Anhang – Vereinbarung über die Datenschutzrichtlinie easySales

Die Parteien erkennen an und vereinbaren, dass der Anbieter die easySales-Plattform (ES) verwaltet und zugunsten des Nutzers die Vermittlung der vom Nutzer beauftragten Dienstleistungen im Zusammenhang mit dem Verkauf der Produkte des Nutzers erbringt. Zu diesem Zweck bestimmt und benennt der Nutzer dem Anbieter durch diese Vereinbarung die personenbezogenen Daten, die vom Anbieter verarbeitet werden, um den Verkaufsprozess über die easySales-Plattform durchzuführen. Die Verarbeitung dieser personenbezogenen Daten erfolgt während der Geltungsdauer der ES-Allgemeinen Geschäftsbedingungen und zur Erfüllung des Gegenstands der ES-Allgemeinen Geschäftsbedingungen. Die Parteien erklären und gewährleisten, dass der Nutzer hinsichtlich der personenbezogenen Daten der Kunden die Eigenschaft des VERANTWORTLICHEN hat, während der Anbieter als AUFTRAGSVERARBEITER qualifiziert wird, in Übereinstimmung mit den geltenden gesetzlichen Bestimmungen, insbesondere mit der DSGVO, d. h. der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Die Begriffsbestimmungen der DSGVO gelten entsprechend.

