{"id":4775,"date":"2016-06-29T11:17:17","date_gmt":"2016-06-29T11:17:17","guid":{"rendered":"http:\/\/www.webgains.com\/public\/?p=4775"},"modified":"2021-11-29T10:39:48","modified_gmt":"2021-11-29T10:39:48","slug":"vereinbarung-ueber-die-verarbeitung-personenbezogener-daten","status":"publish","type":"post","link":"https:\/\/www.webgains.com\/public\/de\/vereinbarung-ueber-die-verarbeitung-personenbezogener-daten\/","title":{"rendered":"Vereinbarung \u00fcber die Verarbeitung personenbezogener Daten"},"content":{"rendered":"

Vereinbarung \u00fcber die Verarbeitung personenbezogener Daten <\/strong><\/p>\n

im Auftrag von<\/p>\n

(in Folge: \u201eMerchant\u201c oder \u201eVerantwortlicher\u201c)<\/p>\n

durch<\/p>\n

Webgains Deutschland – ad pepper media GmbH<\/p>\n

Frankenstrasse 150C<\/p>\n

90461 N\u00fcrnberg<\/p>\n

(in Folge: \u201eWebgains\u201c oder \u201eAuftragsverarbeiter\u201c)<\/p>\n

jeweils einzeln oder gemeinsam: \u201ePartei\u201c oder \u201eParteien\u201c<\/p>\n

Durch Ankreuzen des Felds \u201eIch stimme der Vereinbarung f\u00fcr die Verarbeitung personenbezogener Daten zu\u201c gilt zwischen den Parteien die folgende Vereinbarung \u00fcber die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Merchants.<\/p>\n

Pr\u00e4ambel<\/strong><\/p>\n

Diese Vereinbarung \u00fcber die Verarbeitung personenbezogener Daten (in Folge \u201eVereinbarung\u201c) bestimmt die Verpflichtungen der Parteien im Zuge der Verarbeitung personenbezogener Daten (in Folge \u201epersonenbezogene Daten\u201c) durch Webgains im Auftrag des Merchants als Verantwortlichen und in Verbindung mit der zwischen den Parteien geltenden Provisionsplan und den Allgemeinen Gesch\u00e4ftsbedingungen f\u00fcr Merchants (zusammen der \u201eMerchantvertrag\u201c). Die Bestimmungen gelten f\u00fcr s\u00e4mtliche Verarbeitungen personenbezogener Daten in Verbindung mit dem Merchantvertrag, in dessen Anwendungsbereich die Angestellten des Auftragsverarbeiters die personenbezogenen Daten des Verantwortlichen im Auftrag des Merchants verarbeiten.<\/p>\n

 <\/p>\n

    \n
  1. Gegenstand \/ Art, Zweck und Umfang der Verarbeitung personenbezogener Daten <\/strong><\/li>\n<\/ol>\n

    (1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag und nach Anweisung des Merchants. Die Verpflichtungen der Parteien laut dieser Vereinbarung ergeben sich aus dem Merchantvertrag. Die Vereinbarung und einzelne Anweisungen sind ein Anhang des besagten Vertrags. Angesicht der obigen Angaben und gem\u00e4\u00df den Prinzipien der EU-Datenschutz-Grundverordnung Nr. 2016\/679 (in Folge \u201eDSGVO\u201c) ist Webgains der Auftragsverarbeiter und der Merchant der Verantwortlicher.<\/p>\n

    (2) Art und Zweck der geplanten Datenverarbeitung sowie die entsprechenden personenbezogenen Daten und Gruppen betroffener Personen sind in Anhang 1 angef\u00fchrt.<\/p>\n

     <\/p>\n

      \n
    1. Verpflichtungen des Auftragsverarbeiters<\/strong><\/li>\n<\/ol>\n

      (1) Der Auftragsverarbeiter verarbeitet lediglich die personenbezogenen Daten innerhalb des Rahmens dieser Vereinbarung sowie nach den spezifischen Anweisungen des Merchants. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten des Verantwortlichen nicht in einer diesen Vorgaben entgegenstehenden Weise.<\/p>\n

