Auftrag zur Verarbeitung personenbezogener Daten

Gemäß Art. 28 Abs. 3 S. 1 DSGVO

– nachstehend bezeichnet als AV-Vertrag

zwischen (der)

Name/Fa.: ____________________________
Straße Nr.: ____________________________
PLZ, Ort, Land: ____________________________
Handelsregister/Nr.: ____________________________
Geschäftsführer: ____________________________

– nachstehend bezeichnet als Auftraggeber

und der

Name/Fa.: uphill GmbH
Straße Nr.: Oranienstr. 188
PLZ, Ort, Land: 10999 Berlin, Deutschland
Handelsregister/Nr.: Amtsgericht Berlin, HRB 123671 B
Geschäftsführer: Stephan Eyl, Nicolas Graf von Kanitz

– nachstehend bezeichnet als Auftragnehmer

– Auftragnehmer und Auftraggeber werden nachstehend auch als Vertragsparteien bezeichnet. –

Anlagen

  • Anhang 1 – Technisch-organisatorische Maßnahmen (TOMs)
  • Anhang 2 – Unterauftragsverhältnisse

1. Gegenstand des Auftrags, Datenkategorien, Betroffene, Art, Umfang und Zwecksetzung der Verarbeitung (Art. 28 Abs. 3, 30 Abs. 2 DSGVO)

  1. Der Gegenstand des AV-Vertrages, die im Rahmen des Auftrags verarbeiteten personenbezogenen Daten (Art, 4 Nr. 1 DSGVO; nachfolgend kurz „Daten“), die von der Verarbeitung betroffene Personen (nachfolgend kurz „Betroffene“) sowie Art, Umfang und Zwecke der Verarbeitung, werden durch die folgenden Rechtsbeziehung(en) zwischen den Vertragsparteien bestimmt (nachstehend bezeichnet als Hauptvertrag):

    Vertrag über die Nutzung von Fanpage Karma und der mit den Leistungen von Fanpage Karma verbundenen Webseiten, Werkzeugen, Funktionen und Dienstleistungen.

    Die Regelungen dieses AV-Vertrages gelten gegenüber dem Hauptvertrag vorrangig.

  2. Der Hauptvertrag umfasst die folgenden Grundfunktionen und spezielle Funktionen sowie Dienste von Fanpage Karma:

Bezeichnung der Funktion/ des Dienstes:

Fanpage Karma Tool

Grundlegende Angaben zur Verarbeitung personenbezogener Daten

Zweckbestimmung des Auftrags/ Leistungen die im Rahmen des Auftrags erbracht werden/ Umfang, Art und Zweck der Datenverarbeitung:

  • Die Verarbeitung der nachfolgend genannten Daten, gilt der Begründung und Durchführung des Vertragsverhältnisses betreffend die Nutzung des Fanpage Karma Tools und mit diesem verbundenen Dienste und Funktionen entsprechend dem Hauptvertrag.
  • Das Fanpage Karma Tool umfasst diverse Funktionen (z.B. Analytics, Monitoring, Engage, etc.). Die Verarbeitungen personenbezogener Daten innerhalb dieser Funktionen werden gesondert dargestellt und gelten zusätzlich zu den allgemeinen Angaben im Fall der Nutzung dieser Funktionen durch den Auftraggeber.
  • Die über das Fanpage Karma Tool zugänglichen Informationen können (im Rahmen der Spezifikation entsprechend dem Hauptvertrag) mittels einer Schnittstelle zur Verfügung gestellt werden.

Datenarten, die regelmäßig Gegenstand der Verarbeitung sind:

  • Bestandsdaten (Vorname, Nachname, Geschlecht, Länderkürzel).
  • Kontaktdaten (E-Mailadresse).
  • Daten betreffend die im Rahmen des Nutzung des Fanpage Karma Tools verknüpften Online-Accounts: jeweils Profil ID, Berechtigungsschlüssel (Access Token), Liste an Profilen für die der Auftraggeber besondere Zugangsberechtigungen hat (z.B. Facebook, Twitter, Instagram, LinkedIn etc.), Erstellungsdatum, Login Zeitpunkte, Sprache, Zeitzone, Bevorzugte Währung, Account ID, Newsletter aktiv, Hintergrundbild, eigenes Profilbild; bei Login über eine mobile App: Firebase Cloud Messaging Token; E-Mail Signatur (für die Verwendung in Engage).
  • Daten betreffend die Nutzung des Tools (Zeitpunkt und verwendete Funktionen).
  • Meta-/Kommunikationsdaten (Geräte-IDs, IP-Adressen, Standortdaten).
  • Um Analysen für Profile durchzuführen kann es erforderlich sein, dass der Auftraggeber sich bei diesen einloggt und der App des Auftragnehmers Zugriff gewährt (z.B. Twitter oder Linked-In). In diesen Fällen werden der Accountname, Account-ID, Accesstoken, Tokensecret und deren Ablaufdatum gespeichert.

