Datenschutzerklärung Converto AG

Version vom 01. September 2023

In dieser Datenschutzerklärung erläutern wir, die Converto AG, (nachfolgend Converto, wir oder uns), wie wir Personendaten erheben und sonst bearbeiten. Das ist keine abschliessende Beschreibung; allenfalls regeln andere Datenschutzerklärungen spezifische Sachverhalte. Unter Personendaten werden alle Angaben verstanden, die sich auf eine bestimmte oder bestimmbare Person beziehen.

1. Verantwortlicher

Verantwortlich für die Datenbearbeitungen, die wir hier beschreiben, ist Converto AG, Firststrasse 3a, 8835 Feusisberg. Wenn Sie datenschutzrechtliche Anliegen haben, können Sie uns diese an folgende Kontaktadresse mitteilen: privacy@converto.com

2. Erhebung und Bearbeitung von Personendaten

Wir bearbeiten in erster Linie die Personendaten, die wir im Rahmen unserer Geschäftsbeziehung mit unseren Kunden und anderen Geschäftspartnern von diesen und weiteren daran beteiligten Personen erhalten oder die wir beim Betrieb unserer Websites, Apps und weiteren Anwendungen von deren Nutzern erheben.

Soweit dies erlaubt ist, entnehmen wir auch öffentlich zugänglichen Quellen (z.B. Betreibungsregister, Grundbücher, Handelsregister, Presse, Internet) gewisse Daten oder erhalten solche von Behörden und sonstigen Dritten. Nebst den Daten von Ihnen, die Sie uns direkt geben, sind die Kategorien von Personendaten, die wir von Dritten über Sie erhalten, insbesondere Angaben aus öffentlichen Registern, Angaben, die wir im Zusammenhang mit behördlichen und gerichtlichen Verfahren erfahren, Angaben im Zusammenhang mit ihren beruflichen Funktionen und Aktivitäten (damit wir z.B. mit Ihrer Hilfe Geschäfte mit Ihrem Arbeitgeber abschliessen und abwickeln können), Angaben über Sie in Korrespondenz und Besprechungen mit Dritten, Bonitätsauskünfte (soweit wir mit Ihnen persönlich Geschäfte abwickeln), Angaben über Sie, die uns Personen aus Ihrem Umfeld (Familie, Berater, Rechtsvertreter, etc.) geben, damit wir Verträge mit Ihnen oder unter Einbezug von Ihnen abschliessen oder abwickeln können (z.B. Referenzen, Ihre Adresse für Lieferungen, Vollmachten, Angaben zur Einhaltung gesetzlicher Vorgaben wie etwa der Geldwäschereibekämpfung und Exportrestriktionen, Angaben von Banken, Versicherungen, Vertriebs- und anderen Vertragspartnern von uns zur Inanspruchnahme oder Erbringung von Leistungen durch Sie (z.B. erfolgte Zahlungen, erfolgte Käufe), Angaben aus Medien und Internet zu Ihrer Person (soweit dies im konkreten Fall angezeigt ist, z.B. im Rahmen einer Bewerbung, Presseschau, Marketing/Verkauf, etc.), Ihre Adressen und ggf. Interessen und weitere soziodemographische Daten (für Marketing), Daten im Zusammenhang mit der Benutzung der Website (z.B. IP-Adresse, MAC-Adresse des Smartphones oder Computers, Angaben zu Ihrem Gerät und Einstellungen, Cookies, Datum und Zeit des Besuchs, abgerufene Seiten und Inhalte, benutzte Funktionen, verweisende Website, Standortangaben).

3. Zwecke der Datenbearbeitung und Rechtsgrundlagen

Wir verwenden die von uns erhobenen Personendaten in erster Linie, um unsere Verträge mit unseren Kunden und Geschäftspartnern abzuschliessen und abzuwickeln, so insbesondere im Rahmen der Kooperation mit unseren Kunden und den Einkauf von Produkten und Dienstleistungen von unseren Zulieferern und Subunternehmern, sowie um unseren gesetzlichen Pflichten im In- und Ausland nachzukommen. Wenn Sie für einen solchen Kunden oder Geschäftspartner tätig sind, können Sie in dieser Funktion mit Ihren Personendaten natürlich ebenfalls davon betroffen sein.