1 Art. 28 Abs. 3 S. 1 DSGVO Gegenstand und Dauer, Art und Zweck der Datenverarbeitung, Arten personenbezogener Daten und Kategorien betroffener Personen
  1. Der Verantwortliche ermächtigt und verpflichtet den Auftragsverarbeiter:
    • personenbezogene Daten zu allen rechtmäßigen und einschlägigen Zwecken im Zusammenhang mit der Erbringung der Dienstleistungen durch den vom Verantwortlichen entsprechend beauftragten Auftragsverarbeiter zu verarbeiten;
    • personenbezogene Daten in dem Umfang zu verarbeiten, der erforderlich ist, um den rechtlichen Verpflichtungen des Verantwortlichen oder der vom Verantwortlichen beauftragten Person nachzukommen, einschließlich der hiermit erfolgenden Offenlegung personenbezogener Daten gegenüber den zuständigen lokalen Behörden;
    • personenbezogene Daten in Übereinstimmung hiermit an Unterauftragnehmer zu übermitteln.
  2. Der Gegenstand der Vereinbarung, die Art und der Zweck der Datenverarbeitung, die Arten personenbezogener Daten und die Kategorien betroffener Personen sind in Anhang A festgelegt, der ein integraler Bestandteil dieser Vereinbarung ist.
  3. Sofern nicht anders vereinbart, tritt diese Vereinbarung am Tag der Unterzeichnung in Kraft, wie in den ES-Allgemeinen Geschäftsbedingungen definiert, und gilt so lange, wie der Auftragsverarbeiter personenbezogene Daten im Namen und im Auftrag des Verantwortlichen verarbeitet. Zur Vermeidung von Zweifeln führt die Beendigung des Vertrags (aus welchem Grund auch immer) zur automatischen Beendigung dieser Vereinbarung.
2 Art. 28 Abs. 3 lit. a), S. 3 DSGVO Datenverarbeitung auf Grundlage von Weisungen; Informationspflicht
  1. Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich auf der Grundlage schriftlicher Weisungen des Verantwortlichen, auch in Bezug auf die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation (wie in Anhang B festgelegt), es sei denn, er ist durch das Recht der EU oder eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, zu etwas anderem verpflichtet. In diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern eine solche Mitteilung nicht aus wichtigen Gründen des öffentlichen Interesses gesetzlich untersagt ist. Zum Zeitpunkt der Unterzeichnung sind alle diese Weisungen im Dokument der ES-Allgemeinen Geschäftsbedingungen enthalten.
  2. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine vom Verantwortlichen erteilte Weisung gegen die Bestimmungen der DSGVO oder andere anwendbare Bestimmungen im Bereich des Datenschutzes verstößt.
  3. Zur Vermeidung von Zweifeln ist der Auftragsverarbeiter hiermit nicht dafür verantwortlich, dem Verantwortlichen Rechts- oder Compliance-Beratung oder jegliche andere Beratung zu erteilen oder rechtliche / Compliance- / Analyse- oder Stellungnahmen jeglicher Art für den Verantwortlichen durchzuführen.
  4. Die Parteien beabsichtigen hiermit nicht die Verarbeitung von Daten besonderer Art oder zu Identifizierungszwecken, die von der Kategorie der dieser Vereinbarung unterliegenden personenbezogenen Daten ausgenommen sind.
  5. Der Verantwortliche behält die Verantwortung für die Rechtmäßigkeit der Erhebung personenbezogener Daten (einschließlich der Überprüfung der Gültigkeit und des Zwecks) und ihrer Bereitstellung an den Auftragsverarbeiter im Rahmen der Vereinbarung, einschließlich der Einhaltung und Einholung jeglicher Genehmigung / Erlaubnis, auch vorheriger, die durch einen Rechts- oder Unternehmensakt in dieser Hinsicht (erforderlich) vorgeschrieben sein kann.
3 Art. 28 Abs. 3 lit. b) DSGVO Vertraulichkeitsverpflichtung
  1. Bei der Ausführung dieser Vereinbarung stellt der Auftragsverarbeiter sicher, dass er als zur Verarbeitung personenbezogener Daten befugte Personen nur Personen einsetzt, die durch einen Vertraulichkeitsvertrag gebunden sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  2. Der Auftragsverarbeiter wird mit der gebotenen Sorgfalt darauf hinwirken, dass seine zur Verarbeitung personenbezogener Daten befugten Mitarbeiter / Auftragnehmer alle für die Datenschutzvereinbarung geltenden gesetzlichen Anforderungen kennen und dass er die verarbeiteten personenbezogenen Daten nicht an unbefugte Dritte weitergibt, d. h. dass die Daten vom Auftragsverarbeiter nicht anders verwendet / verarbeitet werden als im Rahmen der vorliegenden Vereinbarung gestattet.
4 Art. 28 Abs. 3 lit. c) DSGVO Sicherheit der Verarbeitung / Technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO
  1. Der Auftragsverarbeiter ergreift alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Artikel 32 DSGVO. Diese Maßnahmen sind ausführlich in Anhang 3 dargelegt.
  2. Technische und organisatorische Maßnahmen (TOM) sind durch den technologischen Fortschritt und die technologische Entwicklung bedingt. Während der Geltungsdauer dieser Vereinbarung passt der Auftragsverarbeiter die TOM jederzeit in Übereinstimmung mit den Anforderungen dieser Vereinbarung und in Übereinstimmung mit dem technologischen Fortschritt an. Das in dieser Vereinbarung und in Anhang C festgelegte Sicherheitsniveau der TOM darf während der Geltungsdauer dieser Vereinbarung im Vergleich zu den zum Zeitpunkt der Umsetzung der Änderungen bestehenden Versionen nicht verringert werden.
  3. Der Auftragsverarbeiter verpflichtet sich:
    • die an den technischen und organisatorischen Maßnahmen vorgenommenen Anpassungen / Änderungen, die erhebliche Auswirkungen auf das gewährleistete Sicherheitsniveau haben könnten, schriftlich, auch in elektronischer Form, zu dokumentieren, und
    • diese Anpassungen / Änderungen dem Verantwortlichen ohne unangemessene Verzögerung zur Kenntnis zu bringen.
    Nach solchen mitgeteilten Änderungen gilt Anhang 3 als aktualisiert.
  4. Auf vorherige Anfrage des Verantwortlichen trägt der Auftragsverarbeiter zur Erstellung und / oder Aktualisierung der Verzeichnisse über die Verarbeitungstätigkeiten des Verantwortlichen bei, soweit sie Verarbeitungstätigkeiten betreffen, die über den Auftragsverarbeiter durchgeführt werden. Auf Anfrage des Verantwortlichen stellt der Auftragsverarbeiter die erforderlichen Informationen und Unterlagen bereit.
5 Art. 28 Abs. 3 lit. d) DSGVO Hinzuziehung weiterer befugter Personen (Unterauftragsverarbeiter)
  1. Hiermit bestätigt der Verantwortliche die allgemeine Genehmigung gemäß Art. 28 Abs. 2 DSGVO, die dem Auftragsverarbeiter erteilt wird, weitere befugte Personen für die vollständige oder teilweise Ausführung der Verarbeitungsvorgänge gemäß dem vorliegenden Vertrag zu beauftragen; der Auftragsverarbeiter informiert den Verantwortlichen über alle geplanten Änderungen im Zusammenhang mit der Hinzuziehung oder Ersetzung weiterer Unterauftragsverarbeiter. Die Mitteilung erfolgt schriftlich, auch in elektronischer Form. Der Verantwortliche kann innerhalb von 1 (einer) Woche nach Erhalt der Informationen über diese Änderungen Einspruch erheben und dafür eine Begründung angeben.
  2. Zum Zeitpunkt des Abschlusses der Vereinbarung sind die vom Auftragsverarbeiter erklärten Unterauftragnehmer, die im Lichte der Bestimmungen von Art. 5.1 als befugte Personen für den Auftragsverarbeiter in Bezug auf diese Vereinbarung handeln, diejenigen, die in der Liste in Anhang 2 enthalten sind, der ein integraler Bestandteil dieser Vereinbarung ist. Mit der Unterzeichnung dieser Vereinbarung stimmt der Verantwortliche der Beauftragung dieser befugten Personen (Unterauftragnehmer) durch den Auftragsverarbeiter zu, mit derselben Sorgfalt, die bei der Beauftragung der in Anhang 2 genannten Stellen angewendet wird.
  3. Jegliche Übermittlungen an Drittländer (einschließlich der Gewährung des Zugangs zu personenbezogenen Daten, die im Namen und im Auftrag des Verantwortlichen verarbeitet werden), die entweder vom Auftragsverarbeiter selbst oder vom nachfolgenden Unterauftragnehmer durchgeführt werden, bedürfen der vorherigen schriftlichen Genehmigung, auch in elektronischer Form, durch den Verantwortlichen. Mit der Unterzeichnung dieser Vereinbarung stimmt der Verantwortliche der Durchführung von Übermittlungen an Drittländer an die in Art. 5.2 genannten Unterauftragnehmer zu.
6 Art. 28 Abs. 3 lit. e) DSGVO Verpflichtungen zur Zusammenarbeit und Unterstützung
  1. Der Auftragsverarbeiter unterstützt den Verantwortlichen mit allen verfügbaren und aus wirtschaftlicher Sicht angemessenen Mitteln sowie durch geeignete technische und organisatorische Maßnahmen, damit der Verantwortliche seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte durch betroffene Personen gemäß Kapitel III der DSGVO (Art. 12 - 23 DSGVO) nachkommen kann. Der Verantwortliche trägt die Kosten für die vom Auftragsverarbeiter an den Verantwortlichen geleistete Unterstützung in den von diesem Artikel erfassten Fällen.
  2. Die direkte Kommunikation des Auftragsverarbeiters mit der betroffenen Person findet nur mit der vorherigen schriftlichen Einwilligung des Verantwortlichen statt. Der Auftragsverarbeiter übermittelt dem Verantwortlichen alle schriftlichen Anträge betreffend die Rechte der betroffenen Personen ohne ungerechtfertigte Verzögerungen.
6 Art. 28 Abs. 3 lit. f) DSGVO Unterstützung bei der Gewährleistung der Einhaltung der Verpflichtungen des Verantwortlichen
  1. Der Auftragsverarbeiter leistet dem Verantwortlichen Unterstützung bei der Gewährleistung der Einhaltung der Verpflichtungen gemäß Art. 32 - 36 DSGVO, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen. Der Verantwortliche trägt die Kosten für die vom Auftragsverarbeiter an den Verantwortlichen geleistete Unterstützung in den von diesem Artikel erfassten Fällen.
  2. Vorbehaltlich Art. 28 Abs. 3 lit. f) DSGVO unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und gegebenenfalls auch bei der Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO. Auf schriftliche Anfrage des Verantwortlichen stellt der Auftragsverarbeiter alle erforderlichen und angeforderten Informationen und Unterlagen bereit, unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
  3. Der Auftragsverarbeiter informiert den Verantwortlichen über jede Verletzung der Sicherheit personenbezogener Daten innerhalb von höchstens 24 (vierundzwanzig) Stunden ab dem Zeitpunkt, zu dem er Kenntnis von einer solchen Situation erlangt, und stellt dem Verantwortlichen mindestens die folgenden Informationen zur Verfügung:
    1. Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich einschließlich der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    2. Name und Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, bei der weitere Informationen eingeholt werden können;
    3. die wahrscheinlichen Folgen der Verletzung der Sicherheit personenbezogener Daten nach Einschätzung des Auftragsverarbeiters;
    4. die vom Auftragsverarbeiter ergriffenen oder vom Auftragsverarbeiter vorgeschlagenen Maßnahmen, die vom Verantwortlichen zu ergreifen sind, um die Verletzung der Sicherheit personenbezogener Daten zu beheben, gegebenenfalls einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
  4. Soweit und sofern es nicht möglich ist, alle Informationen gleichzeitig bereitzustellen, können diese ohne unangemessene weitere Verzögerung schrittweise bereitgestellt werden.
  5. Im Fall spezifischer, vom Auftragsverarbeiter auf Anfrage des Verantwortlichen vorgenommener Entwicklungen an den bei der Verarbeitung personenbezogener Daten verwendeten Systemen / Anwendungen leistet der Auftragsverarbeiter dem Verantwortlichen Unterstützung und Hilfe, um die Einhaltung der in Art. 25 DSGVO vorgesehenen Verpflichtung zu gewährleisten (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen). Der Auftragsverarbeiter berücksichtigt insbesondere bei seinen Instrumenten, Produkten, Anwendungen oder Diensten die Grundsätze des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Die entsprechenden Kosten werden vom Verantwortlichen getragen.
8 Art. 28 Abs. 3 lit. g) DSGVO Löschung und Rückgabe personenbezogener Daten
  1. Soweit durch zwingende gesetzliche Bestimmungen vorgesehen oder auf schriftliche Anfrage des Verantwortlichen gibt der Auftragsverarbeiter bei Beendigung der Vereinbarung die personenbezogenen Daten an den Verantwortlichen zurück (einschließlich bestehender Kopien), es sei denn, das geltende Recht erlaubt / verlangt die Speicherung / Verarbeitung solcher Daten durch den Auftragsverarbeiter (vorbehaltlich des Grundsatzes der Datenminimierung bei der Verarbeitung) oder der Auftragsverarbeiter legt dem Verantwortlichen die Begründung für ihre Aufbewahrung vor (z. B. zum Schutz eines bestimmten Rechts des Auftragsverarbeiters).
9 Art. 28 Abs. 3 lit. h) DSGVO Nachweis der Einhaltung der Verpflichtungen und Beitrag zur Durchführung von Audits
  1. Auf besondere Anfrage des Verantwortlichen und unter Einhaltung aller Grundsätze von Art. 7.1 oben stellt der Auftragsverarbeiter dem Verantwortlichen alle ihm zur Verfügung stehenden Informationen zur Verfügung, die der Auftragsverarbeiter als angemessen erachtet, um den Verantwortlichen beim Nachweis der Einhaltung der in Art. 28 DSGVO vorgesehenen Verpflichtungen zu unterstützen. Der Auftragsverarbeiter ermöglicht und trägt zu den vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführten Audits, einschließlich Inspektionen, bei. Die Audits, einschließlich Inspektionen, werden durchgeführt, ohne die Tätigkeit des Auftragsverarbeiters in irgendeiner Weise zu beeinträchtigen und ohne die Einhaltung und Erfüllung der Sicherheits- und Vertraulichkeitsverpflichtungen, die er in seinen Beziehungen zu anderen natürlichen und juristischen Personen übernommen hat oder die er als rechtskonform erachtet, in irgendeiner Weise zu behindern. Der Verantwortliche reicht jede Auditanfrage und jeden Auditplan mindestens 30 Tage vor dessen Durchführung ein, und die Parteien einigen sich gemeinsam auf die Planung des Audits / der Inspektion. Die Kosten jedes Audits / jeder Inspektion werden vollständig vom Verantwortlichen getragen.
  2. Der Verantwortliche stellt dem Auftragsverarbeiter ohne Verzögerung eine Kopie jedes im Rahmen dieser Vereinbarung erstellten Audit- / Inspektionsberichts zur Verfügung, sobald ein solcher Bericht / ein solches Audit abgeschlossen ist.
  3. Der Verantwortliche verpflichtet sich, für das Audit / die Inspektion keinen Wettbewerber des Auftragsverarbeiters zu beauftragen, andernfalls kann der Auftragsverarbeiter das Audit / die Inspektion wirksam ablehnen.
10 Zusätzliche Verpflichtungen
  1. Im Fall von Verletzungen der Datensicherheit oder von bei der Aufsichtsbehörde eingereichten Beschwerden (die auch dem Auftragsverarbeiter mitgeteilt werden) betreffend die hiervon erfasste Verarbeitung personenbezogener Daten oder von Maßnahmen / Sanktionen, die dem Auftragsverarbeiter im Anschluss an Inspektionen oder andere von den Aufsichtsbehörden ergriffene Maßnahmen in Bezug auf die hiervon erfassten Daten auferlegt werden, wird der Verantwortliche unverzüglich benachrichtigt. Der Verantwortliche bietet dem Auftragsverarbeiter auf Anfrage des Auftragsverarbeiters innerhalb von 24 Stunden jegliche Unterstützung bei der Lösung dieser Ereignisse an.
  2. Soweit gesetzlich vorgeschrieben, benennt der Auftragsverarbeiter schriftlich eine für den Datenschutz verantwortliche Person gemäß Art. 37 DSGVO und gegebenenfalls einen Vertreter gemäß Art. 27 DSGVO. Die Kontaktdaten der als für den Datenschutz verantwortlich benannten Person werden dem Verantwortlichen mitgeteilt.
