conclude the
following agreement in order to ensure that data processing for the provision
of services can continue to take place in a legally compliant manner in the
future.
The Client entrusts the Contractor with processing personal data. The
provisions of this agreement apply to this order processing under Art. 28 of
the General Data Protection Regulation (GDPR).
2. subject matter and duration of the contract
Subject of the order
The subject of the order for data handling is the performance of the following
tasks by the Contractor:
Generation of interested parties for the client's newsletter distribution list
in compliance with the relevant provisions of data protection and competition
law
Execution of performance-oriented email transmissions to address lists of the
Contractor
Duration of the order
The Agreement is open-ended and can be terminated by either party with a notice
period of 30 days to the end of the month. The possibility of termination
without notice shall remain unaffected.
3. Concretisation of the Content of the
Contractual Order
Scope,
type and purpose of the proposed data processing
The Contractor shall collect personal data
from users on his pages. The users shall give their explicit consent to be
contacted by the Client for advert purposes. The legal structuring shall be
carried out by the Contractor, so that the legal validity is guaranteed in
accordance with the applicable data protection and competition laws. 9. The
Client is solely responsible for the lawful data collection (consent by double
opt-in procedure or according to §7 Para. 3 UWG etc.) and the secure
transmission of data to the Client for the purpose of data processing within
the scope of this Agreement.
He shall regularly deliver these to the Client for advertising contact by
email.
The Contractor shall ensure that the Client is immediately notified of users
who subsequently withdraw their consent so that the Client can remove them from
his list of recipients in a timely manner. If the withdrawals are not forwarded
to the Client in a timely manner, or not at all, the Contractor shall be fully
liable for all consequences.
a) Place of data agreement: The contractually agreed service shall be provided in principle and exclusively within the territory of the Federal Republic of Germany, in a member state of the European Union or in another contracting state to the Agreement on the European Economic Area. Any movement of data to a third country requires the prior consent of the Client and is subject to compliance with the special legal requirements.
b) The legally compliant collection and delivery of personal data shall be carried out by the Contractor in accordance with the currently valid data protection regulations and organisational and technical measures are exclusively the responsibility of the Contractor.
Type
of Data
The subject of the personal data processing is the
following types / categories of data
Personal master data (e.g. title, first name, surname, street, house number,
postcode, city)
Communication data (e.g. email)
Categories
of Data Subject
The categories of data subjects covered by the
processing:
- Customers
- Interested parties
- Advertising blocks
- Former complainants
4. Technical and Organisational Measures
a)The Contractor shall document the implementation of required technical and organisational measures set out prior to the placing of an order before the start of processing, particularly with regard to the execution of the specific order as a one-time standard procedure, and shall pass this on to the Client for review.
Upon acceptance of the order by the Client, the documented measures become the basis of the order. Insofar as the examination by the Contractor results in a need for adjustment, this must be implemented by mutual agreement.
b) The Contractor must establish the security pursuant to Art. 28 para. 3 letter c, 32 EU GDPR in particular in conjunction with Art. 5 para. 1, Para. 2 GDPR. Overall, the actions to be taken are data security measures, which are taken to ensure a level of protection appropriate to the risk with regard to the confidentiality, integrity, availability and resilience of the systems. On this point, the state of the art, the costs of implementation, the nature, scope and purposes of processing, and the varying likelihood and risk severity for the rights and freedoms of natural persons in the sense of Art. 32 para. 1 EU GDPR must be taken into account.
c) Technical and organisational measures
are subject to technical progress and further developments. In that regard, the
Contractor is permitted to implement adequate alternative measures. The
security level of the specified measures must be adequate. Significant changes
must be documented once as a standard procedure.
5. Correction, Restriction and Erasure
of Data
a) The Contractor may not correct, delete or restrict the processing of data
undertaken in the order on his own authority, but only in accordance with the
documented instructions of the Client.
If a data subject contacts the Contractor directly in this regard, the
Contractor shall immediately forward this request to the Client.
b) Insofar as it is included in the scope of services, the right to erasure,
correction, data portability and information must be ensured directly by the
Contractor in accordance with the documented instructions of the Client.
6. Rights and obligations as well as
authority of the Client and the Contractor to issue instructions
1. The Contractor is solely responsible for the assessment of the admissibility
of the processing pursuant to Art. 6 Para. 1 GDPR and for the protection of the
rights of the data subjects according to Art. 12 to 22 GDPR. Nevertheless, the
Contractor is obliged to immediately forward all such inquiries to the Client,
provided that they are clearly addressed exclusively to the Client.
2. Changes to the subject of processing and changes to procedures shall be agreed jointly between the Client and the Contractor and specified in writing or in a documented electronic format (email is sufficient).
3. The Client shall issue all orders, partial orders and instructions in writing or in a documented electronic format (e-mail is sufficient). Verbal instructions must be confirmed immediately in writing or in electronic text form.
