EN DE

Agreement on Processing of Personal Data in Orders According to Art. 28 Para.3 General Data Protection Regulation (GDPR) (Order Data Processing)

 

Between

Business partner of BlueMediaAds GmbH
(e.g. online agencies, affiliate platforms, advertisers, lead generators and other advertising intermediaries)
hereinafter referred to as Contractor

and

BlueMediaAds GmbH, Luitpoldstrasse 76a 91052 Erlangen
hereinafter referred to as Client

 

1. Preamble
The conclusion of this agreement on data processing is made in the light of the European General Data Protection Regulation (GDPR), which will enter into force on the 25th of May 2018. Against this background, the parties conclude the following agreement in order to ensure that data processing for the provision of services can continue to take place in a legally compliant manner in the future.
The Client entrusts the Contractor with processing personal data. The provisions of this agreement apply to this order processing under Art. 28 of the General Data Protection Regulation (GDPR).


2. subject matter and duration of the contract

Subject of the order

The subject of the order for data handling is the performance of the following tasks by the Contractor:
Generation of interested parties for the client's newsletter distribution list in compliance with the relevant provisions of data protection and competition law
Execution of performance-oriented email transmissions to address lists of the Contractor

Duration of the order

The Agreement is open-ended and can be terminated by either party with a notice period of 30 days to the end of the month. The possibility of termination without notice shall remain unaffected.


3. Concretisation of the Content of the Contractual Order

Scope, type and purpose of the proposed data processing

The Contractor shall collect personal data from users on his pages. The users shall give their explicit consent to be contacted by the Client for advert purposes. The legal structuring shall be carried out by the Contractor, so that the legal validity is guaranteed in accordance with the applicable data protection and competition laws. 9. The Client is solely responsible for the lawful data collection (consent by double opt-in procedure or according to §7 Para. 3 UWG etc.) and the secure transmission of data to the Client for the purpose of data processing within the scope of this Agreement.
He shall regularly deliver these to the Client for advertising contact by email.
The Contractor shall ensure that the Client is immediately notified of users who subsequently withdraw their consent so that the Client can remove them from his list of recipients in a timely manner. If the withdrawals are not forwarded to the Client in a timely manner, or not at all, the Contractor shall be fully liable for all consequences.

a) Place of data agreement: The contractually agreed service shall be provided in principle and exclusively within the territory of the Federal Republic of Germany, in a member state of the European Union or in another contracting state to the Agreement on the European Economic Area. Any movement of data to a third country requires the prior consent of the Client and is subject to compliance with the special legal requirements.

b) The legally compliant collection and delivery of personal data shall be carried out by the Contractor in accordance with the currently valid data protection regulations and organisational and technical measures are exclusively the responsibility of the Contractor.

Type of Data
The subject of the personal data processing is the following types / categories of data
Personal master data (e.g. title, first name, surname, street, house number, postcode, city)
Communication data (e.g. email)

Categories of Data Subject
The categories of data subjects covered by the processing:
- Customers
- Interested parties
- Advertising blocks
- Former complainants


4. Technical and Organisational Measures

a)The Contractor shall document the implementation of required technical and organisational measures set out prior to the placing of an order before the start of processing, particularly with regard to the execution of the specific order as a one-time standard procedure, and shall pass this on to the Client for review.

Upon acceptance of the order by the Client, the documented measures become the basis of the order. Insofar as the examination by the Contractor results in a need for adjustment, this must be implemented by mutual agreement.

b) The Contractor must establish the security pursuant to Art. 28 para. 3 letter c, 32 EU GDPR in particular in conjunction with Art. 5 para. 1, Para. 2 GDPR. Overall, the actions to be taken are data security measures, which are taken to ensure a level of protection appropriate to the risk with regard to the confidentiality, integrity, availability and resilience of the systems. On this point, the state of the art, the costs of implementation, the nature, scope and purposes of processing, and the varying likelihood and risk severity for the rights and freedoms of natural persons in the sense of Art. 32 para. 1 EU GDPR must be taken into account.

c) Technical and organisational measures are subject to technical progress and further developments. In that regard, the Contractor is permitted to implement adequate alternative measures. The security level of the specified measures must be adequate. Significant changes must be documented once as a standard procedure.

5. Correction, Restriction and Erasure of Data

a) The Contractor may not correct, delete or restrict the processing of data undertaken in the order on his own authority, but only in accordance with the documented instructions of the Client.
If a data subject contacts the Contractor directly in this regard, the Contractor shall immediately forward this request to the Client.

b) Insofar as it is included in the scope of services, the right to erasure, correction, data portability and information must be ensured directly by the Contractor in accordance with the documented instructions of the Client.

