Vereinbarung zur Datenverarbeitung
Version N 1.2, May 2021
Convious nutzt eine SaaS (Software as a Service)-Lösung, die mittels JavaScript einfach auf der Webseite des Partners integriert werden kann (im Folgenden: die "Software"). Zu diesem Zweck verarbeitet Convious personenbezogene Daten der Webseiten-Besucher und Kunden des Partners im Namen des Partners. Gemäß der Datenschutz-Grundverordnung ("GDPR") gelten die Vertragspartner der Convious als "Verantwortliche" für die personenbezogenen Daten, die sie über ihre (potenziellen) Gäste verarbeiten. Convious gilt als "Auftragsverarbeiter" dieser personenbezogenen Daten. Im weiteren Verlauf dieses Datenverarbeitungsabkommen (DVA) wird der Partner daher als 'Verantwortlicher' bezeichnet. Sowohl der Verantwortliche als auch Convious können einzeln als Partei oder gemeinsam als Parteien bezeichnet werden.
Dieses DVA gilt für die Verarbeitung personenbezogener Daten durch Convious im Namen des Verantwortlichen, wie es für die Erbringung der Dienstleistungen erforderlich ist und wie im Bestellformular und den Convious Nutzungsbedingungen (Partner Terms of Service - DE) dargelegt. Zusammen mit dem Bestellformular und den Nutzungsbedingungen bildet dieses DVA die gesamte Vereinbarung zwischen Convious und dem Partner.
1. Definitionen
1.1. In diesem Datenverarbeitungsabkommen bedeutet "GDPR" die Verordnung (EU) 2016/679, bekannt als die Datenschutzverordnung, sowie alle Gesetze und Verordnungen, die diese Verordnung in Zukunft ersetzen.
1.2. Die in der GDPR definierten Begriffe haben in diesem Datenverarbeitungsabkommen dieselbe Bedeutung, sofern hier keine anderen Definition verwendet werden.
1.3 "Persönliche Daten" sind personenbezogene Daten (wie in der GDPR definiert), die sich auf den Verantwortlichen, seine Kunden und/oder andere Kontakte beziehen.
1.4. Verletzung des Schutzes “personenbezogener Daten" bedeutet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt.
1.5 "Subcontroller" bezeichnet eine juristische oder natürliche Person, die kein Mitarbeiter von Convious ist und die von Convious zum Zweck der Erbringung von Dienstleistungen für den Verantwortlichen im Namen von Convious beauftragt wird, zu welchem Zweck die beauftragte natürliche oder juristische Person personenbezogene Daten erhalten oder Zugang zu diesen haben kann.
2. DVA
2.1. Dieses Datenverarbeitungsabkommen tritt am Datum der Unterzeichnung des Bestellformulars durch den Verantwortlichen in Kraft. Beginnt Convious mit der Verarbeitung der personenbezogenen Daten bereits vor Unterzeichnung des Bestellformulars durch den Verantwortlichen, gilt das Datum der Aufnahme der Leistungen als Vertragsbeginn. Mit Beendigung der Vereinbarung endet dieses DVA automatisch.
2.2. Keine der Parteien kann das DVA vorzeitig beenden.
2.3. Die Anhänge 1 und 2 sind ein untrennbarer Bestandteil dieses DVA.
2.4. Die Parteien vereinbaren, dass der Auftragsverarbeiter bei Beendigung dieses DVA nach Wahl des Verantwortlichen alle personenbezogenen Daten, die er auf der Grundlage der Vereinbarung erlangt hat - soweit diese Daten noch nicht gelöscht sind und noch nicht unter diesen Artikel fallen - und die Kopien davon, an den Verantwortlichen zurückgibt oder alle personenbezogenen Daten vernichtet und dem Verantwortlichen die Vernichtung der personenbezogenen Daten bescheinigt, es sei denn, der Auftragsverarbeiter darf aufgrund von Rechtsvorschriften, die personenbezogenen Daten weder ganz noch teilweise zurückzugeben oder vernichten. In diesem Fall garantiert der Auftragsverarbeiter, dass er die Vertraulichkeit der persönlichen Daten garantiert und dass er die persönlichen Daten nicht mehr verarbeitet
3. Pflichten des Auftragsverarbeiters
Convious stimmt zu und gewährleistet:
3.1. Die personenbezogenen Daten nur im Auftrag des Verantwortlichen und in Übereinstimmung mit seinen Anweisungen, diesem DVA und nur für den in der Vereinbarung genannten Zweck zu verarbeiten. Kann Convious das Vorgenannte aus welchen Gründen auch immer nicht gewährleisten, wird Convious den Verantwortlichen darüber unverzüglich informieren. In dem Fall ist der Verantwortliche berechtigt, die Datenlieferung auszusetzen und/oder den Vertrag zu kündigen;
