Auftragsverarbeitungsvertrag

Dieser Auftragsverarbeitungsvertrag findet Anwendung auf sämtliche Arten der Verarbeitung personenbezogener Daten seitens der Leadinfo B.V., eingetragen in das niederländische Handelsregister unter der Nummer 78116643 (nachfolgend „Auftragsverarbeiter“), im Auftrag einer Vertragspartei (nachfolgend „Verantwortlicher“), für die die Leadinfo B.V. auf der Grundlage eines zwischen ihr und der Vertragspartei geschlossenen Vertrags (nachfolgend „Hauptvertrag“) Dienstleistungen erbringt. 

Artikel 1. Zwecke der Verarbeitung

1.1. Der Auftragsverarbeiter verpflichtet sich zu den Bedingungen dieses Auftragsverarbeitungsvertrags zur Verarbeitung personenbezogener Daten nach den Anweisungen des Verantwortlichen. Die Verarbeitung erfolgt ausschließlich im Rahmen des Angebots seiner Plattform und der erweiterten Funktionen sowie zu den Zwecken, die damit angemessen im Zusammenhang stehen oder die zusätzlich vereinbart werden.

1.2. Für das Angebot seiner Plattform führt der Auftragsverarbeiter eine Datenbank. Betreffend die Pflege und Erweiterung dieser Datenbank ist der Auftragsverarbeiter der Verantwortliche.

1.3. Der Verantwortliche trägt die Verantwortung für die weitere Nutzung der von ihm über die Plattform des Auftragsverarbeiters bezogenen personenbezogenen Daten und muss u. a. selbst über eine Rechtsgrundlage dafür verfügen und betroffene Personen informieren.

1.4. Eine Übersicht der personenbezogenen Daten, die vom Auftragsverarbeiter im Rahmen der im vorstehenden Absatz genannten Tätigkeiten verarbeitet werden, sowie der Kategorien von betroffenen Personen, auf die sich diese Daten beziehen, findet sich in Anhang 1. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten ausschließlich zu den vom Verantwortlichen festgelegten Zwecken. Der Verantwortliche unterrichtet den Auftragsverarbeiter über die Verarbeitungszwecke, sofern diese nicht bereits in dem vorliegenden Auftragsverarbeitungsvertrag niedergelegt sind.

Artikel 2. Pflichten des Auftragsverarbeiters

2.1. Bezüglich der in Artikel 1 genannten Verarbeitungstätigkeiten hat der Auftragsverarbeiter für die Einhaltung der anwendbaren Rechtsvorschriften zu sorgen, darin eingeschlossen auf jeden Fall die Rechtsvorschriften zum Schutz von personenbezogenen Daten wie etwa die Datenschutz-Grundverordnung (nachfolgend „DSGVO“).

2.2. Der Auftragsverarbeiter unterrichtet den Verantwortlichen auf dessen erste Aufforderung hin über die von ihm mit Blick auf seine Pflichten aus diesem Auftragsverarbeitungsvertrag getroffenen Maßnahmen.

2.3. Die sich aus diesem Auftragsverarbeitungsvertrag ergebenden Pflichten des Auftragsverarbeiters gelten auch für diejenigen, die personenbezogene Daten unter der Weisung des Auftragsverarbeiters verarbeiten, darin eingeschlossen u. a. Personal, und zwar im weitesten Sinne.

2.4. Der Auftragsverarbeiter setzt den Verantwortlichen umgehend in Kenntnis, falls seiner Ansicht nach eine Anweisung des Verantwortlichen den Rechtsvorschriften im Sinne von Absatz 1 widerspricht.

2.5. Der Auftragsverarbeiter gewährt, soweit ihm möglich, dem Verantwortlichen seine Mitwirkung bei der Durchführung von Datenschutz-Folgenabschätzungen und der vorherigen Konsultation. Der Auftragsverarbeiter kann dafür angemessene Kosten in Rechnung stellen.

Artikel 3. Übermittlung von personenbezogenen Daten

3.1. Der Auftragsverarbeiter darf die personenbezogenen Daten in Ländern des Europäischen Wirtschaftsraums („EWR“) verarbeiten. Die Übermittlung an Länder außerhalb des EWR ist gestattet, sofern die Anforderungen aus Kapitel V der DSGVO erfüllt sind.