6. Rights and obligations as well as authority of the Client and the Contractor to issue instructions

1. The Contractor is solely responsible for the assessment of the admissibility of the processing pursuant to Art. 6 Para. 1 GDPR and for the protection of the rights of the data subjects according to Art. 12 to 22 GDPR. Nevertheless, the Contractor is obliged to immediately forward all such inquiries to the Client, provided that they are clearly addressed exclusively to the Client.

2. Changes to the subject of processing and changes to procedures shall be agreed jointly between the Client and the Contractor and specified in writing or in a documented electronic format (email is sufficient).

3. The Client shall issue all orders, partial orders and instructions in writing or in a documented electronic format (e-mail is sufficient). Verbal instructions must be confirmed immediately in writing or in electronic text form.

4. Prior to the start of processing, and then regularly and in an appropriate manner, the Client shall ensure the compliance with the technical and organisational measures taken by the Contractor and the obligations set out in this Agreement.

5. The Client shall inform the Contractor immediately if errors or irregularities are noticed during the verification of the order results.

6. The Client is obliged to treat all knowledge of business secrets and data security measures obtained by the Contractor as confidential under the terms of this Agreement. This obligation shall continue even after this Agreement has been terminated.

7. Responsibility for data collection: The Contractor shall be responsible for the permissibility of data collection, processing and use. This also applies to the Contractor's obligation under the Unfair Competition Act (in particular to obtain consent pursuant to § 7 UWG) and the secrecy of telecommunications pursuant to the Telecommunications Act (§ 88 TKG). The Contractor points out that no advertising in violation of legal regulations may be sent by the Client.

8. Responsibility for data processing: the Contractor shall bear the responsibility for processing of data and compliance with the provisions of the data protection laws vis à vis third parties. The Contractor must independently assess the data protection law admissibility of order data processing and the order. If the Contractor is of the opinion that the processing violates obligations of the Client, he must inform the Client and ensure a legally compliant data processing by issuing appropriate instructions.

9. The Contractor is solely responsible for the lawful data collection (consent by double opt-in procedure or according to §7 Para. 3 UWG etc.) and the secure transmission of data to the Client for the purpose of data processing within the scope of this Agreement. The Contractor assures that he shall only collect and provide to the Client such data from customers and users who have expressly consented to such collection, processing and, if applicable, evaluation. In particular, the Contractor is aware that for the advertising approach by the Client there must be explicit regulations regarding the user's permission, which the Contractor guarantees to the Client in full responsibility and keeps him free from any claims of third parties which are based on a possible defect of this consent.
Likewise, a promotional approach and an evaluation of personal data (e.g. response data such as openings and clicks) of a recipient within the scope of a so-called tracking is only possible if the Contractor assures the Client that he has the consent of the respective recipient for the promotional approach as well as the evaluation of the personal data.

10. Notification and instruction obligations: In the event of a direct request for information, notification, warning or instruction from the supervisory authority pursuant to Art. 58 GDPR, the Contractor shall support the Client and ensure that the official request can be complied with in accordance with this agreement.


 

7. Quality Assurance and Other Obligations of the Contractor

In addition to compliance with the provisions of this order, the Contractor has legal obligations pursuant to Art. 28 to 33 EU-GDPR; in particular, he shall ensure compliance with the following requirements:

a) Written appointment of a data protection officer who carries out his activity in accordance with Art. 38 and 39 EU-GDPR.
-Details of appointed data protection officer(s) must be provided to the Client with full name and contact details [title, first name, surname, organisational unit, telephone, e-mail]. A change in data protection officer must be communicated to the Client immediately.
The Contractor's current contact details are easily accessible on the Contractor's homepage.

b) If the Contractor is not obliged to appoint a data protection officer, the Client shall be informed of a contact person with full name and contact details [title, first name, surname, organisational unit, telephone, e-mail].

c) The maintenance of confidentiality in accordance with Art. 28 Para. 3 clause 2 letter b, 29, 32 para. 4 EU GDPR.
In carrying out work, the Contractor shall exclusively use employees who are bound to confidentiality, and who have previously been familiarised with the relevant data protection provisions. The Contractor and any person under their authority who has access to personal data may only process such data exclusively in accordance with the instructions of the Client, including the powers granted in this Contract, unless they are legally obliged to process it.

