Vereinbarung mit dem Verarbeiter

Bolfeed legt Wert auf eine klare und transparente Zusammenarbeit mit seinen Kunden. Bitte prüfen Sie daher die Nutzungsbedingungen für alle geschäftlichen Vereinbarungen. Ihre Privatsphäre und möglicherweise die Ihrer Kunden sind durch unsere Datenschutzrichtlinie und die Vereinbarung mit dem Auftragsverarbeiter gut geschützt.

Vereinbarung mit dem Verarbeiter

EasyAds B.V. verarbeitet personenbezogene Daten für einen Teil seiner Dienstleistungen, zum Beispiel wenn ein Bestell-Link gekauft wird. Diese Verarbeitungsvereinbarung ist nur anwendbar, wenn personenbezogene Daten verarbeitet werden.

EasyAds B.V., eingetragen bei der Handelskammer unter der Nummer 30.210.912 (im Folgenden: "Verarbeiter"), verarbeitet Daten im Auftrag der Gegenpartei (Inserent, Kunde, Nutzer), für die sie Dienstleistungen erbringt (im Folgenden: "Verarbeiter").

In Anbetracht dessen:

  • der Verarbeitungsvertrag wurde im Rahmen der Erbringung der Dienstleistung durch den Auftragsverarbeiter an den Verantwortlichen für die Verarbeitung für die Zwecke der Durchführung des Vertrags geschlossen;
  • Die Dienstleistung des Auftragsverarbeiters besteht in der Verarbeitung von Artikel- und Auftragsdaten des Auftragsverarbeiters und von personenbezogenen Daten der Kunden des Auftragsverarbeiters;
  • Der Verarbeiter wird hiermit als Verarbeiter im Sinne des § 4 Abs. 8 AVG bezeichnet;
  • Der Verarbeiter wird hiermit als Auftragsverarbeiter im Sinne des § 4 Abs. 7 AVG bezeichnet;
  • Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Sinne von Artikel 4 Absatz 1 der Datenschutz-Grundverordnung (im Folgenden: "AVG") bei der Erfüllung des Vertrags auf Anweisung des Auftragsverarbeiters;
  • Der Auftragsverarbeiter ist bereit, die Verpflichtungen in Bezug auf die Sicherheit und andere Aspekte des AVG und, bis zum 25. Mai 2018, des Gesetzes über den Schutz personenbezogener Daten (im Folgenden "Wbp") zu erfüllen, soweit dies in seiner Macht steht;
  • Das Wbp und das AVG verpflichten den für die Verarbeitung Verantwortlichen, sich zu vergewissern, dass der Auftragsverarbeiter ausreichende Garantien für die technischen und organisatorischen Sicherheitsmaßnahmen im Zusammenhang mit der durchzuführenden Verarbeitung bietet;
  • Das Wbp und das AVG verpflichten auch den für die Verarbeitung Verantwortlichen, die Einhaltung dieser Maßnahmen sicherzustellen;
  • Die Parteien wollen, auch im Hinblick auf das Erfordernis des § 28 Abs. 3 AVG, ihre Rechte und Pflichten durch diese Verarbeitungsvereinbarung (im Folgenden "Verarbeitungsvereinbarung") schriftlich festlegen;
  • Soweit in diesem Verarbeitungsvertrag auf Bestimmungen des AVG verwiesen wird, sind bis zum 25. Mai 2018 die entsprechenden Bestimmungen des Wbp gemeint.

Artikel 1. Zweck der Verarbeitung
1.1 Im Rahmen dieses Auftragsverarbeitungsvertrages verpflichtet sich der Auftragsverarbeiter, Artikel-, Personen- und Auftragsdaten im Auftrag des Auftragsverarbeiters zu verarbeiten. Die Verarbeitung erfolgt ausschließlich im Rahmen des Verarbeitungsvertrags zur Erbringung der Dienstleistungen für die verantwortliche Partei.

1.2 Die vom Auftragsverarbeiter im Rahmen der Vereinbarung verarbeiteten personenbezogenen Daten werden nur für die von der für die Verarbeitung verantwortlichen Partei angegebenen Zwecke verarbeitet. Die für die Verarbeitung Verantwortliche teilt dem Auftragsverarbeiter die Verarbeitungszwecke mit, sofern sie nicht bereits in diesem Verarbeitungsvertrag festgelegt sind.

