Vereinbarung zur Datenverarbeitung

VERSION. 1.2 DEZ 2020

Convious nutzt eine SaaS (Software as a Service)-Lösung, die mittels JavaScript einfach auf der Webseite des Partners integriert werden kann (im Folgenden: die "Software"). Zu diesem Zweck verarbeitet Convious persönliche Daten im Namen des Partners, seiner Webseiten-Besucher und Kunden. Gemäß der Allgemeinen Datenschutzverordnung ("GDPR") gelten die Partner als "Verantwortliche" für die personenbezogenen Daten, die sie über ihre (potenziellen) Gäste verarbeiten, und Convious gilt als "Verarbeiter" dieser personenbezogenen Daten. Im weiteren Verlauf  dieses Datenverarbeitungs Abkommen (DVA) wird der Partner daher als 'Verantwortlicher' bezeichnet. Sowohl der für die Verantwortliche als auch Convious können beide als Partei oder Parteien bezeichnet werden.

 

Diese DVA gilt für die Verarbeitung personenbezogener Daten durch Convious im Namen des Verantwortlichen, wie es für die Erbringung der Dienstleistungen erforderlich ist, wie im Bestellformular und den Convious Nutzungsbedingungen (Partner Terms of Service - DE) dargelegt. Zusammen mit dem Bestellformular und den Nutzungsbedingungen bildet diese DVA  die gesamte Vereinbarung zwischen Convious und dem Partner.

1. Definitionen

 

1.1. In diesem Datenverarbeitungs Abkommen bedeutet "GDPR" die Verordnung (EU) 2016/679, bekannt als die Allgemeine Datenschutzverordnung, sowie alle Gesetze und Verordnungen, die diese Verordnung in Zukunft ersetzen können.

 

1.2. Die in der GDPR definierten Begriffe haben in diesem Datenverarbeitungs Abkommen dieselbe Bedeutung, sofern hier keine andere Definition gegeben wird.

 

1.3 "Persönliche Daten" sind personenbezogene Daten (wie in der GDPR definiert), die sich auf den Verantwortlichen, seine Kunden und/oder andere Kontakte beziehen.

 

1.4. Verletzung des Schutzes “personenbezogener Daten" bedeutet eine Sicherheitsverletzung, die zur versehentlichen oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung oder zum unbefugten Zugriff auf personenbezogene Daten führt.

 

1.5 "Subcontroller" bezeichnet eine juristische oder natürliche Person, die kein Mitarbeiter von Convious ist und die von Convious zum Zweck der Erbringung von Dienstleistungen für den Verantwortlichen im Namen von Convious beauftragt wird, zu welchem Zweck die beauftragte natürliche oder juristische Person personenbezogene Daten erhalten oder Zugang zu diesen haben kann.

2. DVA 

 

2.1. Dieses Datenverarbeitungs Abkommen tritt an dem Datum der Unterzeichnung des Bestellformulars durch den Verantwortlichen in Kraft oder wenn Convious mit der Verarbeitung der personenbezogenen Daten beginnt, das frühere Datum ist welches für die Vereinbarung gilt. Wenn die Vereinbarung beendet wird, wird diese DVA  automatisch beendet.

 

2.2. Keine der Parteien kann die DVA  vorzeitig beenden.

 

2.3. Die Anhänge 1 und 2 sind ein untrennbarer Bestandteil dieser DVA.

 

2.4. Die Parteien vereinbaren, dass der Auftragsverarbeiter bei Beendigung dieses DVA nach Wahl des Verantwortlichen alle personenbezogenen Daten, die er auf der Grundlage der Vereinbarung erlangt hat - soweit diese Daten noch nicht gelöscht sind und noch nicht unter diesen Artikel fallen - und die Kopien davon an den Verantwortlichen zurückgibt oder alle personenbezogenen Daten vernichtet und dem Verantwortlichen bescheinigt, dass er dies getan hat, es sei denn, dem Auftragsverarbeiter auferlegte Rechtsvorschriften hindern ihn daran, die personenbezogenen Daten ganz oder teilweise zurückzugeben oder zu vernichten. In diesem Fall garantiert der Verarbeiter, dass er die Vertraulichkeit der persönlichen Daten garantiert und dass er die persönlichen Daten nicht mehr aktiv verarbeitet.

.