  3. Gemäß Art. 30 ist der Auftragsverarbeiter verpflichtet, Verzeichnisse über alle Kategorien von im Namen und im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten zu führen.
  4. Der Verantwortliche wird keine Ankündigung / Mitteilung / Nachricht betreffend die Ausführung dieser Vereinbarung, einschließlich jedes damit verbundenen Vorfalls / Ereignisses (z. B. Sicherheitsvorfall), offenlegen (in keinem Online- oder Offline-Medium) und keinem Dritten zur Verfügung stellen, ohne dass die Parteien sich zuvor miteinander beraten und sich über den Text, die Formulierung der Mitteilung und alle anderen Einzelheiten einer solchen Mitteilung einigen.
11 Sonstige Bestimmungen
  1. Wenn die Erfüllung des Zwecks der Vereinbarung, wie in Abschnitt 1 dieser Vereinbarung vorgesehen, durch den Auftragsverarbeiter infolge der Einreichung eines Insolvenzantrags oder im Fall seiner Insolvenz gefährdet ist; oder wenn er das Insolvenzrecht eines Staates oder Landes in Anspruch nehmen sollte; oder wenn er eine Abtretung zugunsten seiner Gläubiger vornehmen sollte; oder im Fall, dass ein Insolvenzverwalter, Treuhänder oder sonstiger gerichtlicher Vertreter in Bezug auf sein Vermögen bestellt wurde; oder infolge anderer Ereignisse oder von Dritten ergriffener Maßnahmen, benachrichtigt der Auftragsverarbeiter den Verantwortlichen unverzüglich. Der Auftragsverarbeiter informiert unverzüglich alle Beteiligten darüber, dass das Recht, über die Daten zu verfügen, ausschließlich beim Verantwortlichen liegt.
  2. Die Parteien wahren die Vertraulichkeit aller Geschäftsgeheimnisse und Datensicherheitsmaßnahmen, von denen sie im Rahmen der vertraglichen Beziehung (einschließlich bei der Umsetzung dieser Vereinbarung) Kenntnis erlangen. Geschäftsgeheimnisse sind alle (aber nicht beschränkt auf) geschäftsbezogenen Aspekte, Umstände und Tätigkeiten, die nicht allgemein zugänglich sind, aber einem begrenzten Personenkreis zugänglich sind. Datensicherheitsmaßnahmen sind alle von einer Vertragspartei gemäß Anhang 3 ergriffenen technischen und organisatorischen Maßnahmen. Diese Vertraulichkeitsverpflichtung bleibt für 2 (zwei) Jahre nach Beendigung dieser Vereinbarung in Kraft.
  3. Die Haftung der Parteien für Verletzungen der Datenschutzverpflichtungen ist durch Art. 82 DSGVO geregelt.
  4. Im Fall eines Widerspruchs oder einer Abweichung zwischen dieser Vereinbarung und den ES-Allgemeinen Geschäftsbedingungen gehen die Bestimmungen dieser Vereinbarung vor. Darüber hinaus gehen, sofern anwendbar, die Bestimmungen der Standardvertragsklauseln / Standarddatenschutzklauseln vor.
  5. Wenn eine Bestimmung dieser Vereinbarung unwirksam ist oder wird, bleiben die übrigen Bestimmungen in Kraft und werden nicht berührt.
  6. Sofern nicht anders angegeben, erfolgt jede Änderung dieser Vereinbarung, einschließlich ihrer Beendigung und dieser Klausel, schriftlich im Einvernehmen der Parteien. Ausnahmsweise verpflichten sich die Parteien, falls der Auftragsverarbeiter zu irgendeinem Zeitpunkt der Ansicht ist, dass es Argumente dafür gibt, dass die Beziehung zwischen den Parteien in Bezug auf die Verarbeitung von Daten eine solche ist, in der die Parteien andere Eigenschaften als die in dieser Vereinbarung angegebenen haben, eine solche Situation durch den Abschluss eines Nachtrags hierzu widerzuspiegeln, der auf vertraglicher Ebene die tatsächliche Situation in Übereinstimmung mit den Bestimmungen der DSGVO widerspiegeln soll.
  7. Die Parteien vereinbaren ausdrücklich, dass der Auftragsverarbeiter berechtigt ist, die Kundendaten zu den Zwecken und unter den Bedingungen zu verarbeiten, die in der Informationsmitteilung unter easy-sales.com genannt sind.
  8. Jede Partei hat das Recht, die Vereinbarung aus wichtigem Grund einseitig zu kündigen, im Fall wiederholter schwerwiegender Verletzungen einer Datenschutzbestimmung dieser Vereinbarung, ohne die Haftung der Partei, die ihre Verpflichtungen aus dieser Vereinbarung oder die durch die Anforderungen und Bestimmungen der DSGVO auferlegten Verpflichtungen verletzt hat, in irgendeiner Weise zu beseitigen oder einzuschränken.
  9. Diese Vereinbarung unterliegt in jeder Hinsicht dem materiellen Recht des Staates, in dem der Auftragsverarbeiter niedergelassen ist, und ist entsprechend auszulegen, unter Ausschluss jeglicher Kollisionsnormen, die vorsehen könnten, dass das Recht einer anderen Gerichtsbarkeit Anwendung findet. Die zuständigen Gerichte von Bukarest sind für die Beilegung aller aus oder im Zusammenhang mit dieser Vereinbarung entstehenden Streitigkeiten ausschließlich zuständig.
  10. Alle Datenverarbeitungsverträge / ähnlichen Rechtsakte / Vereinbarungen – falls vorhanden –, die zum heutigen Datum zwischen den Parteien bestehen (einschließlich jeglicher spezifischer Datenverarbeitungsklauseln im Hauptvertrag), werden automatisch unwirksam und werden ab dem Tag der Unterzeichnung durch diese Vereinbarung ersetzt.