Darüber hinaus bearbeiten wir Personendaten von Ihnen und weiteren Personen, soweit erlaubt und es uns als angezeigt erscheint, auch für folgende Zwecke, an denen wir (und zuweilen auch Dritte) ein dem Zweck entsprechendes berechtigtes Interesse haben:

Angebot und Weiterentwicklung unserer Angebote, Dienstleistungen und Websites, Apps und weiteren Plattformen, auf welchen wir präsent sind;
Kommunikation mit Dritten und Bearbeitung derer Anfragen (z.B. Bewerbungen, Medienanfragen);
Prüfung und Optimierung von Verfahren zur Bedarfsanalyse zwecks direkter Kundenansprache sowie Erhebung von Personendaten aus öffentlich zugänglichen Quellen zwecks Kundenakquisition;
Werbung und Marketing (einschliesslich Durchführung von Anlässen), soweit Sie der Nutzung Ihrer Daten nicht widersprochen haben (wenn wir Ihnen als bestehender Kunde von uns Werbung zukommen lassen, können Sie dem jederzeit widersprechen, wir setzen Sie dann auf eine Sperrliste gegen weitere Werbesendungen);
Markt- und Meinungsforschung, Medienbeobachtung;
Geltendmachung rechtlicher Ansprüche und Verteidigung in Zusammenhang mit rechtlichen Streitigkeiten und behördlichen Verfahren;
Verhinderung und Aufklärung von Straftaten und sonstigem Fehlverhalten (z.B. Durchführung interner Untersuchungen, Datenanalysen zur Betrugsbekämpfung);
Gewährleistungen unseres Betriebs, insbesondere der IT, unserer Websites, Apps und weiteren Plattformen;
Sonstige Massnahmen zur IT-, Gebäude- und Anlagesicherheit und Schutz unserer Mitarbeiter und weiteren Personen und uns anvertrauten Werte (wie z.B. Zutrittskontrollen, Netzwerk- und Mailscanner);
Kauf und Verkauf von Geschäftsbereichen, Gesellschaften oder Teilen von Gesellschaften und andere gesellschaftsrechtliche Transaktionen und damit verbunden die Übertragung von Personendaten sowie Massnahmen zur Geschäftssteuerung und soweit zur Einhaltung gesetzlicher und regulatorischer Verpflichtungen sowie interner Vorschriften von Converto.

Soweit Sie uns eine Einwilligung zur Bearbeitung Ihrer Personaldaten für bestimmte Zwecke erteilt haben (zum Beispiel bei Ihrer Anmeldung zum Erhalt von Newslettern oder Durchführung eines Background-Checks), bearbeiten wir Ihre Personen im Rahmen und gestützt auf diese Einwilligung, soweit wir keine andere Rechtsgrundlage haben und wir eine solche benötigen. Eine erteilte Einwilligung kann jederzeit widerrufen werden, was jedoch keine Auswirkung auf bereits erfolgte Datenbearbeitungen hat.

4. Cookies / Tracking und andere Technologien im Zusammenhang mit der Nutzung unserer Website

Wir setzen auf unseren Websites „Cookies“ und vergleichbare Techniken ein, mit denen Ihr Browser oder Ihr Gerät identifiziert werden kann. Ein Cookie ist eine kleine Datei, die an Ihren Computer gesendet bzw. vom verwendeten Webbrowser automatisch auf Ihrem Computer oder mobilen Gerät gespeichert wird, wenn Sie unsere Website besuchen. Wenn Sie diese Website erneut aufrufen, können wir Sie so wiedererkennen, selbst wenn wir nicht wissen, wer Sie sind. Neben Cookies, die lediglich während einer Sitzung benutzt und nach Ihrem Website-Besuch gelöscht werden („Session Cookies“), können Cookies auch benutzt werden, um Nutzereinstellungen und andere Informationen über eine bestimmte Zeit (z.B. zwei Jahre) zu speichern („permanente Cookies“).