Weitere Datenarten, die im Fall kostenpflichtiger Accounts regelmäßig Gegenstand der Verarbeitung sind:

  • Bestandsdaten (Firmenname, Ansprechpartner, Straße, Postleitzahl, Stadt, Land).
  • Kontaktdaten (Email, Telefon).
  • Vertrags- und Zahlungsdaten (Zahlweise, Kontoinhaber, IBAN, BIC, Bank (falls Zahlung per ELV), Kundenreferenznummer, ID beim Zahlungsdienstleister für Abbuchung über dort hinterlegte Kreditkartendaten, Steueridentifikationsnummer, Liste aller zugehörigen Nutzer).
  • Zu Vergaben von Berechtigungen innerhalb des Fanpage Karma Tools an die Mitarbeiter, speichert der Auftragnehmer deren Namen, Emailadressen und Facebook IDs.

Hinweis: Falls der Auftraggeber ein kostenpflichtiges Abonnement abschießt, wird ein Account für den Auftraggeber erstellt, zu dem dann auch weitere Nutzer eingeladen werden können. Bei Einladungen zu einem Account speichert der Auftragnehmer den Vor- und Nachnamen sowie die E-Mail-Adresse der eingeladenen Person.

Werden besondere Kategorien von Daten verarbeitet?

Es werden keine besonderen Kategorien von Daten verarbeitet.

Arten der Verarbeitung

  • Bestandsdaten, Kontaktdaten und Daten betreffend die Onlineaccounts und Berechtigungen sowie Nutzungsdaten und Meta-/Kommunikationsdaten betreffend das Tool werden direkt bei Auftragnehmer erhoben; Ferner werden Daten, die Onlineaccounts betreffen und bei den Anbietern der jeweiligen Social Media Plattformen gespeichert sind, bei diesen erhoben (z.B. Account-ID, Accesstoken, Profilbilder, etc).
  • Die Daten werden vom Auftraggeber gespeichert und für Zwecke der Vertragserfüllung genutzt sowie nach Ende der geschäftlichen Beziehung beim Auftragnehmer gelöscht.

Zum Kreis der durch die Auftragsdatenverarbeitung betroffenen Kategorien von Personen gehören:

Auftraggeber und seine Beschäftigten/ Mitarbeiter sowie sonstige zur Nutzung des Tools eingeladenen Nutzer.

Bezeichnung der Funktion/ des Dienstes:

Fanpage Karma Tool – Fanpage Karma Analytics

Zweckbestimmung des Auftrags/ Leistungen die im Rahmen des Auftrags erbracht werden/ Umfang, Art und Zweck der Datenverarbeitung:

  • Mit Hilfe von Fanpage Karma Analytics kann der Auftraggeber für eigene und fremde Social Media Profile (z.B. auf Facebook, Twitter, Instagram, YouTube, Pinterest, LinkedIn etc.) Kennzahlen und Inhalte analysieren und Profile miteinander vergleichen.
  • Um geschützte Kennzahlen (z.B. Reichweite, Klicks, demografische Daten) einzusehen, muss der Auftraggeber Rechte beim jeweiligen Netzwerk freigeben. Diese geschützten Daten zeigt der Auftragnehmer nur den berechtigten Personen an.
  • Die Daten kommen alle über die öffentlichen Schnittstellen der Social Media Plattformen und werden nicht durch den Auftraggeber angereichert.

Datenarten, die regelmäßig Gegenstand der Verarbeitung sind:

  • Daten betreffend die im Rahmen der Nutzung des Fanpage Karma Tools verknüpften Online-Accounts (Facebook User ID, Facebook Access Token, Liste an Facebook Seiten, für die der Auftraggeber Insights hat, Twitter Access Token, Instagram Access Token, LinkedIn Access Token, Liste an LinkedIn Profilen, für die der Auftraggeber Zugriff hat,).
  • Um Analysen für Profile durchzuführen kann es erforderlich sein, dass der Auftraggeber sich bei diesen einloggt und der App des Auftragnehmers Zugriff gewährt (z.B. Twitter oder Linked-In). In diesen Fällen werden der Accountname, Account-ID, Accesstoken, Tokensecret und deren Ablaufdatum gespeichert.

Werden besondere Kategorien von Daten verarbeitet?

Es werden keine besonderen Kategorien von Daten verarbeitet.

Arten der Verarbeitung

  • Die Daten werden bei den Anbietern der jeweiligen Social Media Plattformen erhoben.
  • Die Daten werden vom Auftragnehmer gespeichert und für Zwecke der Vertragserfüllung genutzt sowie nach Ende der geschäftlichen Beziehung beim Auftragnehmer gelöscht (unter Berücksichtigung der Einschränkung gem. Ziffer 8.4 dieses AV-Vertrages).

Zum Kreis der durch die Auftragsdatenverarbeitung betroffenen Kategorien von Personen gehören:

Nutzer der Social Media Profile.