4. Prior to the start of processing, and then regularly and in an appropriate manner, the Client shall ensure the compliance with the technical and organisational measures taken by the Contractor and the obligations set out in this Agreement.
5. The Client shall inform the Contractor immediately if errors or irregularities are noticed during the verification of the order results.
6. The Client is obliged to treat all knowledge of business secrets and data security measures obtained by the Contractor as confidential under the terms of this Agreement. This obligation shall continue even after this Agreement has been terminated.
7. Responsibility for data collection: The Contractor shall be responsible for the permissibility of data collection, processing and use. This also applies to the Contractor's obligation under the Unfair Competition Act (in particular to obtain consent pursuant to § 7 UWG) and the secrecy of telecommunications pursuant to the Telecommunications Act (§ 88 TKG). The Contractor points out that no advertising in violation of legal regulations may be sent by the Client.
8. Responsibility for data processing: the Contractor shall bear the responsibility for processing of data and compliance with the provisions of the data protection laws vis à vis third parties. The Contractor must independently assess the data protection law admissibility of order data processing and the order. If the Contractor is of the opinion that the processing violates obligations of the Client, he must inform the Client and ensure a legally compliant data processing by issuing appropriate instructions.
9. The Contractor is solely responsible for
the lawful data collection (consent by double opt-in procedure or according to
§7 Para. 3 UWG etc.) and the secure transmission of data to the Client for the
purpose of data processing within the scope of this Agreement. The Contractor
assures that he shall only collect and provide to the Client such data from
customers and users who have expressly consented to such collection, processing
and, if applicable, evaluation. In particular, the Contractor is aware that for
the advertising approach by the Client there must be explicit regulations
regarding the user's permission, which the Contractor guarantees to the Client
in full responsibility and keeps him free from any claims of third parties
which are based on a possible defect of this consent.
Likewise, a promotional approach and an evaluation of personal data (e.g.
response data such as openings and clicks) of a recipient within the scope of a
so-called tracking is only possible if the Contractor assures the Client that
he has the consent of the respective recipient for the promotional approach as
well as the evaluation of the personal data.
10. Notification and instruction
obligations: In the event of a direct request for information, notification,
warning or instruction from the supervisory authority pursuant to Art. 58 GDPR,
the Contractor shall support the Client and ensure that the official request
can be complied with in accordance with this agreement.
7.
Quality Assurance and Other Obligations of the Contractor
In addition to compliance with the provisions of this order, the Contractor has legal obligations pursuant to Art. 28 to 33 EU-GDPR; in particular, he shall ensure compliance with the following requirements:
a) Written appointment of a data protection
officer who carries out his activity in accordance with Art. 38 and 39 EU-GDPR.
-Details of appointed data protection officer(s) must be provided to the Client
with full name and contact details [title, first name, surname, organisational
unit, telephone, e-mail]. A change in data protection officer must be
communicated to the Client immediately.
The Contractor's current contact details are easily accessible on the
Contractor's homepage.
b) If the Contractor is not obliged to appoint a data protection officer, the Client shall be informed of a contact person with full name and contact details [title, first name, surname, organisational unit, telephone, e-mail].
c) The maintenance of confidentiality in
accordance with Art. 28 Para. 3 clause 2 letter b, 29, 32 para. 4 EU GDPR.
In carrying out work, the Contractor shall exclusively use employees who are
bound to confidentiality, and who have previously been familiarised with the
relevant data protection provisions. The Contractor and any person under their
authority who has access to personal data may only process such data
exclusively in accordance with the instructions of the Client, including the
powers granted in this Contract, unless they are legally obliged to process it.
The implementation and observance of all technical and organisational measures required for this contract in accordance with Art. 28 para. 3 clause 2 letter c, 32 EU GDPRe) The Client and the Contractor shall, upon request, cooperate with the supervisory authority in the performance of their tasks.
f) Immediate information from the Client as to control procedures and measures taken by the supervisory authority in so far as they relate to this order. This also applies insofar as a competent authority is conducting an investigation in the context of an administrative offence or criminal procedure with regard to the processing of personal data in the processing of orders by the Contractor.
g) If the Client is subject to an inspection by the supervisory authority, administrative or criminal proceedings, the liability claim of a data subject or a third party or any other claim in connection with the processing of the order by the Contractor, the Contractor must support them to the best of his/her ability.
h) Insofar as the Contractor is subject to inspection by the supervisory authority, an administrative offense or criminal procedure, the liability claim of a data subject or a third party or any other claim in connection with the contract with the Client, the Client shall assist him to the best of his ability.
i) The Contractor shall regularly monitor internal processes and technical and organisational measures to ensure that processing within their area of responsibility is carried out in accordance with the requirements of the applicable data protection legislation and that the rights of the data subject are protected.
j) Verifiability of the technical and organisational measures taken by the Client within the framework of his controlling authority.
k) The Contractor shall process personal data only in accordance with this agreement and instructions of the Client, unless he is obliged to do so by the law of the Union or the Member States to which the Client is subject (e.g. investigations by law enforcement or state protection authorities), in which case the Contractor shall inform the data controller of these legal requirements before processing, unless the law in question prohibits such communication on grounds of an important public interest (Art. 28 para. 3 Clause 2 (a) of GDPR).
l) The Contractor shall not use the data provided for processing for any other purposes, in particular for his own purposes, except it is contractually agreed and legally compliant. Copies and duplicates shall not be created without the knowledge of the Client.
