Bestimmungen für die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DS-GVO

 

Nachstehende Bestimmungen gelten für den Fall der Beauftragung der Neo Commerce GmbH, Max-Bill-Str. 8, 80807 München (nachfolgend „Auftragnehmer“) durch den Auftraggeber mit der Erbringung von Auftragnehmer Leistungen im Bereich Guided Selling/ digitale Produktberatung als Software-Lösung (SaaS) auf Basis der als Link auf die AGB ausgestalteten Nutzungsvereinbarung von Cloud Software (SaaS), nachfolgend „Hauptvertrag”.

Teil der Durchführung des Hauptvertrags ist die Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung (“DS-GVO”). Zur Erfüllung der Anforderungen der DS-GVO an derartige Konstellationen finden die nachstehenden Bestimmungen Anwendung und regeln die Verarbeitung personenbezogener Daten durch den Auftragnehmer im Auftrag des Auftraggebers abschließend.

 

1. Gegenstand/Umfang der Auftragsverarbeitung
1.1. Die Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages bringt es mit sich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend “Auftraggeberdaten“) erhält und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DS-GVO verarbeitet.
1.2. Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer erfolgt ausschließlich in der in Anlage 1 spezifizierten Art sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen Personen ist in Anlage 2 zu diesem Vertrag dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
2. Weisungsbefugnisse des Auftraggebers
2.1. Der Auftragnehmer verarbeitet die Auftraggeberdaten nur im Rahmen der Beauftragung und ausschließlich im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DS-GVO (Auftragsverarbeitung). Der Auftraggeber hat insoweit das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch “Weisungsrecht“).
2.2. Weisungen werden vom Auftraggeber grundsätzlich schriftlich erteilt; mündlich erteilte Weisungen sind vom Auftraggeber schriftlich zu bestätigen. Die weisungs- und empfangsberechtigten Personen ergeben sich auf Anfrage. Bei einem Wechsel oder einer längerfristigen Verhinderung der empfangsberechtigten Personen ist der anderen Partei unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen. Der Auftragnehmer wird dem Auftraggeber einen Wechsel der Person des Weisungsberechtigten frühzeitig anzeigen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt.
2.3. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. 
3. Schutzmaßnahmen des Auftragnehmers
3.1. Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
3.2. Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden “Mitarbeiter” genannt), in Schriftform zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Absatz 3 lit. b DS-GVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen.
3.3. Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gem. Art. 32 DS-GVO zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrecht zu erhalten.
3.4. Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
3.5. Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung von technischen und organisatorischen Maßnahmen durch geeignete Nachweise nachweisen.
4. Informations- und Unterstützungspflichten des Auftragnehmers
4.1. Bei erheblichen Störungen, Verdacht auf wesentliche Datenschutzverletzungen oder auf sicherheitsrelevante Vorfälle bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von sechsunddreißig (36) Stunden in Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldungen gemäß Ziffer 4.1 Satz 1 enthalten jeweils zumindest die in Art. 33 Absatz 3 DS-GVO genannten Angaben.
4.2. Der Auftragnehmer wird den Auftraggeber im Falle der Ziffer 4.1 bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe – und Informationsmaßnahmen im Rahmen des zumutbaren unterstützen. Der Auftragnehmer wird insbesondere unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen durchführen, den Auftraggeber hierüber informieren und diesen um weitere Weisungen ersuchen.
4.3. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen schriftliche Anforderung innerhalb einer angemessenen Frist solche Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle gemäß Ziffer 7.1 dieses Vertrages erforderlich sind.
5. Sonstige Verpflichtungen des Auftragnehmers
5.1. Der Auftragnehmer bestätigt, dass er einen Ansprechpartner für den Datenschutz bestellt hat. Die Kontaktdaten des Ansprechpartners für den Datenschutz sind Dana Nedamaldeen. Ein Wechsel in der Person des Ansprechpartners für den Datenschutz ist dem Auftraggeber schriftlich mitzuteilen. 
6. Subunternehmerverhältnisse
6.1. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
6.2. Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO:  Tabelle der Unterauftragnehmer der Neo Commerce GmbH
6.3. Die weitere Auslagerung auf zusätzliche Unterauftragnehmer oder der Wechsel eines bestehenden Unterauftragnehmers sind zulässig, soweit:

  1. der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
  2. der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und
  3. eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2 – 4 DS-GVO zugrunde gelegt wird
7. Kontrollrechte
7.1. Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrages zu überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten und nach mindestens einwöchiger Voranmeldung in Absprache mit dem Auftragnehmer selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.
7.2. Der Auftraggeber wird Kontrollen ohne Anlass maximal jährlich und dabei nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.
7.3. Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
8. Rechte Betroffener
8.1. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DS-GVO. Er wird dem Auftraggeber unverzüglich, spätestens aber innerhalb von fünf (5) Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Auftraggeber nicht selbst über die entsprechenden Informationen verfügt.
8.2. Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DS-GVO geltend, ist der Auftragnehmer dazu verpflichtet, die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich, spätestens binnen einer Frist von vierzehn (14) Werktagen zu berichtigen, löschen oder einzuschränken. Der Auftragnehmer wird dem Auftraggeber die Löschung, Berichtigung bzw. Einschränkung der Daten auf Verlangen schriftlich nachweisen.
8.3. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen unverzüglich, spätestens jedoch binnen drei (3) Werktagen, an den Auftraggeber weiterleiten und wartet dessen Weisungen ab.  
9. Laufzeit und Kündigung
9.1. Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung entsprechend. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als Kündigung dieses Vertrags und eine Kündigung dieses Vertrages als Kündigung des Hauptvertrages.
9.2. Der Auftraggeber ist jederzeit zu einer außerordentlichen Kündigung dieses Vertrages aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt vor, wenn der Auftragnehmer seinen vertragswesentlichen Pflichten nicht nachkommt, Bestimmungen der DS-GVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer zunächst eine angemessene Frist von mindestens fünfzehn (15) Werktagen, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann. Nach fruchtlosem Ablauf dieser Frist steht dem Auftraggeber sodann das Recht zur außerordentlichen Kündigung zu.
10. Löschung und Rückgabe nach Vertragsende
10.1. Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen schriftliches Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf schriftlichen Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Der Auftragnehmer wird dem Auftraggeber die Löschung schriftlich bestätigen. 
11. Haftung
11.1. Die Haftung der Parteien richtet sich nach dem Hauptvertrag.                                                                                                                                          
12. Schlussbestimmungen
12.1. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
12.2. Die Regelungen dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.
12.3. Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist München.

 

Anlage 1

Konkretisierung von Art, Umfang und Zweck der Datenverarbeitung

Datenverarbeitung in Bezug auf den Auftraggeber 

  • Der Auftraggeber erhält einen persönlichen Zugang zur Software des Auftragnehmers
  • Der Auftragnehmer erstellt für diesen Zweck ein Benutzerprofil für den Auftraggeber
  • In diesem Profil werden folgende Informationen des Auftraggebers gespeichert:
    • E-Mail Adresse des Admin Users
    • Passwort des Admin Users
    • Vor- & Nachname des Admin Users
    • Firma und Firmenadresse des Admin Users

Datenverarbeitung in Bezug auf Kunden des Auftraggebers 

  1. Der Auftragnehmer stellt dem Auftraggeber eine Software zur Verfügung, welche dem Kunden des Auftraggebers ermöglicht, eine digitale Produktberatung in Anspruch zu nehmen.
  2. Die digitale Beratung wird in einem quiz-ähnlichen Ablauf mit dem Kunden des Auftraggebers durchgeführt. Im Anschluss der Beratung erhält der Kunde des Auftraggebers eine Produktempfehlung.
  3. Im Laufe der Beratung werden Standard Browser HTTP Informationen verarbeitet, Siehe Anlage 2.
  4. Am Ende der Beratung hat der Kunde des Auftraggebers dann die Möglichkeit, sich die Ergebnisse via E-Mail zusenden zu lassen.
  5. In einer Formular-Maske gibt der Kunde des Auftraggebers seine E-Mail Adresse ein und kann sich, mit Zustimmung der Datenschutzbestimmungen des Auftraggebers, die Ergebnisse zukommen lassen.
  6. Für den E-Mail Versand an den Kunden des Auftraggebers nutzt der Auftragnehmer eine E-Mail Marketing Software, gelistet unter Ziffer 6.2 des AV-Vertrags.
  7. Die Browserdaten werden verarbeitet um dem Auftraggeber Performance Daten zu liefern.
  8. Die E-Mail des Kunden des Auftraggebers werden erhoben um diesem die Ergebnisse aus der Beratung zukommen zu lassen. Auf Zustimmung des Kunden des Auftraggebers darf der Auftraggeber die E-Mail für eigene Werbezwecke einsetzen.

Anlage 2

Beschreibung der Datenarten und der Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

  • Websitebesucher des Auftraggebers
  • Mitarbeiter des Auftraggebers

 

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien:

Browser HTTP Informationen

      1. User-Agent
      2. IP Adresse (wird nicht gespeichert)
      3. Accept-Language
      4. Neocom-Session ID zur Identifizierung einer Beratungssession/ Browser Session
      5. Neocom-Conversation ID zur Identifizierung einer einzelnen Beratung durch Neocom
      6. Neocom-User ID zur Identifizierung eines Users über mehrere Browser Sessions hinweg (notwendig für Conversion Tracking). Hierbei wird kein Cookie auf der Neocom Domain, sondern auf der Auftraggeber-Domain gespeichert.

Nutzerinformationen des Auftraggebers

  • E-Mail Adresse des Admin Users
  • Passwort des Admin Users
  • Vor- & Nachname des Admin Users
  • Firma und Firmenadresse des Admin Users