Vereinbarung zur Auftragsdatenverarbeitung

Anlage zum Hauptvertrag

§1 Allgemeines

(1) Die Richtlinien im Hauptvertrag bleiben uneingeschränkt wirksam, sofern es nicht anders festgelegt ist. Dies auch in Hinblick auf die Kündigung. Diese Vereinbarung kann nicht unabhängig vom Hauptvertrag gekündigt werden.

(2) Die Vereinbarung zur Auftragsdatenverarbeitung gilt nur in Bezug auf die Verarbeitung personenbezogener Daten durch die Akteure des Netzwerkes ADCELL und regelt gemäß Artikel 26 der DSGVO den Umgang personenbezogener Daten im Rahmen des Hauptvertrages.

(3) Beide Akteure, das Netzwerk und seine Partner, gelten als gemeinsame Verantwortliche in Bezug auf die Verarbeitung und Speicherung von personenbezogenen Daten, die im Zuge der Zusammenarbeit im Rahmen des Hauptvertrages erhoben werden.

§2 Sicherheit und Vertraulichkeit

(1) Beide Akteure, Netzwerk und Partner, garantieren dafür, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet ist.

(2) Netzwerk und Partner gewährleisten, dass es den mit der Verarbeitung der Daten befassten Mitarbeiter und befugten Personen untersagt ist, die Daten außerhalb der vertraglich festgelegten Zweckmäßigkeit zu verarbeiten. Ferner gewährleisten sich beide Akteure, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung der zweckgebundenen Verarbeitung fort.

(3) Beide Akteure berücksichtigen das angemessene Schutzniveau von Daten, die übermittelt, gespeichert oder verarbeitet werden. Das schließt Risiken wie u. a. die Vernichtung, den Verlust oder die Veränderung sowie den unbefugten Zugang zu personenbezogenen Daten ein.

(4) Beide Vertragspartner sind dazu verpflichtet sich unverzüglich zu unterrichten, wenn Verletzungen des Schutzes personenbezogener Daten bekannt werden. Sowohl das Netzwerk als auch der Partner treffen die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und sprechen sich hierzu unverzüglich miteinander ab. Zur Informationspflicht gehört: die Art der Verletzung, die Zahl der betroffenen Personen und Datensätze, die wahrscheinlichen Folgen und die ergriffenen Maßnahmen.
Es werden im sämtliche in seinem Verantwortungsbereich möglichen Maßnahmen ergriffen, um die Verletzungen nicht weiter auszuweiten, die Integrität und Sicherheit des Systems wiederherzustellen und die Auswirkungen zu mindern.

§3 Transparenz

(1) Das Netzwerk verpflichtet seine Mitglieder auf ihrer Website sicher zu stellen, dass die Nutzer einfach und schnell Informationen zum Umgang mit ihren Daten finden. Hierzu zählen auch Informationen zum Zweck der Daten. In Bezug zu den für das Tracking mit ADCELL relevanten Daten müssen Partner Angaben hierüber gewährleisten.
(2) Angaben wie personenbezogene Daten verarbeitet werden, müssen entsprechend Artikel 13, 14 und 26 der DSGVO in leicht zugänglicher Form und verständlich, präzise, transparent und in klarer einfacher Sprache vermittelt werden.

§4 Zweckmäßigkeit

(1) Der Partner und das Netzwerk verarbeiten personenbezogene Daten im gegenseitigen Auftrag. Dies umfasst Tätigkeiten, die im Hauptvertrag konkretisiert sind.
Die Pflichten und Rechte des Netzwerks sowie sind im zu Grunde liegenden Auftrag festgelegt, hieran bindet sich die Zweckmäßigkeit im Umgang mit Daten.

(2) Beide Vertragspartner verpflichten sich über eine Pflichtangabe zum Umgang mit Daten und ihrer Zweckmäßigkeit auf ihren Webseiten.

(3) Auch verpflichten sich beide Parteien im Zuge dieser Vereinbarung, dass der Umgang mit Daten durch klar wirtschaftlich vertretbare Maßnahmen gerechtfertigt ist.

(4) Die Speicherung der Daten richtet sich nach der Zweckmäßigkeit. Beide Partner verpflichten sich nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung (etwa steuerrechtliche Bedingungen) zur Speicherung der personenbezogenen Daten besteht.

§5 Opt-Out

(1) Der Hinweis auf das eingebundenen Tracking von ADCELL ist sowohl für Affiliates als auch Partnerporogrammbetreiber (Merchants und Agenturen) eine Pflichtangabe im Sinne der DSGVO.

(2) Der Gebrauch von Tracking-Technologien ist (zunächst) ohne vorherige Zustimmung erlaubt, solange Nutzern eine Opt-out-Möglichkeit eingeräumt wird. Der Verweis auf die Möglichkeit, das Tracking durch ADCELL zu verweigern, ist Pflicht für die Partner des Netzwerkes.

(3) Informationen zum ADCELL-Tracking sowie die Kontrollmöglichkeit über das ADCELL-Tracking in Form eines Opt-Out-Cookies finden Nutzer unter https://www.adcell.de/datenschutz. Ist dieser gesetzt werden sämtliches Trackings von ADCELL (View, Click, Retargeting, 3. Party etc.) deaktiviert.

§6 Partnerschaftliche Rechte und Pflichtent

(1) Sowohl Netzwerk als auch Partner dürfen Daten von betroffenen Personen nur im Rahmen des zugrundeliegenden Hauptvertrags verarbeiten außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor. Das Netzwerk informiert den Partner unverzüglich, wenn es der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt.

(2) Netzwerk und Partner unterstützen sich angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, ihrer Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DSGVO genannten Rechte der betroffenen Person nachzukommen.

(3) Die Vertragspartner unterstützen sich unter Berücksichtigung der Art der Verarbeitung und der zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 33 bis 36 DSGVO genannten Pflichten.

§7 Weitergabe der Daten an Dritte

(1) Der Partner verarbeitet personenbezogene Daten nur auf Weisung des Netzwerks, auch in Bezug auf die Übermittlung personenbezogener Daten an einen Dritten.

(2) Der Partner übermittelt keine Daten ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Netzwerks.

(3) Ist eine Weitergabe an Dritte geplant, informiert der Partner das Netzwerk immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Partner, wodurch der Verantwortliche des Netzwerkes die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.

(4) Bevor der Dritte die personenbezogenen Netzwerkdaten erstmalig verarbeitet, muss der Partner mit gebührender Sorgfalt gewährleisten, dass der Dritte in der Lage ist, den von geltenden Datenschutzgesetzen vorgeschriebenen Schutz der personenbezogenen Netzwerkdaten sicherzustellen.

(5) Kommt der weitere Partner seinen Datenschutzpflichten nicht nach, so haftet der erste Partner gegenüber dem Netzwerk für die Einhaltung der Pflichten jenes anderen Partners.

§8 Haftung und Schadensersatz

Netzwerk und Partner haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.