Sie können Ihren Browser jedoch so einstellen, dass er Cookies zurückweist, nur für eine Sitzung speichert oder sonst vorzeitig löscht. Die meisten Browser sind so voreingestellt, dass Sie Cookies akzeptieren. Wir nutzen permanente Cookies damit Sie Benutzereinstellungen speichern (z.B. Sprache, Autologin, damit wir besser verstehen, wie Sie unsere Angebote und Inhalte nutzen, und damit wir Ihnen auf Sie zugeschnittene Angebote und Werbung anzeigen können (was auch auf Websites von anderen Firmen geschehen kann; diese erfahren dann allerdings von uns nicht, wer Sie sind, falls wir selbst das überhaupt wissen, denn sie sehen nur, dass auf ihrer Website derselbe Nutzer ist, der auch bei uns auf einer bestimmten Seite war). Gewisse der Cookies werden von uns gesetzt, gewisse auch von Vertragspartnern, mit denen wir zusammenarbeiten. Wenn Sie Cookies sperren, kann es sein, dass Sie gewisse Funktionalitäten (wie z.B. Sprachwahl, Warenkorb, Bestellprozesse) nicht mehr funktionieren.

Wir bauen in unseren Newslettern und sonstigen Marketing-E-Mails teilweise und soweit erlaubt auch sicht- und unsichtbare Bildelemente ein, durch deren Abruf von unseren Servern wir feststellen können, ob und wann Sie die E-Mail geöffnet haben, damit wir auch hier messen und besser verstehen können, wie Sie unsere Angebote nutzen und sie auf Sie zuschneiden können. Sie können dies in Ihrem E-Mail-Programm blockieren; die meisten sind so voreingestellt, dass Sie dies tun.

Mit der Nutzung unserer Websitesund der Einwilligung in den Erhalt von Newslettern und anderen Marketing-E-Mails stimmen Sie dem Einsatz dieser Techniken zu. Wollen Sie dies nicht, dann müssen Sie Ihren Browser bzw. Ihre E-Mail-Programm entsprechend einstellen.

Wir setzen auf unseren Websites mitunter Google Analytics oder vergleichbare Dienste ein. Dies ist eine Dienstleistung von Dritten, die sich in irgendeinem Land der Erde befinden können (im Falle von Google Analytics ist es Google Irland (mit Sitz in Irland), Google Irland stützt sich dabei auf Google LLC (mit Sitz in den USA) als Auftragsbearbeiter (beide «Google»), www.google.com), mit welcher wir die Nutzung der Website (nicht personenbezogen) messen und auswerten können. Hierzu werden ebenfalls permanente Cookies benutzt, die der Dienstleister setzt. Wir haben den Dienst so konfiguriert, dass die IP-Adressen der Besucher von Google in Europa vor einer Weiterleitung in die USA gekürzt werden und dadurch nicht zurückverfolgt werden können. Wir haben die Einstellungen «Datenweitergabe» und «Signals» ausgeschaltet. Obwohl wir annehmen können, dass die Informationen, welche wir mit Google teilen, für Google keine Personendaten sind, ist es möglich, dass Google von diesen Daten für eigene Zwecke Rückschlüsse auf die Identität der Besucher ziehen, personenbezogene Profile erstellen und diese Daten mit den Google-Konten dieser Personen verknüpfen kann.. Soweit Sie sich beim Dienstleister selbst registriert haben, kennt der Dienstleister Sie auch. Die Bearbeitung Ihrer Personendaten durch den Dienstleister erfolgt dann in Verantwortung des Dienstleisters nach dessen Datenschutzbestimmungen. Uns teilt der Dienstleister lediglich mit, wie unsere jeweilige Website genutzt wird (keine Angaben über Sie persönlich).

Wir setzen auf unseren Websites ferner sog. Plug-Ins von sozialen Netzwerken wie Facebook, Twitter, Youtube, Linkedin, Pinterest oder Instagram. Das ist für Sie jeweils ersichtlich (typischerweise über entsprechende Symbole). Wir haben diese Elemente so konfiguriert, dass sie standardmässig deaktiviert sind. Aktivieren Sie sie (durch Anklicken), können die Betreiber der jeweiligen sozialen Netzwerke registrieren, dass Sie auf unserer Website sind und wo und können diese Informationen für ihre Zwecke nutzen. Die Bearbeitung Ihrer Personendaten erfolgt dann in Verantwortung dieses Betreibers nach dessen Datenschutzbestimmungen. Wir erhalten von ihm keine Angaben zu Ihnen.