The Contractor guarantees that all measures agreed for contractual processing in terms of the processing of personal data shall be undertaken in line with the order. He assures that the data processed for the client are strictly separated from other data.
n) The personal data obtained for the Client will be specially marked. All data and documents of the legally compliant collection of consent including screenshots; input and output as well as the current use shall be documented.
The Contractor shall cooperate to the extent necessary and assist the Client in fulfilling the rights of the data subjects pursuant to Art. 12 - 22 of GDPR, in drawing up the lists of processing activities, as well as in required data protection impact assessments carried out by the Client (Art. 28 Para. 3 Clause 2 (a) of GDPR).
6. The Contractor shall draw the Client's attention to the fact that an instruction issued by the Client violate legal requirements (Art. 28 para. 3 clause 3 GDPR). The Contractor is authorised to suspend implementation of the corresponding instruction until it is confirmed or modified by the responsible personnel of the Client following examination.
q) The Contractor shall correct or delete
personal data from the order, or restrict its processing if the Client demands
this by means of instructions
and if the legitimate interests of the
Contractor do not oppose this.
r) If a data subject addresses the Contractor with claims for correction, deletion or information, the Contractor shall pass on the relevant request to the Client, provided that it is possible to assign the data subject to the Client (e.g sponsor) according to their data. The Contractor will forward the claim of the data subject immediately or regularly as a list to the Client. The Client shall not be liable if the request of the data subject is not answered or processed correctly or on time by the Contractor.
s) If, in individual cases, inspections by
the Client or an inspector commissioned by the latter are required, they will
be carried out by the Contractor during normal business hours without
disrupting operations after notification, taking into account a reasonable lead
time. The time required for an inspection is generally limited to one day per
calendar half-year for the Contractor.
u) The Contractor confirms that he is aware
of the relevant data protection regulations of the GDPR for order processing.
The Contractor further assures that they familiarise the employees employed
during the execution of the work with the relevant provisions of data
protection before starting the work and obliges them to maintain secrecy for
the time of their work as well as after termination of the employment
relationship in an appropriate manner (Art. 28 para. 3 clause 2 letter b and
Art. 29 GDPR). The Contractor shall monitor compliance with the data protection
regulations in his company.
8. Authorised Representatives of the
Client and the Contractor
a. Both the Client and the Contractor shall provide the respective
authorised representative or recipient of the instructions with complete
contact details.
b. If the contact person changes or is unable to work for a longer period of
time, the contractual partners must be informed immediately and in principle in
writing (email is sufficient) of the successor or the representative.
9. Subcontracts
a) Subcontractual relationships within the
meaning of this provision are understood as those services which relate
directly to the provision of the main service.
Such services, which the Contractor makes use of with third parties as an
ancillary service to assist in the execution of the order, should not be
understood as a subcontractual relationship for the purposes of this
regulation. These include, for example, telecommunications services,
maintenance and user services, cleaning staff, inspectors or the disposal of
data carriers as well as other measures to ensure the confidentiality,
availability, integrity and resilience of the hardware and software of data
processing systems.
However, the Contractor shall be obliged to undertake appropriate and legally
binding contractual agreements and control measures to ensure the data
protection and the data security of the Client's data, including in the case of
outsourced ancillary services.
b) The Contractor may only commission subcontractors with prior explicit written or documented consent of the Client. Excluded from this are technical service providers based within the EU.
c) The transfer of the Client's personal data to the subcontractor and commencement of their initial activities are only permitted if all requirements for subcontracting are met.
d) If the subcontractor performs the agreed service outside the EU/EEA, the Contractor shall take appropriate measures to ensure the admissibility under data protection law.
e) Further outsourcing by the subcontractor is not permitted; all contractual provisions in the contractual chain must also be imposed on the other subcontractors.
f) At present, the subcontractors specified in Appendix 2 with name, address and order content, are engaged in processing personal data for the Contractor to the extent specified therein. The Client has agreed to their appointment.
The Contractor shall always inform the
person responsible of any intended change in regard to the addition of new or
the replacement of existing subcontractors, giving the customer the opportunity
to appeal such changes (§ 28 para. 2 clause 2 GDPR).