The implementation and observance of all technical and organisational measures required for this contract in accordance with Art. 28 para. 3 clause 2 letter c, 32 EU GDPRe) The Client and the Contractor shall, upon request, cooperate with the supervisory authority in the performance of their tasks.

f) Immediate information from the Client as to control procedures and measures taken by the supervisory authority in so far as they relate to this order. This also applies insofar as a competent authority is conducting an investigation in the context of an administrative offence or criminal procedure with regard to the processing of personal data in the processing of orders by the Contractor.

g) If the Client is subject to an inspection by the supervisory authority, administrative or criminal proceedings, the liability claim of a data subject or a third party or any other claim in connection with the processing of the order by the Contractor, the Contractor must support them to the best of his/her ability.

h) Insofar as the Contractor is subject to inspection by the supervisory authority, an administrative offense or criminal procedure, the liability claim of a data subject or a third party or any other claim in connection with the contract with the Client, the Client shall assist him to the best of his ability.

i) The Contractor shall regularly monitor internal processes and technical and organisational measures to ensure that processing within their area of responsibility is carried out in accordance with the requirements of the applicable data protection legislation and that the rights of the data subject are protected.

j) Verifiability of the technical and organisational measures taken by the Client within the framework of his controlling authority.

k) The Contractor shall process personal data only in accordance with this agreement and instructions of the Client, unless he is obliged to do so by the law of the Union or the Member States to which the Client is subject (e.g. investigations by law enforcement or state protection authorities), in which case the Contractor shall inform the data controller of these legal requirements before processing, unless the law in question prohibits such communication on grounds of an important public interest (Art. 28 para. 3 Clause 2 (a) of GDPR).

l) The Contractor shall not use the data provided for processing for any other purposes, in particular for his own purposes, except it is contractually agreed and legally compliant. Copies and duplicates shall not be created without the knowledge of the Client.

The Contractor guarantees that all measures agreed for contractual processing in terms of the processing of personal data shall be undertaken in line with the order. He assures that the data processed for the client are strictly separated from other data.

n) The personal data obtained for the Client will be specially marked. All data and documents of the legally compliant collection of consent including screenshots; input and output as well as the current use shall be documented.

The Contractor shall cooperate to the extent necessary and assist the Client in fulfilling the rights of the data subjects pursuant to Art. 12 - 22 of GDPR, in drawing up the lists of processing activities, as well as in required data protection impact assessments carried out by the Client (Art. 28 Para. 3 Clause 2 (a) of GDPR).

6. The Contractor shall draw the Client's attention to the fact that an instruction issued by the Client violate legal requirements (Art. 28 para. 3 clause 3 GDPR). The Contractor is authorised to suspend implementation of the corresponding instruction until it is confirmed or modified by the responsible personnel of the Client following examination.

q) The Contractor shall correct or delete personal data from the order, or restrict its processing if the Client demands this by means of instructions
 and if the legitimate interests of the Contractor do not oppose this.

r) If a data subject addresses the Contractor with claims for correction, deletion or information, the Contractor shall pass on the relevant request to the Client, provided that it is possible to assign the data subject to the Client (e.g sponsor) according to their data. The Contractor will forward the claim of the data subject immediately or regularly as a list to the Client. The Client shall not be liable if the request of the data subject is not answered or processed correctly or on time by the Contractor.

s) If, in individual cases, inspections by the Client or an inspector commissioned by the latter are required, they will be carried out by the Contractor during normal business hours without disrupting operations after notification, taking into account a reasonable lead time. The time required for an inspection is generally limited to one day per calendar half-year for the Contractor.

u) The Contractor confirms that he is aware of the relevant data protection regulations of the GDPR for order processing. The Contractor further assures that they familiarise the employees employed during the execution of the work with the relevant provisions of data protection before starting the work and obliges them to maintain secrecy for the time of their work as well as after termination of the employment relationship in an appropriate manner (Art. 28 para. 3 clause 2 letter b and Art. 29 GDPR). The Contractor shall monitor compliance with the data protection regulations in his company.

8. Authorised Representatives of the Client and the Contractor

a. Both the Client and the Contractor shall provide the respective authorised representative or recipient of the instructions with complete contact details.
b. If the contact person changes or is unable to work for a longer period of time, the contractual partners must be informed immediately and in principle in writing (email is sufficient) of the successor or the representative.