Webanalyse
Die Internetangebote von www.converto.com nutzen ein entsprechendes Webanalysetool für die Analyse des Nutzerverhaltens und der Identifikation der IP-Adresse von Firmen zu Marketingzwecken. Die Verwendung dieses Services bedingt, dass Daten über das Benutzerverhalten (z.B. IP-Adresse, Zeitpunkt des Zugriffs, Nutzerverhalten, Browseranfrage, etc.) direkt an die Analyseserver übermittelt werden und für die ausschliessliche Verwendung für www.converto.com zur Verfügung gestellt werden. Die erhobenen Daten werden streng vertraulich behandelt und weder an Dritte verkauft noch weitergegeben. Wenn Sie in Zukunft keine Identifikation mehr wünschen, bitte Email an optout@permagroup.ch.

5. Datenweitergabe und Datenübermittlung ins Ausland

Wir geben im Rahmen unserer geschäftlichen Aktivitäten und der Zwecke gemäss Ziff. 3, soweit erlaubt und es uns als angezeigt erscheint, auch Dritten bekannt, sei es, weil sie diese für uns bearbeiten, sei es, weil sie sie für ihre eigenen Zwecke verwenden wollen. Dabei geht es insbesondere um folgende Stellen:

Dientleister von uns (wie z.B. Banken, Versicherungen), einschliesslich Auftragsbearbeitern (wie z.B. IT-Provider);
Händler, Lieferanten, Subunternehmer und sonstige Geschäftspartner;
Kunden;
in- und ausländische Behörden, Amtsstellen oder Gerichten;
Medien;
Öffentlichkeit, einschliesslich Besuchern von Websites und sozialer Medien;
Mitbewerber, Branchenorganisationen, Verbände, Organisationen und weitere Gremien;
Erwerber oder Interessenten am Erwerb von Geschäftsbereichen;
anderen Parteien in möglichen oder tatsächlichen Rechtsverfahren;
alle gemeinsam Empfänger.

Diese Empfänger sind teilweise im Inland, können aber irgendwo auf der Erde sein. Sie müssen insbesondere mit der Übermittlung Ihrer Daten in alle Länder rechnen, in Länder Europas und den USA, wo sich die von uns benutzten Dienstleister befinden (wie z.B. Microsoft, Amazon, Körbler, adform, WordPress, Wix, Google). Befindet sich ein Empfänger in einem Land ohne angemessenen gesetzlichen Datenschutz, verpflichten wir den Empfänger vertraglich zur Einhaltung des anwendbaren Datenschutzes (dazu verwenden wir die revidierten Standardvertragsklauseln der Europäischen Kommission, die hier abrufbar sind), soweit er nicht bereits einem gesetzlich anerkannten Regelwerk zur Sicherstellung des Datenschutzes unterliegt und wir uns nicht auf eine Ausnahmebestimmung stützen können. Eine Ausnahme kann namentlich bei Rechtsverfahren im Ausland gelten, aber auch in Fällen überwiegender öffentlicher Interessen oder wenn eine Vertragsabwicklung eine solche Bekanntgabe erfordert, wenn Sie eingewilligt haben oder wenn es sich um von Ihnen allgemein zugänglich gemachte Daten handelt, deren Bearbeitung Sie nicht widersprochen haben.

6. Dauer der Aufbewahrung von Personendaten

Wir verarbeiten und speichern Ihre Personendaten, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten oder sonst die mit der Bearbeitung verfolgten Zwecke erforderlich ist, d.h. also zum Beispiel für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags) sowie darüber hinaus gemäss den gesetzlichen Aufbewahrungs- und Dokumentationspflichten. Dabei ist es möglich, dass Personendaten für die Zeit aufbewahrt werden, in der Ansprüche gegen unser Unternehmen geltend gemacht werden können und soweit wir anderweitig gesetzlich dazu verpflichtet sind oder berechtigte Geschäftsinteressen dies erfordern (z.B. für Beweis- und Dokumentationszwecke). Sobald Ihre Personendaten für die oben genannten Zwecke nicht mehr erforderlich sind, werden sie grundsätzlich und soweit möglich gelöscht oder anonymisiert. Für betriebliche Daten (z.B. Systemprotokolle, Logs), gelten grundsätzliche kürzere Aufbewahrungsfristen von zwölf Monaten oder weniger.