10. Control Rights of the Client
a) The Client is entitled to carry out inspections in consultation with the Contractor or to have them carried out by inspectors to be appointed in individual cases. They have the right to conduct periodic random checks, which, as a rule, must be notified in good time, to ensure compliance with this agreement by the Contractor in their business operations.
b) The Contractor shall ensure that the Client can satisfy themselves of the Contractor's compliance with the obligations in accordance with Art. 28 of the GDPR. The Contractor is required to provide the necessary information to the Client on request and to demonstrate in particular the implementation of the technical and organisational measures.
c) Proof of such measures, which do not
only relate to the specific order, may be carried out by:
-compliance with approved rules of conduct in accordance with Art. 40 EU GDPR;
-certification according to an approved certification procedure pursuant to
Art. 42 EU GDPR;
-current certificates, reports or report extracts from independent bodies (e.g.
data protection officer, IT security department)
-a suitable certification by IT security or data protection audit (e.g.
according to BSI Basic Protection)
-or other appropriate measures as decided by the Contractor
11. Support of the Client in the
fulfillment of his obligations
a) The Contractor shall assist the Client in complying with the obligations set out in Articles 32 to 36 of the GDPR relating to the security of personal data, notification obligations in the event of data breaches, data protection impact assessments and prior consultations. In particular this includes:
-ensuring an adequate level of protection
through technical and organisational measures which take into account the
circumstances and purposes of processing as well as the predicted probability
and severity of a possible infringement of rights due to security gaps, and
which enable an immediate determination of relevant infringement occurrences
- the obligation to report violations of personal data to the Client without
delay,
- the obligation to support the Client in the scope of their duty to inform the
data subject and to make all relevant information available to them in this
regard without delay,
- assisting the Client in their data protection impact assessment and
- assisting the Client in the context of prior consultations with the
supervisory authority.
12. Authority of the Client
a) The Contractor shall immediately confirm verbal instructions in text form.
b) The Client must inform the Contractor without delay if he is of the opinion
that an instruction violates data protection regulations. The Client shall be
entitled to suspend the execution of the relevant instruction until it has been
confirmed or changed by the data controller.
13. Deletion of Data and Return of Data
Media
a) Copies and duplicates shall not be created without knowledge of the Client. This excludes backups, if they are necessary to ensure proper data processing, as well as data that is required in order to comply with legal retention requirements.
b) Upon completion of the contractual work, or earlier, if requested by the Client – but no later than termination of the Service Agreement – the Contractor shall destroy all documents of the Client which have come into their possession, drafted processing and user results and all data resources that are related to the contractual relationship, or destroy them in line with data protection regulations. The same applies to testing and excess material.
Documentation that serves as proof of
order-compliant and proper data processing must be kept by the Contractor in
accordance with the respective retention periods beyond the term of the
Agreement.
14. Liability
The Client is liable to the Contractor within the scope of Art.82 Para.2 Clause 2 of GDPR and only if the Contractor culpably violates an obligation imposed by the GDPR.
Liability on the part of the Client is further excluded if the breach of duty was caused by the Contractor. In particular, the Client shall not be liable in cases in which the technical and organisational measures of the Contractor which were agreed with the Client do not comply with the requirements of Art. 32 of GDPR because the Client fails to fulfil his information obligations according to 3.3.2, or does not do so on time.
Insofar as the Client's liability under the above paragraphs is excluded in whole or in part, the Client shall indemnify the Contractor upon the first inquiry against all claims raised by third parties against the Contractor due to data processing on behalf of the Client and shall bear the costs of the necessary legal defence including all court and legal costs at the statutory rate. In addition, optional costs of the Client shall be borne in this context.
The same applies if a claim is made by third parties to the Client on the basis of the collection or transmission of their data or on the basis of the evaluation of the data within the scope of tracking, or if a claim by third parties exceeds the amountt attributable to the Client in the case of joint and several liability. The Contractor is obliged to assist the Client in an appropriate manner in defence against claims raised by third parties, to promptly, truthfully and completely provide all information that may be required for the examination of the claims and the defence, and to make all appropriate evidence available to the Client.
The liability of the Client and the Contractor is determined externally and internally pursuant to the provisions of Art. 82 of EU GDPR.
The corresponding regulation of the General Terms and Conditions of the Client applies to liability.
15. Signature
This Agreement shall be deemed expressly accepted if an order is placed without
signature between the Client and the Contractor.
This Agreement can be viewed at any time on the Contractor's homepage at www.bluemediaads.com
APPENDIX
I: Subcontractors
APPENDIX II: Technical and organisational measures
APPENDIX
I: Subcontractors
The contractually agreed services are carried out with the involvement of subcontractors who are involved in this processing.
Below are listed all subcontractors who are directly involved in the provision of services for the Client, and who may have or may have had access to the Client's data. This also includes external IT service providers with corresponding access rights.
Subcontractors
Please let us know in an electronically documented form (Email is
sufficient) your respective subcontractors!