      (2) Abschnitt 1 unterliegt den Einschr\u00e4nkungen des Unionsrechts bzw. des Rechts des Mitgliedstaats, das f\u00fcr den Auftragsverarbeiter gilt. In diesem Fall muss der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung der Daten entsprechend in Kenntnis setzen, sofern dies nicht dem \u00f6ffentlichen Interesse widerspricht, z. B. durch steuerliche oder gewerbliche Meldepflichten.<\/p>\n

      (3) Der Verantwortliche oder ein Bevollm\u00e4chtigter muss die Anweisungen per E-Mail oder \u00fcber das Online-Ticketing-System auf der Webgains-Plattform \u00fcbersenden. M\u00fcndliche Anweisungen sind unverz\u00fcglich per E-Mail oder \u00fcber das besagte Ticketing-System zu best\u00e4tigen.<\/p>\n

      (4) Der Auftragsverarbeiter darf personenbezogene Daten nicht berichtigen, l\u00f6schen oder sperren, sofern keine entsprechenden Anweisungen erteilt wurden oder die L\u00f6schung gem\u00e4\u00df Klausel 14 dieser Vereinbarung erfolgt (K\u00fcndigung dieser Vereinbarung). Kunden-\/ Nutzeranwendungen f\u00fcr die Berichtigung, L\u00f6schung oder das Sperren personenbezogener Daten m\u00fcssen unverz\u00fcglich an den Verantwortlichen \u00fcbermittelt werden, der seinerseits ohne Verz\u00f6gerung dem Auftragsverarbeiter entsprechende Anweisungen erteilt.<\/p>\n

      (5) Die Datenverarbeitung erfolgt ausschlie\u00dflich innerhalb von EU-\/EWR-Mitgliedstaaten und im Vereinigten K\u00f6nigreich (sofern dieses nicht mehr Teil der EU ist). F\u00fcr die Verarbeitung in einem Drittland ist die Einwilligung des Verantwortlichen erforderlich. Ist die Einwilligung erfolgt, m\u00fcssen die Sicherheitsstandards gew\u00e4hrleistet werden.<\/p>\n

      (6) Der Auftragsverarbeiter muss Aufzeichnungen \u00fcber alle Kategorien von Verarbeitungen f\u00fchren, die im Auftrag des Verantwortlichen ausgef\u00fchrt werden. Diese m\u00fcssen alle in Artikel 30, Abschn. 2 DSGVO aufgelisteten Informationen enthalten. Der Auftragsverarbeiter muss dem Verantwortlichen auf Anfrage innerhalb einer angemessenen Frist alle Informationen, die f\u00fcr die Aufzeichnungen erforderlich sind, zur Verf\u00fcgung stellen.<\/p>\n

       <\/p>\n

        \n
      1. Weisungsbefugte Personen <\/strong><\/li>\n<\/ol>\n

        (1) Sofern Anweisungen oder Mitteilungen im Zusammenhang mit dieser Vereinbarung gegen\u00fcber der jeweils anderen Partei erfolgen m\u00fcssen, werden diese dem im Merchantvertrag angegebenen Ansprechpartner \u00fcbermittelt bzw. den Personen, die f\u00fcr die Ausf\u00fchrung des Werbeprogramms des Merchants auf der Webgains-Plattform verantwortlich sind (z. B. der Kundenbetreuer von Webgains), sollte dieser Ansprechpartner nicht erreichbar sein.<\/p>\n

        (2) Die Parteien k\u00f6nnen jeweils einen neuen spezifischen Ansprechpartner bestimmen, dazu m\u00fcssen sie der anderen Partei eine entsprechende schriftliche Mitteilung per E-Mail oder \u00fcber das Online-Ticketing-System von Webgains senden. Besagte \u00c4nderungen sind sofort bei Empfang der Mitteilung bzgl. der \u00c4nderung wirksam.<\/p>\n

         <\/p>\n

          \n
        1. Rechte und Pflichten des Verantwortlichen<\/strong><\/li>\n<\/ol>\n