7. Datensicherheit

Wir treffen angemessene technische und organisatorische Sicherheitsvorkehrungen zum Schutz Ihrer Personendaten vor unberechtigtem Zugriff und Missbrauch wie etwa Schulungen, IT- und Netzwerksicherheitslösungen, Zugangskontrollen und –beschränkungen, Verschlüsselung von Datenträgern und Übermittlungen, Kontrollen.

8. Pflicht zur Bereitstellung von Personendaten

Im Rahmen unserer Geschäftsbeziehung müssen Sie diejenigen Personendaten bereitstellen, die für die Aufnahme und Durchführung einer Geschäftsbeziehung und der Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind (eine gesetzliche Pflicht, uns Daten bereitzustellen, haben Sie in der Regel nicht). Ohne diese Daten werden wir in der Regel nicht in der Lage sein, einen Vertrag mit Ihnen (oder der Stelle oder Person, die Sie vertreten) zu schliessen oder diesen abzuwickeln. Auch die Website kann nicht genutzt werden, wenn gewisse Angaben zur Sicherstellung des Datenverkehrs (wie z.B. IP-Adresse) nicht offengelegt wird.

9. Profiling

Wir verarbeiten Ihre Personendaten teilweise automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling insbesondere ein, um Sie zielgerichtet über Produkte informieren und beraten zu können. Dabei setzen wir Auswertungsinstrumente ein, die uns eine bedarfsgerechte Kommunikation und Werbung einschliesslich Markt- und Meinungsforschung ermöglichen.

10. Rechte der betroffenen Person

Sie haben im Rahmen des auf Sie anwendbaren Datenschutzrechts und soweit darin vorgesehen (wie etwa im Falle der DSGVO) das Recht auf Auskunft, Berichtigung, Löschung, das Recht auf Einschränkung der Datenbearbeitung und sonst dem Widerspruch gegen unsere Datenbearbeitungen sowie auf Herausgabe gewisser Personendaten zwecks Übertragung an eine andere Stelle (sog. Datenportabilität). Bitte beachten Sie aber, dass wir uns vorbehalten, unsererseits die gesetzlich vorgesehenen Einschränkungen geltend zu machen, etwa wenn wir zur Aufbewahrung oder Bearbeitung gewisser Daten verpflichtet sind, daran ein überwiegendes Interesse haben (soweit wir uns darauf berufen dürfen) oder sie für die Geltendmachung von Ansprüchen benötigen. Falls für Sie Kosten anfallen, werden wir Sie vorab informieren. Über die Möglichkeit, Ihre Einwilligung zu widerrufen, haben wir bereits in Ziff. C informiert. Beachten Sie, dass die Ausübung dieser Rechte im Konflikt zu vertraglichen Abmachungen stehen kann und dies Folgen wie z.B. die vorzeitige Vertragsauflösung oder Kostenfolgen haben kann. Wir werden Sie diesfalls vorgängig informieren, wo dies nicht bereits vertraglich geregelt ist.

Die Ausübung solcher Rechte setzt in der Regel voraus, dass Sie Ihre Identität eindeutig nachweisen (z.B. durch eine Ausweiskopie, wo Ihre Identität sonst nicht klar ist bzw. verifiziert werden kann). Zur Geltendmachung Ihrer Rechte können Sie uns unter der in Ziffer A angegebenen Adresse kontaktieren.

Jede betroffene Person hat überdies das Recht, ihre Ansprüche gerichtlich durchzusetzen oder bei der zuständigen Datenschutzbehörde eine Beschwerde einzureichen. Die zuständige Datenschutzbehörde der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (http://www.edoeb.admin.ch).

11. Änderungen

Wir können diese Datenschutzerklärung jederzeit ohne Vorankündigung anpassen. Es gilt die jeweils aktuelle, auf unserer Website publizierte Fassung. Soweit die Datenschutzerklärung Teil einer Vereinbarung mit Ihnen ist, werden wir Sie im Falle einer Aktualisierung über die Änderung per E-Mail oder auf andere geeignete Weise informieren.

