PLATTFORM

Partnerships

Entdecken Sie die Macht Ihrer Partnerschaften!

Insights

Holen Sie das Beste aus Ihren Partnerschaften, mit handlungsfähigen Einblicken in Ihre Daten.

Finance

Das zentrale Finanzsystem, dem Sie bei der Automatisierung von Zahlungsdiensten vertrauen können.

Trail

Die Trackingtechnologie bei der Sie volle Kontrolle über Ihre gesammelten Daten haben.

Access

Kontrollieren und schützen Sie den Zugriff auf Ihre Daten.

Creatives

Datengesteuerte Creatives für Ihre Partner – Upload und Verwaltung.

Messaging

Das zentrale Kommunikationstool für Sie und Ihre Partner.

Integrations

Verbinden Sie Big Data mit leistungsstarker Software.

TOP-VERTIKALE

Retail

iGaming - 💥NEU!💥

Finanzen

Travel

GESCHÄFTSTYP

Merchants / Werbetreibende

Agenturen

Portale / Marktplätze

Performance-Netzwerke

SERVICES

Partnerauszahlungen

SUPPORT

Support Dienstleistungen

Wissensdatenbank

RESSOURCEN

Resources

Ressourcen

Ingenious Technologies Podcast

Podcast

blog

Blog

UNTERNEHMEN

Über Uns

career

Karriere

Kontakt

Nächste Veranstaltungen

Presse

Partner Marketing Community

Partner Ökosystem

Partner Marketing Summit

Partner Marketing Community

Vertrag über die Verarbeitung personenbezogener Daten

im Auftrag gemäß Art. 28 Datenschutz-Grundverordnung
 

zwischen dem Auftraggeber und der

INGENIOUS TECHNOLOGIES AG

-nachstehend Auftragsverarbeiter genannt –
Französische Str. 48
10117 Berlin
Deutschland

1. Vertragsgegenstand

(1) Im Rahmen der Nutzung der Ingenious Technologie ist es erforderlich, dass der Auftragsverarbeiter Daten speichert und verarbeitet, die vom Auftraggeber im Zuge der Nutzung der Ingenious Technologie erfasst werden. Es ist nicht auszuschließen, dass es sich bei diesen Daten um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO handelt. Ausschließlich für diese Daten (im Folgenden „Auftraggeber-Daten“) gilt der vorliegende Auftragsverarbeitungsvertrag.

(2) Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechten und Pflichten der Parteien im Zusammenhang mit dem Umgang des Auftragsverarbeiters mit den Auftraggeber-Daten in Erfüllung des Hauptvertrages.

2. Art, Umfang, Zweck und Laufzeit der Auftragsverarbeitung

(1) Der Auftragsverarbeiter verarbeitet die Auftraggeber-Daten im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber bleibt im datenschutzrechtlichen Sinn gemäß Art. 4 Nr. 7 DSGVO verantwortliche Stelle.

(2) Die Verarbeitung der Auftraggeber-Daten im Rahmen der Auftragsdatenverarbeitung erfolgt entsprechend den in Anlage 1 zu diesem Vertrag enthaltenen Festlegungen zu Art, Umfang und Zweck der Datenverarbeitung. Sie bezieht sich auf die in Anlage 1 festgelegte Art der Auftraggeber-Daten, den Zweck der Datenverarbeitung und den dort bestimmten Kreis der Betroffenen.

(3) Die Verarbeitung der Auftraggeber-Daten findet im Gebiet der Bundesrepublik Deutschland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.

(4) Die Laufzeit und Kündigung dieses Vertrags richten sich nach den Bestimmungen zur Laufzeit und Kündigung des Hauptvertrags. Eine Kündigung des Hauptvertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.

 

3. Weisungsbefugnisse des Auftraggebers

(1) Der Umgang mit den Auftraggeber-Daten durch den Auftragsverarbeiter erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Auftraggebers gemäß Art. 28 Abs. 3 S. 2 lit. a DSGVO, es sei denn, dass der Auftragsverarbeiter nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem er unterliegt, zur Verarbeitung verpflichtet ist. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang, Mittel und Zwecke der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Erteilt der Auftraggeber Einzelweisungen hinsichtlich des Umgangs mit Auftraggeber-Daten, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten zum Auftraggeber zu tragen.