9. Subcontracts

a) Subcontractual relationships within the meaning of this provision are understood as those services which relate directly to the provision of the main service.
Such services, which the Contractor makes use of with third parties as an ancillary service to assist in the execution of the order, should not be understood as a subcontractual relationship for the purposes of this regulation. These include, for example, telecommunications services, maintenance and user services, cleaning staff, inspectors or the disposal of data carriers as well as other measures to ensure the confidentiality, availability, integrity and resilience of the hardware and software of data processing systems.
However, the Contractor shall be obliged to undertake appropriate and legally binding contractual agreements and control measures to ensure the data protection and the data security of the Client's data, including in the case of outsourced ancillary services.

b) The Contractor may only commission subcontractors with prior explicit written or documented consent of the Client. Excluded from this are technical service providers based within the EU.

c) The transfer of the Client's personal data to the subcontractor and commencement of their initial activities are only permitted if all requirements for subcontracting are met.

d) If the subcontractor performs the agreed service outside the EU/EEA, the Contractor shall take appropriate measures to ensure the admissibility under data protection law.

e) Further outsourcing by the subcontractor is not permitted; all contractual provisions in the contractual chain must also be imposed on the other subcontractors.

f) At present, the subcontractors specified in Appendix 2 with name, address and order content, are engaged in processing personal data for the Contractor to the extent specified therein. The Client has agreed to their appointment.

The Contractor shall always inform the person responsible of any intended change in regard to the addition of new or the replacement of existing subcontractors, giving the customer the opportunity to appeal such changes (§ 28 para. 2 clause 2 GDPR).

10. Control Rights of the Client

a) The Client is entitled to carry out inspections in consultation with the Contractor or to have them carried out by inspectors to be appointed in individual cases. They have the right to conduct periodic random checks, which, as a rule, must be notified in good time, to ensure compliance with this agreement by the Contractor in their business operations.

b) The Contractor shall ensure that the Client can satisfy themselves of the Contractor's compliance with the obligations in accordance with Art. 28 of the GDPR. The Contractor is required to provide the necessary information to the Client on request and to demonstrate in particular the implementation of the technical and organisational measures.

c) Proof of such measures, which do not only relate to the specific order, may be carried out by:
-compliance with approved rules of conduct in accordance with Art. 40 EU GDPR;
-certification according to an approved certification procedure pursuant to Art. 42 EU GDPR;
-current certificates, reports or report extracts from independent bodies (e.g. data protection officer, IT security department)
-a suitable certification by IT security or data protection audit (e.g. according to BSI Basic Protection)
-or other appropriate measures as decided by the Contractor

11. Support of the Client in the fulfillment of his obligations

a) The Contractor shall assist the Client in complying with the obligations set out in Articles 32 to 36 of the GDPR relating to the security of personal data, notification obligations in the event of data breaches, data protection impact assessments and prior consultations. In particular this includes:

-ensuring an adequate level of protection through technical and organisational measures which take into account the circumstances and purposes of processing as well as the predicted probability and severity of a possible infringement of rights due to security gaps, and which enable an immediate determination of relevant infringement occurrences
- the obligation to report violations of personal data to the Client without delay,
- the obligation to support the Client in the scope of their duty to inform the data subject and to make all relevant information available to them in this regard without delay,
- assisting the Client in their data protection impact assessment and
- assisting the Client in the context of prior consultations with the supervisory authority.

12. Authority of the Client

a) The Contractor shall immediately confirm verbal instructions in text form.
b) The Client must inform the Contractor without delay if he is of the opinion that an instruction violates data protection regulations. The Client shall be entitled to suspend the execution of the relevant instruction until it has been confirmed or changed by the data controller.

13. Deletion of Data and Return of Data Media

a) Copies and duplicates shall not be created without knowledge of the Client. This excludes backups, if they are necessary to ensure proper data processing, as well as data that is required in order to comply with legal retention requirements.

b) Upon completion of the contractual work, or earlier, if requested by the Client – but no later than termination of the Service Agreement – the Contractor shall destroy all documents of the Client which have come into their possession, drafted processing and user results and all data resources that are related to the contractual relationship, or destroy them in line with data protection regulations. The same applies to testing and excess material.

Documentation that serves as proof of order-compliant and proper data processing must be kept by the Contractor in accordance with the respective retention periods beyond the term of the Agreement.

14. Liability

The Client is liable to the Contractor within the scope of Art.82 Para.2 Clause 2 of GDPR and only if the Contractor culpably violates an obligation imposed by the GDPR.

Liability on the part of the Client is further excluded  if the breach of duty was caused by the Contractor. In particular, the Client shall not be liable in cases in which the technical and organisational measures of the Contractor which were agreed with the Client do not comply with the requirements of Art. 32 of GDPR because the Client fails to fulfil his information obligations according to 3.3.2, or does not do so on time.

Insofar as the Client's liability under the above paragraphs is excluded in whole or in part, the Client shall indemnify the Contractor upon the first inquiry against all claims raised by third parties against the Contractor due to data processing on behalf of the Client and shall bear the costs of the necessary legal defence including all court and legal costs at the statutory rate. In addition, optional costs of the Client shall be borne in this context.