Auftragsbearbeitungsvertrag

zwischen

Kunde im Sinne der AGB

als Verantwortlicher (nachfolgend „Verantwortlicher“),

und

Converto AG, Firststrasse 3a, 8835 Feusisberg, Schweiz

als Auftragnehmer (nachfolgend „Auftragnehmer“,

Verantwortlicher und Auftragnehmer gemeinsam die “Parteien”)

Präambel

Der Verantwortliche hat den Auftragnehmer im bereits geschlossenen Vertrag (nachfolgend „Hauptvertrag“) zu den dort genannten Leistungen beauftragt. Teil der Vertragsdurchführung ist die Bearbeitung von Personendaten. Insbesondere Art. 9 Schweizer Bundesgesetz über den Datenschutz (nachfolgend “DSG”) und Art. 28 EU-Datenschutz-Grundverordnung (nachfolgend nur “DSGVO”) stellen bestimmte Anforderungen an eine solche Auftragsbearbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien den nachfolgenden Auftragsbearbeitungsvertrag (nachfolgend die “Vereinbarung”), dessen Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

§ 1 Begriffsbestimmungen

(1) Verantwortlicher ist gem. Art. 5 lit. j DSG und 4 Abs. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Bearbeitung von Personendaten entscheidet.

(2) Auftragnehmer ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die Personendaten im Auftrag des Verantwortlichen bearbeitet. In Art. 5 lit. k DSG wird der Auftragnehmer Auftragsbearbeiter und in Art. 4 Abs. 8 DSGVO Auftragsverarbeiter genannt.

(3) Personendaten sind gem. Art. 5 lit. a DSG und 4 Abs. 1 DSGVO (dort “personenbezogene Daten” genannt) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (nachfolgend „Betroffener“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

(4) Bearbeitung ist gem. 5 lit. d DSG und 4 Abs. 2 DSGVO (dort “Verarbeitung” genannt) jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit Personendaten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

(5) Aufsichtsbehörde ist gem. Art. 4 Abs. 1 DSG der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) für die Schweiz und gem. Art. 4 Abs. 21 DSGVO eine von einem EU-Mitgliedstaat gem. Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle für die EU.

§ 2 Vertragsgegenstand

(1) Der Auftragnehmer erbringt für den Verantwortlichen die im Hauptvertrag genannten Leistungen. Dabei erhält der Auftragnehmer Zugriff auf Personendaten, die der Auftragnehmer für den Verantwortlichen ausschließlich im Auftrag und nach Weisung des Verantwortlichen bearbeitet. Umfang und Zweck der Datenbearbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag und etwaigen zugehörigen Leistungsbeschreibungen. Dem Verantwortlichen obliegt die Beurteilung der Zulässigkeit der Datenbearbeitung.

(2) Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.

(3) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit Personendaten in Berührung kommen, die vom Verantwortlichen stammen oder für den Verantwortlichen erhoben wurden.

(4) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüber hinausgehende Verpflichtungen oder Kündigungsrechte ergeben.

§ 3 Weisungsrecht

(1) Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Verantwortlichen erheben, bearbeiten oder nutzen. Wird der Auftragnehmer durch das Recht der Schweiz, der Europäischen Union oder der EU-Mitgliedstaaten, soweit er diesem unterliegt, zu weiteren Bearbeitungen verpflichtet, teilt er dem Verantwortlichen diese rechtlichen Anforderungen vor der Bearbeitung mit.

(2) Die Weisungen des Verantwortlichen werden anfänglich durch den Hauptvertrag sowie diese Vereinbarung festgelegt und können vom Verantwortlichen danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Verantwortliche ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.

(3) Alle erteilten Weisungen sind vom Verantwortlichen zu dokumentieren. Weisungen, die über die vereinbarte Leistung des Hauptvertrags hinausgehen, werden als Antrag auf Leistungsänderung behandelt.

(4) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Verantwortlichen gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Verantwortlichen unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Verantwortlichen bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.

§ 4 Arten der bearbeiteten Daten, Kreis der Betroffenen, Drittland

(1) Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf die in Anlage 1 näher spezifizierten Personendaten.

(2) Der Kreis der von der Datenbearbeitung Betroffenen ist in Anlage 2 dargestellt.

(3) Eine Weitergabe von Personendaten darf

im Anwendungsbereich des DSG von der Schweiz in ein Land außerhalb der Schweiz unter den Voraussetzungen der Art. 16 ff. DSG

im Anwendungsbereich der DSGVO aus dem Europäischen Wirtschaftsraum in ein Land außerhalb unter den Voraussetzungen der Art. 44 ff. DSGVO stattfinden.

