Zusatzvereinbarung zur Datenverarbeitung

1. AUSLEGUNG

1.1. In dieser DVV haben die folgenden Begriffe die nachstehend aufgeführte Bedeutung:

Advertiser-Verarbeitung	hat die in Ziffer 3.2 beschriebene Bedeutung.
Advertiser-Website	die Websites, Apps oder Online-Dienste des Advertisers.
Berichterstattung	die Verarbeitung personenbezogener Daten zum Zwecke der Berichterstattung über die Nutzung der Dienstleistungen durch den Advertiser und über die entsprechende Performance, wie es durch das Interface ermöglicht wird; der Begriff „Berichte“ ist in diesem Sinne auszulegen.
Cross-Device-Tracking	die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags, um ein Verständnis der Online-Reise eines Verbrauchers von der Publisher-Website zur Advertiser-Website nach dem Ansehen oder Klicken auf eine Anzeige zu erlangen, wenn diese Reise auf einem Gerät begonnen, die Transaktion jedoch auf einem anderen Gerät abgeschlossen wird.
Datenschutzgesetze	alle Datenschutzgesetze und ähnliche Gesetze, die für im Zusammenhang mit dem Vertrag verarbeitete Daten gelten, einschließlich der DSGVO, der UK GDPR, des UK Data Protection Act 2018, der ePrivacy und sämtlicher Änderungen und Neufassungen dieser Gesetze.
Dienstleistungen	Dienstleistungen, die im Rahmen des Vertrags vom Unternehmen (oder im Auftrag des Unternehmens) gegenüber dem Advertiser zu erbringenden sind.
DSGVO	die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 (Datenschutz-Grundverordnung).
ePrivacy	die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation und die UK Privacy and Electronic Communications (EC Directive) Regulations 2003 (einschließlich aller Rechtsvorschriften, die diese Richtlinien ersetzen).
EWR	Europäischer Wirtschaftsraum
Geltende Gesetze	alle Gesetze und Vorschriften, Regulierungsrichtlinien, Richtlinien oder Industriestandards, die für personenbezogene Netzwerkdaten gelten (einschließlich aber nicht beschränkt auf Datenschutzgesetze).
Geschäftsanalytik (Business Intelligence)	die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags zu dem Zweck, dem Advertiser ein besseres Verständnis der Online-Reise eines Verbrauchers und der Nutzung und der Besucher der Advertiser-Website zu ermöglichen, wie vom Advertiser durch die Nutzung der Technologie des Unternehmens festgelegt.
Leadgenerierung	die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags (und aller damit zusammenhängenden oder ergänzenden Vereinbarungen mit Dritten und/oder zwischen den Parteien) zum Zwecke der Generierung eines Sales-Leads für den Advertiser, der nachfolgend für die eigenen Marketingaktivitäten des Advertisers verwendet wird.
MasterTag	der JavaScript-Code des Unternehmens, der in die Advertiser-Website integriert werden kann, um dem Advertiser bestimmte Dienstleistungen und/oder die Plugin-Integration zu ermöglichen.
Personenbezogene Netzwerkdaten	sämtliche personenbezogenen Daten, die von den Parteien im Zusammenhang mit der Erbringung der Dienstleistungen im Rahmen des Vertrages verarbeitet werden.
Plugin	die Technologie eines Plugin-Operators, die über den MasterTag in die Advertiser-Website integriert wird und zur Bereitstellung der Dienstleistungen des Plugin-Operators verwendet wird.
Plugin-Integration	die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags (und aller damit zusammenhängenden oder ergänzenden Vereinbarungen mit Dritten und/oder zwischen den Parteien) zu dem Zwecke der Förderung der Integration der Advertiser-Website mit dem Plugin durch Nutzung von Technologie des Unternehmens, z. B. des MasterTags.
Plugin-Operator	ein Drittanbieter von Adtech.
Publisher	der Betreiber einer Website, einer App oder eines Dienstes, der Advertiser oder deren Produkte als Affiliate vermarktet.
Publisher-Webseite	die Websites, Apps, E-Mails oder Online-Dienste eines Publishers oder entsprechende Dienste eines Drittanbieters, die vom Publisher verwendet werden.
Subauftragsverarbeiter	jede Person (ausgenommen Mitarbeiter der Parteien), die von einer Partei oder im Auftrag einer Partei damit beauftragt wurde, personenbezogene Daten im Namen dieser Partei oder anderweitig im Zusammenhang mit dem Vertrag zu verarbeiten;
Tracking	die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags, die sich auf Reisen eines Verbrauchers über Webseiten/Online-Dienste auf einem einzigen Gerät bezieht, um die Weiterleitung dieses Verbrauchers an die Advertiser-Website einem Publisher oder Publishern zuzuordnen, insbesondere um (i) die Online-Reise eines Verbrauchers zu einer Publisher-Website und von einer Publisher-Website zur Advertiser-Website nach dem Ansehen oder Klicken auf eine Anzeige zu verstehen; (ii) die Ankunft eines Verbrauchers auf der Advertiser-Website mit einer Online-Reise von einer Publisher-Website zu verbinden; und (iii) informiert zu werden, wenn eine Transaktion abgeschlossen wurde, grundlegende Informationen über die Art dieser Transaktion zu erhalten und diese Transaktion der jeweiligen Weiterleitung zuzuordnen.
Transaktion	entweder (i) der Kauf eines Produkts beim Advertiser durch einen Verbraucher; oder (ii) die Bereitstellung von Daten von einem Verbraucher an den Advertiser mit dem Zweck der Generierung eines Sales-Leads für den Advertiser, der nachfolgend für die eigenen Marketingaktivitäten des Advertisers verwendet wird.
Transaktionsabfragen	die Verarbeitung personenbezogener Netzwerkdaten im Rahmen des Vertrags im Zusammenhang mit der Übermittlung von Abfragen eines Publishers an einen Advertiser zur Zahlung einer Provision für eine Transaktion, die vom Unternehmen nicht getrackt oder vom Advertiser nicht bestätigt wurde.
UK GDPR	die auf britischem Recht beruhende Fassung der DSGVO, die aufgrund von Abschnitt 3 des EU-Austrittsgesetzes von 2018 Teil des Rechts von England und Wales, Schottland und Nordirland ist, mit den Änderungen durch Anhang 1 der Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 (SI 2019/419).
Verarbeitung in gemeinsamer Verantwortung	hat die in Ziffer 3.1 beschriebene Bedeutung.
Weiterleitung	die Weiterleitung eines Verbrauchers von einer Publisher-Webseite zu einer Advertiser-Website.
Zusatzvereinbarung zu den Standardvertragsklauseln	https://www.awin.com/gb/legal/dpa-scc

1.2. Die Begriffe „Verantwortlicher“, „betroffene Person“, „personenbezogene Daten“, „Verletzung des Schutzes personenbezogener Daten“, „Verarbeitung“, „Auftragsverarbeiter“ und „Profiling“ haben die Bedeutung, die ihnen in der DSGVO gegeben wurde.

1.3. Wird in dieser DVV auf Artikel oder Bestimmungen der DSGVO Bezug genommen, so sind die Artikel oder Bestimmungen bzw. entsprechende Artikel oder Bestimmungen der UK GDPR gemeint, soweit die UK GDPR auf die betreffende Verarbeitung im Rahmen dieses Vertrags anzuwenden ist.

2. ALLGEMEINES

2.1. Diese DVV stellt sowohl eine Vereinbarung zwischen gemeinsam Verantwortlichen gemäß Artikel 26 DSGVO als auch einen Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter gemäß Artikel 28 Abs. 3 DSGVO dar, wie nachfolgend dargelegt und wie der Kontext es erfordert oder erlaubt.

2.2. Diese DVV gilt nur in Bezug auf die Verarbeitung personenbezogener Netzwerkdaten durch die Parteien.

2.3. Im Falle von Widersprüchen zwischen den Bestimmungen dieser DVV und dem Vertrag hat diese DVV Vorrang, sofern nicht ausdrücklich schriftlich etwas anderes vereinbart wurde.

3. VERARBEITUNG PERSONENBEZOGENER NETZWERKDATEN

3.1. Das Unternehmen und der Advertiser handeln als gemeinsam Verantwortliche in Bezug auf die Verarbeitung von personenbezogenen Netzwerkdaten zum Zwecke von

3.1.1. Tracking

3.1.2. Cross-Device-Tracking; und

3.1.3. Berichterstattung

zusammen als „Verarbeitung in gemeinsamer Verantwortung“ bezeichnet. Diese DVV enthält die Vereinbarungen zwischen den Parteien gemäß Artikel 26 DSGVO in Bezug auf diese Verarbeitung; Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen in Bezug auf die Verarbeitung in gemeinsamer Verantwortung sind in Anhang 1 aufgeführt.

3.2. Der Advertiser handelt als Verantwortlicher und das Unternehmen als Auftragsverarbeiter in Bezug auf die Verarbeitung von personenbezogenen Netzwerkdaten zum Zwecke von

3.2.1. Erfassung von Namen und Kontaktinformationen von Verbrauchern im Rahmen der Leadgenerierung des Advertisers;

3.2.2. Geschäftsanalytik (Business Intelligence);

3.2.3. Plugin-Integration; und

3.2.4. Transaktionsabfragen

zusammen als „Advertiser-Verarbeitung“ bezeichnet. Diese DVV enthält die Vereinbarungen zwischen den Parteien gemäß Artikel 28 DSGVO in Bezug auf diese Verarbeitung und jegliche anderen Formen der Verarbeitung, bei denen eine Partei als Verantwortlicher und die andere Partei als Auftragsverarbeiter handelt; Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen in Bezug auf die Advertiser-Verarbeitung sind in Anhang 1 aufgeführt.

3.3. Das Unternehmen und der Advertiser kommen ihren jeweiligen Pflichten im Rahmen der Datenschutzgesetze nach. Jede Partei kooperiert in angemessenem Umfang mit der anderen Partei, um dieser die Einhaltung dieser Ziffer 3 zu ermöglichen.

3.4. Der Advertiser wird dem Unternehmen ohne vorherige schriftliche Zustimmung des Unternehmens keine personenbezogenen Daten zur Verfügung stellen, es sei denn, dies ist vom Unternehmen im Rahmen des üblichen Betriebs seines Marketing-Netzwerks von Publishern und Advertisern vorgesehen, um unter anderem das Affiliate- und Performance-Marketing zu fördern.

4. BESTIMMUNGEN FÜR VERARBEITUNG IN GEMEINSAMER VERANTWORTUNG

4.1. Diese Ziffer 4 gilt nur für die Verarbeitung in gemeinsamer Verantwortung.

4.2. Beide Parteien vereinbaren gemeinsam, dass hinsichtlich der Verarbeitung in gemeinsamer Verantwortung Artikel 6 Abs. 1 f) DSGVO für die Verarbeitung personenbezogener Netzwerkdaten gilt und die Verarbeitung personenbezogener Netzwerkdaten für die Wahrung der berechtigten Interessen der Parteien und/oder eines Dritten erforderlich ist.

4.3. Transparenz

4.3.1. Der Advertiser hat geeignete Maßnahmen zu treffen, um den betroffenen Personen Informationen darüber zur Verfügung zu stellen, wie die personenbezogenen Netzwerkdaten vom Advertiser oder in seinem Auftrag verarbeitet werden; dies umfasst mindestens die Informationspflichten gemäß Artikel 13, 14 und 26 DSGVO und muss in einer präzisen, transparenten und leicht zugänglichen Form in klarer, einfacher Sprache erfolgen; und er muss einen geeigneten Ansprechpartner angeben, an den sich die betroffenen Personen wenden können, wenn sie Fragen zur Einhaltung der Datenschutzgesetze durch den Advertiser haben oder ihre Rechte gemäß den Datenschutzgesetzen ausüben möchten („Datenschutzerklärung des Advertisers“).

4.3.2. Das Unternehmen hat geeignete Maßnahmen zu treffen, um den betroffenen Personen Informationen darüber zur Verfügung zu stellen, wie die personenbezogenen Netzwerkdaten vom Unternehmen oder im Auftrag des Unternehmens verarbeitet werden; dies umfasst mindestens die Informationspflichten gemäß Artikel 13, 14 und 26 DSGVO und muss in einer präzisen, transparenten und leicht zugänglichen Form in klarer, einfacher Sprache erfolgen; und es muss einen geeigneten Ansprechpartner angeben, an den sich die betroffenen Personen wenden können, wenn sie Fragen zur Einhaltung der Datenschutzgesetze durch das Unternehmen haben oder ihre Rechte gemäß den Datenschutzgesetzen ausüben möchten („Datenschutzerklärung des Unternehmens“).

4.3.3. Der Advertiser muss entweder

(a) in die Datenschutzerklärung des Advertisers einen Hyperlink zur aktuellen Datenschutzerklärung des Unternehmens aufnehmen; oder

(b) sicherstellen, dass die Datenschutzerklärung des Advertisers hinreichende Informationen enthält, damit das Unternehmen personenbezogene Netzwerkdaten gemäß Artikel 13, 14 und 26 DSGVO verarbeiten kann.

4.4. Rechte betroffener Personen

Jede Partei kommt ihrer Verpflichtung nach, auf Anfragen betroffener Personen zur Ausübung ihrer Rechte gemäß den Datenschutzgesetzen zu reagieren. Sofern zwischen den Parteien nichts Abweichendes in Schriftform vereinbart wurde, ist der erste Empfänger der Anfrage einer betroffenen Person zur Ausübung ihrer datenschutzrechtlichen Rechte vorrangig für deren Beantwortung verantwortlich. Jede Partei gewährt der anderen Partei jegliche Kooperation und Informationen, die vernünftigerweise angefordert werden, um dieser die Einhaltung dieser Ziffer 4.4 zu ermöglichen.

4.5. Personal

4.5.1. Jede Partei ergreift angemessene Maßnahmen zur Gewährleistung der Zuverlässigkeit sämtlicher Mitarbeiter, Vertreter und Auftragnehmer, die Zugang zu den personenbezogenen Netzwerkdaten haben können. In jedem Fall ist zu gewährleisten, dass der Zugriff:

(a) auf die Personen beschränkt ist, deren Kenntnis und/oder Zugriff auf die relevanten personenbezogenen Netzwerkdaten unbedingt erforderlich ist, und

(b) unbedingt notwendig für die Zwecke des Vertrages ist und um die geltenden Gesetze im Zusammenhang mit den Pflichten dieser Person einzuhalten.

4.5.2. Alle Parteien stellen sicher, dass sämtliche unter Ziffer 4.5.1 genannten Personen Vertraulichkeitsverpflichtungen bzw. beruflichen oder gesetzlichen Verpflichtungen zur Einhaltung der Vertraulichkeit unterliegen.

4.6. Sicherheit und Vertraulichkeit von Daten

4.6.1. Die Parteien treffen in Bezug auf die personenbezogenen Netzwerkdaten geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus. Das schließt gegebenenfalls die in Artikel 32 Abs. 1 DSGVO aufgeführten Maßnahmen ein. Dabei berücksichtigen die Parteien folgende Punkte:

(a) den neuesten Stand der Technik, die Implementierungskosten sowie die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung; und

(b) die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

4.6.2. Bei der Bewertung des angemessenen Schutzniveaus berücksichtigen die Parteien insbesondere die Risiken, die mit der Verarbeitung einhergehen. Das schließt u. a. die versehentliche oder gesetzwidrige Vernichtung, den Verlust, die Änderung, die unbefugte Offenlegung von bzw. den Zugriff auf personenbezogene Netzwerkdaten ein, die übermittelt, gespeichert oder anderweitig verarbeitet werden.

4.7. Verletzung des Schutzes personenbezogener Daten

4.7.1. Jede Partei

(a) muss die jeweils andere Partei unverzüglich benachrichtigen, sobald sie Kenntnis von einer Verletzung des Schutzes personenbezogener Daten erlangt, die die personenbezogenen Netzwerkdaten betrifft („Verletzung des Schutzes von Netzwerkdaten“);

(b) muss der jeweils anderen Partei hinreichende Informationen bereitstellen, damit diese ihren Pflichten zur Meldung oder Benachrichtigung der betroffenen Personen über die Verletzung des Schutzes von Netzwerkdaten im Rahmen der oder Zusammenhang mit den Datenschutzgesetzen nachkommen kann;

(c) muss in Bezug auf die externe Kommunikations- und PR-Strategie im Zusammenhang mit der Verletzung des Schutzes von Netzwerkdaten Rücksprache mit der anderen Partei halten;

(d) darf vorbehaltlich der geltenden Gesetze keine Datenschutzbehörde über die Verletzung des Schutzes von Netzwerkdaten informieren, ohne vorher die andere Partei davon in Kenntnis gesetzt zu haben; und

(e) darf in Bezug auf die Verletzung des Schutzes von Netzwerkdaten keine Pressemitteilung herausgeben oder mit einem Pressevertreter sprechen, ohne vorher eine schriftliche Genehmigung der anderen Partei eingeholt zu haben.

4.7.2. Die in Ziffer 4.7.1(a) genannte Benachrichtigung muss mindestens folgende Bedingungen erfüllen:

(a) sie muss die Art der Verletzung des Schutzes von Netzwerkdaten, die Arten und die Anzahl der betroffenen Personen sowie die Arten und die Anzahl der betroffenen personenbezogenen Datensätze enthalten; und

(b) es müssen die möglichen Folgen der Verletzung des Schutzes von Netzwerkdaten dargestellt sein; und

(c) es müssen die ergriffenen und geplanten Maßnahmen dargestellt sein, mit denen die Verletzung des Schutzes von Netzwerkdaten behoben werden soll.

(d) Der Advertiser wird mit dem Unternehmen zusammenarbeiten und alle vom Unternehmen geforderten, wirtschaftlich angemessenen Maßnahmen ergreifen, um dieses bei der Untersuchung, Minderung und Behebung jeder Verletzung des Schutzes von Netzwerkdaten zu unterstützen.

4.8. Datentransfer

4.8.1. Die Parteien dürfen personenbezogene Netzwerkdaten in Länder außerhalb des EWR übermitteln, soweit dies gemäß den Datenschutzgesetzen zulässig ist.

4.8.2. In den Fällen, in denen im Rahmen der Erbringung der Dienstleistungen

(a) das Unternehmen personenbezogene Netzwerkdaten an den Advertiser übermittelt; und

(b) der Advertiser oder ein Standort oder Werk des Advertisers außerhalb des Europäischen Wirtschaftsraums geschäftsansässig ist,

unterliegt die Übermittlung der personenbezogenen Netzwerkdaten der Zusatzvereinbarung zu den Standardvertragsklauseln.

4.8.3. In den Fällen, in denen die Übermittlung von personenbezogenen Netzwerkdaten gemäß Ziffer 8.2 im Rahmen der Advertiser-Verarbeitung erfolgt, weist der Advertiser das Unternehmen hiermit an, personenbezogene Daten außerhalb des Europäischen Wirtschaftsraums zu übermitteln.

4.9. Profiling

Der Advertiser darf keine personenbezogenen Daten, die in Berichten enthalten sind, für die Erstellung von Verbraucherprofilen verwenden.

4.10. Inanspruchnahme von Auftragsverarbeitern

In Bezug auf einen vorgesehenen Auftragsverarbeiter, den eine Partei beauftragen möchte, hat diese Partei

4.10.1. vor der ersten Verarbeitung personenbezogener Netzwerkdaten durch diesen Auftragsverarbeiter mit angemessener Sorgfalt sicherzustellen, dass der Auftragsverarbeiter in der Lage ist, das von den Datenschutzgesetzen vorgeschriebene Schutzniveau für personenbezogene Netzwerkdaten zu gewährleisten; und

4.10.2. sicherzustellen, dass die Vereinbarung mit einem solchen Auftragsverarbeiter in einem schriftlichen Vertrag geregelt ist, der die in Artikel 28 Abs. 3 DSGVO aufgeführten Vorgaben erfüllt.

5. BESTIMMUNGEN FÜR DIE ADVERTISER-VERARBEITUNG

5.1. Diese Ziffer 5 gilt nur für die Advertiser-Verarbeitung (soweit anwendbar).

5.2. Das Unternehmen verpflichtet sich,

5.2.1. personenbezogene Daten im Rahmen der Advertiser-Verarbeitung nur gemäß den Anweisungen des Advertisers zu verarbeiten, auch in Bezug auf die Löschung und die Rückgabe von personenbezogenen Daten,

5.2.2. wenigstens eine angemessene schriftliche Prüfung pro Kalenderjahr, die mindestens 30 Tage vorher schriftlich vom Advertiser angekündigt wird, zu den normalen Geschäftszeiten zuzulassen und daran mitzuwirken, soweit dies erforderlich ist, um die Einhaltung dieser Ziffer 2 nachzuweisen, und sofern die Kosten, die einer Partei im Zusammenhang mit der schriftlichen Prüfung entstehen, vom Advertiser getragen werden;

5.2.3. Subauftragsverarbeiter gemäß Ziffer 10 zu beauftragen und darüber hinaus sicherzustellen, dass der Vertrag zwischen dem Subauftragsverarbeiter und dem Unternehmen Bestimmungen enthält, die mindestens das gleiche Schutzniveau für die personenbezogenen Netzwerkdaten bieten, wie in dieser DVV in Bezug auf die Advertiser-Verarbeitung festgelegt; und

5.2.4. die Vorgaben nach Ziffern 4.5 - 4.8 einzuhalten.

5.3. Der Advertiser erteilt dem Unternehmen hiermit eine generelle Vollmacht gemäß Artikel 28 Abs. 2 DSGVO, Subauftragsverarbeiter zu beauftragen. Das Unternehmen informiert den Advertiser über alle beabsichtigten Änderungen betreffend die Hinzuziehung oder den Austausch von Subauftragsverarbeitern. Der Advertiser kann innerhalb von 14 Tagen nach der Benachrichtigung durch das Unternehmen schriftlich eine berechtigte Ablehnung der beabsichtigten Änderung bekannt geben. Nach der Ablehnung durch den Advertiser kann das Unternehmen innerhalb von 30 Tagen nach Erhalt des entsprechenden Schreibens entweder

5.3.1. dem Advertiser mitteilen, dass die beabsichtigte Änderung in Bezug auf den Vertrag nicht umgesetzt wird; oder

5.3.2. nach schriftlicher Mitteilung an den Advertiser unverzüglich die entsprechende Advertiser-Verarbeitung einstellen.

