Zusatzvereinbarung zur Datenverarbeitung
Diese Zusatzvereinbarung zur Datenverarbeitung ("DVV") ist Bestandteil des zwischen dem Unternehmen und dem Advertiser geschlossenen Affiliate-Marketing-Advertiser-Vertrages ("Vertrag"), in den diese DVV durch Verweis aufgenommen wurde.
- AUSLEGUNG
1.1 In dieser DVV haben die folgenden Begriffe in Großbuchstaben die nachstehend aufgeführten Bedeutungen:
|
Advertiser-Verarbeitung |
hat die in Ziffer 3.2 definierte Bedeutung; |
|
Berichterstattung |
die Verarbeitung personenbezogener Daten zum Zwecke der Berichterstattung über Tracking und Cross Device Tracking und "Berichte " ist entsprechend zu interpretieren; |
|
Cross Device Tracking |
die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags, die sich auf die Reise eines Verbrauchers über Websites auf mehreren Geräten beziehen, mit dem Zweck die Weiterleitung dieses Verbrauchers an die Webseiten, Apps oder Dienste des Advertisers einem Dritten / Publisher zuzuordnen; |
|
Datenschutzgesetze |
DSGVO, nationale Gesetze zur Umsetzung oder Ergänzung der GDPR (einschließlich des UK Data Protection Act 2018) und, soweit anwendbar, die Datenschutzgesetze eines anderen Landes; |
|
Dienstleistungen |
Dienstleistungen, die von (oder im Auftrag von) Awin, gegenüber dem Advertiser im Rahmen des Vertrages zu erbringenden sind; |
|
DSGVO |
die Datenschutz-Grundverordnung 2016/679 der Europäischen Union; |
|
EWR |
der Europäische Wirtschaftsraum; |
|
Verarbeitung in gemeinsamer Verantwortung |
hat die in Ziffer 3.1 definierte Bedeutung; |
|
Geltende Gesetze |
alle Gesetze oder Vorschriften, Regulierungsrichtlinien, Richtlinien oder Industriestandards, die für personenbezogene Netzwerkdaten gelten; |
|
Geschäftsanalytik (Business Intelligence) |
die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags zum Zwecke des Verständnisses der Nutzung von oder Interaktion mit Webseiten, Apps oder Diensten des Advertisers durch einen Verbraucher, wie vom Advertiser festgelegt, unter Verwendung der Awin-Technlogie (soweit anwendbar). |
|
Leadgenerierung |
die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrages (und aller damit zusammenhängenden oder ergänzenden Vereinbarungen zwischen den Parteien und einem Dritten) zum Zwecke der Generierung eines Sales-Leads für den Advertiser, der nachfolgend für die eigenen Marketingaktivitäten des Advertisers verwendet wird; |
|
Personenbezogene Netzwerkdaten |
sämtliche personenbezogenen Daten, die von den Parteien im Zusammenhang mit der Erbringung der Dienstleistungen im Rahmen des Vertrages verarbeitet werden; |
|
Plugin-Integration |
die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags (und aller damit verbundenen oder ergänzenden Vereinbarungen zwischen den Parteien und einem Dritten) zum Zwecke der Förderung der Integration der Webseiten, Anwendungen oder Dienste des Advertisers in die Technologie eines Dritten / adtech-Anbieters unter Verwendung der Awin-Technologie (soweit anwendbar). |
|
Subauftragsverarbeiter |
jede Person (ausgenommen Mitarbeiter der Parteien), die von einer Partei oder im Auftrag einer Partei damit beauftragt wurde, personenbezogene Daten im Namen dieser Partei oder anderweitig im Zusammenhang mit des Vertrages zu verarbeiten; |
|
Tracking |
die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags, die sich auf Reisen eines Verbrauchers über Webseiten auf einem einzigen Gerät beziehen, um die Weiterleitung dieses Verbrauchers an die Webseiten, Anwendungen oder Dienste des Advertisers einem Dritten / Publisher zuzuordnen; |
|
Transactionsabfragen |
die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags, die sich auf Reisen eines Verbrauchers über Websites beziehen und auf Antrag eines Dritten / Publishers durchgeführt werden, um die Zuordnung von Verbraucher-Weiterleitungen zu den Webseiten, Anwendungen oder Diensten des Advertisers durch Tracking oder Cross Device Tracking neu zu bewerten. |
1.2 Die Begriffe „Verantwortlicher“, „betroffene Person“, „Mitgliedstaat“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“, „Auftragsverarbeiter“ und „Profiling“ haben die Bedeutung, die ihnen in der DSGVO gegeben wurde.