§ 5 Schutzmaßnahmen des Auftragnehmers

(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Verantwortlichen erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.

(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er hat die in Anlage 3 genannten technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Verantwortlichen gem. Art. 8 DSG und Art. 32 DSGVO getroffen, die der Verantwortliche als angemessen anerkennt. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(3) Den bei der Datenbearbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, Personendaten unbefugt zu erheben, zu bearbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (nachfolgend “Mitarbeiter”), entsprechend verpflichten und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen.

(4) Der Auftragnehmer hat einen Datenschutzberater oder Datenschutzbeauftragten benannt. Der Datenschutzberater oder Datenschutzbeauftragte des Auftragnehmers ist heyData GmbH, Schützenstr. 5, 10117 Berlin, Deutschland, datenschutz@heydata.eu, www.heydata.eu.

§ 6 Informationspflichten des Auftragnehmers

(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Bearbeitung der Personendaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Verantwortlichen unverzüglich informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes von Personendaten enthält zumindest folgende Informationen:

a) eine Beschreibung der Art der Verletzung des Schutzes von Personendaten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen Personendatensätze;

b) eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen;

c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes von Personendaten.

(2) Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Verantwortlichen und ersucht um weitere Weisungen.

(3) Der Auftragnehmer ist darüber hinaus verpflichtet, dem Verantwortlichen jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.

§ 7 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche kann sich vor der Aufnahme der Datenbearbeitung und sodann jährlich von den technischen und organisatorischen Maßnahmen des Auftragnehmers überzeugen. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen. Ein Recht auf eine bestimmte Art von Auskunft oder einen bestimmten Nachweis besteht nicht. Es steht dem Auftragnehmer frei, angefragte Auskünfte oder Nachweise durch andere zu ersetzen.

(2) Der Verantwortliche darf die technischen und organisatorischen Maßnahmen des Auftragnehmers in begründeten Fällen nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen oder durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Verantwortliche wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören. Ein begründeter Fall im Sinne des § 7 Abs. 2 S. 1 liegt nur vor, wenn der Verantwortliche konkrete Nachweise vorlegt, nach denen der Auftragnehmer die Anforderungen dieser Vereinbarung nicht einhält.

(3) Der Verantwortliche dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Verantwortliche insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Verantwortliche dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

§ 8 Einsatz von Dienstleistern

(1) Die vertraglich vereinbarten Leistungen werden unter Einschaltung der in Anlage 4 genannten Dienstleister (nachfolgend “Unterauftragnehmer”) durchgeführt. Der Verantwortliche erteilt dem Auftragnehmer seine allgemeine Genehmigung im Sinne von Art. 9 Abs. 3 DSG und Art. 28 Abs. 2 S. 1 DSGVO, im Rahmen seiner vertraglichen Verpflichtungen weitere Unterauftragnehmer zu beauftragen oder bereits beauftragte zu ersetzen.

(2) Der Auftragnehmer wird den Verantwortlichen vor jeder beabsichtigten Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines Unterauftragnehmers informieren. Der Verantwortliche kann gegen eine beabsichtigte Hinzuziehung oder die Ersetzung eines Unterauftragnehmers aus wichtigem datenschutzrechtlichen Grund Einspruch erheben.

(3) Der Einspruch gegen die beabsichtigte Hinzuziehung oder die Ersetzung eines Unterauftragnehmers ist innerhalb von 2 Wochen nach Erhalt der Information über die Änderung zu erheben. Wird kein Einspruch erhoben, gilt die Hinzuziehung oder Ersetzung als genehmigt. Liegt ein wichtiger datenschutzrechtlicher Grund vor und ist eine einvernehmliche Lösungsfindung zwischen dem Verantwortlichen und dem Auftragnehmer nicht möglich, steht dem Auftragnehmer ein Sonderkündigungsrecht zum auf den Einspruch folgenden Monatsende zu.

(4) Der Auftragnehmer hat bei der Einschaltung von Unterauftragnehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten.

(5) Ein Unterauftragsverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Verantwortlichen erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Unterauftragsverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Verantwortlichen genutzt werden.