          (1) Der Verantwortliche ist der einzige Verantwortliche f\u00fcr die Bewertung der rechtlichen Zul\u00e4ssigkeit gem\u00e4\u00df den Bestimmungen der DSGVO im Rahmen dieser Vereinbarung.<\/p>\n

           <\/p>\n

            \n
          1. An die Anweisungen gebundene und der Geheimhaltungspflicht unterworfene Arbeitnehmer des Auftragsverarbeiters<\/strong><\/li>\n<\/ol>\n

            (1) Der Auftragsverarbeiter garantiert, dass allen an der Verarbeitung der personenbezogenen Daten des Verantwortlichen beteiligten Angestellten die Verarbeitung personenbezogener Daten au\u00dferhalb des Umfangs dieser Vereinbarung und des Merchantvertrags untersagt ist.<\/p>\n

            (2) Der Auftragsverarbeiter ergreift Ma\u00dfnahmen, um sicherzustellen, dass alle Mitarbeiter die Rechtsvorschriften in Bezug auf den Schutz personenbezogener Daten einhalten.<\/p>\n

            (3) Au\u00dferdem garantiert der Auftragsverarbeiter, dass alle Personen, die mit der Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen beauftragt sind, zur Vertraulichkeit verpflichtet sind oder einer entsprechenden gesetzlichen Vertraulichkeitsverpflichtung unterliegen.<\/p>\n

             <\/p>\n

              \n
            1. Benennung eines Datenschutzbeauftragten \u2013 Ansprechpartner f\u00fcr den Schutz personenbezogener Daten<\/strong><\/li>\n<\/ol>\n

              (1) Gem\u00e4\u00df seinen Verpflichtungen gem\u00e4\u00df DSGVO ernennt der Auftragsverarbeiter einen Datenschutzbeauftragten, dessen Kontaktangaben auf der Website des Auftragsverarbeiters unter www.webgains.com\/public\/de\/datenschutzerklaerung<\/a> angef\u00fchrt sind.<\/p>\n

              (2) Ist der Verantwortliche nicht in einem Mitgliedstaat der EU\/des EWR ans\u00e4ssig, muss er gem\u00e4\u00df Artikel 27, Abschn.1 DSGVO einen Vertreter in der EU benennen und dies angemessen zu Kenntnis geben.<\/p>\n

               <\/p>\n

                \n
              1. Anfragen von Datensubjekten<\/strong><\/li>\n<\/ol>\n

                Der Auftragsverarbeiter muss den Verantwortlichen per E-Mail \u00fcber den Erhalt von Anfragen seitens der Datenschutzbeh\u00f6rde \u00fcber den Gegenstand dieser Vereinbarung informieren. Der Auftragsverarbeiter muss gem\u00e4\u00df Art. 12 a und ff. DSGVO angemessene Ma\u00dfnahmen f\u00fcr die Vorlage von Informationen ergreifen, die den Datensubjekten in der Aus\u00fcbung ihrer Rechte nutzen.  Sofern ein Datensubjekt vom Auftragsverarbeiter die Berichtigung, L\u00f6schung oder den Zugang fordert, muss der Auftragsverarbeiter die Forderung des Datensubjekts ohne schuldhaftes Verz\u00f6gern an den Verantwortlichen weiterleiten. Der Verantwortliche muss ohne Verz\u00f6gerung alle gem\u00e4\u00df DSGVO erforderlichen Ma\u00dfnahmen ergreifen. Die Parteien unterst\u00fctzen sich, sofern m\u00f6glich, sowie auf der Grundlage der Anweisungen des Verantwortlichen, sofern abgesprochen.<\/p>\n