Bezeichnung der Funktion/ des Dienstes:

Fanpage Karma Tool – Fanpage Karma Monitoring

Zweckbestimmung des Auftrags/ Leistungen die im Rahmen des Auftrags erbracht werden/ Umfang, Art und Zweck der Datenverarbeitung:

  • Mit Hilfe von Fanpage Karma Monitoring, kann der Auftraggeber Keywords in öffentlichen Beiträgen von Social Media Diensten, die für die Suche zur Verfügung stehen, suchen und diese Beiträge anzeigen und Statistiken dazu auswerten.
  • Der Auftragnehmer fragt die vom Auftraggeber definierten Keywords über die öffentlichen Schnittstellen der Plattformen an. Hierfür sind keine speziellen Berechtigungen erforderlich.

Datenarten, die regelmäßig Gegenstand der Verarbeitung sind:

Öffentliche Daten, die nach Eingabe eines Keywords gesucht und per Link zum Abruf bereitgestellt werden.

Werden besondere Kategorien von Daten verarbeitet?

Es werden keine besonderen Kategorien von Daten verarbeitet.

Arten der Verarbeitung

  • Die Daten werden bei den Anbietern der jeweiligen Social Media Plattformen erhoben.
  • Die Daten werden vom Auftragnehmer gespeichert und für Zwecke der Vertragserfüllung genutzt sowie nach Ende der geschäftlichen Beziehung beim Auftragnehmer gelöscht (unter Berücksichtigung der Einschränkung gem. Ziffer 8.4 dieses AV-Vertrages).

Zum Kreis der durch die Auftragsdatenverarbeitung betroffenen Kategorien von Personen gehören:

Nutzer der Social Media Profile.

Bezeichnung der Funktion/ des Dienstes:

Fanpage Karma Tool – Fanpage Karma Engage

Zweckbestimmung des Auftrags/ Leistungen die im Rahmen des Auftrags erbracht werden/ Umfang, Art und Zweck der Datenverarbeitung:

  • Fanpage Karma Engage ist ein Community Management Tool für die Beantwortung von Anfragen, Beiträgen und Kommentaren (nachfolgend „Nachrichten“) in Social Media Plattformen (z.B. Facebook, Twitter, Instagram) und per E-Mail.
  • Auftraggeber geben dem Auftragnehmer spezielle Berechtigungen frei, damit das Fanpage Karma Engage in ihrem Namen auf den verschiedenen Plattformen die Antworten veröffentlichen kann.
  • Die Nachrichten können öffentlich sichtbar (z.B. Facebook Post Kommentare oder Twitter Replies) oder nicht-öffentlich (z.B. Facebook/Twitter Direktnachricht, E-Mail) sein.

Datenarten, die regelmäßig Gegenstand der Verarbeitung sind:

  • Stammdaten (Namen, Accountnamen, Nutzer-IDs, Links zu diesen).
  • Inhaltsdaten (Texte, Links, Bilder, Videos, Dokumente und Dateien, die von Nutzern veröffentlicht oder versendet wurden).
  • Nutzungsdaten (Zeitpunkt der Anfrage).
  • Standortdaten (Angaben zu Orten an denen die Beiträge verfasst wurden).

Werden besondere Kategorien von Daten verarbeitet?

Es werden keine besonderen Kategorien von Daten verarbeitet.

Arten der Verarbeitung

  • Die Daten betreffend die Nachrichten der Nutzer werden zum einen bei den Anbietern der jeweiligen Social Media Plattformen erhoben; die Daten betreffend die Antworten des Auftraggebers werden bei diesem erhoben.
  • Die Daten werden vom Auftragnehmer gespeichert und für Zwecke der Vertragserfüllung genutzt, die Antworten werden an die jeweiligen Social Media Plattformen übermittelt sowie nach Ende der geschäftlichen Beziehung beim Auftragnehmer gelöscht.

Zum Kreis der durch die Auftragsdatenverarbeitung betroffenen Kategorien von Personen gehören:

Verfasser der Nachrichten innerhalb der Social Media Profile.

Bezeichnung der Funktion/ des Dienstes:

Fanpage Karma Tool – Fanpage Karma Publish

Zweckbestimmung des Auftrags/ Leistungen die im Rahmen des Auftrags erbracht werden/ Umfang, Art und Zweck der Datenverarbeitung:

  • Fanpage Karma Publish ist ein Werkzeug zur Redaktionsplanung und automatischen Veröffentlichung von Posts auf Social Media Plattformen.
  • Nutzer können Beiträge mit Text, Links, Bildern, Dokumenten, Veröffentlichungszeitpunkt, Einschränkung auf Nutzergruppen etc. erstellen und durch einen einfachen Freigabeprozess zur Veröffentlichung freigeben.
  • Für Netzwerke, auf denen eine automatische Veröffentlichung möglich ist (und der Nutzer die entsprechende Berechtigung freigegeben hat) kann Fanpage Karma Engage die Beiträge zum eingestellten Zeitpunkt automatisch veröffentlichen. In anderen Fällen werden die Nutzer per E-Mail zur anstehende Veröffentlichung aufgefordert.
  • Bereits verwendete Medien (z.B. Bilder, Videos) können über eine Mediathek eingesehen und für weitere Beiträge verwendet werden.