APPENDIX
II: Technical and organisational measures by the Contractor
Please
inform us in an electronically documented form (email is sufficient) about your
technical and organisational measures (TOM) with, among other things, in the
areas of:
1 Confidentiality: access, transfer, input control
Separation control, pseudonymization & encryption
2. integrity: input and transfer control
3. availability and resilience
4. procedures for regular review, appraisal and evaluation
5. order control
Vereinbarung über die Verarbeitung personenbezogener
Daten im Auftrag nach Art. 28 Abs.3 Datenschutz-Grundverordnung (DS-GVO)
(Auftragsdatenverarbeitung)
Zwischen
Geschäftspartner
der BlueMediaAds GmbH
(z.B. Online-Agenturen, Affiliate Plattformen, Werbetreibende, Leadgenerierer
und andere Werbevermittler)
- nachfolgend Auftragnehmer genannt
–
und der
BlueMediaAds
GmbH, Luitpoldstrasse 76a 91052
Erlangen
- nachfolgend Auftraggeber genannt –
1. Präambel
Der Abschluss dieser Vereinbarung über die Verarbeitung von Daten im Auftrag
erfolgt im Lichte der europäischen Datenschutzgrundverordnung (DSGVO), die ab
dem 25. Mai 2018 in Kraft tritt. Vor diesem Hintergrund schließen die Parteien
die nachstehende Vereinbarung, um sicherzustellen, dass die Datenverarbeitung
zur Leistungserbringung auch zukünftig rechtskonform durchgeführt werden kann.
Der Auftraggeber betraut den Auftragnehmer mit der Verarbeitung
personenbezogener Daten. Für diese Auftragsverarbeitung im Sinne von Art. 28
der Datenschutz-Grundverordnung (DS-GVO) gelten die Regelungen dieser
Vereinbarung.
2. Gegenstand und Dauer des Auftrags
Gegenstand des Auftrags
Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben
durch den Auftragnehmer:
- Generierung von Interessenten für den Newsletterverteiler des Auftraggebers
unter Beachtung der einschlägigen Vorschiften des Datenschutz- und
Wettbewerbsrechts
- Durchführung von performance-orientierten Email-Versendungen an
Adressbestände des Auftragnehmers
Dauer des Auftrags
Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer
Frist von 30 Tagen zum Monatsende gekündigt werden. Die Möglichkeit zur
fristlosen Kündigung bleibt hiervon unberührt.
3. Konkretisierung des Auftragsinhalts
Art und
Zweck der vorgesehenen Verarbeitung von Daten
Der Auftragnehmer erhebt auf seinen Seiten
personenbezogene Daten von Nutzern. Die Nutzer erteilen eine explizite
Einwilligung zur werblichen Kontaktaufnahme durch den Auftraggeber. Die rechtliche
Ausgestaltung erfolgt durch den Auftragnehmer, so dass die Rechtswirksamkeit
gemäß den geltenden Datenschutz- und Wettbewerbsgesetzen gewährleistet ist. Der
Auftragnehmer ist allein für die rechtmäßige Erhebung der Daten (Einwilligung
durch Double-Opt-In Verfahren oder gemäß §7 Abs. 3 UWG etc.) und die sichere
Übermittlung der Daten an den Auftraggeber zum Zwecke der Datenverarbeitung im
Umfang dieser Vereinbarung verantwortlich.
Die Diese liefert er regelmäßig an den Auftraggeber zur werblichen Kontaktaufnahme
per Email.
Der Auftragnehmer stellt sicher, dass Nutzer, die Ihre Einwilligung
nachträglich wiederrufen, ebenfalls an den Auftraggeber umgehend mitgeteilt
werden, damit der Auftraggeber diese aus seiner Empfängerliste zeitnah
entfernen kann. Werden die Widerrufer nicht oder nicht rechtzeitig an den
Auftraggeber zeitnah weitergeleitet haftet der Auftragnehmer für alle
Konsequenzen in voller Höhe.
a) Ort der Datenvereinbarung: Die vertraglich vereinbarte Dienstleistung wird grundsätzlich und ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen erfüllt sind.
b) Die rechtskonforme Erhebung und Anlieferung der personenbezogenen Daten erfolgen durch den Auftragnehmer gemäß den aktuell geltenden Datenschutzverordnungen und organisatorische und technische Maßnahmen hierzu sind ausschließlich in der Verantwortung des Auftragnehmers.
Art der
Daten
Gegenstand der Verarbeitung personenbezogener Daten
sind folgende Datenarten / -kategorien
- Personenstammdaten (z.B. Anrede, Vorname, Name, Straße, Hausnummer, PLZ, Ort)
- Kommunikationsdaten (z.B. Email)
Kategorien
betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen
Personen umfassen:
- Kunden
- Interessenten
- Werbesperren
- Beschwerdeführer
4. Technisch-organisatorische Maßnahmen
a) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung einmalig als Standardprozess zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben.
Bei Annahme des Auftrags durch den Auftragnehmer werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung des Auftragnehmers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
b) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 EU-DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 EU-DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 EU-DSGVO zu berücksichtigen.
c) Die technischen und organisatorischen
Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung.
Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen
umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht
unterschritten werden. Wesentliche Änderungen sind einmalig als Standardprozess
zu dokumentieren.
5. Berichtigung, Einschränkung und
Löschung von Daten
a) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig,
sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen
oder deren Verarbeitung einschränken.
Soweit eine betroffene Person sich diesbezüglich unmittelbar an den
Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an
den Auftraggeber weiterleiten.
b) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf
Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach
dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer
sicherzustellen.
6. Rechte und Pflichten sowie
Weisungsbefugnisse des Auftraggebers und Auftragnehmers
1. Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1
DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art.
12 bis 22 DS-GVO ist allein der Auftragnehmer verantwortlich. Gleichwohl ist
der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich
an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
2. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format (E-Mail ist ausreichend) festzulegen.
3. Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen schriftlich oder in einem dokumentierten elektronischen Format (E-Mail ist ausreichend). Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
4. Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.
5. Der Auftraggeber informiert den Auftragnehmer, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
6. Auftraggeber und Auftragnehmers sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Anderen vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
7. Verantwortlichkeit für Datenerhebung: Auftragnehmer trägt die Verantwortung für die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung. Dies betrifft auch die Verpflichtung des Auftragnehmers nach dem Gesetz gegen unlauteren Wettbewerb (insbesondere zur Einholung einer Einwilligung nach § 7 UWG) und dem Fernmeldegeheimnis gemäß Telekommunikationsgesetz (§ 88 TKG). Der Auftraggeber weist darauf hin, dass keine Werbung unter Verstoß gegen gesetzliche Vorschriften durch den Auftraggeber versandt werden darf.
8. Verantwortlichkeit für Datenverarbeitung: Auftragnehmer trägt die Verantwortung für die Verarbeitung und ist gegenüber Dritten für die Einhaltung der Vorschriften der Datenschutzgesetze verantwortlich. Auftragnehmer hat die datenschutzrechtliche Zulässigkeit der Auftragsdatenverarbeitung und des Auftrags eigenverantwortlich selbst zu beurteilen. Ist Auftragnehmer der Meinung, die Verarbeitung verstoße gegen Pflichten von Auftraggeber, so hat er den Auftraggeber hierauf hinzuweisen und eine rechtskonforme Datenverarbeitung durch entsprechende Weisungen sicherzustellen.
9. Auftragnehmer ist allein für die
rechtmäßige Erhebung der Daten (Einwilligung durch Double-Opt-In Verfahren oder
gemäß §7 Abs. 3 UWG etc.) und die sichere Übermittlung der Daten an den Auftraggeber
zum Zwecke der Datenverarbeitung im Umfang dieser Vereinbarung verantwortlich.
Der Auftragnehmer sichert zu, nur solche Daten von seinen Kunden und Nutzern zu
erheben und dem Auftraggeber zur Verfügung zu stellen, die ausdrücklich zu
einer solchen Erhebung, Verarbeitung und ggf. einer Auswertung eingewilligt
haben. Insbesondere ist dem Auftragnehmer bewusst, dass für die werbliche
Ansprache durch den Auftraggeber explizite Regelungen bzgl. der Erlaubnis des
Nutzers vorliegen müssen, die der Auftragnehmer in voller Verantwortlichkeit
dem Auftraggeber gewährleistet und ihn von jeglichen Ansprüchen Dritter frei
hält, die auf einem etwaigen Mangel dieses Einverständnisses beruhen.
Ebenso ist eine werbliche Ansprache und eine Auswertung personenbezogener Daten
(z.B. Response-Daten wie Öffnungen und Klicks) eines Empfängers im Rahmen eines
sog. Trackings nur möglich, wenn Auftragnehmer
dem Auftraggeber bestätigt, dass ihm von jeweiligen Empfänger die
Einwilligung für die werbliche Ansprache wie auch die Auswertung der
personenbezogenen Daten vorliegt.
10. Mitteilungs- und Weisungspflichten: Im
Falle eines unmittelbaren Auskunftsverlangens, Hinweises, einer Warnung oder
Anweisung der Aufsichtsbehörde gemäß Art. 58 DSGVO hat Auftragnehmer den Auftraggeber
zu unterstützen und sicherzustellen, dass dem behördlichen Verlangen im
Einklang mit dieser Vereinbarung Folge geleistet werden kann.
7. Qualitätssicherung
und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 EU-DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:
a) Schriftliche Bestellung eines
Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 EU-DSGVO
ausübt.
- Bestellte(r) Datenschutzbeauftragte(r) ist dem Auftraggeber mit vollständigem
Namen und Kontaktdaten mitzuteilen [Anrede, Vorname, Name,
Organisationseinheit, Telefon, E-Mail]. Ein Wechsel des Datenschutzbeauftragten
ist dem Auftraggeber ebenfalls unverzüglich mitzuteilen.
- Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers
leicht zugänglich hinterlegt.
b) Insofern der Auftragnehmer nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist wird dem Auftraggeber ein Ansprechpartner mit vollständigem Namen und Kontaktdaten mitgeteilt [Anrede, Vorname, Name, Organisationseinheit, Telefon, E-Mail].
c) Die Wahrung der Vertraulichkeit gemäß Art.
28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 EU-DSGVO.
Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein,
die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen
zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem
Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat,
dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers
verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es
sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
d) Die Umsetzung und Einhaltung aller für
diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen
entsprechend Art. 28 Abs. 3 S. 2 lit. c, 32 E-DSGVO
e) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der
Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
f) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
g) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer uneingeschränkt und kostenfrei zu unterstützen.
h) Soweit der Auftragnehmer seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit Auftrag beim Auftraggeber ausgesetzt ist, hat ihn der Auftraggeber nach besten Kräften zu unterstützen.
i) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
j) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse.
k) Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Vorschrift zur Erhebung und Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem des Auftraggebers unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).
l) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke, außer vertraglich vereinbart und rechtlich konform. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
m) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
n) Die personenbezogenen Daten, die für den Auftraggeber gewonnen wurden, werden besonders gekennzeichnet. Sämtliche Daten und Dokumente der rechtskonformen Erhebung zur Einwilligung samt Screenshots; Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.
o) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz- Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im vollem Umfang mitzuwirken und den Auftraggeber zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).
p) Der Auftragnehmer wird den Auftraggeber darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.
q) Der Auftragnehmer hat personenbezogene
Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren
Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung
verlangt und berechtigte Interessen des Auftragnehmers dem nicht
entgegenstehen.
r) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betreffende Anfrage an den Auftraggeber weiterreichen, sofern eine Zuordnung an den Auftraggeber (z.B. Sponsor) nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich oder regelmäßig als Liste an den Auftraggeber weiter. Der Auftraggeber haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftragnehmer nicht, nicht richtig oder nicht fristgerecht beantwortet oder verarbeitet wird.
s) Sollten im Einzelfall Inspektionen durch
den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein,
werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs
nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit kostenfrei
durch den Auftragnehmer durchgeführt. Der zeitliche Aufwand einer Inspektion
ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalender-Halbjahr begrenzt.
u) Der Auftragnehmer bestätigt, dass ihm die
für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften
der DS-GVO bekannt sind. Er sicher weiter zu, dass er die bei der Durchführung
der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für
sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit
ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in
geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit.
b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der
datenschutzrechtlichen Vorschriften in seinem Betrieb.
8. Weisungsberechtigte des Auftraggebers
und des Auftragnehmers
a. Sowohl Auftraggeber und Auftragnehmer teilen den jeweiligen
Weisungsberechtigten bzw. Weisungsempfänger mit vollständigen Kontaktdaten mit.
b. Bei einem Wechsel oder einer längerfristigen Verhinderung der
Ansprechpartner sind den Vertragspartnern unverzüglich und grundsätzlich
schriftlich (E-Mail ist ausreichend) die Nachfolger bzw. die Vertreter
mitzuteilen.
9. Unterauftragsverhältnisse
a) Als Unterauftragsverhältnisse im Sinne
dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar
auf die Erbringung der Hauptleistung beziehen.
Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche
Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als
Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt.
Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice,
Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern sowie sonstige
Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und
Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch
nimmt.
Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes
und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten
Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu
treffen sowie Kontrollmaßnahmen zu ergreifen.
b) Der Auftragnehmer darf Unterauftragnehmer nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Ausgeschlossen hiervon sind technische Dienstleister mit Sitz innerhalb der EU.
c) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
d) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU / des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.
e) Eine weitere Auslagerung durch den Unterauftragnehmer ist nicht gestattet; Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
f) Zurzeit sind für den Auftragnehmer die in ANHANG 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.
g) Der Auftragnehmer informiert den
Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung
neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber
die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28
Abs. 2 Satz 2 DS-GVO).
10. Kontrollrechte des Auftraggebers
a) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
b) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu geben und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
c) Der Nachweis solcher Maßnahmen, die nicht
nur den konkreten Auftrag betreffen, kann erfolgen durch:
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 EU-DSGVO;
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art.
42 EU-DSGVO;
- aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B.
Datenschutzbeauftragter, IT-Sicherheitsabteilung)
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit
(z.B. nach BSI-Grundschutz)
- oder weitere geeignete Maßnahmen gemäß Entscheidung des Auftragnehmers
11. Unterstützung des Auftraggebers bei
der Einhaltung dessen Pflichten
a) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der EU-DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, zur Meldepflichten bei Datenpannen, zur Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören insbesondere
- die Sicherstellung eines angemessenen
Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände
und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und
Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen
und eine sofortige Feststellung von relevanten Verletzungsereignissen
ermöglichen
- die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den
Auftraggeber zu melden,
- die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht
gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang
sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen,
- die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung
und
- die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit
der Aufsichtsbehörde.