2. ALLGEMEINES
2.1 Dieses DVV stellt sowohl eine Vereinbarung zwischen gemeinsame Verantwortlichen gemäß Artikel 26 DSGVO als auch einen Vertrag zwischen einem Ver
antwortlichen und einem Auftragsverarbeiter gemäß Artikel 28 Absatz 3 DSGVO dar, wie nachfolgen dargelegt und wie der Kontext es erfordert oder erlaubt.
2.2 Diese DVV gilt nur in Bezug auf die Verarbeitung personenbezogener Netzwerkdaten durch die Parteien.
2.3 Im Falle von Widersprüchen zwischen den Bestimmungen dieser DVV und dem Vertrag hat diese DVV Vorrang, sofern nicht ausdrücklich schriftlich etwas anderes vereinbart wurde.
3. VERARBEITUNG PERSONENBEZOGENER NETZWERKDATEN
3.1 Das Unternehmen und der Advertiser handeln als gemeinsam Verantwortliche in Bezug auf die Verarbeitung von personenbezogenen Netzwerkdaten zum Zwecke von
3.1.1 Tracking
3.1.2 Cross Device Tracking
3.1.3 Berichterstattung; und
3.1.4 Transaktionsabfragen
gemeinsam, „Verarbeitung in gemeinsamer Verantwortung“, wobei diese DVV die zwischen den Parteien gemäß Artikel 26 der DSGVO getroffenen Vereinbarungen in Bezug auf diese Verarbeitung festlegt.
3.2 Der Advertiser handelt als Verantwortlicher und das Unternehmen als Auftragsverarbeiter in Bezug auf die Verarbeitung von personenbezogenen Netzwerkdaten zum Zwecke von
3.2.1 Erfassung von Namen und Kontaktinformationen von Verbrauchern im Rahmen der Leadgenerierung des Advertiser;
3.2.2 Geschäftsanalytik; und
3.2.3 Plugin-Integration,
„Advertiser-Verarbeitung“, wobei diese DVV die zwischen den Parteien gemäß Artikel 28 DSGVO getroffenen Vereinbarungen in Bezug auf diese und jede andere Verarbeitung festlegt, bei der eine Partei als Verantwortlicher und die andere Partei als Auftragsverarbeiter handelt.
3.3 Die Verarbeitung personenbezogener Netzwerkdaten zum Zwecke der kann in einer weiteren Vereinbarung zwischen den Parteien und einem Dritten näher geregelt werden (soweit anwendbar).
3.4 Das Unternehmen und der Advertiser kommen ihren jeweiligen Pflichten im Rahmen der Datenschutzgesetze nach. Jede Partei kooperiert in angemessenem Umfang mit der anderen Partei, um dieser die Einhaltung dieser Ziffer 3 zu ermöglichen.
3.5 Der Advertiser wird dem Unternehmen ohne vorherige schriftliche Zustimmung des Unternehmens keine personenbezogenen Daten zur Verfügung stellen, es sei denn dies ist vom Unternehmen im Rahmen des üblichen Betriebs seines Marketing-Netzwerks von Publishern und Advertisern vorgesehen, um unter anderem das Affiliate- und Performance-Marketing zu fördern .