1.3 Die für die Verarbeitung verantwortliche Partei garantiert, dass sie ein Verzeichnis der im Rahmen dieses Verarbeitungsvertrags geregelten Verarbeitungen führt. Die für die Verarbeitung Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen und Forderungen frei, die sich aus der nicht oder nicht ordnungsgemäß erfolgten Führung des Registers ergeben.

Artikel 2 Pflichten des Auftragsverarbeiters
2.1 In Bezug auf die in Artikel 1 genannte Verarbeitung stellt der Auftragsverarbeiter die Einhaltung der Bedingungen sicher, die für die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter in seiner Funktion gemäß dem Datenschutzgesetz und dem AVG gelten.

2.2 Der Auftragsverarbeiter unterrichtet die verarbeitende Partei auf deren Verlangen innerhalb einer angemessenen Frist über die Maßnahmen, die er in Bezug auf seine Verpflichtungen aus diesem Verarbeitungsvertrag getroffen hat.

2.3 Die Verpflichtungen des Auftragsverarbeiters, die sich aus dieser Verarbeitungsvereinbarung ergeben, gelten auch für diejenigen, die personenbezogene Daten im Auftrag des Auftragsverarbeiters verarbeiten.

2.4 Die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter wird niemals dazu führen, dass die Datenbanken des Auftragsverarbeiters mit Daten aus den Datensätzen des für die Verarbeitung Verantwortlichen angereichert werden, es sei denn, die Daten liegen in aggregierter, nicht reduzierbarer Form vor. In diesem Fall ist es dem Auftragsverarbeiter gestattet, diese Daten für seine eigenen Zwecke zu verwenden.

Artikel 3 Übermittlung von personenbezogenen Daten
3.1 Der Auftragsverarbeiter kann die personenbezogenen Daten in Ländern des Europäischen Wirtschaftsraums (EWR) verarbeiten. Darüber hinaus kann der Auftragsverarbeiter vorbehaltlich der geltenden Gesetze und Vorschriften auch personenbezogene Daten außerhalb des EWR verarbeiten.

3.2 Auf Antrag der verarbeitenden Partei wird die verarbeitende Partei so schnell wie möglich darüber informiert, in welchen Ländern außerhalb des EWR sie die personenbezogenen Daten verarbeitet.

Artikel 4 Verteilung der Verantwortung
4.1 Die zulässigen Verarbeitungen werden vom Auftragsverarbeiter in einer automatisierten Umgebung durchgeführt.

4.2 Der Auftragsverarbeiter ist allein verantwortlich für die Verarbeitung der personenbezogenen Daten im Rahmen dieses Auftragsverarbeitungsvertrags gemäß den Anweisungen des Verantwortlichen für die Verarbeitung und unter der ausdrücklichen (endgültigen) Verantwortung des Verantwortlichen für die Verarbeitung. Der Auftragsverarbeiter ist nicht verantwortlich für alle anderen Verarbeitungen personenbezogener Daten, einschließlich, aber nicht beschränkt auf die Erhebung der personenbezogenen Daten durch den Verantwortlichen für die Verarbeitung, die Verarbeitung für Zwecke, die der Verantwortliche für die Verarbeitung dem Auftragsverarbeiter nicht mitgeteilt hat, die Verarbeitung durch Dritte und/oder für andere Zwecke. Die Verantwortung für diese Verarbeitungen liegt ausschließlich bei der für die Verarbeitung verantwortlichen Partei.

4.3 Der für die Verarbeitung Verantwortliche gewährleistet, dass die in unserer Datenschutzrichtlinie beschriebenen personenbezogenen Daten vom für die Verarbeitung Verantwortlichen bereitgestellt werden können und dass der Auftragsverarbeiter sie in seinem Auftrag verarbeiten kann.

4.4 Der für die Verarbeitung Verantwortliche gewährleistet, dass für die in Artikel 1.1 genannten Zwecke die erforderliche Rechtsgrundlage, wie z.B. die Einwilligung, vorhanden ist, wie sie u.a. im Gesetz zum Schutz personenbezogener Daten und im Telekommunikationsgesetz vorgesehen ist.