(3) Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Der Auftragsverarbeiter ist nicht berechtigt die Auftraggeber-Daten an Dritte weiterzugeben und verwendet die Daten für keine anderen Zwecke, insbesondere nicht für eigene Zwecke.

(4) Den Auftragsverarbeiter trifft keinerlei Verpflichtung, Weisungen des Auftraggebers (datenschutz-) rechtlich zu prüfen. Der Auftragsverarbeiter wird den Auftraggeber unverzüglich entsprechend Art. 28 Abs. 3 S. 3 DSGVO informieren, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

 

4. Pflichten des Auftraggebers

(1) Der Auftraggeber ist für die Rechtmäßigkeit der Datenverarbeitung durch den Auftragsverarbeiter sowie für die Wahrung der Rechte der Betroffenen allein verantwortlich und somit „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO.

(2) Der Auftraggeber ist Inhaber aller etwaigen Rechte, die die Auftraggeber-Daten betreffen.

(3) Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung von Auftraggeber-Daten durch den Auftragsverarbeiter feststellt.

(4) Sollten Dritte gegen den Auftragsverarbeiter aufgrund der Verarbeitung von Auftraggeber-Daten Ansprüche geltend machen, wird der Auftraggeber den Auftragsverarbeiter von allen solchen Ansprüchen auf erstes Anfordern freistellen.

 

5. Pflichten des Auftragsverarbeiters

(1) Der Auftragsverarbeiter stellt sicher und kontrolliert regelmäßig, dass die Verarbeitung der Auftraggeber-Daten im Rahmen der Leistungserbringung nach dem Hauptvertrag in seinem Verantwortungsbereich, der die Unterauftragnehmer nach Ziffer 9 dieses Vertrags einschließt, in Übereinstimmung mit den Bestimmungen dieses Vertrags erfolgt.

(2) Beim Auftragsverarbeiter ist als Beauftragter für den Datenschutz
Walter Meng, Ingenious Technologies AG, Französische Strasse 48, 10117 Berlin
bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

(3) Der Auftragsverarbeiter hat gemäß Art. 28 Abs. 3 S. 2 lit. b DSGVO alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, schriftlich auf das Datengeheimnis zu verpflichten und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie über die bestehende Weisungs- bzw. Zweckbindung zu belehren.

(4) Der Auftragsverarbeiter darf ohne vorherige Zustimmung durch den Auftraggeber im Rahmen der Auftragsverarbeitung keine Kopien oder Duplikate der Auftraggeber-Daten anfertigen. Hiervon ausgenommen sind jedoch Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung und zur ordnungsgemäßen Erbringung der Leistungen gemäß dem Hauptvertrag (einschließlich der Datensicherung) erforderlich sind, sowie Kopien, die zur Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(5) Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen im Rahmen des Zumutbaren und Erforderlichen und gegen Erstattung der dadurch entstehenden Aufwendungen und Kosten bei der Erfüllung seiner Pflichten nach den Artikeln 12 bis 22 und 32 bis 36 DSGVO zu unterstützen. Die Unterstützung erfolgt unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen sowie, soweit möglich, geeigneter technischer und organisatorischer Maßnahmen, insbesondere bei der Beantwortung von Anfragen zur Ausübung der in den Artikeln 12 bis 22 DSGVO genannten Rechte der betroffenen Person.

(6) Der Auftragsverarbeiter ist verpflichtet dem Auftraggeber alle erforderlichen Informationen, einschließlich Zertifizierungen sowie Überprüfungs- und Inspektionsergebnissen, die dem Nachweis der Einhaltung der in diesem Vertrag niedergelegten Pflichten dienen, zur Verfügung zu stellen.

 

6. Technische und organisatorische Maßnahmen

(1) Der Auftragsverarbeiter hat vor Beginn der Verarbeitung der Auftraggeber-Daten die in Anlage 2 dieses Vertrags aufgelisteten technischen und organisatorischen Maßnahmen zu implementieren und während des Vertrags aufrechtzuerhalten.