                 <\/p>\n

                  \n
                1. Unterauftragnehmer<\/strong><\/li>\n<\/ol>\n

                  (1) Der Auftragsverarbeiter kann f\u00fcr die Verarbeitung der personenbezogenen Daten Unterauftragnehmer beauftragen (zus\u00e4tzliche Auftragsverarbeiter). Der Auftragsverarbeiter muss den Verantwortlichen \u00fcber geplante \u00c4nderungen in Bezug auf die Anstellung oder den Wechsel von Unterauftragnehmern informieren und ihm die M\u00f6glichkeit geben, gegen besagte \u00c4nderungen Einwand zu erheben. Sofern der Verantwortliche nicht innerhalb von 7 Tagen Einwand erhebt, gilt dies als Zustimmung. Bei Einwand des Verantwortlichen gegen besagte \u00c4nderung \u2013 wobei der Einwand unter genauer Angabe der Gr\u00fcnde vorzubringen ist \u2013 besprechen die Parteien in gutem Glauben angemessene Ma\u00dfnahmen, um dem Verantwortlichen \u00c4nderungen im Rahmen der Dienstleistung zur Verf\u00fcgung zu stellen, wobei die Nutzung von personenbezogenen Daten durch den beanstandeten neuen Unter-Auftragsverarbeiter vermieden wird. Finden die Parteien innerhalb von 60 Tagen nach Erhalt des Einwands durch Webgains keine Einigung \u00fcber besagte Ma\u00dfnahmen, kann jede Partei diese Vereinbarung und den Merchantvertrag mit einer Frist von 60 Tagen k\u00fcndigen.<\/p>\n

                  (2) Bei der Vergabe von Auftr\u00e4gen an Dritte muss der Auftragsverarbeiter die Unterauftragnehmer mit der geb\u00fchrenden Sorgfalt ausw\u00e4hlen und die Vertragsvereinbarungen so gestalten, dass sie die Anforderungen an den Datenschutz in den Vertragsbeziehungen zwischen dem Verantwortlichen und dem Auftragsverarbeiter erf\u00fcllen.<\/p>\n

                  (3) Der Auftragsverarbeiter muss dem Verantwortlichen die aktuelle Liste der Unter-Auftragsverarbeiter f\u00fcr die in Anhang 2<\/strong> dieses Vertrags unter www.webgains.com\/en\/privacy\/subcontractors<\/a><\/u> genannten Dienstleistungen zur Verf\u00fcgung stellen<\/p>\n

                  (4) Nebenleistungen sind nicht zustimmungspflichtig. Diese umfassen vor allem Telekommunikationsdienstleistungen, einschlie\u00dflich Kundenservice, Wartung, Audit-Service oder Entsorgung von Datentr\u00e4gern. Webgains kann diese nach eigenem Ermessen benennen.<\/p>\n

                   <\/p>\n

                    \n
                  1. Definition der technischen und organisatorischen Ma\u00dfnahmen<\/strong><\/li>\n<\/ol>\n

                    (1) Der Auftragsverarbeiter wurde ausgew\u00e4hlt, weil davon ausgegangen wird, dass er innerhalb seines Verantwortungsbereichs angemessene technische und organisatorische Ma\u00dfnahmen f\u00fcr die Einhaltung der Datenschutzbestimmungen ergreifen wird.<\/p>\n

                    (2) Der Auftragsverarbeiter garantiert die Vertraulichkeit, Vollst\u00e4ndigkeit, Verf\u00fcgbarkeit und die ausreichende Kapazit\u00e4t der Verarbeitungssysteme der personenbezogenen Daten. Bei physischen oder technischen St\u00f6rungen stellt er durch Nutzung von Verschl\u00fcsselung f\u00fcr die \u00dcbertragung und Speicherung der personenbezogenen Daten den Zugang und die Verf\u00fcgbarkeit der personenbezogenen Daten unverz\u00fcglich wieder her. Der Auftragsverarbeiter ergreift innerhalb seines Verantwortungsbereichs angemessene technische und organisatorische Ma\u00dfnahmen und befolgt dabei die in Anhang 3<\/strong> angef\u00fchrten Vorschriften.<\/p>\n

                    (3) Auf Anfrage muss der Auftragsverarbeiter die Einhaltung der in Anhang 3<\/strong> angef\u00fchrten Sicherheitsma\u00dfnahmen best\u00e4tigen. Besagte Ma\u00dfnahmen werden von einem unabh\u00e4ngigen Auditor (IT-Sicherheit, Datenschutzbeauftragter, Auditor oder \u00e4hnliches) schriftlich per Fax oder E-Mail vorgelegt.<\/p>\n