4. BESTIMMUNGEN FÜR VERARBEITUNG IN GEMEINSAMER VERARBEITUNG
4.1 Diese Ziffer 4 findet ausschließlich bei Verarbeitung in gemeinsamer Verantwortung Anwendung.
4.3 Beide Parteien vereinbaren gemeinsam, dass hinsichtlich der Verarbeitung in gemeinsamer Verantwortung Artikel 6 Abs. 1 f) DSGVO für die Verarbeitung personenbezogener Netzwerkdaten gilt und die Verarbeitung personenbezogener Netzwerkdaten für die Wahrung der berechtigten Interessen der Parteien und/oder eines Dritten erforderlich ist.
4.3 Transparenz
4.3.1 Der Advertiser hat geeignete Maßnahmen zu treffen, um betroffenen Personen Informationen darüber zu übermitteln, wie personenbezogene Netzwerkdaten vom Advertiser oder in seinem Auftrag verarbeitet werden. Das schließt mindestens alle Informationen ein, die Artikel 13, 14 und 26 DSGVO diesbezüglich vorschreibt. Der Advertiser wird diese Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln („Advertiser Hinweis zur Verarbeitung”).
4.3.2 Das Unternehmen hat geeignete Maßnahmen zu treffen, um betroffenen Personen Informationen darüber zu übermitteln, wie personenbezogene Netzwerkdaten von dem Unternehmen oder in seinem Auftrag verarbeitet werden. Das schließt mindestens alle Informationen ein, die Artikel 13, 14 und 26 DSGVO vorschreibt. Das Unternehmen wird diese Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln („Unternehmens Hinweis zur Verarbeitung”).
4.3.3 Der Advertiser muss entweder:
(A) in dem Advertiser Hinweis zur Verarbeitung einen Hyperlink zum aktuellen Unternehmens Hinweis zur Verarbeitung beinhalten; oder
(B) sicherzustellen, dass der Advertiser Hinweis zur Verarbeitung hinreichende Informationen enthält, damit das Unternehmen personenbezogene Netzwerkdaten in Übereinstimmung mit den Artikeln 13, 14 und 26 DSGVO verarbeiten kann.
4.4 Rechte betroffener Personen
Jede Partei kommt ihrer Verpflichtung nach, auf Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen zu reagieren. Sofern zwischen den Parteien nichts Abweichendes in Schriftform vereinbart wurde, ist der erste Empfänger der Anfrage einer betroffenen Person zur Ausübung ihrer datenschutzrechtlichen Rechte vorrangig für deren Beantwortung verantwortlich. Jede Partei wird mit der anderen Partei auf Nachfrage in angemessenem Umfang zusammenarbeiten, um die Einhaltung dieser Ziffer 4.4 durch die andere Partei zu ermöglichen.
4.5 Mitarbeiter
4.5.1 Jede Partei ergreift angemessene Maßnahmen zur Gewährleistung der Zuverlässigkeit sämtlicher Mitarbeiter, Vertreter und Auftragnehmer, die Zugang zu den personenbezogenen Netzwerkdaten haben können. In jedem Fall ist zu gewährleisten, dass der Zugriff:
(A) auf die Personen beschränkt ist, deren Kenntnis und/oder Zugriff auf die relevanten personenbezogenen Netzwerkdaten unbedingt erforderlich ist, und
(B) unbedingt notwendig für die Zwecke des Vertrages und die Einhaltung des geltenden Rechts im Rahmen der Pflichten dieser Personen.
4.5.2 Die Parteien stellen sicher, dass sämtliche unter Ziffer 4.5.1 genannten Personen Vertraulichkeitsverpflichtungen bzw. beruflichen oder gesetzlichen Pflichten zur Einhaltung der Vertraulichkeit unterliegen.
4.6 Sicherheit und Vertraulichkeit von Daten
4.6.1 Die Parteien treffen in Bezug auf die personenbezogenen Netzwerkdaten geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus. Das schließt, sofern anwendbar, die in Artikel 32 Abs. 1 DSGVO aufgeführten Maßnahmen ein. Dabei berücksichtigen die Parteien folgende Punkte:
(A) den Stand der Technik, Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, und
(B) die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.
