V3 – Mai 2019

Präambel

Diese Vereinbarung gilt für die Verarbeitung personenbezogener Daten durch den Kunden, als den Verantwortlichen agierend (im Folgenden der „für die Verarbeitung Verantwortliche“ genannt) und den Dienstleister, als den Auftragsverarbeiter agierend (im Folgenden der „Auftragsverarbeiter“ genannt) im Rahmen der Bereitstellung einer Digital Analytics-Lösung. Diese Vereinbarung stellt ein eigenständiges Dokument dar, in dem die jeweiligen Pflichten der Parteien festgelegt werden, um die Einhaltung des geltenden Rechts in Bezug auf die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre zu gewährleisten. Sie enthält keine geschäftlichen Vereinbarungen, die im Rahmen von separaten geschäftlichen Übereinkommen zwischen den Parteien vereinbart werden.

 

Artikel 1. Definitionen

Zum Zwecke dieser Vereinbarung haben die Begriffe „personenbezogene Daten“, „Verarbeitung“, „Einschränkung der Verarbeitung“, „Datei“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „Empfänger“, „Dritter“, „Einwilligung“, „Verletzung des Schutzes personenbezogener Daten“, „Aufsichtsbehörde“ dieselbe Bedeutung wie in der Verordnung EU 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden „DSGVO“).

 

„Daten“ bezeichnet die Gesamtheit der wie folgt definierten Daten:

• Rohdaten: Bezeichnet die erhobenen Daten vor Anreicherung und Berechnungen durch AT Internet. Sie umfassen den Hit und den HTTP-Header mit IP-Adresse, User Agent, ID Cookie und der URL der Seite, die diesen Hit generiert hat. Sie werden auf den Dateiservern von AT Internet in sicheren Logdateien während einer Dauer von sechs (6) Monaten gespeichert. Diese Daten sind für den Kunden nicht zugänglich.
• Verarbeitete Daten: Bezeichnet die Daten, die über die gesicherte Webschnittstelle oder über Exporte (in allen Formen: Excel, CSV, Word oder über API) nach Berechnungen und Anreicherung durch AT Internet (Geolokalisierung, Bot-Exclusion usw.) für den Kunden verfügbar sind.

 

Artikel 2. Einhaltung der europäischen Grundsätze

Jede Partei verpflichtet sich, die geltenden Rechtsvorschriften für personenbezogene Daten und die Achtung der Privatsphäre einzuhalten und insbesondere die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr sowie die Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation).

 

Artikel 3. Gegenstand

Zweck dieser Vereinbarung ist die Festlegung der Bedingungen, unter denen sich der Auftragsverarbeiter verpflichtet, für den für die Verarbeitung Verantwortlichen die im Folgenden definierten Verarbeitungen personenbezogener Daten für die Bereitstellung der Digital Analytics-Lösung durchzuführen.

 

Artikel 4. Einhaltung der Anweisungen

Der Auftragsverarbeiter verpflichtet sich, die Daten gemäß den Anweisungen des für die Verarbeitung Verantwortlichen durchzuführen, wie sie in dieser Vereinbarung festgelegt werden.

Es wird daran erinnert, dass der für die Verarbeitung Verantwortliche eine Digital Analytics-Lösung im SaaS-Modus nutzt, die vom Auftragsverarbeiter für alle seine Kunden entwickelt wurde. Deshalb wird jede besondere Anweisung des für die Verarbeitung Verantwortlichen der vorherigen Validierung des Auftragsverarbeiters unterstellt, der sich das Recht vorbehält, diese entsprechend den für ihre Implementierung erforderlichen Ressourcen und/oder den Möglichkeiten der Integration in die technische Basis der Lösung in Rechnung zu stellen oder abzulehnen.

Ist der Auftragsverarbeiter der Ansicht, dass eine Anweisung gegen die geltenden Vorschriften verstößt, so hat er dies unverzüglich dem für die Verarbeitung Verantwortlichen mitzuteilen.

 

Artikel 5. Beschreibung der Verarbeitungen im Rahmen des Auftrags

5.1 Gegenstand der Verarbeitungen

Im Rahmen der Bereitstellung einer Digital Analytics-Lösung im SaaS-Modus für den für die Verarbeitung Verantwortlichen sammelt und verarbeitet der Auftragsverarbeiter die Daten auf der Grundlage der vom für die Verarbeitung Verantwortlichen implementierten Markierung, um die Besucherzahlen seiner Webseiten, seines Intranets und seiner Mobilseiten sowie seiner mobilen Anwendungen zu messen; der für die Verarbeitung Verantwortliche kann ferner die Besucherzahlen von Webseiten Dritter und mobilen Anwendungen Dritter messen, sofern er dazu vom Eigentümer der dritten Webseite und/oder der mobilen Anwendungen Dritter ordnungsgemäß befugt wurde (der für die Verarbeitung Verantwortliche legt bei der ersten Aufforderung des Auftragsverarbeiters den Nachweis für diese Befugnis vor).

5.2 Zweck der Verarbeitungen

Die vom Auftragsverarbeiter entwickelte Lösung dient zur Produktion von statistischen und Digital Intelligence-Daten und -Webanalysen und deren Wiedergabe über eine gesicherte Webschnittstelle, über die der für die Verarbeitung Verantwortliche verfügt, oder über den Export dieser Daten (in allen Formen: Excel, CSV, Word oder API).