(2) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragsverarbeiter gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 2 festgelegten Maßnahmen nicht unterschritten wird. Der Auftragsverarbeiter wird solche Änderungen dokumentieren. Wesentliche Änderungen der Maßnahmen bedürfen der vorherigen Zustimmung des Auftraggebers und sind vom Auftragsverarbeiter zu dokumentieren und dem Auftraggeber auf Anforderung zur Verfügung zu stellen.

 

7. Mitzuteilende Verstöße des Auftragsverarbeiters

(1) Der Auftragsverarbeiter informiert den Auftraggeber zeitnah, wenn er feststellt, dass er oder ein Mitarbeiter bei der Verarbeitung von Auftraggeber-Daten gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus diesem Vertrag verstoßen haben, sofern die Gefahr einer Verletzung des Schutzes personenbezogener Daten des Auftraggebers im Sinne des Art. 4 Nr. 12 DSGVO besteht.

(2) Soweit den Auftraggeber aufgrund eines Vorkommnisses nach Absatz (1) gesetzliche Informationspflichten wegen einer unrechtmäßigen Kenntniserlangung von Auftraggeber-Daten (insbesondere nach Art. 33 und 34 DSGVO) treffen, hat der Auftragsverarbeiter den Auftraggeber bei der Erfüllung der Informationspflichten auf dessen Ersuchen im Rahmen des Zumutbaren und Erforderlichen gegen Erstattung der dem Auftragsverarbeiter hierdurch entstehenden Aufwände und Kosten zu unterstützen.

 

8. Kontrollrechte des Auftragsgebers

(1) Der Auftraggeber überzeugt sich auf eigene Kosten vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragsverarbeiters gemäß Anlage 2 und dokumentiert das Ergebnis. Hierfür kann er Selbstauskünfte des Auftragsverarbeiters einholen, sich ein Testat eines Sachverständigen vorlegen lassen oder sich nach rechtzeitiger Terminabsprache ohne Störung des Betriebsablaufs und unter strikter Geheimhaltung von Betriebs- und Geschäftsgeheimnissen des Auftragsverarbeiters persönlich überzeugen. Der Auftragsverarbeiter verpflichtet sich, die Kontrollen des Auftraggebers in geeigneter Weise zu unterstützen und alle erforderlichen Kontrollmaßnahmen zu dulden.

(2) Der Auftragsverarbeiter verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind.

(3) Der Auftragsverarbeiter ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Verpflichtungen des Auftraggebers, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragsverarbeiters sind oder wenn der Auftragsverarbeiter durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragsverarbeiters, zu Informationen hinsichtlich Kosten, zu Qualitätsprüfungs- und Vertrags-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragsverarbeiters, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.

(4) Der Auftraggeber hat den Auftragsverarbeiter rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen.

(5) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftraggeber den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftraggeber aufgrund von dieser Ziffer 10 dieses Vertrags gegenüber dem Auftragsverarbeiter verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragsverarbeiters hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten unverzüglich vorzulegen. Der Auftraggeber darf keinen Wettbewerber des Auftragsverarbeiters mit der Kontrolle beauftragen.

(6) Nach Wahl des Auftragsverarbeiters kann der Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 anstelle einer Vor-Ort-Kontrolle auch durch die Vorlage eines geeigneten, aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren oder Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT- Sicherheits- oder Datenschutzaudit – z.B. nach BSI-Grundschutz – („Prüfungsberichts“) erbracht werden, wenn der Prüfungsbericht es dem Auftraggeber in angemessener Weise ermöglicht, sich von der Einhaltung der technischen und organisatorischen Maßnahmen gemäß Anlage 2 zu diesem Vertrag zu überzeugen.

 

9. Unterauftragsverhältnisse

(1) Der Auftragsverarbeiter darf Unterauftragsverhältnisse hinsichtlich der Verarbeitung von Auftraggeber-Daten nur nach vorheriger schriftlicher Zustimmung des Auftraggebers begründen. Eine solche vorherige Zustimmung darf vom Auftraggeber nur aus wichtigem, dem Auftragsverarbeiter nachzuweisenden, Grund verweigert werden. Der Auftragsverarbeiter wird dem Auftraggeber auf Anforderung eine aktuelle Übersicht über die eingeschalteten Unterauftragsverarbeiter übergeben. Im Fall einer schriftlichen Genehmigung informiert der Auftragsverarbeiter den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter.