4.6.2 Bei der Bewertung des angemessenen Schutzniveaus berücksichtigen die Parteien insbesondere die Risiken, die mit der Verarbeitung einhergehen. Das schließt u.a. Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Netzwerkdaten ein, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
4.7 Verletzung des Schutzes personenbezogener Daten
4.7.1 Jede Partei
(A) muss die jeweils andere Partei unverzüglich benachrichtigen, wenn ihr eine Verletzung des Schutzes personenbezogener Daten betreffend die personenbezogenen Netzwerkdaten („Verletzung des Schutzes von Netzwerkdaten“) bekannt wird, und
(B) muss der jeweils anderen Partei hinreichende Informationen bereitstellen, damit diese ihren Pflichten zur Meldung oder Benachrichtigung der betroffenen Personen über die Verletzung des Schutzes von Netzwerkdaten im Rahmen der oder Zusammenhang mit den Datenschutzgesetzen nachkommen kann; und
(C) muss in Bezug auf die externe Kommunikations- und PR-Strategie im Zusammenhang mit der Verletzung des Schutzes von Netzwerkdaten Rücksprache mit der anderen Partei halten; und
(D) darf, vorbehaltlich der Einhaltung geltenden Gesetzte, keine Datenschutzbehörde über die Verletzung des Schutzes von Netzwerkdaten informieren, ohne vorher eine schriftliche Genehmigung der anderen Partei eingeholt zu haben; und
(E) darf in Bezug auf die Verletzung des Schutzes von Netzwerkdaten keine Pressemitteilung herausgeben oder mit einem Pressevertreter sprechen, ohne vorher eine schriftliche Genehmigung der anderen Partei eingeholt zu haben.
4.7.2 Die in Ziffer 4.7.1(a) genannte Benachrichtigung muss mindestens folgende Bedingungen erfüllen:
(A) sie muss die Art der Verletzung des Schutzes von Netzwerkdaten, die Arten und die Anzahl der betroffenen Personen sowie die Arten und die Anzahl der betroffenen personenbezogenen Datensätze enthalten; und
(B) es müssen die möglichen Folgen der Verletzung des Schutzes von Netzwerk¬daten dargestellt werden; und
(C) es müssen die ergriffenen und geplanten Maßnahmen dargestellt werden, mit denen die Verletzung des Schutzes von Netzwerkdaten behoben werden soll.
4.7.3 Der Advertiser wird mit dem Unternehmen zusammenarbeiten und alle, vom Unternehmen geforderten, wirtschaftlich angemessenen Maßnahmen ergreifen, um bei der Untersuchung, Minderung und Behebung jeder Verletzung des Schutzes von Netzwerkdaten zu unterstützen.
4.8 Datentransfer
Keine der Parteien darf personenbezogene Netzwerkdaten unter Verletzung der geltenden Datenschutzgesetzte in Länder außerhalb des EWR transferieren.
4.9 Profiling
Der Advertiser darf keine personenbezogenen Daten, die in Berichten enthalten sind, für die Erstellung von Verbraucherprofilen verwenden.
4.10 Inanspruchnahme von Auftragsverarbeitern
Im Falle einer beabsichtige Verarbeitung durch einen Auftragsverarbeiter hat die beauftragende Partei:
4.10.1 vor der ersten Verarbeitung personenbezogenen Netzwerkdaten durch einen Auftragsverarbeiter mit angemessener Sorgfalt sicherzustellen, dass der Auftragsverarbeiter in der Lage ist, das von den geltenden Datenschutzgesetzen vorgeschriebene Schutzniveau für personenbezogenen Netzwerkdaten zu gewährleisten; und
4.10.2 sicherzustellen, dass die Vereinbarung mit einem solchen Auftragsverarbeiter in einem schriftlichen Vertrag geregelt ist, der die in Artikel 28 Abs. 3 DSGVO aufgeführten Vorgaben erfüllt.