3.2 Die Nutzung von Leadinfo und die Weitergabe von Informationen, die von Google APIs erhalten wurden, an andere Apps erfolgt unter Einhaltung der Google API Services User Data Policy, einschließlich der Anforderungen zur eingeschränkten Nutzung.

Artikel 4. Verteilung der Verantwortung

4.1. Die Verantwortung des Auftragsverarbeiters erstreckt sich lediglich auf die Verarbeitung der personenbezogenen Daten im Rahmen des vorliegenden Auftragsverarbeitungsvertrags gemäß den Anweisungen des Verantwortlichen und unter ausdrücklicher (End-)Verantwortung des Verantwortlichen, wie in Artikel 1.1 beschrieben. Für jede anderweitige Verarbeitung von personenbezogenen Daten, darin eingeschlossen auf jeden Fall u. a. die Erhebung personenbezogener Daten durch den Verantwortlichen und deren weitere Nutzung, die Verarbeitung zu dem Auftragsverarbeiter vom Verantwortlichen nicht mitgeteilten Zwecken, die Verarbeitung durch Dritte und/oder zu anderen Zwecken, ist der Auftragsverarbeiter ausdrücklich nicht verantwortlich.

4.2. Der Verantwortliche sichert zu, dass der Inhalt, die Nutzung und der Auftrag zur Verarbeitung der personenbezogenen Daten im Sinne des vorliegenden Auftragsverarbeitungsvertrags rechtmäßig sind und dass dadurch Rechte Dritter nicht verletzt werden, und er stellt den Auftragsverarbeiter frei von jedweden Ansprüchen Dritter.

Artikel 5. Beauftragung von Unterauftragsverarbeitern

5.1. Der Auftragsverarbeiter darf im Rahmen dieses Auftragsverarbeitungsvertrags andere Auftragsverarbeiter („Unterauftragsverarbeiter“) beauftragen, wenn dies für die ordnungsgemäße Erbringung der Dienstleistung erforderlich ist.  Ein Verzeichnis der beim Abschluss des vorliegenden Auftragsverarbeitungsvertrags vom Auftragsverarbeiter beauftragten Unterauftragsverarbeiter ist als Anlage 2 beigefügt. Ein aktuelles Verzeichnis der Unterauftragsverarbeiter kann per E-Mail an privacy@leadinfo.com angefordert werden.

5.2. Der Auftragsverarbeiter sorgt in jedem Fall dafür, dass diese Unterauftragsverarbeiter schriftlich die gleichen inhaltlichen Pflichten annehmen, wie sie zwischen dem Verantwortlichen und dem Auftragsverarbeiter vereinbart wurden.

5.3. Der Auftragsverarbeiter sorgt für die ordnungsgemäße Erfüllung der Pflichten aus dem vorliegenden Auftragsverarbeitungsvertrag durch diese Dritten und haftet bei Fehlern dieser Dritten selbst für sämtlichen Schaden so, als wären es seine Fehler.

Artikel 6. Sicherheit

6.1. Der Auftragsverarbeiter bemüht sich, bezüglich der Verarbeitung von personenbezogenen Daten geeignete technische und organisatorische Maßnahmen zum Schutz der Daten vor Verlust und jeder Form der unrechtmäßigen Verarbeitung (z. B. unbefugter Zugang, Beeinträchtigung, Veränderung oder Offenlegung der personenbezogenen Daten) zu unternehmen.

6.2 Ein aktuelles Verzeichnis der Sicherheitsmaßnahmen kann per E-Mail an privacy@leadinfo.com angefordert werden.

Artikel 7. Meldepflicht

7.1. Der Verantwortliche trägt zu jeder Zeit die Verantwortung für die Meldung von Verletzungen des Schutzes personenbezogener Daten im Sinne von Artikel 4 Punkt 12 der DSGVO an die Aufsichtsbehörde sowie, im Falle eines erhöhten Risikos, an die betroffene(n) Person(en). Damit der Verantwortliche dieser gesetzlichen Pflicht nachkommen kann, setzt der Auftragsverarbeiter den Verantwortlichen unverzüglich von Verletzungen des Schutzes personenbezogener Daten in Kenntnis.

7.2. Unter die Meldepflicht fällt in jedem Fall die Meldung der Tatsache, dass der Schutz personenbezogener Daten verletzt wurde. Die Meldung hat darüber hinaus die in Artikel 33 Absatz 3 der DSGVO genannten Informationen zu enthalten.