Über den vorstehend genannten Hauptzweck hinaus kann der für die Verarbeitung Verantwortliche die Digital Analytics-Lösung für Nebenzwecke verwenden, die insbesondere mit dem Tätigkeitsbereich des für die Verarbeitung Verantwortlichen und/oder den von diesem verfolgten digitalen Strategiezielen verbunden sind.

5.3 Dauer der Verarbeitungen

Ungeachtet der in Artikel 14 der Vereinbarung angegebenen Datenspeicherfrist dauern die Erhebung und die Verarbeitung von personenbezogenen Daten während der Dauer der geschäftlichen Beziehung zwischen den Parteien, fort.

5.4 Betroffene Personen

Die personenbezogenen Daten beziehen sich auf die folgenden Kategorien von betroffenen Personen:

• Befugtes Personal des für die Verarbeitung Verantwortlichen. Zum befugten Personal gehören die Mitarbeiter des für die Verarbeitung Verantwortlichen sowie jede natürliche Person, die vom für die Verarbeitung Verantwortlichen beauftragt wurde, um die Digital Analytics-Lösung zu nutzen oder um die Geschäftsbeziehung mit dem Auftragsverarbeiter in der Praxis auszuführen (Einkauf, Projektmanagement, Fakturierung usw.).
• Nutzer der Webseiten, Mobilseiten und mobilen Anwendungen, die durch die Digital Analytics-Lösung des Auftragsverarbeiters gemessen werden.

 

5.4 Kategorien personenbezogener Daten

Die personenbezogenen Daten gehören zu den folgenden Datenkategorien:

• Befugtes Personal des für die Verarbeitung Verantwortlichen: Name, Vorname, Position, berufliche E-Mail, berufliche Telefonnummer, Foto, Kombination Identifer/Passwort (gehasht) für die Lösung.
• Nutzer der Webseiten, Mobilseiten und mobilen Anwendungen:
• Daten, die vom Marker notwendigerweise erhoben werden, um den Hauptzweck zu erreichen:
  • IP-Adresse der Besucher der überprüften Webseiten und Mobilseiten;
  • ID, die vom Cookie von AT Internet bei seiner Aktivierung im Webbrowser, der vom Besucher der überprüften Webseite benutzt wird, generiert wird;
  • Mobile Identifier;
  • Alle Navigationsdaten im Zusammenhang mit diesen Identifiern.
• Daten, die vom Auftragsverarbeiter erstellt wurden, um den Hauptzweck zu erreichen:
  • Unique Visitor ID;
  • Alle Digital Analytics-Daten in Verbindung mit diesem Identifier, die vom Auftragsverarbeiter berechnet werden.
• Daten, die vom Marker eventuell für eigene Nebenzwecke des für die Verarbeitung Verantwortlichen erhoben werden:
  • GPS-Koordinaten der Besucher der überprüften Webseiten und mobilen Anwendungen (nicht systematische Erhebung, doch entsprechend der Implementierung der Lösung durch den für die Verarbeitung Verantwortlichen);
  • Identifizierte Visitor ID (nicht systematische Erhebung, doch entsprechend der Implementierung der Lösung durch den für die Verarbeitung Verantwortlichen);
  • Customer ID (nicht systematische Erhebung, doch entsprechend der Implementierung der Lösung durch den für die Verarbeitung Verantwortlichen);
  • E-Mail recipient ID (nicht systematische Erhebung, doch entsprechend der Implementierung der Lösung durch den für die Verarbeitung Verantwortlichen);
  • Andere personenbezogene Daten, die bei der besonderen Implementierung der Lösung durch den für die Verarbeitung Verantwortlichen erhoben werden;
  • Alle Digital Analytics-Daten, die mit diesen Identifiern oder diesen personenbezogenen Daten verbunden sind.
• Daten, die von dem für die Verarbeitung Verantwortlichen eventuell in die Lösung zu eigenen Nebenzwecken des für die Verarbeitung Verantwortlichen importiert werden:
  • Alle personenbezogenen Daten im Besitz des für die Verarbeitung Verantwortlichen, die von ihm in die Digital Analytics-Lösung importiert werden, und alle Digital Analytics-Daten, die mit diesen personenbezogenen Daten verbunden sind.

 

5.6 Verarbeitungsarten

• Befugtes Personal des für die Verarbeitung Verantwortlichen:

Die personenbezogenen Daten des befugten Personals des für die Verarbeitung Verantwortlichen werden vom Auftragsverarbeiter für die Durchführung der vertraglichen Beziehung erhoben und benutzt (Zugang zu den gesicherten Webschnittstellen der Lösung, Bestellung, Projektverfolgung, Fakturierung usw.).

Darüber hinaus führt der Auftragsverarbeiter ein Monitoring der Nutzung der Lösung durch das befugte Personal des Kunden mit dem Ziel der Verbesserung der Dienste durch und um den für die Verarbeitung Verantwortlichen bestmöglich bei der Nutzung der Lösung zu beraten.

Diese Daten werden für einen Zeitraum von sechs (6) Monaten nach dem Ende der Geschäftsbeziehung oder ggf. entsprechend den gesetzlichen Fristen aufbewahrt.