The same applies if a claim is made by third parties to the Client on the basis of the collection or transmission of their data or on the basis of the evaluation of the data within the scope of tracking, or if a claim by third parties exceeds the amountt attributable to the Client in the case of joint and several liability. The Contractor is obliged to assist the Client in an appropriate manner in defence against claims raised by third parties, to promptly, truthfully and completely provide all information that may be required for the examination of the claims and the defence, and to make all appropriate evidence available to the Client.

The liability of the Client and the Contractor is determined externally and internally pursuant to the provisions of Art. 82 of EU GDPR.

The corresponding regulation of the General Terms and Conditions of the Client applies to liability.


15. Signature

This Agreement shall be deemed expressly accepted if an order is placed without signature between the Client and the Contractor.
This Agreement can be viewed at any time on the Contractor's homepage at www.bluemediaads.com

 

 

 

 

 

 

 

APPENDIX I: Subcontractors
APPENDIX II: Technical and organisational measures

APPENDIX I: Subcontractors

The contractually agreed services are carried out with the involvement of subcontractors who are involved in this processing.

Below are listed all subcontractors who are directly involved in the provision of services for the Client, and who may have or may have had access to the Client's data. This also includes external IT service providers with corresponding access rights.

Subcontractors

Please let us know in an electronically documented form (Email is sufficient) your respective subcontractors!

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



 

 

 

 

 

 

 

 

APPENDIX II: Technical and organisational measures by the Contractor

 

Please inform us in an electronically documented form (email is sufficient) about your technical and organisational measures (TOM) with, among other things, in the areas of:

1 Confidentiality: access, transfer, input control
Separation control, pseudonymization & encryption
2. integrity: input and transfer control
3. availability and resilience
4. procedures for regular review, appraisal and evaluation
5. order control


 



 

 




EN DE

Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag nach Art. 28 Abs.3 Datenschutz-Grundverordnung (DS-GVO) (Auftragsdatenverarbeitung)

 

Zwischen

Geschäftspartner der BlueMediaAds GmbH
(z.B. Online-Agenturen, Affiliate Plattformen, Werbetreibende, Leadgenerierer und andere Werbevermittler)
- nachfolgend Auftragnehmer genannt –

und der

BlueMediaAds GmbH, Luitpoldstrasse 76a 91052 Erlangen
- nachfolgend Auftraggeber genannt –

 

1. Präambel
Der Abschluss dieser Vereinbarung über die Verarbeitung von Daten im Auftrag erfolgt im Lichte der europäischen Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai 2018 in Kraft tritt. Vor diesem Hintergrund schließen die Parteien die nachstehende Vereinbarung, um sicherzustellen, dass die Datenverarbeitung zur Leistungserbringung auch zukünftig rechtskonform durchgeführt werden kann.
Der Auftraggeber betraut den Auftragnehmer mit der Verarbeitung personenbezogener Daten. Für diese Auftragsverarbeitung im Sinne von Art. 28 der Datenschutz-Grundverordnung (DS-GVO) gelten die Regelungen dieser Vereinbarung.


2. Gegenstand und Dauer des Auftrags

Gegenstand des Auftrags

Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:
- Generierung von Interessenten für den Newsletterverteiler des Auftraggebers unter Beachtung der einschlägigen Vorschiften des Datenschutz- und Wettbewerbsrechts
- Durchführung von performance-orientierten Email-Versendungen an Adressbestände des Auftragnehmers

Dauer des Auftrags

Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von 30 Tagen zum Monatsende gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt.


3. Konkretisierung des Auftragsinhalts

Art und Zweck der vorgesehenen Verarbeitung von Daten

Der Auftragnehmer erhebt auf seinen Seiten personenbezogene Daten von Nutzern. Die Nutzer erteilen eine explizite Einwilligung zur werblichen Kontaktaufnahme durch den Auftraggeber. Die rechtliche Ausgestaltung erfolgt durch den Auftragnehmer, so dass die Rechtswirksamkeit gemäß den geltenden Datenschutz- und Wettbewerbsgesetzen gewährleistet ist. Der Auftragnehmer ist allein für die rechtmäßige Erhebung der Daten (Einwilligung durch Double-Opt-In Verfahren oder gemäß §7 Abs. 3 UWG etc.) und die sichere Übermittlung der Daten an den Auftraggeber zum Zwecke der Datenverarbeitung im Umfang dieser Vereinbarung verantwortlich.
Die Diese liefert er regelmäßig an den Auftraggeber zur werblichen Kontaktaufnahme per Email.
Der Auftragnehmer stellt sicher, dass Nutzer, die Ihre Einwilligung nachträglich wiederrufen, ebenfalls an den Auftraggeber umgehend mitgeteilt werden, damit der Auftraggeber diese aus seiner Empfängerliste zeitnah entfernen kann. Werden die Widerrufer nicht oder nicht rechtzeitig an den Auftraggeber zeitnah weitergeleitet haftet der Auftragnehmer für alle Konsequenzen in voller Höhe.