                    (4) Die technischen und organisatorischen Ma\u00dfnahmen werden technischen und sonstigen Weiterentwicklungen angepasst. Dementsprechend beh\u00e4lt sich der Auftragsverarbeiter jeweils das Recht auf Implementierung angemessener alternativer Ma\u00dfnahmen und auf angemessene Aktualisierung von Anhang 3<\/strong> vor.<\/p>\n

                     <\/p>\n

                      \n
                    1. Kontroll- und Mitteilungspflichten des Auftragsverarbeiters<\/strong><\/li>\n<\/ol>\n

                      (1) Ist der Auftragsverarbeiter der Meinung, dass eine Anweisung des Verantwortlichen gegen die DSGVO oder sonstige Datenschutzbestimmungen verst\u00f6\u00dft, muss der Auftragsverarbeiter den Verantwortlichen dar\u00fcber unverz\u00fcglich informieren. Bis der Verantwortliche dies best\u00e4tigt oder \u00e4ndert, kann der Auftragsverarbeiter die Implementierung der jeweiligen Anweisungen aussetzen.<\/p>\n

                      (2) Ist der Auftragsverarbeiter der Meinung, dass die Anweisung des Verantwortlichen die Datenschutzbestimmungen nicht ausreichend einhalten, muss der Auftragsverarbeiter den Verantwortlichen dar\u00fcber unverz\u00fcglich informieren und der Verantwortliche muss unverz\u00fcglich entsprechende Ma\u00dfnahmen f\u00fcr die Einhaltung der DSGVO ergreifen.<\/p>\n

                       <\/p>\n

                        \n
                      1. Mitteilung von Verst\u00f6\u00dfen durch den Auftragsverarbeiter<\/strong><\/li>\n<\/ol>\n

                        (1) Sofern der Auftragsverarbeiter den Versto\u00df gegen Datenschutzbestimmungen in seinem eigenen Unternehmen bemerkt, teilt er dies ohne schuldhafte Verz\u00f6gerung dem Verantwortlichen mit.<\/p>\n

                        (2) Bei meldepflichtigen Verst\u00f6\u00dfen gegen die Datenschutzbestimmungen, die der Verantwortliche der Aufsichtsbeh\u00f6rde melden muss, teilt der Auftragsverarbeiter ohne schuldhafte Verz\u00f6gerung mit, ob der Verlust oder die unrechtm\u00e4\u00dfige Weitergabe oder der Zugang zu personenbezogenen Daten ggf. nicht ausgeschlossen werden kann. Die Parteien kooperieren ohne schuldhafte Verz\u00f6gerung und in gutem Glauben f\u00fcr die Einhaltung der DSGVO.<\/p>\n

                        (3) Bei einem tats\u00e4chlichen oder vermuteten Versto\u00df gegen die Datenschutzbestimmungen, darunter Verlust, L\u00f6schung, unrechtm\u00e4\u00dfige \u00c4nderung von oder Zugang zu einer signifikanten Menge an personenbezogener Daten (\u201eDatenschutzverst\u00f6\u00dfe\u201c) muss die betroffene Partei die andere Partei dar\u00fcber unverz\u00fcglich schriftlich in Kenntnis setzen. In der Mitteilung sind die Art der Datenschutzverst\u00f6\u00dfe sowie die wahrscheinlichen Folgen klar und deutlich zu beschreiben. Sind die personenbezogenen Daten des Verantwortlichen betroffen, muss der Auftragsverarbeiter alle Datenschutzverst\u00f6\u00dfe dokumentieren und deren Verf\u00fcgbarkeit auf Anfrage im Auftrag des Verantwortlichen garantieren.<\/p>\n

                         <\/p>\n

                          \n
                        1. \u00dcberwachungsrechte des Verantwortlichen<\/strong><\/li>\n<\/ol>\n

                          (1) Der Verantwortliche hat das Recht, einmal pro Kalenderjahr Audits bez\u00fcglich der Einhaltung der gesetzlichen Datenschutzbestimmungen und der Bestimmungen dieser Vereinbarung durchzuf\u00fchren (direkt oder durch beauftragte Fachauditoren), auch am Standort des Lieferanten, vor allem durch Einholung von Informationen und die Inspektion gespeicherter Daten und der Datenverarbeitungsprogramme in den R\u00e4umlichkeiten des Auftragsverarbeiters. Der Verantwortliche muss die Inspektion oder das Audit 20 Tage im Voraus schriftlich ank\u00fcndigen.<\/p>\n