6. SONSTIGE VERARBEITUNG

6.1. Hinsichtlich jeder sonstigen Verarbeitung von personenbezogenen Netzwerkdaten im Rahmen des Vertrags und soweit in dieser DVV nicht anders angegeben, ist die Partei, die als Auftragsverarbeiter handelt, zu Folgendem verpflichtet:

6.1.1. personenbezogene Netzwerkdaten für den jeweiligen Zweck nur in Übereinstimmung mit den Anweisungen des Datenverantwortlichen zu verarbeiten, auch in Bezug auf die Löschung oder Rückgabe personenbezogener Daten;

6.1.2. dem Datenverantwortlichen alle schriftlich angeforderten Informationen in Bezug auf personenbezogene Netzwerkdaten unter Beachtung einer Frist von 30 Tagen und während der normalen Geschäftszeiten zur Verfügung zu stellen, die zum Nachweis der Einhaltung dieser Ziffer 6.1 erforderlich sind, und in angemessenen Umfang Überprüfungen zu ermöglichen und zu unterstützen, die durch den Datenverantwortlichen oder einen vom Datenverantwortlichen benannten Prüfer durchgeführt werden (die Benennung eines Prüfers bedarf der vorherigen schriftlichen Zustimmung des Unternehmens);

6.1.3. Subauftragsverarbeiter gemäß Ziffer 10 zu beauftragen und darüber hinaus sicherzustellen, dass der Vertrag zwischen dem Subauftragsverarbeiter und der Partei, die als Auftragsverarbeiter handelt, Bestimmungen enthält, die mindestens das gleiche Schutzniveau für die personenbezogenen Netzwerkdaten bieten wie in dieser Ziffer 6.1 festgelegt;

6.1.4. die Vorgaben nach Ziffern 4.5 - 4.8 einzuhalten.

6.2. Im Falle eines Widerspruchs zwischen dieser Ziffer 6 und einer anderen Vereinbarung zwischen den Parteien in Bezug auf die gleiche Verarbeitung hat diese andere Vereinbarung Vorrang.

7. HAFTUNG

7.1. Jede Partei haftet alleine für alle Kosten, Ansprüche, Verluste, Schäden, Aufwendungen und Bußgelder, die sich ergeben aus:

7.1.1. ihrem Verstoß gegen ein Datenschutzgesetz;

7.1.2. ihrem Verstoß gegen diese DVV oder den Vertrag;

7.1.3. der Verarbeitung von personenbezogenen Daten in ihrem Verantwortungsbereich; und

7.1.4. Ereignissen, für die sie verantwortlich ist;

so dass für solche Verletzungen zwischen den Parteien keine gesamtschuldnerische Haftung besteht.

7.2. Das Unternehmen haftet nicht für Verstöße gegen Datenschutzgesetze, die aufgrund einer Verarbeitung durch oder in Verbindung mit einem Drittanbieter von Adtech entstehen, dessen Technologie unter Verwendung der Technologie des Unternehmens mit der Advertiser-Website integriert werden kann.

7.3. Neben den Beschränkungen gemäß dieser Ziffer 7 ist die Haftung der Parteien im Rahmen dieser DVV im Einklang mit den im Vertrag festgelegten Haftungsbeschränkungen beschränkt.

8. ÜBERPRÜFUNG DER EINWILLIGUNG

8.1. Der Advertiser ist verpflichtet, im Auftrag des Unternehmens, zur Einhaltung des Einwilligungserfordernisses gemäß der ePrivacy die vorherige, freiwillige, für den konkreten Fall, in informierter Weise, unmissverständliche und widerrufliche Einwilligung der Nutzer der Advertiser-Website(s) zu den vertragsgemäß eingesetzten Cookies oder anderen Tracking-Technologien des Unternehmens einzuholen.

8.2. Das Unternehmen kann Informationen (einschließlich Zustimmungsaufzeichnungen/Protokolle) vom Advertiser anfordern, um objektiv zu prüfen, ob der Advertiser die Bestimmungen der Ziffer 8.1 eingehalten hat, und der Advertiser ist verpflichtet, dem Unternehmen diese Informationen unverzüglich (spätestens 14 Tage nach der schriftlichen Aufforderung des Unternehmens) zur Verfügung zu stellen.

9. ÄNDERUNGSVORBEHALT DIESER DVV

Das Unternehmen kann unter Beachtung einer Frist von 7 Tagen mittels schriftlicher Mitteilung an den Advertiser (auch durch Veröffentlichung einer Mitteilung im Interface) bindende Änderungen an dieser DVV vornehmen, wenn das Unternehmen diese Änderungen angemessener Weise für notwendig erachtet, um den Anforderungen der Datenschutzgesetze zu entsprechen.

10. SALVATORISCHE KLAUSEL

10.1. Sollten sich einzelne Bestimmungen dieser DVV als unwirksam oder nicht durchsetzbar erweisen, behält der Rest dieser DVV seine Gültigkeit und Wirksamkeit. Die unwirksame oder nicht durchsetzbare Bestimmung muss:

10.1.1. unter größtmöglicher Beibehaltung der Absichten der Parteien modifiziert werden, um ihre Wirksamkeit und Durchführbarkeit zu gewährleisten, oder, falls das nicht möglich ist,

10.1.2. so ausgelegt werden, als ob der unwirksame oder nicht durchsetzbare Bestandteil nie in dieser DVV enthalten gewesen wäre.

11. RECHTE DRITTER

Dritte sind nicht berechtigt, Bestimmungen dieser DVV durchzusetzen.

12. ANWENDBARES RECHT UND GERICHTSSTAND

Anwendbares Recht und Gerichtsstand dieser DVV entsprechen denen des Vertrages.

 

ANHANG 1

Im Folgenden sind Gegenstand und Dauer sowie Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien der betroffenen Personen in Bezug auf die Advertiser-Verarbeitung und Verarbeitung in gemeinsamer Verantwortung aufgeführt.

Sowohl für die Advertiser-Verarbeitung als auch für die Verarbeitung in gemeinsamer Verantwortung entspricht die Dauer der Verarbeitung der Dauer des Vertrags, sofern nicht schriftlich etwas Abweichendes vereinbart wird; die Pflichten und Rechte der entsprechenden Verantwortlichen sind in dieser DVV aufgeführt.

1. VERARBEITUNG IN GEMEINSAMER VERANTWORTUNG

Gegenstand, Art und Zweck der Verarbeitung	Kategorien betroffener Personen	Art personenbezogener Daten
Tracking	Aktuelle oder potenzielle Verbraucher (wie vom Advertiser festgelegt)	Informationen in Bezug zu Cookies, Informationen über IP-Adressen von Verbrauchern, Informationen über Transaktionen von Verbrauchern (einschließlich der Interaktion von Verbrauchern mit Advertisern und Publishern), Gerätekennungen und Geräteattribute.
Cross-Device-Tracking	Aktuelle oder potenzielle Verbraucher (wie vom Advertiser festgelegt)
Berichterstattung	Aktuelle oder potenzielle Verbraucher (wie vom Advertiser festgelegt)

2. ADVERTISER-VERARBEITUNG

Gegenstand, Art und Zweck der Verarbeitung	Kategorien betroffener Personen	Art personenbezogener Daten
Erfassung von Namen und Kontaktinformationen von Verbrauchern im Rahmen der Leadgenerierung des Advertisers	Aktuelle oder potenzielle Verbraucher (wie vom Advertiser festgelegt)	Wie vom Advertiser festgelegt
Geschäftsanalytik (Business Intelligence)	Aktuelle oder potenzielle Verbraucher (wie vom Advertiser festgelegt)	Wie vom Advertiser festgelegt
Plugin-Integration	Aktuelle oder potenzielle Verbraucher (wie vom Advertiser festgelegt)	Wie vom Advertiser festgelegt
Transaktionsabfragen	Aktuelle oder potenzielle Verbraucher (wie vom Advertiser festgelegt)	Wie vom Advertiser festgelegt