a) Ort der Datenvereinbarung: Die vertraglich vereinbarte Dienstleistung wird grundsätzlich und ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen erfüllt sind.

b) Die rechtskonforme Erhebung und Anlieferung der personenbezogenen Daten erfolgen durch den Auftragnehmer gemäß den aktuell geltenden Datenschutzverordnungen und organisatorische und technische Maßnahmen hierzu sind ausschließlich in der Verantwortung des Auftragnehmers.

Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten / -kategorien
- Personenstammdaten (z.B. Anrede, Vorname, Name, Straße, Hausnummer, PLZ, Ort)
- Kommunikationsdaten (z.B. Email)

Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden
- Interessenten
- Werbesperren
- Beschwerdeführer


4. Technisch-organisatorische Maßnahmen

a) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung einmalig als Standardprozess zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben.

Bei Annahme des Auftrags durch den Auftragnehmer werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung des Auftragnehmers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

b) Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 EU-DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 EU-DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 EU-DSGVO zu berücksichtigen.

c) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind einmalig als Standardprozess zu dokumentieren.

5. Berichtigung, Einschränkung und Löschung von Daten

a) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.
Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

b) Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

6. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers und Auftragnehmers

1. Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftragnehmer verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

2. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format (E-Mail ist ausreichend) festzulegen.

3. Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen schriftlich oder in einem dokumentierten elektronischen Format (E-Mail ist ausreichend). Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

4. Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

5. Der Auftraggeber informiert den Auftragnehmer, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

6. Auftraggeber und Auftragnehmers sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Anderen vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

7. Verantwortlichkeit für Datenerhebung: Auftragnehmer trägt die Verantwortung für die Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung. Dies betrifft auch die Verpflichtung des Auftragnehmers nach dem Gesetz gegen unlauteren Wettbewerb (insbesondere zur Einholung einer Einwilligung nach § 7 UWG) und dem Fernmeldegeheimnis gemäß Telekommunikationsgesetz (§ 88 TKG). Der Auftraggeber weist darauf hin, dass keine Werbung unter Verstoß gegen gesetzliche Vorschriften durch den Auftraggeber versandt werden darf.

8. Verantwortlichkeit für Datenverarbeitung: Auftragnehmer trägt die Verantwortung für die Verarbeitung und ist gegenüber Dritten für die Einhaltung der Vorschriften der Datenschutzgesetze verantwortlich. Auftragnehmer hat die datenschutzrechtliche Zulässigkeit der Auftragsdatenverarbeitung und des Auftrags eigenverantwortlich selbst zu beurteilen. Ist Auftragnehmer der Meinung, die Verarbeitung verstoße gegen Pflichten von Auftraggeber, so hat er den Auftraggeber hierauf hinzuweisen und eine rechtskonforme Datenverarbeitung durch entsprechende Weisungen sicherzustellen.

9. Auftragnehmer ist allein für die rechtmäßige Erhebung der Daten (Einwilligung durch Double-Opt-In Verfahren oder gemäß §7 Abs. 3 UWG etc.) und die sichere Übermittlung der Daten an den Auftraggeber zum Zwecke der Datenverarbeitung im Umfang dieser Vereinbarung verantwortlich. Der Auftragnehmer sichert zu, nur solche Daten von seinen Kunden und Nutzern zu erheben und dem Auftraggeber zur Verfügung zu stellen, die ausdrücklich zu einer solchen Erhebung, Verarbeitung und ggf. einer Auswertung eingewilligt haben. Insbesondere ist dem Auftragnehmer bewusst, dass für die werbliche Ansprache durch den Auftraggeber explizite Regelungen bzgl. der Erlaubnis des Nutzers vorliegen müssen, die der Auftragnehmer in voller Verantwortlichkeit dem Auftraggeber gewährleistet und ihn von jeglichen Ansprüchen Dritter frei hält, die auf einem etwaigen Mangel dieses Einverständnisses beruhen.
Ebenso ist eine werbliche Ansprache und eine Auswertung personenbezogener Daten (z.B. Response-Daten wie Öffnungen und Klicks) eines Empfängers im Rahmen eines sog. Trackings nur möglich, wenn Auftragnehmer  dem Auftraggeber bestätigt, dass ihm von jeweiligen Empfänger die Einwilligung für die werbliche Ansprache wie auch die Auswertung der personenbezogenen Daten vorliegt.