4.5 Der für die Verarbeitung Verantwortliche garantiert, dass der Inhalt, die Verwendung und die Beauftragung der Verarbeitung der personenbezogenen Daten, auf die sich dieser Verarbeitungsvertrag bezieht, nicht rechtswidrig sind und keine Rechte Dritter verletzen und dass alle für die Verarbeitung besonderer personenbezogener Daten geltenden zusätzlichen Garantien, wie sie in den einschlägigen Gesetzen und Vorschriften festgelegt sind, eingehalten wurden.
wie in den einschlägigen Gesetzen und Verordnungen festgelegt. Die verarbeitende Partei stellt die verarbeitende Partei von allen diesbezüglichen Ansprüchen und Forderungen frei.

Artikel 5: Beauftragung von Dritten oder Unterauftragnehmern
5.1 Die verarbeitende Partei ermächtigt hiermit die verarbeitende Partei, sich bei der Verarbeitung personenbezogener Daten im Rahmen dieses Verarbeitungsvertrags unter Einhaltung der geltenden Datenschutzvorschriften eines Dritten zu bedienen.

5.2 Auf Verlangen des Auftragsverarbeiters informiert der Auftragsverarbeiter den Auftraggeber so schnell wie möglich über die von ihm beauftragten Dritten. Der Auftragsverarbeiter hat das Recht, gegen von ihm beauftragte Dritte Einspruch zu erheben. Widerspricht der Verantwortliche der Verarbeitung den vom Auftragsverarbeiter beauftragten Dritten, so macht dies die Nutzung der vom Auftragsverarbeiter angebotenen Dienstleistung unmöglich.

5.3 Der Auftragsverarbeiter stellt in jedem Fall sicher, dass diese Dritten schriftlich dieselben Verpflichtungen eingehen, wie sie zwischen dem Auftragsverarbeiter und dem Auftragsverarbeiter vereinbart wurden.

Artikel 6: Sicherheit
6.1 Der Auftragsverarbeiter bemüht sich nach besten Kräften, geeignete technische und organisatorische Maßnahmen zu treffen, um die Verarbeitung personenbezogener Daten gegen Verlust oder jede Form der unrechtmäßigen Verarbeitung (z. B. unbefugter Zugriff, Beeinträchtigung, Veränderung oder Weitergabe der personenbezogenen Daten) zu schützen.

6.2 Der Auftragsverarbeiter unternimmt alle Anstrengungen, um sicherzustellen, dass die Sicherheit ein Niveau erreicht, das im Hinblick auf den Stand der Technik, die Sensibilität der personenbezogenen Daten und die mit der Umsetzung der Sicherheit verbundenen Kosten nicht unangemessen ist.

6.3 Trotz der Tatsache, dass der Auftragsverarbeiter gemäß dem ersten Absatz dieses Artikels angemessene Sicherheitsmaßnahmen ergreifen muss, kann der Auftragsverarbeiter nicht vollständig garantieren, dass die Sicherheit unter allen Umständen wirksam ist. Sollte es jedoch zu einer drohenden oder tatsächlichen Verletzung dieser Sicherheitsmaßnahmen kommen, wird der Auftragsverarbeiter alles tun, was vernünftigerweise möglich ist, um den Verlust personenbezogener Daten so weit wie möglich zu begrenzen.

6.4 Die für die Verarbeitung verantwortliche Stelle stellt dem Auftragsverarbeiter personenbezogene Daten nur dann zur Verarbeitung zur Verfügung, wenn sie sichergestellt hat, dass die erforderlichen Sicherheitsmaßnahmen getroffen wurden. Die für die Verarbeitung verantwortliche Partei ist für die Einhaltung der von den Parteien vereinbarten Maßnahmen verantwortlich.

6.5 Der Auftragsverarbeiter ergreift alle Sicherheitsmaßnahmen, die vernünftigerweise von ihm erwartet werden können, um seine Produkte und/oder Dienstleistungen zu schützen, wie z.B.:

  • Regelmäßige Installation von (Sicherheits-)Updates;
  • Verwendung von Software, die Schutz vor Viren, Malware usw. bietet;
  • Absicherung gegen "Brute-Force"-Angriffe;
  • Versehen Sie die Systeme mit Firewalls, wenn nötig, und ACLs, wenn möglich;
  • Alle sensiblen Daten werden nach Möglichkeit über sichere Verbindungen übertragen;
  • Bei der Speicherung von Kennwörtern wird ein unumkehrbares Hashing verwendet;