Datenarten, die regelmäßig Gegenstand der Verarbeitung sind:

  • Stammdaten (Namen, Accountnamen von Verfassern).
  • Inhaltsdaten (Texte, Links, Bilder, Videos, Dokumente und Dateien, die veröffentlicht werden).
  • Nutzungsdaten (Zeitpunkt der Planung und der Veröffentlichung, Profil/e auf das/die veröffentlich werden soll, Einschränkung auf Nutzergruppen (Targeting)).

Werden besondere Kategorien von Daten verarbeitet?

Es werden keine besonderen Kategorien von Daten verarbeitet.

Arten der Verarbeitung

  • Die Daten werden bei dem Auftraggeber im Rahmen seiner Angaben erhoben.
  • Die Daten werden vom Auftragnehmer gespeichert und für Zwecke der Vertragserfüllung genutzt, die Beiträge werden an die jeweiligen Social Media Plattformen übermittelt sowie nach Ende der geschäftlichen Beziehung beim Auftragnehmer gelöscht.

Zum Kreis der durch die Auftragsdatenverarbeitung betroffenen Kategorien von Personen gehören:

Verfasser der publizierten Inhalte

Bezeichnung der Funktion/ des Dienstes:

Fanpage Karma Glücksfee

Zweckbestimmung des Auftrags/ Leistungen die im Rahmen des Auftrags erbracht werden/ Umfang, Art und Zweck der Datenverarbeitung:

  • Automatische Auswertung von Facebook Gewinnspielen. Hierzu werden die Informationen zu einem Gewinnspiel-Posting über die Facebook API in das Fanpage Karma Tool eingespielt und anschließend anhand der vorgegebenen Kriterien ausgewertet. Als Ergebnis werden dem Auftraggeber Profile der Facebook-Nutzer angezeigt, an, die nach verschiedenen möglichen Kriterien ein Gewinnspiel gewonnen haben könnten (dabei werden der Name, das Profilbild und ein Link zum Profil angezeigt). Ferner kann der Auftraggeber eine Datei herunterladen, in dem die Namen und Facebook-IDs aller Teilnehmer angezeigt werden sowie eine Datei mit allen Kommentaren der Nutzer.

Datenarten, die regelmäßig Gegenstand der Verarbeitung sind:

  • Nutzer-IDs, Namen und Links zu Profilbildern von allen Nutzern, die öffentlich einen Kommentar an dem auszuwertenden Beitrag der Facebook Seite gemacht haben oder mit einer Reaktion auf den Beitrag (z.B. Like, Haha) reagiert haben, sowie den Zeitpunkt der Aktion und ggfs. den Text des Kommentars.

Werden besondere Kategorien von Daten verarbeitet?

Es werden keine besonderen Kategorien von Daten verarbeitet.

Arten der Verarbeitung

  • Die Daten werden bei Anbietern der jeweiligen Social Media Plattformen erhoben.
  • Die Daten werden vom Auftragnehmer nur für den Moment der Abfrage und Generierung eines Gewinners zwischengespeichert und werden anschließend gelöscht.

Zum Kreis der durch die Auftragsdatenverarbeitung betroffenen Kategorien von Personen gehören:

Nutzer der Social Media Profile/ Teilnehmer an Gewinnspielen.

2. Verantwortlichkeit und Weisungsrecht

  1. Der Auftraggeber ist grundsätzlich als Verantwortlicher gem. Art. 4 Nr. 7 DSGVO für die Einhaltung der datenschutzrechtlichen Vorgaben, insbesondere für die Auswahl des Auftragnehmers, die an diesen übermittelten Daten sowie erteilte Weisungen verantwortlich (Art. 28 Abs. 3 lit. a, 29 u. 32 Abs. 4 DSGVO).
  2. Ist der Auftraggeber selbst ein Auftragsverarbeiter und beauftragt er den Auftragsverarbeiter als Unterauftragsverarbeiter, dann kann sich der Verantwortliche der Verarbeitung auf Grundlage dieses Auftragsverarbeitungsvertrages unmittelbar auf die, dem Auftraggeber gegenüber dem Auftragsverarbeiters zustehenden Rechte berufen.
  3. Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers verarbeiten (was insbesondere auch für deren Berichtigung, Löschung oder Einschränkung der Verarbeitung gilt) und nur insoweit die Verarbeitung hierzu erforderlich ist, außer wenn der Auftragnehmer zu der Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 S. 2 lit. a DSGVO).
  4. Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen im Hinblick auf die Verarbeitung der Daten und die Sicherheitsmaßnahmen zu erteilen.
  5. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen geltendes Datenschutzrecht verstößt, wird er den Auftraggeber unverzüglich darauf hinweisen. In diesem Fall ist der Auftragnehmer berechtigt, die Ausführung der Weisung bis zur Bestätigung der Weisung durch den Auftraggeber auszusetzen und im Fall offensichtlich rechtswidriger Weisungen abzulehnen.
  6. Der Auftragnehmer kann Weisungen ablehnen, sofern diese dem Auftragnehmer nicht möglich oder nicht zuzumuten sind (insbesondere, weil deren Befolgung ein unverhältnismäßiger Aufwand oder fehlende technische Möglichkeiten entgegenstehen). Die Ablehnung kann nur unter sachgerechter Berücksichtigung des Schutzes der Daten der Betroffenen erfolgen und berechtigt den Auftraggeber zur außerordentlichen Kündigung des AV-Vertrages, wenn dessen Fortsetzung dem Auftraggeber nicht zuzumuten ist.
  7. Gehen ergänzende Weisungen des Auftraggebers über die Leistungspflicht des Auftragnehmers nach dem Hauptvertrag hinaus und beruhen sie nicht auf einem Fehlverhalten des Auftragnehmers, dann hat der Auftraggeber dem Auftragnehmer den dadurch entstehenden Mehraufwand gesondert zu vergüten.
  8. Die Vertragsparteien können zum Erteilen und Empfangen von Weisungen berechtigte Personen benennen (insbesondere, wenn diese sich nicht bereits aus dem Hauptvertrag ergeben) und sind verpflichtet deren Änderung unverzüglich mitzuteilen.
  9. Zuständig auf Seiten des Auftragnehmers:
    Nicolas Graf von Kanitz
    Tel: +49 30 55656912, Fax: +49 30 577095069, E-Mail: .

3. Sicherheitskonzept und diesbezügliche Pflichten

  1. Der Auftragnehmer wird die innerbetriebliche Organisation in seinem Verantwortungsbereich entsprechend den gesetzlichen Anforderungen gestalten und wird insbesondere technische und organisatorische Maßnahmen (nachfolgend bezeichnet als ”TOMs“) zur angemessenen Sicherung, insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit von Daten des Auftraggebers, unter Beachtung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen treffen sowie deren Aufrechterhaltung sicherstellen (Art. 28 Abs. 3 u. 32 - 39 i.V.m. Art 5 DSGVO). Zu den TOMs gehören insbesondere die Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle und die Sicherung der Betroffenenrechte.
  2. Die diesem AV-Vertrag zugrundeliegenden TOMs ergeben sich aus dem Anhang 1 „Technisch-organisatorische Maßnahmen (TOMs)“. Sie dürfen entsprechend dem technischen Fortschritt weiterentwickelt und durch adäquate Schutzmaßnahmen ersetzt werden, sofern sie das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschreiten und wesentliche Änderungen dem Auftraggeber mitgeteilt werden.
  3. Der Auftragnehmer führt ein Verzeichnis i.S.v. Art. 30 Abs. 2 DSGVO zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung.
  4. Der Auftragnehmer stellt sicher, dass die zur Verarbeitung der Daten des Auftraggebers befugten Personen auf Vertraulichkeit und Verschwiegenheit (Art. 28 Abs. 3 S. 2 lit. b und 29, 32 Abs. 4 DSGVO) verpflichtet und in die Schutzbestimmungen der DSGVO eingewiesen worden sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  5. Die im Rahmen des AV-Vertrages überlassene Daten sowie Datenträger und sämtliche hiervon gefertigten Kopien verbleiben im Eigentum des Auftraggebers, sind durch den Auftragnehmer sorgfältig zu verwahren, vor Zugang durch unberechtigte Dritte zu schützen und dürfen nur mit Zustimmung des Auftraggebers, und dann nur datenschutzgerecht, vernichtet werden. Kopien von Daten dürfen nur erstellt werden, wenn sie zur Erfüllung der Leistungshaupt- und Nebenpflichten des Auftragnehmers gegenüber dem Auftraggeber erforderlich sind (z.B. Backups).
  6. Sofern durch die DSGVO oder ergänzende, insbesondere nationale Vorschriften, vorgegeben, benennt der Auftragnehmer eine/n den gesetzlichen Vorgaben entsprechende/n Datenschutzbeauftragte/n und informiert den Auftraggeber entsprechend (Art. 37 bis 39 DSGVO).
  7. Datenschutzbeauftragter des Auftragnehmers:
    Dr. Thomas Schwenke, Paul-Lincke-Ufer 42/43, 10999 Berlin
    E-Mail:

4. Informationspflichten und Mitwirkungspflichten

  1. Betroffenenrechte sind gegenüber dem Auftraggeber wahrzunehmen, wobei der Auftragnehmer den Auftraggeber hierbei gem. Art. 28 Abs. 3 S. 2 lit. e. DSGVO unterstützt und ihn insbesondere über die bei ihm eingehenden Anfragen Betroffener unverzüglich informiert.
  2. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er im Hinblick auf die Verarbeitung der Daten Fehler oder Unregelmäßigkeiten im Hinblick auf die Einhaltung der Bestimmungen dieses AV-Vertrages oder einschlägiger Datenschutzvorschriften feststellt.
  3. Für den Fall, dass der Auftragnehmer Tatsachen feststellt, welche die Annahme begründen, dass der Schutz der für den Auftraggeber verarbeiteten Daten verletzt worden ist, hat der Auftragnehmer den Auftraggeber unverzüglich und vollständig zu informieren, unverzüglich erforderliche Schutzmaßnahmen zu ergreifen, und bei der Erfüllung der dem Auftraggeber obliegenden Pflichten gem. Art. 33 und 34 DSGVO zu unterstützen.
  4. Sollte die Sicherheit der Daten des Auftraggebers durch Maßnahmen Dritter (z.B. Gläubiger, Behörden, Gerichte, etc.) gefährdet sein (Pfändung, Beschlagnahme, Insolvenzverfahren, etc.) wird der Auftragnehmer die Dritten unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei dem Auftraggeber liegen und nach Rücksprache mit dem Auftraggeber, sofern erforderlich, entsprechende Schutzmaßnahmen ergreifen (z.B. Widersprüche, Anträge, etc. stellen).
  5. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde gegenüber dem Auftragnehmer tätig wird und deren Tätigkeit die für den Auftraggeber verarbeiteten Daten betreffen kann. Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrnehmung seiner Pflichten (insbesondere zur Auskunfts- und Duldung von Kontrollen) gegenüber Aufsichtsbehörden (Art. 31 DSGVO).
  6. Der Auftragnehmer stellt dem Auftraggeber Informationen betreffend die Verarbeitung von Daten im Rahmen dieses AV-Vertrages, die für dessen Erfüllung von gesetzlichen Pflichten (zu denen insbesondere Anfragen Betroffener oder Behörden und die Einhaltung seiner Rechenschaftspflichten gem. Art. 5 Abs. 2 DSGVO, als auch die Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO gehören können) notwendig sind, zur Verfügung, sofern der Auftraggeber diese Informationen nicht selbst beschaffen kann. Die Informationen müssen dem Auftragnehmer zur Verfügung stehen und müssen nicht von Dritten beschafft werden, wobei Mitarbeiter, Beauftragte und Subunternehmer des Auftraggebers nicht als Dritte gelten.

5. Kontrollbefugnisse

  1. Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorgaben und der Regelungen dieses AV-Vertrages, insbesondere der TOMs beim Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren (Art. 28 Abs. 3 lit. h DSGVO).
  2. Vor-Ort-Kontrollen erfolgen innerhalb üblicher Geschäftszeiten, sind vom Auftraggeber mit einer angemessenen Frist (mindestens 14 Tage, außer in Notfällen) anzumelden und durch den Auftragnehmer zu unterstützen (z.B. durch Bereitstellung von Personal).
  3. Die Kontrollen sind auf den erforderlichen Rahmen beschränkt und müssen auf Betriebs- und Geschäftsgeheimnisse des Auftragnehmers sowie den Schutz von personenbezogenen Daten Dritter (z.B. anderer Kunden oder Mitarbeiter des Auftragnehmers) Rücksicht nehmen. Zur Durchführung der Kontrolle sind nur fachkundige Personen zugelassen, die sich im Hinblick auf ihre Person und den Auftrag durch Vorlage amtlicher Identitätsnachweise und, sofern nicht vorliegend, einen Nachweis der Beauftragung, legitimieren müssen und im Hinblick auf die Betriebs- und Geschäftsgeheimnisse sowie Prozesse des Auftragnehmers und personenbezogene Daten Dritter zur Verschwiegenheit verpflichtet sind.
  4. Statt der Einsichtnahmen und der Vor-Ort-Kontrollen, darf der Auftragnehmer den Auftraggeber auf eine gleichwertige Kontrolle durch unabhängige Dritte (z.B. neutrale Datenschutzauditoren), Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen. Dies gilt insbesondere dann, wenn Betriebs- und Geschäftsgeheimnisse des Auftragnehmers oder personenbezogene Daten Dritter durch die Kontrollen gefährdet wären.
  5. Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch:
    • die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
    • die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
    • aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
    • eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