3.2. Die personenbezogenen Daten in angemessener und sorgfältiger Weise und in Übereinstimmung mit dem GDPR und anderen anwendbaren Rechtsvorschriften über die Erhebung und Verarbeitung personenbezogener Daten zu verarbeiten;
3.3. alle personenbezogenen Daten zu löschen, sobald deren Speicherung für die Durchführung des Vertrages nicht mehr erforderlich ist und/oder vom Verantwortlichen verlangt wird;
3.4. dass er keinen Grund zu der Annahme hat, dass die für ihn geltende Gesetzgebung ihn daran hindert, die vom Verantwortlichen erhaltenen Anweisungen und ihre Verpflichtungen aus der Vereinbarung zu erfüllen. Convious wird im Falle einer Änderung der Gesetzgebung, die wahrscheinlich erhebliche nachteiligen Auswirkungen auf die Garantien und Verpflichtungen dieses Datenverarbeitungsabkommens haben wird, den Verantwortlichen unverzüglich über die Änderung informieren, sobald Convious davon Kenntnis erlangt hat; in diesem Fall ist der Verantwortliche berechtigt, die Bereitstellung von Daten auszusetzen und/oder die Vereinbarung zu beenden;
3.5. dass er vor der Verarbeitung der personenbezogenen Daten die in Anhang 2 aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt hat;
3.6. dass sie den Verantwortlichen unverzüglich informieren über:
-
jeden rechtsverbindlichen Antrag auf Offenlegung der persönlichen Daten durch eine Strafverfolgungsbehörde, sofern dies nicht anderweitig untersagt ist, wie z.B. durch ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer Strafverfolgungsuntersuchung,
-
jeder versehentliche oder unbefugte Zugriff und
-
jede Anfrage, die direkt von den betroffenen Personen eingeht, ohne auf diese Anfrage zu antworten, es sei denn, sie wurde anderweitig dazu ermächtigt;
3.7. alle Anfragen des Verantwortlichen in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, unverzüglich und ordnungsgemäß zu bearbeiten und den Rat der Aufsichtsbehörde in Bezug auf die Verarbeitung der personenbezogenen Daten zu befolgen;
3.8. auf Ersuchen des Verantwortlichen seine Datenverarbeitungsanlagen für die Prüfung der unter die Datenschutzbestimmungen fallenden Verarbeitungstätigkeiten zur Verfügung zu stellen, die vom Verantwortlichen oder einem Kontrollorgan durchgeführt wird, das sich aus unabhängigen Mitgliedern zusammensetzt und über die erforderlichen beruflichen Qualifikationen verfügt, die an die Schweigepflicht gebunden sind, und das für die Verantwortlichen gegebenenfalls im Einvernehmen mit der Aufsichtsbehörde ausgewählt wird;
3.9. dass Convious im Falle einer Unterbeauftragung den Verantwortlichen zuvor informiert und dessen vorherige schriftliche Zustimmung eingeholt hat; dass die Verarbeitungsdienste des Unterauftragsverarbeiters in Übereinstimmung mit diesem DVA durchgeführt werden und dass Convious unverzüglich eine Kopie der Unterauftragsverarbeitungsvereinbarung, die Convious mit einem Unterauftragsverarbeiter schließt, übermittelt;
3.10. bei jeder Anzeige Kopien zur Verfügung zu stellen, z.B. bei Anfrage durch eine Aufsichtsbehörde, wenn dies gesetzlich vorgeschrieben ist;
3.11. mit einem Antrag einer betroffenen Person zusammenzuarbeiten, um z.B. ihre Personendatenbanken auf der Grundlage des GDPR ohne zusätzliche Kosten einzusehen und/oder zu ändern.
4. Rechtmäßigkeit der Verarbeitung und Schadloshaltung
4.1. Der Verantwortliche gewährleistet, dass die Verarbeitung (einschließlich der Erhebung und der Übermittlung an den Auftragsverarbeiter) personenbezogener Daten gemäß diesem Abkommen in Übereinstimmung mit der Allgemeinen Datenschutzverordnung (GDPR) und allen anderen anwendbaren Datenschutzgesetzen erfolgt. Der Verantwortliche stellt den Auftragsverarbeiter von allen damit zusammenhängenden Ansprüchen frei, einschließlich der Ansprüche der betroffenen Personen und/oder der von der zuständigen Behörde verhängten Strafen.
4.2. Der Auftragsverarbeiter stellt den Verantwortlichen von allen Strafen und Schadensersatzansprüchen Dritter frei, wenn diese Strafen und Schadensersatzansprüche auf die Nichteinhaltung dieser Vereinbarung durch den Auftragsverarbeiter oder auf die gesetzlichen Verpflichtungen des Auftragsverarbeiters zurückzuführen sind.