Artikel 7: Meldepflicht
7.1 Im Falle einer Sicherheitsverletzung und/oder eines Datenlecks (worunter zu verstehen ist: eine Verletzung der Sicherheit, die zur zufälligen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung oder zur unbefugten Weitergabe von oder zum unbefugten Zugang zu übermittelten, gespeicherten oder anderweitig verarbeiteten Daten führt), so unternimmt der Auftragsverarbeiter alle Anstrengungen, um den Verantwortlichen unverzüglich oder spätestens innerhalb von achtundvierzig (48) Stunden zu unterrichten, woraufhin der Verantwortliche entscheidet, ob er die Aufsichtsbehörden und/oder die betroffenen Personen unterrichtet oder nicht. Der Auftragsverarbeiter unternimmt alle Anstrengungen, um sicherzustellen, dass die übermittelten Informationen vollständig, richtig und genau sind. Die Meldepflicht gilt unabhängig von den Auswirkungen des Lecks.

7.2 Die Meldepflicht umfasst in jedem Fall die Meldung der Tatsache, dass ein Leck aufgetreten ist, sowie:

  • das Datum, an dem das Leck aufgetreten ist (wenn kein genaues Datum bekannt ist: der Zeitraum, in dem das Leck aufgetreten ist);
  • was die (angebliche) Ursache des Lecks ist;
  • das Datum und die Uhrzeit, zu der das Leck dem Auftragsverarbeiter oder einem von ihm beauftragten Dritten oder Unterauftragnehmer bekannt wurde;
  • Die Anzahl der Personen, deren Daten durchgesickert sind (wenn keine genaue Zahl bekannt ist: die Mindest- und Höchstzahl der Personen, deren Daten durchgesickert sind);
  • Beschreibung des Personenkreises, dessen Daten weitergegeben wurden, einschließlich der Art(en) der weitergegebenen personenbezogenen Daten;
  • ob die Daten verschlüsselt, gehasht oder auf andere Weise für Unbefugte unverständlich oder unzugänglich gemacht worden sind;
  • die geplanten und/oder bereits getroffenen Maßnahmen zur Schließung des Lecks und zur Begrenzung der Folgen des Lecks;
  • Kontaktangaben für die Weiterverfolgung des Berichts.

7.3 Der Auftragsverarbeiter sorgt für die Einhaltung etwaiger (gesetzlicher) Meldepflichten. Wenn es das Gesetz und/oder die Vorschriften erfordern, wird der Auftragsverarbeiter bei der Unterrichtung der zuständigen Behörden und/oder betroffenen Parteien mitwirken.

Artikel 8. Recht der betroffenen Person
8.1 Stellt eine betroffene Person beim Auftragsverarbeiter einen Antrag auf Ausübung ihrer gesetzlichen Rechte, so leitet der Auftragsverarbeiter den Antrag an den für die Verarbeitung Verantwortlichen weiter und informiert die betroffene Person entsprechend. Der Auftragsverarbeiter bearbeitet den Antrag dann selbständig.

8.2 Stellt eine betroffene Person einen Antrag an den Auftragsverarbeiter, um eines ihrer gesetzlichen Rechte auszuüben, so wird der Auftragsverarbeiter, sofern er dies verlangt, im Rahmen des Möglichen und Angemessenen seine Mitarbeit anbieten. Der Verarbeiter kann dem Verarbeiter hierfür angemessene Kosten in Rechnung stellen.

Artikel 9. Verpflichtung zur Vertraulichkeit
9.1 Alle personenbezogenen Daten, die der Auftragsverarbeiter im Rahmen dieses Auftragsverarbeitungsvertrages von der verarbeitenden Partei erhält und/oder selbst erhebt, unterliegen einer Geheimhaltungspflicht gegenüber Dritten. Der Verarbeiter darf diese Informationen nicht für andere Zwecke als die, für die sie eingeholt wurden, verwenden, es sei denn, sie liegen in einer Form vor, die eine Rückverfolgung zu den Beteiligten unmöglich macht.

9.2 Diese Geheimhaltungsverpflichtung gilt nicht, sofern der für die Verarbeitung Verantwortliche seine ausdrückliche Zustimmung zur Weitergabe der Informationen an Dritte erteilt hat, wenn die Weitergabe der Informationen an Dritte im Hinblick auf die Art des erteilten Auftrags und die Durchführung dieses Verarbeitungsvertrags logisch notwendig ist oder wenn eine gesetzliche Verpflichtung zur Weitergabe der Informationen an Dritte besteht.