 

• Digital Analytics-Lösung:

Die Verarbeitung durch den Auftragsverarbeiter im Rahmen der Bereitstellung seiner Digital Analytics-Lösung im SaaS-Modus wird wie folgt durchgeführt:

1. Der für die Verarbeitung Verantwortliche definiert den Umfang der Webseiten und Anwendungen, für die er die Lösung und die durch die Nutzung der Digital Analytics-Lösung des Auftragsverarbeiters erwarteten Ziele implementieren möchte. Er benennt einen Administrator aus seinem befugten Personal.
2. Der Auftragsverarbeiter teilt dem ernannten Administrator seine Zugangsrechte mit und stellt diesem über eine gesicherte Webschnittstelle den AT Internet-Marker zur Verfügung.
3. Der für die Verarbeitung Verantwortliche oder der ernannte Administrator, oder jede von ihm beauftragte Person, der er die entsprechenden Zugangsrechte gewährt hat, implementiert die AT Internet-Marker auf den Seiten seiner mobilen Webseiten und in seinen mobilen Anwendungen.
4. Durch den Server der Webseite des für die Verarbeitung Verantwortlichen oder durch AT Internet, je nach gewählter Technologie und gemäß der Einwilligung des Nutzers der Webseite oder in Fällen, in denen eine Ausnahme von der Einholung der Einwilligung vorliegt, wird auf der Festplatte des Nutzers der Webseite des für die Verarbeitung Verantwortlichen bei seinem Besuch ein Cookie mit einem einmaligen alphanumerischen Identifier installiert.
5. Die Marker, die vom für die Verarbeitung Verantwortlichen implementiert werden, generieren die automatische Versendung von Rohdaten an die Datenerhebungsserver des Auftragsverarbeiters, auf die der für die Verarbeitung Verantwortliche nicht zugreifen kann. Die Rohdaten werden vorübergehend auf gesicherten Dateiservern gespeichert. Sie enthalten verschiedene Verbindungsdaten (Anzahl und Dauer der Besuche, Klickzahlen, Page Views usw.). Die Rohdaten umfassen auch personenbezogene Daten in Bezug auf die Nutzer der überprüften Webseiten und mobilen Anwendungen, die hier aufgelistet und gemäß der Standardverarbeitung durch den Auftragsverarbeiter typisiert sind:

 

A. Typ der Daten, die standardmäßig durch den AT Internet-Marker erhoben werden

Um feststellen zu können, ob ein und derselbe Nutzer einer Webseite mehrere Besuche getätigt hat, benutzt der Auftragsverarbeiter der besuchten Plattform entsprechend die IP-Adresse und/oder die Cookie ID und/oder den Mobile Identifier des Besuchers, um einen digitalen Identifier zu erstellen, der automatisch generiert wird, die Unique Visitor ID. Dieser Identifier erlaubt in keinem Fall die namentliche Identifizierung des Nutzers der Webseite und ist nicht umkehrbar: einmal bestimmt, ist es für den Auftragsverarbeiter unmöglich, Rückschlüsse auf die IP-Adresse, die Cookie ID oder den Mobile Identifier zu ziehen, aus denen er hervorging.

B. Datentypen, die durch den AT Internet-Marker auf Initiative des für die Verarbeitung Verantwortlichen und für die ihm eigenen Nebenzwecke erhoben werden können:

Zusätzlich zu den oben aufgeführten, für Nebenzwecke erhobenen Daten, ist der für die Verarbeitung Verantwortliche technisch in der Lage, den AT Internet-Marker so zu implementieren, dass andere personenbezogene Daten, wie insbesondere Daten aus Formularen, die vom Nutzer der Webseite ausgefüllt werden, oder aus einer mobilen Anwendung, erhoben werden. Die so erhobenen Daten sind somit Bestandteil der Rohdaten und können auch in den verarbeiteten Daten enthalten und somit aus der Lösung zugänglich sein.

Alle Besucherdaten müssen als personenbezogene Daten betrachtet werden, sofern sie sich auf einen der oben aufgeführten Identifier beziehen. Sie werden in einer Datenbank als verarbeitete Daten für die im Artikel 14 angegebene Aufbewahrungsfrist gespeichert. Sie bleiben bis zum Ende der Geschäftsbeziehung über die Lösung zugänglich und werden gemäß Artikel 14 gelöscht.

6. Der Auftragsverarbeiter führt eine erste Serie von Verarbeitungen mit den Rohdaten durch und führt sie in ein Format über, das von einer Datenbank verwendet werden kann. Aus dieser Transformation resultieren die verarbeiteten Daten.

7. Der für die Verarbeitung Verantwortliche kann, wenn er es wünscht und für seine eigenen Zwecke, die verarbeiteten Daten durch Daten aus anderen Dateien, die sich in seinem Besitz befinden, anreichern.

8.Der Auftragsverarbeiter ermöglicht die Wiedergabe der Analysen und Besucherzahlen über eine gesicherte Webschnittstelle, zu der nur der Administrator des für die Verarbeitung Verantwortlichen und die von ihm befugten Personen Zugang haben. Der für die Verarbeitung Verantwortliche erhält dadurch Zugang zu den verarbeiteten Daten. Der einzige Empfänger der Verarbeitungen ist der für die Verarbeitung Verantwortliche und insbesondere das befugte Personal, das ein Zugangsrecht für die Lösung besitzt.

Die Daten werden an keinen Dritten weitergegeben, außer auf ausdrückliche schriftliche und vorherige Anweisung des für die Verarbeitung Verantwortlichen, insbesondere im Rahmen von technologischen Partnerschaften, die im Rahmen der Lösung möglich sind und die vom für die Verarbeitung Verantwortlichen ausgewählt wurden.

