Angaben zum Kunden
SHE is a RIDER
Kriemhildstraße 28
10365 Berlin
Annika Gramlich
Co-Founder & Redakteurin
Zustimmung wurde am 11.11.2019 18:33 Uhr abgegeben. Der User identifizierte sich mit seiner Account-Email Adresse
xxx@sheisarider.de.
Vereinbarung zur Auftragsverarbeitung nach
EU-Datenschutz-Grundverordnung (DSGVO)
Online-Variante, Stand Mai 2018
zwischen
siehe Angaben zum Kunden
– im Folgenden: Kunde –
und ConRat WebSolutions GmbH, Niederhoner Str. 54, 37269 Eschwege
– im Folgenden: ConRat –
– gemeinsam „Parteien“ genannt
1. Gegenstand der Verarbeitung
1.1 Gegenstand des vorliegenden Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag des Kunden (Art. 28 DSGVO). Dies erfolgt durch die Nutzung von social-media-baukasten.de oder toolkit.social-media-baukasten.de, einer SaaS-Lösung zur Erstellung von Gewinnspielen für Facebook-Fanpages oder Webseiten des Kunden. Bei den verarbeiteten personenbezogenen Daten handelt es sich um solche, die der Kunde über seine erstellten Gewinnspiele erhält.
1.2 Der Kunde ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er allein ist für Beurteilung der Zulässigkeit der Datenverarbeitungsvorgänge nach Art. 6 DSGVO und die Wahrung der Betroffenenrechte verantwortlich.
1.3 Die Verarbeitung der Daten durch ConRat findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland statt. Die Verarbeitung außerhalb Deutschlands erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.) und mit vorheriger Zustimmung des Auftraggebers.
1.4 Die Vergütung wird außerhalb dieses Vertrags vereinbart.
2. Vertragslaufzeit und Kündigung
Die Verarbeitung erfolgt zeitlich unbefristet, sofern dies in den jeweiligen vertraglichen Vereinbarungen nicht anders vereinbart ist. Die in den jeweiligen vertraglichen Vereinbarungen geregelten Kündigungsfristen bleiben unberührt.
3. Art und Zweck der Verarbeitung
3.1 Die Art der Verarbeitung umfasst die Abfragung, Erfassung und Speicherung von Daten.
3.2 Zwecke der Verarbeitung ist die Erfassung und Speicherung von Teilnehmerdaten, die der Kunde durch ein, mit einer unter www.social-media-baukasten.de gebuchten App, durchgeführtes Gewinnspiel erhält.
3.3 Es werden folgende Daten verarbeitet: Name, Vorname, E-Mail-Adresse sowie die Facebook-User-ID. Je nach Ausgestaltung der gebuchten App können zusätzlich folgende Daten verarbeitet werden: Straße, Hausnummer, PLZ, Ort und Telefonnummer.
3.4 Kategorien betroffener Personen sind: Gewinnspielteilnehmer, die der Kunde über seine erstellten Gewinnspiele erhält.
4. Pflichten und Rechte des Kunden
4.1 Der Kunde ist im Rahmen dieser Vereinbarung zur Auftragsverarbeitung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an ConRat sowie für die Rechtmäßigkeit der Verarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DSGVO). Dies gilt auch im Hinblick auf die in dieser Vereinbarung geregelten Zwecke und Mittel der Verarbeitung und die Beschreibung der betroffenen Daten.
4.2 Der Kunde hat ConRat unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung bezüglich datenschutzrechtlicher Bestimmungen Fehler oder Unregelmäßigkeiten feststellt.
4.3 Der Kunde nennt ConRat bei Bedarf den Ansprechpartner für im Rahmen dieser Vereinbarung zur Auftragsverarbeitung anfallende Datenschutzfragen.
4.4 Weitere Pflichten und Rechte des Kunden ergeben sich aus den nachfolgenden Regelungen dieser Vereinbarung zur Auftragsverarbeitung und der DSGVO sowie den dazugehörigen gesetzlichen Bestimmungen.
5. Verarbeitung auf dokumentierte Weisung
5.1 ConRat – und jede ihr unterstellte Person – darf die personenbezogenen Daten nur im Rahmen der jeweiligen vertraglichen Vereinbarungen (AGB) zwischen ConRat und dem Kunde und der Weisungen des Kunden verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 Satz 2 lit.a DSGVO vor. ConRat nimmt Weisungen des Kunden in schriftlicher Form oder in einem elektronischem Format (z.B. per E-Mail) entgegen. Mündliche Weisungen sind durch den Kunden unverzüglich schriftlich oder in einem elektronischem Format zu bestätigen.
5.2 ConRat informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. ConRat darf die Umsetzung der Weisung solange aussetzen, bis sie vom Kunden bestätigt oder abgeändert wurde.
6. Verpflichtung zur Vertraulichkeit
ConRat gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7. Technische und organisatorische Maßnahmen
7.1 ConRat gestaltet in ihrem Verantwortungsbereich die innerbetriebliche Organisation so, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung gemäß den Anforderungen der DSGVO erfolgt und den Schutz für die Rechte und Freiheiten der betroffenen Person gewährleistet. ConRat trifft dabei technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten vor Missbrauch und Verlust, um den Anforderungen der DSGVO zu entsprechen. Eine Aufstellung der technischen und organisatorischen Maßnahmen kann der Kunde unter dem Link https://www.some-solutions.de/dsgvo-tom abrufen.
7.2 Die Parteien sind sich einig, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Insoweit ist es ConRat gestattet, alternative adäquate Maßnahmen umzusetzen. ConRat informiert den Kunde hierüber auf Anfrage und stellt sicher, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird. ConRat hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 6 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme.
8. Unterauftragsverhältnisse
8.1 Der Kunde ist damit einverstanden, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen, insbesondere, aber nicht ausschließlich, für die Bereiche, Rechenzentrum, Hosting, Wartung und Installation der Infrastruktur und Telekommunikationsdienstleistungen weitere Unternehmen (Unterauftragnehmer) mit Leistungen beauftragt.
8.2 Die jeweils aktuell eingesetzten, weiteren Auftragsverarbeiter kann der Kunde auf der Webseite der ConRat unter dem Link
https://www.some-solutions.de/dsgvo-verarbeiter abrufen.
8.3 Erteilt ConRat Aufträge an Unternehmen (Unterauftragnehmer), so obliegt es ConRat, seine Pflichten aus diesem Auftragsverarbeitungsvertrag dem Unterauftragnehmer zu übertragen.
9. Weisungsbefugnisse, Berichtigung, Löschung und Sperrung, Rechte Betroffener
9.1. Der Kunde hat selbst jederzeit umfassenden Zugriff auf die Daten, so dass es einer Mitwirkung von ConRat insbesondere auch zur Berichtigung, Sperrung, Löschung etc. nicht bedarf. Soweit eine Mitwirkung von ConRat erforderlich ist, ist ConRat hierzu gegen Erstattung der anfallenden Kosten verpflichtet. Dem Kunden steht in diesem Fall ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung gem. Art. 29 i.V.m. 28 DSGVO zu. ConRat hat den Kunde unverzüglich zu informieren, wenn ConRat der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. ConRat ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis Sie durch den Verantwortlichen beim Kunden bestätigt oder geändert wird.
9.2. Soweit ein Betroffener sich unmittelbar an ConRat zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird ConRat dieses
Ersuchen an den Kunde weiterleiten. Ist der Kunde auf Grund geltender Datenschutzgesetzte verpflichtet, Auskünfte zur Erhebung, Verarbeitung und / oder Nutzung von Daten zu erteilen, wird ConRat den Kunde soweit notwendig bei der Bereitstellung dieser Informationen unterstützen. Eine diesbezgl. Anfrage hat der Kunde schriftlich an ConRat zu richten und ConRat die entstandenen Kosten zu erstatten.
10. Kontrollbefugnisse des Kunden
10.1 Der Kunde hat das Recht, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.
10.2. Dem Kunde steht hierzu die durch ConRat erstellte, regelmäßig überarbeitete und den gesetzlichen Anforderungen entsprechende Dokumentation über die vorhandenen technischen und organisatorischen Maßnahmen zur Verfügung. Diese Dokumentation kann unter dem Link https://www.some-solutions.de/dsgvo-tom abgerufen werden.
10.3. Der Kunde hat das Recht, die Auftragskontrolle im Benehmen mit ConRat durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, nach rechtzeitiger vorheriger Anmeldung (3 Wochen) zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, von der Einhaltung dieser Vereinbarung durch ConRat in seinem Geschäftsbetrieb zu überzeugen. ConRat verpflichtet sich, dem Kunden auf Anforderung die zur Wahrung seiner Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Kosten, die ConRat durch seine Unterstützungshandlung entstehen, sind ihm im angemessenen Umfang zu erstatten.
10.4 Im Hinblick auf die Kontrollverpflichtungen des Kunden nach Art. 28 Abs. 1 DSGVO vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt ConRat sicher, dass der Kunde sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann.
10.5 ConRat verpflichtet sich, dem Kunde auf Anforderung die zur Wahrung seiner bei der Verarbeitung der oben genannten Daten bestehende Verpflichtung zur Auftragskontrolle erforderlichen Auskünfte zu geben und Nachweise zu führen. Dies gilt auch, soweit ConRat die Kontrolle seiner Unterauftragnehmer für den Kunde durchführt.
11. Gegenseitige Unterstützung
Im Fall des Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig zu unterstützen und zur Aufklärung des zugrundeliegenden Sachverhalts beizutragen.
12. Formerfordernis
Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – sind gemäß DS-GVO schriftlich abzufassen, was auch in einem elektronischen Format erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
13. Salvatorische Klausel, Gerichtsstand
13.1 Sollten sich einzelne Bestimmungen dieser Vereinbarung als ungültig erweisen, so wird hierdurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die ungültige Bestimmung ist durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Ungültigkeit des jeweiligen Punktes gedacht. Soweit diese Vereinbarung eine unbewusste Regelungslücke enthält, ist diese durch eine solche Regelung zu ersetzen, die die Parteien getroffen hätten, hätten sie bei Abschluss des Vertrags an die Regelungsbedürftigkeit des jeweiligen Punktes gedacht.
13.2 Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandteil.
13.3 Als Gerichtsstand wird Eschwege vereinbart
Anlage 1 – Technische und organisatorischen Maßnahmen nach Art. 32 DSGVO
https://www.some-solutions.de/dsgvo-tom
Anlage 2 – Weitere Auftragsverarbeiter nach Art. 28 Abs. 2 DSGVO https://www.some-solutions.de/dsgvo-verarbeiter
Powered by TCPDF (www.tcpdf.org)