6. Unterauftragsverhältnisse

  1. Nimmt der Auftragnehmer die Dienste eines Unterauftragsverarbeiters (d.h. Unterauftragnehmer oder Subunternehmer) in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, dann muss er dem Unterauftragsverarbeiter im Wege eines Vertrags oder eines nach der DSGVO zulässigen anderen Rechtsinstruments dieselben Datenschutzpflichten zu denen sich der Auftragnehmer in diesem AV-Vertrag verpflichtet hat, auferlegen (insbesondere im Hinblick auf die Befolgung von Weisungen, Einhaltung der TOMs, Erteilung von Informationen und Duldung von Kontrollen). Der Auftragsverarbeiter stellt insbesondere sicher, dass das die benannten Kontrollrechte des Verantwortlichen auch direkt und im gleichen Umfang durch diesen bei den Unterauftragsverarbeitern des Auftragsverarbeiters wahrgenommen werden können. Ferner hat der Auftragnehmer den Unterauftragsverarbeiter sorgfältig auszuwählen, auf dessen Zuverlässigkeit zu prüfen und diese, als auch dessen Einhaltung der vertraglichen und gesetzlichen Vorgaben zu überwachen (Art. 28 Abs. 2 bis 4 DSGVO).
  2. Der Auftraggeber erklärt sich unbeschadet etwaiger Einschränkungen durch den Hauptvertrag ausdrücklich damit einverstanden, dass der Auftragnehmer im Rahmen der Auftragsverarbeitung Unterauftragsverarbeiter einsetzen darf.
  3. Die bereits zum Abschluss dieses AV-Vertrages bestehenden Unterauftragsverhältnisse, werden vom Auftragnehmer im Anhang 2 „Unterauftragsverhältnisse“ angegeben und gelten vom Auftragnehmer als genehmigt.
  4. Der Auftragnehmer informiert den Auftraggeber im Hinblick auf Änderungen bei den Unterauftragsverarbeitern, die für die Auftragsverarbeitung maßgeblich sind innerhalb einer angemessenen Vorabfrist, die im Regelfall 14 Tage beträgt, über den vom Auftraggeber angegebenen Kontaktweg (im Regelfall via E-Mail). Im Fall des Einspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder einen alternativen weiteren Unterauftragsverarbeiter vorschlagen und mit dem Verantwortlichen abstimmen. Sofern die Erbringung der Leistung ohne die beabsichtigte Änderung dem Auftragnehmer nicht zumutbar ist — etwa aufgrund von damit verbundenen unverhältnismäßigen Aufwendungen für den Auftragsverarbeiter — oder die Abstimmung eines weiteren Auftragsverarbeiters fehlschlägt, können der Verantwortliche und der Auftragsverarbeiter diese Vereinbarung sowie den Hauptvertrag mit einer Frist von einem Monat zum Monatsende kündigen. Die Kündigung gilt im Hinblick auf die Zahlung der vereinbarten Gebühren als zum nächstmöglichen ordentlichen Zeitpunkt erfolgt, falls der Einspruch ohne ein berechtigtes Interesse erfolgte.
  5. Vertragsverhältnisse, bei denen der Auftragnehmer die Leistungen Dritter als reine Nebenleistung in Anspruch nimmt, um seine geschäftliche Tätigkeit auszuüben (z.B. Reinigungs-, Bewachungs- oder Transportleistungen) stellen keine Unterauftragsverarbeitung im Sinne der vorstehenden Regelungen dieses AV-Vertrages dar. Gleichwohl hat der Auftragsverarbeiter sicher zu stellen, z.B. durch vertragliche Vereinbarungen oder Hinweise und Instruktionen, dass hierbei die Sicherheit der Daten nicht gefährdet wird und die Vorgaben dieses AV-Vertrages und der Datenschutzvorschriften eingehalten werden.

7. Verarbeitung in Drittländern

  1. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) statt.
  2. Die Auftragsverarbeitung in einem Drittland, auch durch Unterauftragsverarbeiter, bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO unter Berücksichtigung der jeweils jüngsten höchstrichterlichen Rechtsprechung (insbesondere des Urteils des Europäischen Gerichtshofs vom 16.07.2020 in der Rs. C-311/18, "Schrems II“) erfüllt sind, außer wenn der Auftragnehmer zu der Verarbeitung im Drittland durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, verpflichtet ist; in einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 S. 2 lit. a DSGVO).
  3. Die Zustimmung des Auftraggebers zur Verarbeitung im Drittland, gilt im Hinblick auf die im Anhang 2 „Unterauftragsverhältnisse“ genannten Verarbeitungen als erteilt.

8. Dauer des Auftrags, Vertragsbeendigung und Datenlöschung

  1. Dieser AV-Vertrag wird mit dessen Abschluss gültig, wird auf unbestimmte Zeit geschlossen und endet spätestens mit der Laufzeit des Hauptvertrags.
  2. Das Recht auf außerordentliche Kündigung bleibt den Vertragsparteien vorbehalten, insbesondere im Fall eines schwerwiegenden Verstoßes gegen die Vorgaben dieses AV-Vertrages und geltendes Datenschutzrecht. Der außerordentlichen Kündigung hat grundsätzlich eine Abmahnung der Verstöße mit angemessener Frist vorauszugehen, wobei sie nicht erforderlich ist, wenn nicht damit zu rechnen ist, dass die beanstandeten Verstöße behoben werden oder diese derart schwer wiegen, dass ein Festhalten am AV-Vertrag der kündigenden Vertragspartei nicht zuzumuten ist.
  3. Nach Abschluss der Erbringung der Verarbeitungsleistungen im Rahmen dieses AV-Vertrages, wird der Auftragnehmer alle personenbezogenen Daten und deren Kopien (sowie sämtliche im Zusammenhang mit dem Auftragsverhältnis in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände), nach Wahl des Auftraggebers entweder löschen oder zurückgeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht (Art. 28 Abs. 1 S. 2 lit. g DSGVO). Die Einrede eines Zurückbehaltungsrechts, wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. Im Hinblick auf die Löschung oder Rückgabe, gelten die Auskunfts-, Nachweis und Kontrollrechte des Auftraggebers entsprechend diesem AV-Vertrag.
  4. Der Auftragnehmer ist entsprechend dem Hauptvertrag berechtigt, Daten die er aus allgemein zugänglichen Quellen erhoben hat und die der Auftragnehmer auch ohne eine Berechtigung/Weisung des Kunden erlangt hätte (z.B. über eine Schnittstelle von Facebook übermittelte Daten, die für jedermann zugänglich sind), oder Daten, die anonymisiert sind, also nicht personenbezogen (z.B. aggregierte Daten), nicht zu löschen (da diese Daten z.B. von anderen Kunden des Auftragnehmers genutzt werden). Die Profile der Kunden werden, vorbehaltlich eines ausdrücklichen Löschungswunsches nach Deaktivierung gesperrt und dienen nur der Reaktivierung. Im Fall von Testnutzern werden nur der Name und die Facebook-ID zwecks Erkennung von Mehrfachanmeldungen gespeichert, die E-Mailadresse wird gelöscht.
  5. Im Übrigen bleiben die Verpflichtungen aus diesem AV-Vertrag im Hinblick auf die im Auftrag verarbeiteten Daten auch nach Beendigung des AV-Vertrages bestehen.