10. Mitteilungs- und Weisungspflichten: Im Falle eines unmittelbaren Auskunftsverlangens, Hinweises, einer Warnung oder Anweisung der Aufsichtsbehörde gemäß Art. 58 DSGVO hat Auftragnehmer den Auftraggeber zu unterstützen und sicherzustellen, dass dem behördlichen Verlangen im Einklang mit dieser Vereinbarung Folge geleistet werden kann.


 

7. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Art. 28 bis 33 EU-DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

a) Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Art. 38 und 39 EU-DSGVO ausübt.
- Bestellte(r) Datenschutzbeauftragte(r) ist dem Auftraggeber mit vollständigem Namen und Kontaktdaten mitzuteilen [Anrede, Vorname, Name, Organisationseinheit, Telefon, E-Mail]. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber ebenfalls unverzüglich mitzuteilen.
- Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.

b) Insofern der Auftragnehmer nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet ist wird dem Auftraggeber ein Ansprechpartner mit vollständigem Namen und Kontaktdaten mitgeteilt [Anrede, Vorname, Name, Organisationseinheit, Telefon, E-Mail].

c) Die Wahrung der Vertraulichkeit gemäß Art. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 EU-DSGVO.
Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

d) Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend Art. 28 Abs. 3 S. 2 lit. c, 32 E-DSGVO

e) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

f) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

g) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer uneingeschränkt und kostenfrei zu unterstützen.

h) Soweit der Auftragnehmer seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit Auftrag beim Auftraggeber ausgesetzt ist, hat ihn der Auftraggeber nach besten Kräften zu unterstützen.

i) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

j) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse.

k) Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Vorschrift zur Erhebung und Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem des Auftraggebers unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragnehmer dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

l)  Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke, außer vertraglich vereinbart und rechtlich konform. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

m) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

n) Die personenbezogenen Daten, die für den Auftraggeber gewonnen wurden, werden besonders gekennzeichnet. Sämtliche Daten und Dokumente der rechtskonformen Erhebung zur Einwilligung samt Screenshots; Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.

o) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz- Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im vollem Umfang mitzuwirken und den Auftraggeber zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

p) Der Auftragnehmer wird den Auftraggeber darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

q) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung
verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.

r) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betreffende Anfrage an den Auftraggeber weiterreichen, sofern eine Zuordnung an den Auftraggeber (z.B. Sponsor) nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich oder regelmäßig als Liste an den Auftraggeber weiter. Der Auftraggeber haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftragnehmer nicht, nicht richtig oder nicht fristgerecht beantwortet oder verarbeitet wird.

s) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit kostenfrei durch den Auftragnehmer durchgeführt. Der zeitliche Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalender-Halbjahr begrenzt.

u) Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er sicher weiter zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

8. Weisungsberechtigte des Auftraggebers und des Auftragnehmers

a. Sowohl Auftraggeber und Auftragnehmer teilen den jeweiligen Weisungsberechtigten bzw. Weisungsempfänger mit vollständigen Kontaktdaten mit.
b. Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind den Vertragspartnern unverzüglich und grundsätzlich schriftlich (E-Mail ist ausreichend) die Nachfolger bzw. die Vertreter mitzuteilen.

9. Unterauftragsverhältnisse

a) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen.
Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt.
Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

b) Der Auftragnehmer darf Unterauftragnehmer nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen. Ausgeschlossen hiervon sind technische Dienstleister mit Sitz innerhalb der EU.

c) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

d) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU / des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher.

e) Eine weitere Auslagerung durch den Unterauftragnehmer ist nicht gestattet; Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

f) Zurzeit sind für den Auftragnehmer die in ANHANG 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.

g) Der Auftragnehmer informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).

10. Kontrollrechte des Auftraggebers

a) Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.

b) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu geben und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

c) Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch:
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 EU-DSGVO;
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 EU-DSGVO;
- aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Datenschutzbeauftragter, IT-Sicherheitsabteilung)
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz)
- oder weitere geeignete Maßnahmen gemäß Entscheidung des Auftragnehmers

11. Unterstützung des Auftraggebers bei der Einhaltung dessen Pflichten

a) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der EU-DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, zur Meldepflichten bei Datenpannen, zur Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören insbesondere

- die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen
- die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden,
- die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen,
- die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung und
- die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

12. Weisungsbefugnis des Auftraggebers

a) Mündliche Weisungen wird der Auftragnehmer unverzüglich in Textform bestätigen.
b) Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. Der Auftraggeber ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.