Anhang A zur Vereinbarung über die Verarbeitung personenbezogener Daten:

Gegenstand (dieser Vereinbarung)
  • Verantwortlicher
 Autorisierter Verkäufer
  • Auftragsverarbeiter
 Erbringung von Online-Vermittlungsdiensten durch ES zugunsten des Verkäufers; ES handelt als Handelsvertreter des Verkäufers.
Art / Kategorien personenbezogener Daten
  • Kategorien personenbezogener Daten
Personenbezogene Daten:
  • Nachname und Vorname,
  • Mobiltelefon,
  • Lieferadresse,
  • E-Mail-Adresse
  • Einkaufshistorie
  • AWBs
  • Rechnungen
  • Besondere Kategorien personenbezogener Daten
 NICHT ANWENDBAR
Personen Käufer von Produkten (Kunden)
Art und Zweck der Verarbeitung
  • Verarbeitungsvorgänge
  • Technische Unterstützung bei der Platzierung und Umsetzung von Bestellungen, die aus dem Kauf von Produkten resultieren;
  • Technische Unterstützung betreffend die Fertigstellung / den Status von Bestellungen;
  • Technische Unterstützung bei der AWB-Erstellung;
  • Technische Unterstützung bei der Erstellung von Rechnungen für Produkte;
  • Technische Unterstützung beim Einzug des Preises der Produkte;
  • Technische Unterstützung bei Vorgängen an abgeschlossenen Bestellungen – Stornierung, Ersatz (Änderung), Rücksendung
  • Technische Unterstützung bei der Beantwortung von Fragen und Beschwerden von Kunden;
  • Technische Unterstützung bei der Dokumentation von Kundenfeedback,
  • Support und Wartung.
  • Art der Verarbeitung
Die folgenden Formen / Arten der Verarbeitung personenbezogener Daten finden Anwendung und sind Gegenstand des Vertrags zwischen den Parteien (Art. 4 Nr. 2 DSGVO)
  • Anpassung oder Veränderung,
  • Abruf,
  • Abfrage,
  • Verwendung
  • Offenlegung durch Übermittlung,
  • Verbreitung oder Bereitstellung,
  • Abgleich oder Verknüpfung,
  • Einschränkung,
  • Löschung oder Vernichtung,
  • sonstige Art der Verarbeitung:

Anhang B zur Vereinbarung über die Datenverarbeitung – Liste der beauftragten Unterauftragnehmer

Unterauftragnehmer
 Ort der Verarbeitung Datum des Vertrags über die Datenverarbeitung Beschreibung der Sicherheitsmaßnahmen, die in Bezug auf Übermittlungen an Drittländer umgesetzt werden (Art. 44 DSGVO) Link zur Informationsmitteilung über die Verarbeitung personenbezogener Daten
Dienste zur Archivierung / Speicherung von Dokumenten (einschließlich Anbieter von Cloud-Speicherdiensten), Amazon Web Services Inc, 410 Terry Avenue North, Seattle, WA 98109-5210, USA. Frankfurt - https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf https://aws.amazon.com/agreement/
Dienste zur automatisierten E-Mail-Weiterleitung, Amazon Web Services Inc, 410 Terry Avenue North, Seattle, WA 98109-5210, USA. Frankfurt - https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf https://aws.amazon.com/agreement/
Abrechnungsdienste, Amazon Web Services Inc, 410 Terry Avenue North, Seattle, WA 98109-5210, USA. Frankfurt - https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf https://aws.amazon.com/agreement/

Anhang C zur Vereinbarung über die Datenverarbeitung: Technische und organisatorische Maßnahmen des Auftragsverarbeiters gemäß Art. 32 DSGVO

Unter Berücksichtigung

  • des Stands der Technik
  • der Implementierungskosten
  • der Art, des Umfangs, der Umstände und
  • der Zwecke der Verarbeitung sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen,

setzt der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen um, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Bei der Beurteilung des angemessenen Schutzniveaus wird den Risiken besondere Aufmerksamkeit gewidmet, die mit der im Namen und im Auftrag des Verantwortlichen durchgeführten Verarbeitung verbunden sind (in Übereinstimmung mit Anhang 1). Dies ist insbesondere auf das Risiko der unbefugten Vernichtung, des Verlusts, der Veränderung oder der unbefugten Offenlegung oder des unbefugten Zugangs – ob versehentlich oder unrechtmäßig – zu personenbezogenen Daten zurückzuführen, die übermittelt, gespeichert oder anderweitig verarbeitet werden, insbesondere wenn dies zu physischen, materiellen oder immateriellen Schäden führen kann.

EINZELHEITEN ZU RISIKEN UND ENTSPRECHEND ZU SICHERHEITSMASSNAHMEN WERDEN IM DETAIL DARGELEGT

Daher ergreift der Auftragsverarbeiter insbesondere die folgenden Maßnahmen:

I. Maßnahmen zur Gewährleistung der Vertraulichkeit * (Art. 32 Abs. 1 lit. b) DSGVO)

  1. 1Gewährleistung der Zutrittskontrolle zu den Räumlichkeiten, in denen personenbezogene Daten verarbeitet werden
    • Unbefugte Personen haben keinen physischen Zutritt zu den Umgebungen, Gebäuden, Büros, in denen sich Verarbeitungssysteme für personenbezogene Daten befinden
    • Ausnahmen umfassen Dritte, deren Tätigkeitsgegenstand die Prüfung von Einrichtungen ist, während diese Dritten beaufsichtigt werden.
  2. 2. Gewährleistung der Zugangskontrolle zu dem System, in dem die personenbezogenen Daten des Verantwortlichen verarbeitet werden
    • Alle Verarbeitungssysteme für personenbezogene Daten sind passwortgeschützt, auch für den Fernzugriff, um unbefugten Zugang zu diesen Systemen zu verhindern,
    • Es gibt ein Benutzerverwaltungssystem, das anhand einer eindeutigen Kennung authentifiziert werden kann
    • Jedem Benutzer wird ein Passwort zur Authentifizierung zugewiesen,
    • Es ist ein Verwaltungssystem implementiert, um die Rechte der Benutzer in Bezug auf die Verarbeitung personenbezogener Daten zu gewährleisten,
    • Das System ist so konfiguriert, dass eine minimale Kontrolle des Personals gewährleistet ist, das Zugang hat, um seine Aufgaben zu erfüllen,
    • Es ist eine Lösung zur Protokollierung des Zugangs zu kritischen Systemen implementiert
    • Es ist ein Verfahren zur Deaktivierung des Zugangs implementiert, wenn ein Mitarbeiter das Unternehmen verlässt
  3. Gewährleistung der Zugangskontrolle für die Administration des Systems, in dem personenbezogene Daten verarbeitet werden
    • Alle Verarbeitungssysteme sind passwortgeschützt, auch für den Fernzugriff, um unbefugten Zugang zu diesen Systemen zu verhindern,
    • Es gibt ein Benutzerverwaltungssystem, das anhand einer eindeutigen Kennung authentifiziert werden kann
    • Jedem Benutzer wird ein Passwort zur Authentifizierung zugewiesen,
    • Es ist ein Verwaltungssystem implementiert, um die Rechte der Benutzer in Bezug auf die Verarbeitung personenbezogener Daten zu gewährleisten,
    • Das System ist so konfiguriert, dass dem Personal, das Zugang hat, um seine Aufgaben zu erfüllen, eine minimale Kontrolle zugewiesen wird,
    • Es ist eine Lösung zur Protokollierung des Zugangs zu kritischen Systemen implementiert
    • Es ist ein Verfahren zur Deaktivierung des Zugangs implementiert, wenn ein Mitarbeiter das Unternehmen verlässt

II. Maßnahmen zur Gewährleistung der Datenintegrität * (Art. 32 Abs. 1 lit. b) DSGVO)

  1. Maßnahmen zur Gewährleistung der Datenintegrität * (Art. 32 Abs. 1 lit. b) DSGVO)
    • Zwischen ES-Systemen übermittelte Daten werden über das SSL-Kommunikationsprotokoll übermittelt
    • Die übermittelten Daten werden während der Übermittlung zwischen ES-Systemen verschlüsselt
  2. Eingabekontrolle

    Maßnahmen zur Gewährleistung der Möglichkeit der Überprüfung und Feststellung zu einem späteren Zeitpunkt, ob und von wem personenbezogene Daten in Verarbeitungssysteme eingegeben, verändert oder daraus gelöscht wurden:

    • Protokollierung der vom Benutzer in der ES-Oberfläche durchgeführten Aktionen
    • Es gibt ein System zur Protokollierung aller Anfragen zur Erfassung und Übermittlung personenbezogener Informationen

III. Maßnahmen zur Gewährleistung der Verfügbarkeit und Belastbarkeit von Daten * (Art. 32 Abs. 1 lit. b) c) DSGVO)

  • Personenbezogene Daten werden in Backups gespeichert, um sie in kürzester Zeit wiederherzustellen
  • Es wurden Wiederherstellungsverfahren für den Katastrophenfall konzipiert
  • Es wurden Verfahren konzipiert, um die Löschung personenbezogener Daten ohne die Einwilligung befugten Personals nicht zuzulassen

IV. Maßnahmen zur Gewährleistung der Zweckbindung der Verarbeitung personenbezogener Daten

  • Es wurden Kontrollmethoden implementiert, die nur befugtem Personal die Veränderung personenbezogener Daten erlauben