Der vom Auftragsverarbeiter im Rahmen dieser Gewährleistung und/oder Entschädigung zu zahlende Betrag ist auf den Rechnungswert der im Rahmen des Hauptvertrags bereitgestellten Produkte und / oder Dienstleistungen begrenzt.
5. Allgemein
5.1. Der Auftragsverarbeiter hat keine Kontrolle über die Zwecke/Gründe und Mittel der Verarbeitung personenbezogener Daten. Sofern in diesem DVA nichts anderes angegeben wird, trifft der Auftragsverarbeiter keine Entscheidungen über die Verwendung der personenbezogenen Daten, die Weitergabe an Dritte und die Dauer der Speicherung personenbezogenen Daten.
5.2. Der Auftragsverarbeiter muss geeignete technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten gegen Verlust und/oder gegen jede Form der rechtswidrigen Verarbeitung zu schützen. Diese Maßnahmen gewährleisten ein angemessenes Sicherheitsniveau unter Berücksichtigung des Standes der Technik und der Kosten der Umsetzung sowie unter Berücksichtigung der mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden personenbezogenen Daten gemäß Anhang 2. Der Auftragsverarbeiter ermöglicht dem Verantwortlichen bei seiner erste Anfrage, die getroffenen Maßnahmen zu überprüfen.
5.3 Wenn der Auftragsverarbeiter die personenbezogenen Daten des Verantwortlichen in einem anderen Mitgliedstaat der Europäischen Union verarbeitet oder zur Verarbeitung bestimmt, muss er dies in Übereinstimmung mit den Gesetzen und Vorschriften des betreffenden Mitgliedstaats tun. Der Auftragsverarbeiter darf die personenbezogenen Daten des Verantwortlichen in einem Land außerhalb der Europäischen Union nur nach vorheriger schriftlicher Genehmigung des Verantwortlichen verarbeiten.
5.4. Die Geheimhaltungspflicht des Auftragsverarbeiters auf der Grundlage des GDPR kann nur dann aufgehoben werden, wenn eine gesetzliche Verpflichtung zur Offenlegung personenbezogenen Daten besteht oder der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen über die Notwendigkeit der Verbreitung informiert hat.
6. Datenverletzung
6.1. Der Auftragsverarbeiter muss den Verantwortlichen so bald wie möglich, mindestens jedoch innerhalb von 72 Stunden, nachdem er von einem Vorfall oder einer Sicherheitsverletzung (gleich welcher Art) in Bezug auf personenbezogene Daten Kenntnis erhalten hat, davon in Kenntnis setzen.
6.2. In dem oben unter 6.1. beschriebenen Fall muss der Verantwortliche dem Auftragsverarbeiter die folgenden Mindestinformationen zur Verfügung stellen: (i) die Art des Vorfalls oder der Verletzung der Datensicherheit, (ii) die personenbezogenen Daten, die betroffen sind oder betroffen sein könnten, (iii) die festgestellten und erwarteten Folgen des Vorfalls oder der Verletzung der Datensicherheit auf die personenbezogenen Daten und (iv) die Maßnahmen, die der Auftragsverarbeiter zur Behebung des Vorfalls bzw. der Sicherheitsverletzung bisher ergriffen hat und voraussichtlich ergreifen wird.
6.3. Der Auftragsverarbeiter muss die geeigneten Maßnahmen ergreifen, um (potenzielle) (weitere) Schäden und/oder Leckagen/Verluste von (personenbezogenen Daten oder) Daten einzudämmen.
6.4. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei allen Meldungen an betroffene Personen und/oder Behörden, wenn der Verantwortliche darum ersucht. Der Auftragsverarbeiter sieht davon ab, betroffene Personen und/oder Behörden ohne vorherige Absprache mit dem Verantwortlichen zu benachrichtigen.
7. Gerichtsbarkeit
7.1. Dieses DVA unterliegt ausschließlich niederländischem Recht. Auch alle (Rechts-) Transaktionen, die sich aus dieser Vereinbarung ergeben, unterliegen niederländischem Recht. Im Falle von Streitigkeiten ist ausschließlich das zuständige Gericht in Amsterdam für die Streitigkeit zuständig.
Anhang 1 Verarbeitung von Daten und Zweckbestimmungen
Dieser Anhang ist Bestandteil des DVA
Persönliche Daten:
-
Wir sammeln E-Mail-Adressen, die uns mitgeteilt werden um elektronisch gekaufte Waren, Rechnungen, Erinnerungen an gekaufte Veranstaltungen und kundenspezifische Angebote zustellen zu können. Wir verwenden E-Mail-Adressen, um Kundendienste bereitzustellen, Service- oder Support Nachrichten, Aktualisierungen und andere Benachrichtigungen zu versenden. Wir verwenden E-Mail-Adressen auch, um Überweisungseinladungen zu erleichtern, Betrug, Missbrauch und andere schädliche Aktivitäten aufzudecken und zu verhindern.