(2) Die in Anlage 3 benannten Unterauftragsverarbeiter gelten als vom Auftraggeber bereits genehmigt.

(3) Im Fall der Hinzuziehung eines Unterauftragsverarbeiters erlegt der Auftragsverarbeiter diesem, im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats, dieselben Datenschutzpflichten auf, die in diesem Vertrag festgelegt sind. Erfüllt ein Unterauftragsverarbeiter die in diesem Vertrag festgelegt Verpflichtungen nicht oder verstößt gegen datenschutzrechtliche Vorschriften, so haftet der Auftragsverarbeiter gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Unterauftragsverarbeiters.

(4) Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung, und somit nicht durch den Auftraggeber Zustimmungsbedürftig, sind solche Dienstleistungen zu verstehen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen insbesondere Telekommunikationsleistungen, Bewachungsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer und die Entsorgung von Datenträgern. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

 

10. Rechte der Betroffenen

(1) Die Rechte der durch die Datenverarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen.

(2) Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zur Wahrnehmung seiner Rechte gemäß der Art. 12 bis 22 DSGVO der ihn betreffenden Daten wenden sollte, wird der Auftragsverarbeiter den Betroffenen an den Auftraggeber verweisen.

(3) Für den Fall, dass eine betroffene Person ihre Rechte gemäß der Art. 12 bis 22 DSGVO geltend macht, hat der Auftragsverarbeiter den Auftraggeber bei der Erfüllung dieser Ansprüche in angemessenem und für den Auftraggeber erforderlichen Umfang zu unterstützen, sofern der Auftraggeber die Ansprüche nicht ohne Mitwirkung des Auftragsverarbeiters erfüllen kann. Etwaigen Zusatzaufwand wird der Auftraggeber dem Auftragsverarbeiter erstatten.

(4) Der Auftragsverarbeiter wird es dem Auftraggeber ermöglichen, Auftraggeber-Daten zu berichtigen, zu löschen oder zu sperren oder auf Verlangen des Auftraggebers die Berichtigung, Sperrung oder Löschung selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.

 

11. Rückgabe und Löschung überlassener Auftraggeber-Daten

(1) Der Auftragsverarbeiter hat sämtliche Auftraggeber-Daten nach Beendigung der vertragsgegenständlichen Leistungserbringung (insbesondere bei Kündigung oder sonstiger Beendigung des Hauptvertrags), nach Wahl des Auftraggebers, zurückzugeben oder zu löschen und bestehende Kopien zu vernichtet, sofern nicht nach einer Rechtsvorschrift eine Verpflichtung zur Speicherung der Daten besteht.

(2) Über eine Löschung bzw. Vernichtung von Auftraggeber-Daten hat der Auftragsverarbeiter ein Protokoll zu erstellen, das dem Auftraggeber auf Anforderung vorzulegen ist.

(3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

 

12. Verhältnis zum Hauptvertrag

Soweit in diesem Vertrag keine Sonderregelungen enthalten sind, gelten die Bestimmungen des Hauptvertrags. Im Fall von Widersprüchen zwischen diesem Vertrag und Regelungen aus sonstigen Vereinbarungen, insbesondere aus dem Hauptvertrag, gehen die Regelungen aus diesem Vertrag vor, soweit die Verarbeitung von Auftraggeber-Daten betroffen ist.

 

PDF-Download der Datenverarbeitungsvereinbarung:

Vertrag über die Verarbeitung personenbezogener Daten im Auftrag gemäß Art. 28 Datenschutz-Grundverordnung (Stand: Dezember 2020) pdf

Anlage 1: Auftraggeber-Daten (Stand: Dezember 2020) pdf

Anlage 2: Technische und organisatorische Maßnahmen (Stand: Dezember 2020) pdf

Anlage 3: Genehmigte Unterauftragsverarbeiter (Stand: Dezember 2020) pdf