Artikel 6. Datenschutz-Folgenabschätzung und vorherige Konsultation

Der Auftragsverarbeiter verpflichtet sich, dem für die Verarbeitung Verantwortlichen jede erforderliche Unterstützung zu gewähren, wenn der für die Verarbeitung Verantwortliche verpflichtet ist, eine Folgenabschätzung für eine unter diese Vereinbarung fallende Verarbeitungsmaßnahme durchzuführen. Ergibt sich aus dieser Folgenabschätzung, dass die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, so unterstützt der Auftragsverarbeiter auch den für die Verarbeitung Verantwortlichen, damit er auf die von der zuständigen Aufsichtsbehörde angeforderten Informationen im Falle einer Konsultation vor der Durchführung der Verarbeitung mitteilen kann.

 

Artikel 7. Kontaktstelle: Datenschutzbeauftragter (DSB)

Der Auftragsverarbeiter verpflichtet sich, für die Dauer der Geschäftsbeziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter einen Datenschutzbeauftragten (DSB) zu ernennen und seine Adressdaten dem für die Verarbeitung Verantwortlichen mitzuteilen.

Der für die Verarbeitung Verantwortliche verpflichtet sich ebenfalls dazu, falls er unter die Kriterien der DSGVO fällt, die die Bestellung eines Datenschutzbeauftragten (DSB) vorschreiben. Andernfalls teilt er die Adressdaten der Person mit, die für alle Fragen im Zusammenhang mit dem Schutz der personenbezogenen Daten und der Achtung der Privatsphäre zuständig ist.

 

Der Auftragsverarbeiter bezeichnet den folgenden Ansprechpartner als Kontaktstelle für alle Informationen und Mitteilungen in Verbindung mit der Datenverarbeitung, die Gegenstand dieser Vereinbarung ist:

Louis-Marie Guérif – Ext. Datenschutzbeauftragter

APPLIED TECHNOLOGIES INTERNET SAS

85 avenue J F Kennedy 33700 Mérignac Frankreich

+33 (0)1 56 54 14 30 dpo@atinternet.com

 

Der für die Verarbeitung Verantwortliche benennt eine Kontaktstelle durch eine schriftliche Information an Support Center des Auftragsverarbeiters. Wenn keine Kontaktstelle von dem für die Verarbeitung Verantwortlichen genannt wurde gilt als Kontaktstelle der Kontoadministrator.

 

Die vorstehenden Kontaktstellen können nicht nur von der anderen Partei kontaktiert werden, sondern auch direkt von einer betroffenen Person angesprochen werden, die ihre Adressdaten auf den jeweiligen Webseiten des Auftragsverarbeiters und des für die Verarbeitung Verantwortlichen findet.

 

Jede Partei verpflichtet sich, jede Änderung des Ansprechpartners unverzüglich der anderen Partei mitzuteilen.

 

Artikel 8. Rechtmäßigkeit der Verarbeitungen

Der für die Verarbeitung Verantwortliche garantiert allein die Rechtmäßigkeit der Verarbeitungen, die vom Auftragsverarbeiter durchgeführt werden. Dafür verpflichtet sich der für die Verarbeitung Verantwortliche einerseits, die Nutzer der Webseiten, Mobilseiten und mobilen Anwendungen des Digital Analytics-Dienstes zu informieren, und andererseits, die Einwilligung der betroffenen Personen rechtswirksam einzuholen, wenn diese Einwilligung erforderlich ist, und sie über Ihr Recht, ihre Einwilligung jederzeit zurückzuziehen, aufzuklären.

 

Für den Fall, dass der für die Verarbeitung Verantwortliche die third-party Cookies von AT Internet benutzt, verpflichtet sich der Auftragsverarbeiter, dem für die Verarbeitung Verantwortlichen die technischen Mittel bereitzustellen, die es den betroffenen Personen erlauben, sich der Erhebung und der Verarbeitung ihrer personenbezogenen Daten zu widersetzen (Opt-out), wobei es sich versteht, dass die Bereitstellung dieser technischen Lösung für die betroffenen Personen eine Aufgabe des für die Verarbeitung Verantwortlichen bleibt.

Wenn der für die Verarbeitung Verantwortliche ein First Party-Cookie für die Digital Analytics-Lösung verwendet, verpflichtet er sich, den betroffenen Personen sein eigenes Opt-out-System zur Verfügung zu stellen.

 

Artikel 9. Informationspflicht

Der für die Verarbeitung Verantwortliche verpflichtet sich, die Besucher der überprüften Webseiten und Anwendungen über die Existenz der Datenverarbeitung sowie der daraus folgenden Rechte auf präzise, transparente, verständliche und leicht zugängliche Weise unter den in Artikel 13 und 14 DSGVO dargelegten Bedingungen zu informieren.

Der Auftragsverarbeiter verpflichtet sich zur Zusammenarbeit mit dem für die Verarbeitung Verantwortlichen, um ihm zu helfen, seine Pflicht zur Informierung der betroffenen Personen zu erfüllen und die Informationsanfragen seitens des für die Verarbeitung Verantwortlichen schnellstmöglich zu beantworten.

Ebenso informiert der Auftragsverarbeiter die Besucher seiner Webseite über die Datenverarbeitungen, die er im Rahmen der Bereitstellung seiner Digital Analytics-Lösung eventuell für die für die Verarbeitung Verantwortlichen durchführen muss.

 

Artikel 10. Ausübung der Rechte der betroffenen Personen

Es versteht sich, dass den betroffenen Personen die Ausübung der Rechte, die ihnen aus der Datenverarbeitung hinsichtlich und gegenüber dem für die Verarbeitung Verantwortlichen entstehen, freisteht. Die Parteien verpflichten sich zur Zusammenarbeit, um die schnelle und effiziente Verarbeitung aller Anfragen zu ermöglichen und in der Lage zu sein, der betroffenen Person innerhalb der gesetzlichen Frist von einem (1) Monat ab Erhalt der Anfrage zu antworten.

 

Wenn die Anfrage an den für die Verarbeitung Verantwortlichen gestellt wird, und unter der Annahme, dass dieser sie ohne die Mitwirkung des Auftragsverarbeiters nicht beantworten kann, verpflichtet sich der für die Verarbeitung Verantwortliche, die Kontaktstelle des Auftragsverarbeiters schnellstmöglich per E-Mail an dpo@atinternet.com oder an das Support-Center von AT Internet und spätestens innerhalb von fünf (5) Werktagen nach Erhalt der Anfrage um Mitwirkung zu bitten. Der für die Verarbeitung Verantwortliche stellt dem Auftragsverarbeiter alle Informationen zur Verfügung, die für das Verstehen und die Prüfung der Anfrage erforderlich sind. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen in einer Frist zur Verfügung, die es dem für die Verarbeitung Verantwortlichen erlaubt, der betroffenen Person in der gesetzlichen Frist von einem (1) Monat zu antworten. Falls der Auftragsverarbeiter nicht in der Lage sein sollte, dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen rechtzeitig zur Verfügung zu stellen, und/oder in dem Fall, dass die Bereitstellung dieser Informationen sich als unmöglich herausstellt, teilt der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen die Notwendigkeit mit, eine zusätzliche Frist zu erhalten, oder dass es unmöglich ist, die Anfrage der betroffenen Person zu beantworten.

 

Wenn die Anfrage an den Auftragsverarbeiter gestellt wird und nur eine Datenverarbeitung betrifft, die für den für die Verarbeitung Verantwortlichen ausgeführt wird, verpflichtet sich dieser, den für die Verarbeitung Verantwortlichen schnellstmöglich schriftlich und innerhalb von spätestens fünf (5) Werktagen nach Erhalt der Anfrage davon zu informieren. Der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen die erforderlichen Elemente in einer Frist zur Verfügung, die es dem für die Verarbeitung Verantwortlichen erlaubt, der betroffenen Person in der gesetzlichen Frist von einem (1) Monat zu antworten. Falls der Auftragsverarbeiter nicht in der Lage sein sollte, dem für die Verarbeitung Verantwortlichen die erforderlichen Informationen rechtzeitig zur Verfügung zu stellen, und/oder in dem Fall, dass die Bereitstellung dieser Informationen sich als unmöglich herausstellt, teilt der Auftragsverarbeiter dem für die Verarbeitung Verantwortlichen die Notwendigkeit mit, eine zusätzliche Frist zu erhalten, oder dass es unmöglich ist, die Anfrage der betroffenen Person zu beantworten.

 

Wenn die Anfrage an den Auftragsverarbeiter gerichtet wird und keine besondere Verarbeitung betrifft, die für den für die Verarbeitung Verantwortlichen ausgeführt worden ist, antwortet der Auftragsverarbeiter der betroffenen Person direkt, ohne dass er den für die Verarbeitung Verantwortlichen darüber zu informieren braucht.

 

Artikel 11. Einschränkung der Zwecke

Die Datenverarbeitung, die der Auftragsverarbeiter durchführt, haben den Hauptzweck der Bereitstellung einer Digital Analytics-Lösung im SaaS-Modus für den für die Verarbeitung Verantwortlichen, die es ihm erlaubt, die Besucherzahlen auf seinen Webseiten, Mobilseiten und mobilen Anwendungen zu messen. Die Lösung sammelt statistische Besucherdaten dieser digitalen Medien, die dann über eine gesicherte Webschnittstelle dargestellt werden. Diese Daten erlauben es dem für die Verarbeitung Verantwortlichen, insbesondere die Ergonomie seiner digitalen Medien und seines Angebots sowie die Qualität seiner Produkte und Leistungen zu verbessern.

 

Der für die Verarbeitung Verantwortliche bleibt technisch in der Lage, die Lösung für ihm eigene Nebenzwecke zu benutzen. In diesem Fall haftet der Auftragsverarbeiter nicht für jede Nutzung der Lösung und der Daten durch den für die Verarbeitung Verantwortlichen im Rahmen der Verfolgung von anderen Zwecken als der statistischen Analyse der Besucherzahlen seiner Webseiten und insbesondere im Falle einer Erhebung von nicht unentbehrlichen personenbezogenen Daten, im Falle eines Imports von personenbezogenen Daten in die Lösung und im Falle einer Kreuzung von aus der Lösung hervorgegangenen Daten mit eigenen Daten oder Systemen des für die Verarbeitung Verantwortlichen. Wenn der für die Verarbeitung Verantwortliche somit über den Hauptzweck hinausgeht, haftet er allein gegenüber jedem Dritten oder jeder Aufsichtsbehörde.

 

Artikel 12. Datenminimierung

Durch die Implementierung der Marker auf den Webseiten und Anwendungen, die er analysieren möchte, oder durch den Import von Daten in die Lösung hat der für die Verarbeitung Verantwortliche die vollständige technische Kontrolle über den Umfang der Daten.

 

Die personenbezogenen Daten, wie sie in Artikel „5.6 Verarbeitungsarten, A. Typ der Daten, die standardmäßig durch den AT INTERNET-Marker erhoben werden“ aufgezählt sind, sind die einzigen Daten, die von den Markern erhoben werden, die für die Bereitstellung der Digital Analytics-Lösung unbedingt notwendig sind und deren Erhebung hinsichtlich des Hauptzwecks der Verarbeitung zweckdienlich und geeignet ist.