5. BESTIMMUNGEN FÜR DIE ADVERTISER-VERARBEITUNG
5.1 Diese Ziffer 5 findet ausschließlich bei der Advertiser-Verarbeitung Anwendung (soweit anwendbar).
5.2. Das Unternehmen wird:
5.2.1 personenbezogene Daten zum Zwecke der Advertiser-Verarbeitung nur in Übereinstimmung mit den Anweisungen des Advertisers verarbeiten. Dies umfasst auch die Löschung und Rückgabe von personenbezogenen Daten; und
5.2.2 dem Advertiser alle schriftlich angeforderten Informationen in Bezug auf personenbezogene Daten unter Beachtung einer Frist von 30 Tage und während der üblichen Geschäftszeiten zur Verfügung stellen, die zum Nachweis der Einhaltung dieser Ziffer 5.2 erforderlich sind und, in angemessenen Umfang Überprüfungen ermöglichen und unterstützen, die durch den Advertiser oder einen vom Advertiser benannten Prüfer durchgeführt werden (die Benennung eines Prüfers bedarf der vorherigen schriftlichen Zustimmung des Unternehmens); und
5.2.3 den Advertiser unverzüglich benachrichtigen, wenn es eine Anfrage von einem/einer Betroffenen zur Ausübung seiner/ihrer Rechte gemäß den Datenschutzgesetzen erhält, und dem Advertiser jede angemessener Weise geforderte Zusammenarbeit anbieten, damit dieser auf derartige Anfragen antworten kann; und
5.2.4 Subauftragnehmer nur in Übereinstimmung mit den Vorgaben von Ziffer 4.10 beauftragen; und
5.2.5 die Vorgaben nach Ziffern 4.5 bis 4.8 einhalten.
5.3 Der Advertiser erteilt dem Unternehmen hiermit eine generelle Vollmacht gemäß Artikel 28 Abs. 2 DSGVO, Subauftragsverarbeiter zu beauftragen. Das Unternehmen informiert den Advertiser über alle beabsichtigten Änderungen, betreffend die Hinzuziehung und oder den Austausch von Subauftragsverarbeitern.
6. WEITERE VERARBEITUNG
6.1 Hinsichtlich jeder weitere Verarbeitung von personenbezogenen Netzwerkdaten unter dem Vertrages, wird, soweit in dieser DVV nicht anders bestimmt, die Partei, die als Auftragsverarbeiter handelt:
6.1.1 personenbezogene Netzwerkdaten für den jeweiligen Zweck nur in Übereinstimmung mit den Anweisungen des Datenverantwortlichen verarbeiten. Dies umfasst auch die Löschung oder Rückgabe personenbezogener Daten; und
6.1.2 dem Datenverantwortlichen alle schriftlich angeforderten Informationen in Bezug auf personenbezogene Daten unter Beachtung einer Frist von 30 Tage und während der üblichen Geschäftszeiten zur Verfügung stellen, die zum Nachweis der Einhaltung dieser Ziffer 6.1 erforderlich sind und in angemessenen Umfang Überprüfungen ermöglichen und unterstützen, die durch den Datenverantwortlichen oder einen vom Datenverantwortlichen benannten Prüfer durchgeführt werden (die Benennung eines Prüfers bedarf der vorherigen schriftlichen Zustimmung des Unternehmens); und
6.1.3 den Datenverantwortlichen unverzüglich benachrichtigen, wenn sie eine Anfrage von einem/einer Betroffenen zur Ausübung seiner/ihrer Rechte gemäß den Datenschutzgesetzen erhält, und dem Datenverantwortlichen jede angemessener Weise geforderte Zusammenarbeit anbieten, damit dieser auf derartige Anfragen antworten kann; und
6.1.4 Subauftragnehmer nur in Übereinstimmung mit den Vorgaben von Ziffer 4.10 beauftragen; und
6.1.5 die Vorgaben nach Ziffern 4.5 bis 4.8 einhalten.
6.2 Im Falle eines Widerspruchs zwischen dieser Ziffer 6 und einer anderen Vereinbarung zwischen den Parteien über die gleiche Verarbeitung, hat die andere Vereinbarung Vorrang.