§ 9 Anfragen und Rechte Betroffener

(1) Der Auftragnehmer unterstützt den Verantwortlichen nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 19, 21, 22, 24, 25 und 28 DSG und Art. 12–22 sowie 32 bis 36 DSGVO.

(2) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen an den Verantwortlichen und wartet dessen Weisungen ab.

§ 10 Haftung

(1) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenbearbeitung oder Nutzung im Rahmen der Auftragsbearbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer allein der Verantwortliche gegenüber dem Betroffenen verantwortlich.

(2) Der Auftragnehmer haftet für Schäden unbeschränkt, soweit die Schadensursache auf einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung des Auftragnehmers, seines gesetzlichen Vertreters oder Erfüllungsgehilfen beruht.

(3) Für fahrlässiges Verhalten haftet der Auftragnehmer nur bei Verletzung einer Pflicht, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Verantwortliche regelmäßig vertraut und vertrauen darf, jedoch beschränkt auf den vertragstypischen Durchschnittsschaden. Im Übrigen ist die Haftung des Auftragnehmers - auch für seine Erfüllungs- und Verrichtungsgehilfen - ausgeschlossen.

(4) Die Haftungsbegrenzung gemäß § 10.3 gilt nicht für Schadensersatzansprüche aus der Verletzung von Leben, Körper, Gesundheit oder aus der Übernahme einer Garantie.

§ 11 Beendigung des Hauptvertrags

(1) Der Auftragnehmer wird dem Verantwortlichen nach Beendigung des Hauptvertrags alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Verantwortlichen, sofern nicht nach dem Recht der Schweiz, der Europäischen Union oder eines EU-Mitgliedstaat, soweit er diesem unterliegt, eine Verpflichtung zur Speicherung der Personendaten besteht – löschen.

(2) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über Personendaten verfügt, die ihm vom Verantwortlichen zugeleitet wurden oder die er für diesen erhoben hat.

§ 12 Schlussbestimmungen

(1) Soweit der Auftragnehmer Unterstützungshandlungen nach dieser Vereinbarung nicht ausdrücklich kostenlos durchführt, kann er dem Verantwortlichen dafür eine angemessene Gebühr in Rechnung stellen, es sei denn, eigene Handlungen oder Unterlassungen des Auftragnehmers haben diese Unterstützung unmittelbar erforderlich gemacht.

(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Textform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.

(3) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.

(4) Diese Vereinbarung unterliegt dem Recht des Staates, indem der Auftragnehmer seinen Sitz hat.

Anlagen

Anlage 1 – Beschreibung der Daten/Datenkategorien

Trackingdaten, wie z.B.:

Online-Kennungen: Wie Cookie-IDs oder mobile Werbe-IDs, um Nutzer wiederzuerkennen.

Nutzungsdaten: Informationen über besuchte Webseiten und Interaktionen mit Werbeanzeigen (z.B. Klicks).

Technische Daten: Informationen über das verwendete Gerät und den Browser.

Standortdaten: Meist grobe Ortsangaben, abgeleitet aus der IP-Adresse.

Abgeleitete Daten: Mögliche Interessen oder Gruppenzugehörigkeiten, basierend auf dem Nutzungsverhalten.

Anlage 2 – Beschreibung der Betroffenen/Betroffenengruppen

Nutzer auf Webseiten/Apps, wo die Werbung erscheint: Personen, die Medien besuchen, in denen Anzeigen platziert sind.

Nutzer, die auf die Werbung reagieren: Personen, die diese Anzeigen sehen oder anklicken.

Besucher der Kunden-Webseite (nach Werbekontakt): Personen, deren Aktionen auf der Seite des Werbetreibenden nach einem Anzeigenkontakt gemessen werden.

Anlage 3 – Technische und organisatorische Maßnahmen des Auftragnehmers

Die Dokumentation der TOMs werden auf Anfrage zur Verfügung gestellt.

Anlage 4 – Aktuelle Subunternehmer

Name	Funktion	Serverstandort
Adform A/S, Silkegade 3B, ST. & 1., 1113 Copenhagen, Denmark	Bereitstellung technischer Plattform für die Ausspielung, Steuerung und Messung der Online-Werbekampagnen	EU

Mitglied und Unterstützer von: