Bestimmungen für die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen gemäß Art. 28 DS-GVO

Die Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages bringt es mit sich, dass der Auftragnehmer Zugriff auf personenbezogene Daten des Auftraggebers (nachfolgend "Auftraggeberdaten") erhält und diese ausschließlich im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und Art. 28 DS-GVO verarbeitet.

Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer erfolgt ausschließlich in der in Anlage 1 spezifizierten Art sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen Personen ist in Anlage 2 zu diesem Vertrag dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.

Der Auftragnehmer verarbeitet die Auftraggeberdaten nur im Rahmen der Beauftragung und ausschließlich im Auftrag und nach Weisung des Auftraggebers i.S.v. Art. 28 DS-GVO (Auftragsverarbeitung). Der Auftraggeber hat insoweit das alleinige Recht, Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch "Weisungsrecht").

Weisungen werden vom Auftraggeber grundsätzlich schriftlich erteilt; mündlich erteilte Weisungen sind vom Auftraggeber schriftlich zu bestätigen. Die weisungs- und empfangsberechtigten Personen ergeben sich auf Anfrage. Bei einem Wechsel oder einer längerfristigen Verhinderung der empfangsberechtigten Personen ist der anderen Partei unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen. Der Auftragnehmer wird dem Auftraggeber einen Wechsel der Person des Weisungsberechtigten frühzeitig anzeigen. Bis zum Zugang einer solchen Mitteilung beim Auftraggeber gelten die benannten Personen weiter als empfangsberechtigt.

Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden "Mitarbeiter" genannt), in Schriftform zur Vertraulichkeit verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Absatz 3 lit. b DS-GVO) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen.

Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gem. Art. 32 DS-GVO zu ergreifen und diese für die Dauer der Verarbeitung der Auftraggeberdaten aufrecht zu erhalten.

Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung von technischen und organisatorischen Maßnahmen durch geeignete Nachweise nachweisen.

Bei erheblichen Störungen, Verdacht auf wesentliche Datenschutzverletzungen oder auf sicherheitsrelevante Vorfälle bei der Verarbeitung der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von sechsunddreißig (36) Stunden in Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldungen gemäß Ziffer 4.1 Satz 1 enthalten jeweils zumindest die in Art. 33 Absatz 3 DS-GVO genannten Angaben.

Der Auftragnehmer wird den Auftraggeber im Falle der Ziffer 4.1 bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe – und Informationsmaßnahmen im Rahmen des zumutbaren unterstützen. Der Auftragnehmer wird insbesondere unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen durchführen, den Auftraggeber hierüber informieren und diesen um weitere Weisungen ersuchen.

Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen schriftliche Anforderung innerhalb einer angemessenen Frist solche Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle gemäß Ziffer 7.1 dieses Vertrages erforderlich sind.

Der Auftragnehmer bestätigt, dass er einen Ansprechpartner für den Datenschutz bestellt hat. Die Kontaktdaten des Ansprechpartners für den Datenschutz sind Dana Nedamaldeen, dana@neocom.ai, +49 588 05 57 20. Ein Wechsel in der Person des Ansprechpartners für den Datenschutz ist dem Auftraggeber schriftlich mitzuteilen.

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungenzu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO: https: //bit.ly/3kcRbmc

Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt. Er setzt den Auftraggeber hiervon unverzüglich in Kenntnis. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.

Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrages zu überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten und nach mindestens einwöchiger Voranmeldung in Absprache mit dem Auftragnehmer selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.

Der Auftraggeber wird Kontrollen ohne Anlass maximal jährlich und dabei nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.

Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36 DS-GVO. Er wird dem Auftraggeber unverzüglich, spätestens aber innerhalb von fünf (5) Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der Auftraggeber nicht selbst über die entsprechenden Informationen verfügt.

Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DS-GVO geltend, ist der Auftragnehmer dazu verpflichtet, die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich, spätestens binnen einer Frist von vierzehn (14) Werktagen zu berichtigen, löschen oder einzuschränken. Der Auftragnehmer wird dem Auftraggeber die Löschung, Berichtigung bzw. Einschränkung der Daten auf Verlangen schriftlich nachweisen.

Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen unverzüglich, spätestens jedoch binnen drei (3) Werktagen, an den Auftraggeber weiterleiten und wartet dessen Weisungen ab.

Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung entsprechend. Im Zweifel gilt eine Kündigung des Hauptvertrags auch als Kündigung dieses Vertrags und eine Kündigung dieses Vertrages als Kündigung des Hauptvertrages.

Der Auftraggeber ist jederzeit zu einer außerordentlichen Kündigung dieses Vertrages aus wichtigem Grund berechtigt. Ein wichtiger Grund liegt vor, wenn der Auftragnehmer seinen vertragswesentlichen Pflichten nicht nachkommt, Bestimmungen der DS-GVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer zunächst eine angemessene Frist von mindestens fünfzehn (15) Werktagen, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann. Nach fruchtlosem Ablauf dieser Frist steht dem Auftraggeber sodann das Recht zur außerordentlichen Kündigung zu.

Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen schriftliches Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf schriftlichen Wunsch des Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen. Der Auftragnehmer wird dem Auftraggeber die Löschung schriftlich bestätigen.

Die Haftung der Parteien richtet sich nach dem Hauptvertrag.

Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies giltauch für den Verzicht auf dieses Formerfordernis.

Die Regelungen dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.

Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand istMünchen.

Der Auftragnehmer stellt dem Auftraggeber eine Software zur Verfügung, welche dem Kunden des Auftraggebers ermöglicht, eine digitale Produktberatung in Anspruch zu nehmen.

Die digitale Beratung wird in einem quiz-ähnlichen Ablauf mit dem Kundendes Auftraggebers durchgeführt. Im Anschluss der Beratung erhält der Kunde des Auftraggebers eine Produktempfehlung.

Im Laufe der Beratung werden Standard Browser HTTP Informationen verarbeitet, Siehe Anlage 2.

Am Ende der Beratung hat der Kunde des Auftraggebers dann die Möglichkeit, sich die Ergebnisse via E-Mail zusenden zu lassen.

In einer Formular-Maske gibt der Kunde des Auftraggebers seine E-Mail Adresse ein und kann sich, mit Zustimmung der Datenschutzbestimmungen des Auftraggebers, die Ergebnisse zukommen lassen.

Für den E-Mail Versand an den Kunden des Auftraggebers nutzt der Auftragnehmer eine E-Mail Marketing Software, gelistet unter Ziffer 6.2 des AV-Vertrags.

Die Browserdaten werden verarbeitet um dem Auftraggeber Performance Daten zu liefern.

Die E-Mail des Kunden des Auftraggebers werden erhoben um diesem die Ergebnisse aus der Beratung zukommen zu lassen. Auf Zustimmung des Kunden des Auftraggebers darf der Auftraggeber die E-Mail für eigene Werbezwecke einsetzen.

User-Agent

IP Adresse (wird nicht gespeichert)

Accept-Language

Neocom-Session ID zur Identifizierung einer Beratungssession/ Browser Session

Neocom-Conversation ID zur Identifizierung einer einzelnen Beratung durch Neocom