7. HAFTUNG
7.1 Jede Partei haftet alleine für alle Kosten, Ansprüche, Verluste, Schäden, Aufwendungen und Bußgelder die sich ergeben aus:
7.1.1 ihrem Verstoß gegen ein Datenschutzgesetz; und
7.1.2 ihrem Verstoß gegen diese DVV oder den Vertrag; und
7.1.3 der Verarbeitung von personenbezogenen Daten in ihrem Verantwortungsbereich; und
7.1.4 Ereignissen, für die sie verantwortlich ist;
so dass für derartige Verletzungen zwischen den Parteien keine gesamtschuldnerische Haftung besteht.
7.2 Das Unternehmen haftet nicht für Verstöße gegen Datenschutzgesetze, die auf einer Verarbeitung personenbezogener Netzwerkdaten durch oder in Verbindung mit einem Dritten / adtech-Anbieter, dessen Technologie unter Verwendung von Unternehmens-Technologie in Webseiten, Anwendungen oder Dienste des Advertisers integriert wurde.
7.3 Keine Regelung in dieser DVV beschränkt die Haftung einer Partei für Schadensersatzansprüche aufgrund einer Verletzung des Lebens, des Körpers und der Gesundheit (Personenschäden), gesetzlich vorgeschriebener, verschuldensunabhängiger Haftung sowie die Haftung aus Vorsatz und grober Fahrlässigkeit.
8. BREXIT
Für den Fall, dass das Vereinigte Königreich unter solchen Bedingungen aus der Europäischen Union ausscheidet, dass die Übermittlung personenbezogener Daten an das Vereinigte Königreich eine Übermittlung personenbezogener Daten an ein Drittland gemäß Artikel 44 DSGVO darstellt und kein Angemessenheitsbeschluss gemäß Artikel 45 Abs. 3 DSGVO vorliegt gelten die Standardvertragsklauseln als zwischen den Parteien vereinbart, die von der Europäischen Kommission von Zeit zu Zeit erlassen werden für die Datenübermittlung von im EWR ansässigen Datenverantwortlichen an:
8.1 außerhalb des EWR ansässige Datenverantwortliche; und / oder
8.2 außerhalb des EWR ansässige Auftragsverarbeiter;
unverzüglich nach schriftlicher Mitteilung an den Advertiser (auch durch Veröffentlichung einer Mitteilung im Interface) zu Bedingungen, die das Unternehmen für angemessen erachtet, sofern diese Bedingungen den Anforderungen an geeignete Garantien gemäß Artikel 46 DSGVO entsprechen.
9. ÄNDERUNGSVORBEHALT DIESER DVV
Das Unternehmen kann unter Beachtung einer Frist von 7 Tagen mittels schriftlicher Mitteilung an den Advertiser (auch durch Veröffentlichung einer Mitteilung im Interface) bindende Änderungen an dieser DVV vornehmen, die das Unternehmen angemessener Weise als notwendig erachten darf, um den Anforderungen der Datenschutzgesetze zu entsprechen.
10. SALVATORISCHE KLAUSEL
Sollten sich einzelne Bestimmungen dieser DVV als unwirksam oder nicht durchsetzbar erweisen, behält der Rest dieser DVV seine Gültigkeit und Wirksamkeit. Die unwirksame oder nicht durchsetzbare Bestimmung muss:
10.1 unter größtmöglicher Beibehaltung der Absichten der Parteien modifiziert werden, um ihre Wirksamkeit und Durchsetzbarkeit zu gewährleisten, oder, falls das nicht möglich ist,
10.2 so ausgelegt werden, als ob der unwirksame oder nicht durchsetzbare Bestandteil nie in dieser DVV enthalten gewesen wäre.
11. RECHTE DRITTER
Dritte sind nicht berechtigt, Bestimmungen dieser DVV durchzusetzen.
12. ANWENDBARES RECHT UND GERICHTSSTAND
Anwendbares Recht und Gerichtsstand dieser DVV entsprechen denen des Vertrages.