9. Aufwandsentschädigung

  1. Leistungen die der Auftragnehmer auf Grundlage dieses Vertrages erbringt, insbesondere die Zurverfügungstellung der notwendigen Informationen und die Mitwirkung, Löschung, bzw. die Rückgabe der Daten sowie Duldung und Mitwirkung bei den Kontrollen, bzw. adäquaten Alternativmaßnahmen umfassen, sind durch den Auftraggeber grundsätzlich nicht gesondert zu vergüten. Eine Berechnung der Leistungen erfolgt nur, wenn sie entsprechend gesetzlichen Vorgaben nicht erforderlich sind oder aufgrund von Umständen, die dem Auftraggeber zuzurechnen sind, ein branchenübliches Maß übersteigen.
  2. Sofern eine Berechnung von nebenvertraglichen Leistungen erfolgen sollte, umfasst sie eine Aufwandsentschädigung für die Arbeitszeit des vom Auftragnehmer beanspruchten Personals sowie erforderliche Auslagen (z.B. Reise- oder Materialkosten). Der Auftragnehmer teilt dem Auftraggeber die Höhe der Vergütung im Wege einer sachgerechten Schätzung vorab mit, es sei denn dies ist ihm nicht möglich oder zumutbar (z.B., bei etwaiger Pflicht zu unverzüglichen Maßnahmen in Notfällen). Die Berechnung der vorstehenden Kosten erfolgt grundsätzlich zu einem Stundensatz von 120,00 EUR netto. Dem Auftragnehmer bleibt es vorbehalten einen höheren Aufwand und dem Auftraggeber bleibt es vorbehalten, einen niedrigen Aufwand nachzuweisen.

10. Haftung

  1. Die Haftung der Parteien im Hinblick auf die vorliegende Auftragsverarbeitung richtet sich nach den gesetzlichen Bestimmungen, insbesondere nach Art. 82 DSGVO.

11. Schlussbestimmungen, Rangfolge, Änderungen, Kommunikationsform, Rechtswahl, Gerichtsstand

  1. Änderungen, Nebenabreden und Ergänzungen dieses AV-Vertrages und seiner Anhänge bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieses AV-Vertrages handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
  2. Dieser AV-Vertrag verpflichtet den Auftragnehmer nur insoweit, als dies zur Erfüllung der gesetzlichen Pflichten, insbesondere nach Art. 28 ff. DSGVO erforderlich ist und legt dem Auftragnehmer darüber hinaus keine weiteren Pflichten auf.
  3. Vorbehaltlich einer Verpflichtung zur Schriftform in diesem AV-Vertrag und im Hauptvertrag, erfolgt die Kommunikation zwischen dem Auftragnehmer und Auftraggeber im Rahmen dieses AV-Vertrages (insbesondere im Hinblick auf Weisungen und Informationserteilung) zumindest in Textform (z.B. E-Mail). Eine geringere Form (z.B. mündlich) kann den Umständen nach statt der Textform zulässig sein (z.B. in Notfallsituation), muss jedoch unverzüglich zumindest in Textform bestätigt werden. Sofern die Schriftform verlangt wird, ist die Schriftform im Sinne der DSGVO gemeint.
  4. Es gilt das Recht der Bundesrepublik Deutschland. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit diesem AV-Vertrag ist der Sitz des Auftragnehmers, sofern der Aufraggeber Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist oder der Aufraggeber in der Bundesrepublik Deutschland keinen Gerichtsstand hat. Der Auftragnehmer behält sich vor, seine Ansprüche an dem gesetzlichen Gerichtsstand geltend zu machen.

................................................................................................................

Ort, Datum, Unterschrift Auftraggeber

Berlin, Jun 14, 2024

................................................................................................................

Ort, Datum, Unterschrift Auftragnehmer


Auftrag zur Verarbeitung personenbezogener Daten

Anhang 1 – Technisch-organisatorische Maßnahmen (TOMs)

Die aktuelle Liste der Technischen und Organisatorischen Maßnahmen ist veröffentlicht unter: https://www.fanpagekarma.com/de/privacy/toms.


Auftrag zur Verarbeitung personenbezogener Daten

Anhang 2 – Unterauftragsverhältnisse

Die aktuelle Liste der Unterauftragsverhältnisse ist veröffentlicht unter: https://www.fanpagekarma.com/de/privacy/subprocessors.

Stand: April 2020

Vertrag herunterladen