12. Weisungsbefugnis des Auftraggebers
a) Mündliche Weisungen wird der Auftragnehmer unverzüglich in Textform
bestätigen.
b) Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er
der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche
Vorschriften. Der Auftraggeber ist berechtigt, die Durchführung der
entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen
bestätigt oder geändert wird.
13. Löschung von Daten und Rückgabe von
Datenträgern
a) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
b) Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.
c) Dokumentationen, die dem Nachweis der
auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den
Auftragnehmer entsprechend der Aufbewahrungsfristen über das Vertragsende
hinaus aufzubewahren.
14. Haftung
Der Auftraggeber haftet gegenüber dem Auftragnehmer im Rahmen des ARt.82 abs.2 s.2 DSGVO und nur dann, wenn der Auftraggeber schuldhaft eine ihr durch die DSGVO auferlegte Pflicht verletzt.
Eine Haftung des Auftraggebers ist weiterhin ausgeschlossen, soweit die Pflichtverletzung durch den Auftragnehmer verschuldet wurde. Insbesondere haftet Auftraggeber nicht in Fällen, in denen die mit Auftragnehmer abgestimmten technischen und organisatorischen Maßnahmen des Auftraggebers deshalb nicht den Anforderungen nach Art. 32 DSGVO entsprechen, weil Auftragnehmer seinen Informationspflichten nach 3.3.2 nicht oder nicht rechtzeitig nachkommt.
Soweit eine Haftung des Auftraggebers nach den obigen Ziffern ganz oder teilweise ausgeschlossen ist, stellt Auftragnehmer den Auftraggeber auf erstes Anfordern von allen Ansprüchen frei, die Dritte wegen der Datenverarbeitung im Auftrag von Auftragnehmer gegen den Auftraggeber erheben und übernimmt hierbei die Kosten der notwendigen Rechtsverteidigung einschließlich sämtlicher Gerichts- und Anwaltskosten in gesetzlicher Höhe. Ebenso wie fakultative Kosten des Auftraggebers in diesem Zusammenhang.
Das Gleiche gilt, soweit eine Inanspruchnahme durch Dritte aufgrund der Erhebung oder Übermittlung Ihrer Daten an Auftraggeber oder aufgrund der Auswertung der Daten im Rahmen des Trackings erfolgt, oder eine Inanspruchnahme durch Dritte den auf Auftraggeber entfallenden Verschuldensanteil bei einer gesamtschuldnerischen Haftung summenmäßig übersteigt. Auftragnehmer ist verpflichtet Auftraggeber in angemessener Weise bei der Verteidigung gegenüber den von Dritten erhobenen Ansprüchen zu unterstützen, unverzüglich, wahrheitsgemäß und vollständig alle Informationen zur Verfügung zu stellen, die für die Prüfung der Ansprüche und eine Verteidigung erforderlich sein könnten und alle geeigneten Beweismittel dem Auftraggeber zugänglich zu machen.
Die Haftung von Auftraggeber und Auftragnehmer bestimmt sich im Außen- und Innenverhältnis nach den Vorgaben des Art. 82 EU-DSGVO.
Für die Haftung gilt die entsprechende Regelung der AGB des Auftraggebers.
15. Unterzeichnung
Diese Vereinbarung gilt bei Auftragserteilung ohne Unterschrift zwischen
Auftraggeber und Auftragnehmer als ausdrücklich angenommen.
Die aktuelle Vereinbarung ist jederzeit auf der Homepage des Auftragnehmers
einsehbar unter www.bluemediaads.com
ANHANG
I: Subunternehmer
ANHANG II: Technisch-organisatorische Maßnahmen
ANHANG
I: Subunternehmer
Die Vertraglich vereinbarten Leistungen werden unter Einschaltung von Subunternehmen durchgeführt, die in diese Verarbeitung mit einbezogen sind.
Nachstehend werden alle Subunternehmen aufgeführt, die unmittelbar mit der Leistungserstellung für den Auftraggeber beteiligt sind und möglicherweise Zugriff auf die Daten des AG haben oder haben können. Dazu zählen auch externe IT-Dienstleister mit entsprechenden Zugriffsrechten.
Subunternehmer
Bitte teilen Sie uns in einer elektronisch dokumentierten Form (Email
ist ausreichend) bitte Ihre jeweiligen Subunternehmer mit!
ANHANG
II: Technische und organisatorische Maßnahmen des Auftragnehmers
Bitte
teilen Sie uns in einer elektronisch dokumentierten Form (Email ist
ausreichend) bitte Ihre technisch und organisatorische Maßnahmen TOM mit u.a.
zu den Bereichen:
1. Vertraulichkeit: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle
Trennungskontrolle, Pseudonymisierung & Verschlüsselung
2. Integrität: Eingabekontrolle, Weitergabekontrolle
3. Verfügbarkeit und Belastbarkeit
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
5. Auftragskontrolle