13. Löschung von Daten und Rückgabe von Datenträgern

a) Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

b) Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.

c) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

14. Haftung

Der Auftraggeber haftet gegenüber dem Auftragnehmer im Rahmen des ARt.82 abs.2 s.2 DSGVO und nur dann, wenn der Auftraggeber schuldhaft eine ihr durch die DSGVO auferlegte Pflicht verletzt.

Eine Haftung des Auftraggebers ist weiterhin ausgeschlossen, soweit die Pflichtverletzung durch den Auftragnehmer verschuldet wurde. Insbesondere haftet Auftraggeber nicht in Fällen, in denen die mit Auftragnehmer abgestimmten technischen und organisatorischen Maßnahmen des Auftraggebers deshalb nicht den Anforderungen nach Art. 32 DSGVO entsprechen, weil Auftragnehmer seinen Informationspflichten nach 3.3.2 nicht oder nicht rechtzeitig nachkommt.

Soweit eine Haftung des Auftraggebers nach den obigen Ziffern ganz oder teilweise ausgeschlossen ist, stellt Auftragnehmer den Auftraggeber auf erstes Anfordern von allen Ansprüchen frei, die Dritte wegen der Datenverarbeitung im Auftrag von Auftragnehmer gegen den Auftraggeber erheben und übernimmt hierbei die Kosten der notwendigen Rechtsverteidigung einschließlich sämtlicher Gerichts- und Anwaltskosten in gesetzlicher Höhe. Ebenso wie fakultative Kosten des Auftraggebers in diesem Zusammenhang.

Das Gleiche gilt, soweit eine Inanspruchnahme durch Dritte aufgrund der Erhebung oder Übermittlung Ihrer Daten an Auftraggeber oder aufgrund der Auswertung der Daten im Rahmen des Trackings erfolgt, oder eine Inanspruchnahme durch Dritte den auf Auftraggeber entfallenden Verschuldensanteil bei einer gesamtschuldnerischen Haftung summenmäßig übersteigt. Auftragnehmer ist verpflichtet Auftraggeber in angemessener Weise bei der Verteidigung gegenüber den von Dritten erhobenen Ansprüchen zu unterstützen, unverzüglich, wahrheitsgemäß und vollständig alle Informationen zur Verfügung zu stellen, die für die Prüfung der Ansprüche und eine Verteidigung erforderlich sein könnten und alle geeigneten Beweismittel dem Auftraggeber zugänglich zu machen.

Die Haftung von Auftraggeber und Auftragnehmer bestimmt sich im Außen- und Innenverhältnis nach den Vorgaben des Art. 82 EU-DSGVO.

Für die Haftung gilt die entsprechende Regelung der AGB des Auftraggebers.


15. Unterzeichnung

Diese Vereinbarung gilt bei Auftragserteilung ohne Unterschrift zwischen Auftraggeber und Auftragnehmer als ausdrücklich angenommen.
Die aktuelle Vereinbarung ist jederzeit auf der Homepage des Auftragnehmers einsehbar unter www.bluemediaads.com

 

 

 

 

 

 

 

ANHANG I: Subunternehmer
ANHANG II: Technisch-organisatorische Maßnahmen

ANHANG I: Subunternehmer

Die Vertraglich vereinbarten Leistungen werden unter Einschaltung von Subunternehmen durchgeführt, die in diese Verarbeitung mit einbezogen sind.

Nachstehend werden alle Subunternehmen aufgeführt, die unmittelbar mit der Leistungserstellung für den Auftraggeber beteiligt sind und möglicherweise Zugriff auf die Daten des AG haben oder haben können. Dazu zählen auch externe IT-Dienstleister mit entsprechenden Zugriffsrechten.

Subunternehmer

Bitte teilen Sie uns in einer elektronisch dokumentierten Form (Email ist ausreichend) bitte Ihre jeweiligen Subunternehmer mit!

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 



 

 

 

 

 

 

 

 

ANHANG II: Technische und organisatorische Maßnahmen des Auftragnehmers

 

Bitte teilen Sie uns in einer elektronisch dokumentierten Form (Email ist ausreichend) bitte Ihre technisch und organisatorische Maßnahmen TOM mit u.a. zu den Bereichen:

1. Vertraulichkeit: Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle
Trennungskontrolle, Pseudonymisierung & Verschlüsselung
2. Integrität: Eingabekontrolle, Weitergabekontrolle
3. Verfügbarkeit und Belastbarkeit
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
5. Auftragskontrolle