-
Wir sammeln automatisch Protokollinformationen von Benutzern auf der Convious Enabled Site. Zu diesen Informationen gehören Einzelheiten über die Nutzung der Convious Enabled Site, IP-Adresse, Zugriffszeiten, Hardware- und Software-Informationen, Geräteinformationen, Informationen über Geräteereignisse (z.B. Abstürze, Browsertyp), betrachtete oder bearbeitete Seiten. Wir erfassen auch Informationen im Zusammenhang mit Kundentransaktionen auf der Convious Enabled Site, einschließlich Datum und Uhrzeit, belasteter Betrag, Zahlungsart und andere zugehörige Transaktionsdetails. Wir sammeln keine finanziellen Informationen (wie Bankkonto- oder Kreditkarteninformationen);
-
Verweisende URL und Domain;
-
besuchte Seiten;
-
Bevorzugte Sprache, in der die Webseite angezeigt wird;
-
Datum und Uhrzeit des Zugriffs auf die Webseiten.
-
IP-Adresse
-
Wir protokollieren und analysieren die Kommunikation auf der Convious Enable Site:
-
um Kunden den Zugang und die Nutzung der Convious-Software zu ermöglichen
-
Convious-Software und die Erfahrung unserer Nutzer zu betreiben, zu schützen, zu verbessern und zu optimieren
-
Unterstützung bei der Schaffung und Aufrechterhaltung einer vertrauenswürdigen und sicheren Umgebung (Aufdeckung und Verhinderung von Betrug, Risikoabschätzung, Durchführung von Überprüfungen anhand öffentlicher Datenbanken)
-
Service, Support, administrative Mitteilungen, Erinnerungen, technische Mitteilungen, Aktualisierungen, Sicherheitswarnungen und von Kunden angeforderte Informationen zu versenden
-
für die Produktentwicklung
-
für Forschung und Produktinnovation
-
Zwecke der Kundenbetreuung.
Beispielsweise scannen und analysieren wir Chat-Nachrichten, um das Produktangebot zu verbessern und zu erweitern. Wir werden die Kommunikation nicht überprüfen, scannen oder analysieren, um Marketing Nachrichten an Dritte zu senden.
Anhang 2 Sicherheitsmaßnahmen
Dieser Anhang ist Bestandteil des DVA.
Zu den von Convious angenommenen Sicherheitsmaßnahmen gehören:
-
Der Zugriff auf die Informationen, die auf den Servern von Convious gespeichert sind, ist abgestuft und beschränkt auf die Mitarbeiter von Convious, die für die Ausführung ihrer Arbeitsaufgaben notwendig sind, und auf die Benutzer, die auf den Konten unserer Kunden und Dritten, die nur unter bestimmten und begrenzten Umständen auf die Informationen zugreifen können und an die Vertraulichkeit gebunden sind. Alle Zugriffe auf die bei Convious gespeicherten Informationen werden von unserem Sicherheitsteam protokolliert, gemeldet und überprüft;
-
Personenbezogene Datenverarbeitungssysteme erfordern eine Autorisierung;
-
Persönliche Daten sind gegen versehentliche Zerstörung oder Verlust geschützt;
-
Die Server von Convious sind geschützt durch: a) Firewalls, die eine Barriere zwischen unserem vertrauenswürdigen, sicheren internen Netzwerk und dem Internet errichten; b) IP-Einschränkungen, die den Zugriff auf IPs der Whitelist einschränken; und c) verschlüsselte Kommunikation zwischen den Diensten;
-
Jeder Kunde darf nur auf Informationen zugreifen, die sich auf seine Kunden-Webseite beziehen, die er verfolgt, und auf die spezifischen Endbenutzer, die diese Kunden-Webseite besuchen;
-
Wir verwenden HTTPS für die Dienste von Convious, die eine sichere Übertragung von Daten bieten, um Abhör- und Man-in-the-Middle-Angriffe zu verhindern;
-
Convious überprüft seine Datenerfassungs- und verarbeitungspraktiken in regelmäßigen Abständen und wird diese Datenschutzrichtlinie entsprechend überprüfen und ändern.
Der Auftragsverarbeiter stellt sicher, dass jedes Personal, das der Auftragsverarbeiter autorisiert, persönliche Daten in seinem Namen zu verarbeiten, in Bezug auf diese persönlichen Daten Vertraulichkeitsverpflichtungen unterliegt. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der oben genannten berechtigten Aktivitäten fort.