 

 

In jedem Fall sind die Erhebung oder der Import von besonderen Kategorien personenbezogener Daten (Artikel 9 DSGVO, sog. sensible Daten) oder von Daten bezüglich von strafrechtlichen Verurteilungen oder Straftaten (Artikel 10 DSGVO) streng untersagt.

 

Der Auftragsverarbeiter behält sich das Recht vor, punktuelle Kontrollen durchzuführen, und von dem für die Verarbeitung Verantwortlichen die Angabe der Zwecke und Gründe, die ihm zufolge die Erhebung oder den Import von personenbezogenen Daten rechtfertigen, zu verlangen. Falls der Auftragsverarbeiter feststellt, dass die Erhebung und/oder der Import gegenüber dem vom für die Verarbeitung Verantwortlichen angegebenen Zweck unverhältnismäßig ist, dass der vom für die Verarbeitung Verantwortlichen angegebene Zweck eine unzureichende Verbindung mit der Bereitstellung einer Digital Analytics-Lösung hat, oder dass der für die Verarbeitung Verantwortliche das Verbot bezüglich der besonderen Kategorien personenbezogener Daten oder von Daten bezüglich von strafrechtlichen Verurteilungen oder Straftaten nicht einhält, behält sich der Auftragsverarbeiter das Recht vor, vom für die Verarbeitung Verantwortlichen zu verlangen, diese Verarbeitung sofort zu beenden, die Zugänge des für die Verarbeitung Verantwortlichen zu der Lösung auszusetzen und/oder den Kostenvoranschlag, der den Auftragsverarbeiter mit dem für die Verarbeitung Verantwortlichen verbindet, wegen Verschulden des für die Verarbeitung Verantwortlichen zu kündigen.

 

Artikel 13. Datengenauigkeit

Der für die Verarbeitung Verantwortliche verpflichtet sich, alle angemessenen Maßnahmen zu ergreifen, um zu gewährleisten, dass unrichtige personenbezogene Daten berichtigt oder gelöscht werden. Der Auftragsverarbeiter verpflichtet sich, mit dem für die Verarbeitung Verantwortlichen zusammenzuarbeiten und die Anträge auf Korrektur oder Löschung, die vom für die Verarbeitung Verantwortlichen und/oder von den Nutzern seiner Webseiten, Mobilseiten und mobilen Anwendungen gestellt werden, zu bearbeiten.

 

Artikel 14. Einschränkung der Speicherung

Rohdaten werden durch den Auftragsverarbeiter für einen Zeitraum von sechs (6) Monaten nach der Erhebung gespeichert. Die Speicherung der Rohdaten dient ausschließlich dem Zweck der Wiederherstellung der verarbeiteten Daten bei einem Zwischenfall während der initialen Datenverarbeitung, die mit den Rohdaten durchgeführt wird.

Verarbeitete Daten werden für die Dauer der Geschäftsbeziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter und zusätzliche sechs (6) Monate gespeichert.

Im Bedarfsfall steht es jedoch dem für die Verarbeitung Verantwortlichen frei, eine abweichende Aufbewahrungsfrist für die verarbeiteten Daten zu bestimmen. Diese durch den für die Verarbeitung Verantwortlichen bestimmte, abweichende Aufbewahrungsfrist darf aber nicht sechs (6) Monate nach dem Ende der Geschäftsbeziehung überschreiten. Um die Parametrierung der gewünschten Aufbewahrungsfrist durch den Auftragsverarbeiter zu ermöglichen, richtet der Kontoadministrator des für die Verarbeitung Verantwortlichen eine schriftliche Anfrage an den Support Centre des Auftragsverarbeiter. Es steht dem für die Verarbeitung Verantwortlichen frei, die Löschung der Daten bereits am Ende der Geschäftsbeziehung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter zu beantragen.

 

Artikel 15. Integrität, Vertraulichkeit und Sicherheit der Daten

Der Auftragsverarbeiter verpflichtet sich, die Sicherheit der personenbezogenen Daten und ganz allgemein die Sicherheit der Daten des für die Verarbeitung Verantwortlichen zu gewährleisten und ihre Integrität und ihre Vertraulichkeit zu wahren. Diesbezüglich verpflichtet er sich, alle technischen und organisatorischen Maßnahmen zu entwickeln und umzusetzen, um die Sicherheit der Daten zu gewährleisten und sie gegen jede zufällige oder unrechtmäßige Zerstörung, den zufälligen Verlust, die unberechtigte Änderung, die unberechtigte Weitergabe oder den unberechtigten Zugang zu schützen.

 

Die technischen und organisatorischen Maßnahmen müssen mindestens umfassen:

• Die Bestellung eines Datenschutzbeauftragten, die Sensibilisierung seines Personals für die Vertraulichkeit der personenbezogenen Daten und die Unterwerfung des Personals unter eine strenge Vertraulichkeitspflicht;
• Das Bestehen und die regelmäßige Aktualisierung einer Sicherheitspolitik für das IT-System;
• Das Bestehen eines Disaster-Recovery-Plans (Notfallwiederherstellungsplan), der den unterbrechungsfreien Betrieb nach einem Zwischenfall gewährleistet;
• Die regelmäßige Durchführung von Penetrationstests und die schnelle Umsetzung von Korrekturmaßnahmen im Falle eines Defekts oder einer Schwachstelle.