Artikel 8. Bearbeitung von Anträgen betroffener Personen

8.1. Stellt eine betroffene Person beim Auftragsverarbeiter einen Antrag auf Ausübung ihrer gesetzlichen Rechte gemäß Artikeln 15 bis 22 der DSGVO, leitet der Auftragsverarbeiter diesen Antrag zur weiteren Bearbeitung an den Verantwortlichen weiter. Der Auftragsverarbeiter kann die betroffene Person davon in Kenntnis setzen.

8.2 Kann der Verantwortliche den Antrag nicht alleine bearbeiten, unterstützt ihn der Auftragsverarbeiter dabei, soweit angemessen und ihm möglich. Der Auftragsverarbeiter kann dafür angemessene Kosten in Rechnung stellen.

Artikel 9. Geheimhaltung und Vertraulichkeit

9.1. Sämtliche personenbezogenen Daten, die der Auftragsverarbeiter vom Verantwortlichen empfängt und/oder im Rahmen des vorliegenden Auftragsverarbeitungsvertrags selbst erhebt, sind gegenüber Dritten geheim zu halten. Der Auftragsverarbeiter nutzt diese Daten ausschließlich zu dem Zweck, zu dem er sie empfangen hat, sofern sie nicht in eine Form gebracht wurden, die keine Rückschlüsse auf betroffene Personen zulassen, z. B. zu Analyse- und Qualitätszwecken.

9.2. Diese Geheimhaltungspflicht gilt nicht, sofern der Verantwortliche ausdrücklich seine Zustimmung zur Offenlegung der Daten gegenüber Dritten erteilt hat, falls die Offenlegung der Daten gegenüber Dritten aufgrund der Art des erteilten Auftrags und für die Erfüllung des vorliegenden Auftragsverarbeitungsvertrags aus Gründen der Logik notwendig ist, oder falls eine gesetzliche Pflicht zur Offenlegung der Daten gegenüber Dritten besteht.

Artikel 10. Überprüfungen

10.1. Der Verantwortliche kann zwecks Kontrolle, ob die Bestimmungen des vorliegenden Auftragsverarbeitungsvertrags eingehalten werden, Überprüfungen von einem unabhängigen, zur Geheimhaltung verpflichteten Dritten durchführen lassen.

10.2. Solche Überprüfungen dürfen nur durchgeführt werden, wenn konkret vermutet wird, dass personenbezogene Daten missbraucht wurden und dies dem Auftragsverarbeiter schriftlich mitgeteilt wurde.

10.3. Der Auftragsverarbeiter gewährt seine Mitwirkung bei der Überprüfung und stellt schnellstmöglich sämtliche für die Überprüfung angemessenerweise relevanten Informationen, einschließlich unterstützender Daten wie Systemprotokolle, sowie Personal zur Verfügung.

10.4. Die Ergebnisse der Überprüfung werden vom Auftragsverarbeiter ausgewertet und können von ihm nach eigenem Ermessen und in der von ihm festgelegten Weise umgesetzt werden.

10.5. Die Kosten der Überprüfung trägt der Verantwortliche.

Artikel 11. Haftung

11.1. Die Parteien vereinbaren ausdrücklich, dass bezüglich der Haftung die Regelungen des Hauptvertrags gelten.

Artikel 12. Laufzeit und Beendigung

12.1. Der vorliegende Auftragsverarbeitungsvertrag kommt mit dem Abschluss des Hauptvertrags zustande.

12.2. Der vorliegende Auftragsverarbeitungsvertrag wird für die im zwischen den Parteien geschlossenen Hauptvertrag festgelegte Dauer geschlossen bzw., sofern darin keine Dauer festgelegt ist, in jedem Fall für die Dauer der Verarbeitung der in Anhang 1 genannten personenbezogenen Daten.

12.3. Bei Beendigung des Auftragsverarbeitungsvertrags – gleich, aus welchem Grund und in welcher Weise er beendet wird – gibt der Auftragsverarbeiter nach Wahl des Verantwortlichen sämtliche sich im Besitz des Auftragsverarbeiters befindlichen personenbezogenen Daten in originaler Form oder in Kopie an den Verantwortlichen zurück und/oder löscht und/oder vernichtet diese originalen personenbezogenen Daten und etwaige Kopien davon.

12.4. Der Auftragsverarbeiter kann den vorliegenden Vertrag von Zeit zu Zeit aktualisieren. Der Auftragsverarbeiter setzt den Verantwortlichen mindestens einen (1) Monat im Voraus von solchen Änderungen in Kenntnis.