                          (2) Die Parteien verpflichten sich, dass der Datenschutzbeauftragte des Auftragsverarbeiters vom Verantwortlichen vor der Beauftragung einer anderen Person mit besagtem Audit betraut wird. Wenn der Audit-Bericht des Datenschutzbeauftragten des Auftragsverarbeiters ungen\u00fcgend oder unvollst\u00e4ndig erscheint, kann der Verantwortliche einen anderen Auditor mit der Kontrolle beauftragen.<\/p>\n

                          (3) W\u00e4hrend des Audits muss der Auftragsverarbeiter diesbez\u00fcgliche Informationen vorlegen und kooperieren. Der Auftragsverarbeiter unterst\u00fctzt den Verantwortlichen vor allem bei Datenschutzkontrollen durch die Aufsichtsbeh\u00f6rde, in Bezug auf die Datenverarbeitung gem\u00e4\u00df dieser Vereinbarung.<\/p>\n

                           <\/p>\n

                            \n
                          1. Dauer der Vereinbarung, K\u00fcndigungsrechte <\/strong><\/li>\n<\/ol>\n

                            (1) Die Dauer dieser Vereinbarung entspricht der Dauer des Merchantvertrags.<\/p>\n

                            (2) Bei schwerem Versto\u00df gegen diese Vereinbarung oder die Bestimmungen der DSGVO durch eine Partei sowie bei deren fehlgeschlagenen Behebung innerhalb von 30 Tagen nach Erhalt der Mitteilung durch die Partei, die den Versto\u00df nicht begangen hat, k\u00f6nnen beide Parteien diese Vereinbarung und folglich den Merchantvertrag k\u00fcndigen.<\/p>\n

                             <\/p>\n

                              \n
                            1. Leistung von Auftr\u00e4gen\/ K\u00fcndigung der Vertragsbeziehung<\/strong><\/li>\n<\/ol>\n

                              (1) Bei K\u00fcndigung dieser Vereinbarung muss der Auftragsverarbeiter die Verarbeitung der personenbezogenen Daten im Auftrag des Verantwortlichen unverz\u00fcglich beenden. Auf Anfrage \u00fcbermittelt der Auftragsverarbeiter dem Verantwortlichen eine Kopie der in seinem Besitz befindlichen personenbezogenen Daten. Der Auftragsverarbeiter beh\u00e4lt sich das Recht vor, die personenbezogenen Daten gem\u00e4\u00df den gesetzlichen Vorschriften als Beleg f\u00fcr seine Dienstleistungen gem\u00e4\u00df dem Merchantvertrag zu archivieren.<\/p>\n

                               <\/p>\n

                                \n
                              1. Anh\u00e4nge<\/strong><\/li>\n<\/ol>\n

                                Die folgenden Anh\u00e4nge sind wesentlicher Bestandteil dieser Vereinbarung.<\/p>\n

                                  \n
                                • Anhang 1: Beschreibung der Pflichten des Verantwortlichen, einschl. der Beschreibung der Art der personenbezogenen Daten und der Gruppe der betroffenen Personen<\/strong><\/li>\n
                                • Anhang 2: Liste der Unterauftragsverarbeiter<\/strong><\/li>\n
                                • Anhang 3: Anforderungen an die Datensicherheit<\/strong><\/li>\n<\/ul>\n

                                   <\/p>\n

                                  Personenbezogene Daten und Zweck ihrer Verarbeitung durch Webgains im Auftrag des Merchants:<\/p>\n

                                  Diese Liste zeigt den Umfang, die Beschaffenheit und den Zweck der erwogenen Erfassung, Verarbeitung und Verwendung personenbezogener Daten, die Art der Daten und den Kreis der Datensubjekte.<\/p>\n

                                   <\/p>\n

                                  Art der personenbezogenen Daten<\/p>\n