 

Der Auftragsverarbeiter verpflichtet sich, den Zugang zu den personenbezogenen Daten auf diejenigen Personen zu beschränken, die sie tatsächlich kennen müssen, und der Auftragsverarbeiter erinnert daran, dass der für die Verarbeitung Verantwortliche allein für die Zugangsrechte zu der Lösung verantwortlich ist und sie allein verwaltet.

 

Der für die Verarbeitung Verantwortliche hat weiterhin das Recht, eine jährliche Überprüfung der Lösung durchzuführen, um die Angemessenheit der technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter durchführt, zu überprüfen, sofern er seine Absicht zur Durchführung einer solchen Überprüfung während der Arbeitszeiten des Auftragsverarbeiters in einer angemessenen Frist ankündigt (die nicht kürzer sein darf als 10 Werktage). Die Kosten dieser Überprüfung werden vom für die Verarbeitung Verantwortlichen getragen, und der Auftragsverarbeiter stellt dem für die Verarbeitung Verantwortlichen die eventuellen Ressourcen an Personal und Geräten, die während der Prüfung durch den für die Verarbeitung Verantwortlichen eingesetzt werden, in Rechnung. Die Ergebnisse dieser Überprüfungen unterliegen der Vertraulichkeitspflicht beider Parteien.

 

Artikel 16. Automatischer Schutz der Daten ab der Konzeption

Der Auftragsverarbeiter verpflichtet sich, die personenbezogenen Daten automatisch und ab der Konzeption der Verarbeitungen und Entwicklungen der Funktionen der Lösung zu schützen. Die dafür eingesetzten Methoden umfassen insbesondere die Ernennung eines Datenschutzbeauftragten, der die erforderlichen technischen Kompetenzen besitzt, die Sensibilisierung der Mitarbeiter für den Schutz der Daten und ihre Unterwerfung unter eine strenge Vertraulichkeitspflicht.

Artikel 17. Auftragsvergabe

Der Auftragsverarbeiter erklärt, mit Einwilligung des für die Verarbeitung Verantwortlichen, seine französische Muttergesellschaft (Applied Technologies Internet SAS eingetragen im Handelsregister Bordeaux unter der Nummer 403 261 258, mit dem Sitz in 85 avenue J. F. Kennedy 33700 Mérignac, Frankreich) mit der Entwicklung, Bereitstellung und Wartung der Lösung, mit Kundensupportleistungen und mit administrativer Unterstützung (wie z. B. Marketing- und Vertriebsleistungen) beauftragt zu haben.

 

Um die oben genannten Leistungen durchzuführen, zieht die französische Muttergesellschaft des Auftragsverarbeiters (im Folgenden „der untergeordnete Auftragsverarbeiter“) die unter https://atinternet.com/en/processor-sub-processor-information-subsidiaries/ aufgelisteten Dienstleister hinzu. Durch die Unterschrift des Kostenvoranschlags, der auf diese Vereinbarung aufweist, erkennt der für die Verarbeitung Verantwortliche, dass er die Liste in Kenntnis genommen und akzeptiert hat.

 

Der Auftragsverarbeiter bleibt in jedem Fall gegenüber dem für die Verarbeitung Verantwortlichen allein verantwortlich für alle Pflichten, die aus dieser Vereinbarung folgen. Es obliegt dem übergeordneten Auftragsverarbeiter, sich zu vergewissern, dass der untergeordnete Auftragsverarbeiter ausreichende Garantien für die Durchführung der geeigneten technischen und organisatorischen Maßnahmen vorweist, so dass die Verarbeitung die Anforderungen der Europäischen Datenschutzverordnung erfüllt. Wenn der untergeordnete Auftragsverarbeiter seine Pflichten hinsichtlich des Datenschutzes nicht erfüllt, bleibt der übergeordnete Auftragsverarbeiter vor dem für die Verarbeitung Verantwortlichen voll verantwortlich für die Ausführung seiner Pflichten durch den untergeordneten Auftragsverarbeiter.

 

Dem Auftragsverarbeiter bleibt es frei, die Liste der untergeordneten Auftragsverarbeiter zu ändern. Er muss allerdings den für die Verarbeitung Verantwortlichen vor jeder geplanten Änderung hinsichtlich der Hinzufügung oder der Ersetzung von anderen untergeordneten Auftragsverarbeitern informieren. In dieser Mitteilung müssen die untervergebenen Verarbeitungsaktivitäten und die Identität und die Adressdaten des untergeordneten Auftragsverarbeiters eindeutig angegeben sein. Der für die Verarbeitung Verantwortliche verfügt über acht (8) Kalendertage ab dem Tag des Erhalts dieser Mitteilung, um seine Einwände vorzulegen. Diese Untervergabe darf nur ausgeführt werden, wenn der für die Verarbeitung Verantwortliche während der vereinbarten Frist keinen Einwand erhoben hat.

 

Artikel 18. Zuständige Aufsichtsbehörde

Die zuständige Aufsichtsbehörde für die vom Auftragsverarbeiter durchgeführten Aktivitäten und Verarbeitungen ist die Aufsichtsbehörde, in deren Zuständigkeitsgebiet der für die Verarbeitung Verantwortliche ansässig ist.

Die Parteien verpflichten sich, mit der zuständigen Aufsichtsbehörde zusammenzuarbeiten und ihr unverzüglich alle Informationen zukommen zu lassen, die für die Ausübung ihres Auftrags notwendig sind.