Ist der Verantwortliche mit diesen Änderungen nicht einverstanden, kann er den Vertrag zum Monatsende kündigen.

Artikel 13. Anwendbares Recht und Gerichtsstand

13.1. Auf den vorliegenden Auftragsverarbeitungsvertrag und dessen Erfüllung findet niederländisches Recht Anwendung.

13.2. Sämtliche Rechtsstreitigkeiten, die zwischen den Parteien im Zusammenhang mit dem Auftragsverarbeitungsvertrag entstehen, sind vor das zuständige Gericht des Gerichtsbezirks, in dem der Auftragsverarbeiter seinen eingetragenen Sitz hat, zu bringen.

—————————————————

Anhang 1: Übersicht der personenbezogenen Daten und betroffenen Personen

Personenbezogene Daten 

Der Auftragsverarbeiter verarbeitet gemäß Artikel 1.1 des Auftragsverarbeitungsvertrags im Auftrag des Verantwortlichen unter Nutzung der Plattform von Leadinfo die nachstehend aufgeführten personenbezogenen Daten:

  • IP-Adresse
  • die auf der Plattform angezeigten Unternehmensprofile, die Folgendes umfassen können:
    • Namen;
    • Funktionen;
    • Kontaktdaten von Mitarbeitern und der Unternehmensleitung; (Twitter-Nutzername, LinkedIn-Nutzername und Foto dieser Personen, falls vorhanden, können ebenfalls verarbeitet werden)

von den folgenden Kategorien von betroffenen Personen:

  • potenzielle Kunden
  • Websitebesucher
  • Mitarbeiter von Unternehmen, die die Website des Verantwortlichen besucht haben.

Ferner können die folgenden personenbezogenen Daten verarbeitet werden, wenn der Verantwortliche die erweiterten Funktionen E-Mail- und Link-Tracking, E-Mail-Automatisierung oder LinkedIn-Automatisierungsdienste aktiviert und nutzt:

  • Name
  • E-Mail-Adresse
  • Telefonnummer
  • Stellenbezeichnung, Abteilung und Dienstalter
  • E-Mail-Betreff
  • Inhalt der Nachricht, nur während der Übermittlung der Daten durch unseren Dienst, bis zur tatsächlichen Zustellung der E-Mail
  • Datum und Uhrzeit des E-Mail-Versands
  • Ort, an dem die E-Mail geöffnet wurde
  • IP-Adresse des Geräts (in anonymisierter Form gespeichert)
  • Standort des Geräts (allgemeine Region)
  • Gerätetyp (eindeutige Gerätekennungen)
  • Referrer-URL und Domain

Die folgenden Daten werden von den Diensten im Auftrag des Verantwortlichen generiert:

  • Lesebestätigung
  • Lesehistorie (Nummer, Datum und Uhrzeit) der empfangenen E-Mail
  • Anzahl der in der E-Mail enthaltenen Links.
  • Text und URL solcher Links
  • Historie der Klicks (Anzahl, Datum und Uhrzeit) auf die in der E-Mail enthaltenen Links.

Die Daten werden im Auftrag des Verantwortlichen zu folgenden Zwecken verarbeitet:

  • um die Integration von Vertriebstools (z. B. E-Mail-Dienste oder CRM-Tools) zu ermöglichen
  • um Lead-Enrichment zu ermöglichen
  • um Engagement-Tracking und Tracking von (geteilten) Inhalten zu ermöglichen
  • um Nutzungsanalysen zu ermöglichen

Der Verantwortliche sichert zu, dass die in diesem Anhang 1 aufgeführten personenbezogenen Daten und Kategorien von betroffenen Personen vollständig und korrekt sind, und stellt den Auftragsverarbeiter frei von Fehlern und Ansprüchen aufgrund fehlerhafter Angaben des Verantwortlichen.

Anhang 2: Unterauftragsverarbeiter

Beim Abschluss des Auftragsverarbeitungsvertrags hat der Auftragsverarbeiter den bzw. die nachstehend aufgeführten Unterauftragsverarbeiter beauftragt:

  • Amazon Web Services EMEA SARL. – Hosting und Infrastruktur – Luxemburg

Ein aktuelles Verzeichnis der Unterauftragsverarbeiter kann per E-Mail an privacy@leadinfo.com angefordert werden.