 

Artikel 19. Mitteilung bei einer Verletzung des Schutzes personenbezogener Daten

Der Auftragsverarbeiter verpflichtet sich, bei einer Verletzung des Schutzes personenbezogener Daten, die Verletzung unverzüglich, nachdem er davon Kenntnis erlangt hat, und mit den durch die DSGVO geforderten Formen und Inhalten dem für die Verarbeitung Verantwortlichen mitzuteilen, und dies um es dem für die Verarbeitung Verantwortlichen zu ermöglichen, diese Verletzung der zuständigen Aufsichtsbehörde zu melden.

 

Der für die Verarbeitung Verantwortliche ist zuständig, um die betroffenen Personen schnellstmöglich zu informieren, zum Beispiel durch die Veröffentlichung einer Mitteilung auf den Webseiten, Mobilseiten und mobilen Anwendungen, die die Quelle der kompromittierten Daten sind.

 

Artikel 20. Haftung

Haftet der Verantwortliche gegenüber eines Dritten oder einer Aufsichtsbehörde laut eines endgültigen rechtsverbindlichen Beschlusses aufgrund eines Verstoßes gegen die Vorschriften dieser Auftragsdatenverarbeitungsvereinbarung und/oder geltende rechtliche Vorschriften, obwohl der Verstoß allein auf das Begehen einer Tat oder eine Verletzung von dem Auftragsverarbeiter beruht, wird der Auftragsverarbeiter den Verantwortlichen für alle unmittelbaren Schäden und alle Gerichtskosten in Höhe von der niedrigsten Summe zwischen folgender Summen: (i) dem jährlichen Abonnementwert, der dem Verantwortlichen in Rechnung gestellt und von diesem tatsächlich bezahlt wurde und (ii) hunderttausend (100 000) Euro, entschädigen. Unter den unmittelbaren Schäden zählen nicht alle mittelbaren Schäden wie Betriebsverlust, geschäftlichen Schaden, Kundenverlust, Verlust von Aufträgen, Gewinnausfall, Rufschädigung und Imageverlust.

 

Die Entschädigung ist abhängig davon, dass:

• Der Verantwortliche den Auftragsverarbeiter unverzüglich, und spätestens unter einem (1) Monat nach Erhaltung des Schadensersatzanspruchs, von einem Schadenersatzanspruch in Kenntnis setzt und;
• Der Auftragsverarbeiter die Möglichkeit hat, mit dem Verantwortlichen bei der Verteidigung in der Schadenersatzsache bzw. der Einigung über die Höhe des Schadenersatzes zusammenzuarbeiten.

 

Wenn der Verantwortliche die Verletzung dieser Auftragsdatenverarbeitungsvereinbarung oder den Verstoß gegen geltende rechtliche Vorschriften im Bereich Datenschutz zu verantworten hat ist der Verantwortliche allein gegenüber eines Dritten oder einer Aufsichtsbehörde verantwortlich und der Auftragsverarbeiter haftet in keinem Fall.

 

Artikel 21. Transfer außerhalb der Europäischen Union

Die Audienzdaten des für die Verarbeitung Verantwortlichen, d.h. die Daten über Nutzer der Webseiten, Mobilseiten und mobilen Anwendungen, die durch die Digital Analytics-Lösung des Auftragsverarbeiters gemessen werden, werden in der Europäischen Union aufbewahrt. Da die Lösung im SaaS-Modus bereitgestellt wird, bleiben die verarbeiteten Daten allerdings für befugtes Personal, das die Zugangsrechte und einen Internetanschluss besitzt, unabhängig von seinem Standort, zugänglich.

 

Der Auftragsverarbeiter ist jedoch vom für die Datenverarbeitung Verantwortlichen ermächtigt, Verarbeitungseinrichtungen in einem Drittland im Sinne der DS-GVO für Daten über das befugte Personal des für die Datenverarbeitung Verantwortlichen zu nutzen, wenn seiner untergeordnete Auftragsverarbeiter eine der folgenden Garantien erfüllt:

• die Rechtsvorschriften des betreffenden Drittlandes ein angemessenes Schutzniveau für personenbezogene Daten bieten und durch eine Entscheidung der Europäischen Kommission als solche anerkannt werden;
• der untergeordnete Auftragsverarbeiter hat mit einem Dienstleister außerhalb der EU einen Vertrag über die Übermittlung personenbezogener Daten gemäß den von der Europäischen Kommission ausgearbeiteten Standarddatenschutzklauseln abgeschlossen;
• Der nicht-EU Dienstleister des untergeordneten Auftragsverarbeiters hat sich für einen genehmigten Zertifizierungsmechanismus für personenbezogene Daten entschieden, der von den Behörden der Europäischen Union bestätigt wurde, wie beispielsweise das “E.U.- U.S. Privacy Shield Arrangement;
• Der nicht-EU Dienstleister des untergeordneten Auftragsverarbeiters hat “verbindliche internen Datenschutzvorschriften” verabschiedet, die von einer autorisierten europäischen Behörde für den Schutz personenbezogener Daten bestätigt wurden.

 

Artikel 22. Dokumentation und Register der Verarbeitungsaktivitäten

Der Auftragsverarbeiter erklärt, ein Register der Verarbeitungen, die für den für die Verarbeitung Verantwortlichen ausgeführt wurden, unter den von der DSGVO geforderten Form- und Inhaltsbedingungen zu führen. Ferner stellt er dem für die Verarbeitung Verantwortlichen die Dokumentation zur Verfügung, die für den Nachweis der Einhaltung aller seiner Pflichten und die Durchführung von Prüfungen durch den für die Verarbeitung Verantwortlichen erforderlich ist