3. Verpflichtungen des Verarbeiters

Der Verarbeiter stimmt zu und garantiert:

 

3.1. Die personenbezogenen Daten nur im Auftrag des Verantwortlichen und in Übereinstimmung seiner Anweisungen, diesem DVA und nur für den in der Vereinbarung genannten Zweck zu verarbeiten. 

Wenn er diese Einhaltung aus welchen Gründen auch immer nicht gewährleisten kann, erklärt er sich bereit, den Verantwortlichen unverzüglich über seine Unfähigkeit zur Einhaltung zu informieren; in diesem Fall ist der Verantwortliche berechtigt, die Datenlieferung auszusetzen und/oder den Vertrag zu kündigen;

 

3.2. die personenbezogenen Daten in angemessener und sorgfältiger Weise und in Übereinstimmung mit dem GDPR und anderen anwendbaren Rechtsvorschriften über die Entsorgung und Verarbeitung personenbezogener Daten zu verarbeiten;

 

3.3. alle personenbezogenen Daten zu löschen, sobald deren Speicherung für die Durchführung des Vertrages nicht mehr erforderlich ist und/oder vom Verantwortlichen verlangt wird;

 

3.4. dass er keinen Grund zu der Annahme hat, dass die für ihn geltende Gesetzgebung ihn daran hindert, die vom Verantwortlichen erhaltenen Anweisungen und ihre Verpflichtungen aus der Vereinbarung zu erfüllen, und dass im Falle einer Änderung dieser Gesetzgebung, die wahrscheinlich erhebliche nachteiligen Auswirkungen auf die Garantien und Verpflichtungen dieser Datenschutzbehörde haben wird, der Verantwortliche unverzüglich über die Änderung informiert wird, sobald er davon Kenntnis hat; in diesem Fall ist der Verantwortliche berechtigt, die Bereitstellung von Daten auszusetzen und/oder die Vereinbarung zu beenden;

 

3.5. dass er vor der Verarbeitung der personenbezogenen Daten die in Anhang 2 aufgeführten technischen und organisatorischen Sicherheitsmaßnahmen umgesetzt hat;

 

3.6. dass sie den Verantwortlichen unverzüglich informieren über:

 

  • jeden rechtsverbindlichen Antrag auf Offenlegung der persönlichen Daten durch eine Strafverfolgungsbehörde, sofern dies nicht anderweitig untersagt ist, wie z.B. ein strafrechtliches Verbot zur Wahrung der Vertraulichkeit einer Strafverfolgungsuntersuchung,

 

  • jeder versehentliche oder unbefugte Zugriff und

 

  • jede Anfrage, die direkt von den betroffenen Personen eingeht, ohne auf diese Anfrage zu antworten, es sei denn, sie wurde anderweitig dazu ermächtigt;

 

3.7. alle Anfragen des Verantwortlichen in Bezug auf die Verarbeitung der personenbezogenen Daten, die Gegenstand der Übermittlung sind, unverzüglich und ordnungsgemäß zu bearbeiten und den Rat der Aufsichtsbehörde in Bezug auf die Verarbeitung der personenbezogenen Daten zu befolgen;

 

3.8. auf Ersuchen des Verantwortlichen seine Datenverarbeitungsanlagen für die Prüfung der unter die Datenschutzbestimmungen fallenden Verarbeitungstätigkeiten zur Verfügung zu stellen, die vom Verantwortlichen oder einem Kontrollorgan durchgeführt wird, das sich aus unabhängigen Mitgliedern zusammensetzt und über die erforderlichen beruflichen Qualifikationen verfügt, die an die Schweigepflicht gebunden sind, und das  für die Verantwortlichen gegebenenfalls im Einvernehmen mit der Aufsichtsbehörde ausgewählt wird;

 

3.9. dass er im Falle einer Unterverarbeitung den Verantwortlichen zuvor informiert und dessen vorherige schriftliche Zustimmung eingeholt hat; dass die Verarbeitungsdienste des Unterauftragsverarbeiters in Übereinstimmung mit dieser DVA durchgeführt werden und dass er unverzüglich eine Kopie jeder Unterauftragsverarbeitungsvereinbarung, die er mit einem Unterauftragsverarbeiter schließt, übermittelt;

 

3.10. bei jeder Registrierung zu kooperieren, z.B. mit einer Aufsichtsbehörde, wenn dies gesetzlich vorgeschrieben ist;

 

3.11. mit einem Antrag einer betroffenen Person zusammenzuarbeiten, um z.B. ihre Personendatenbanken auf der Grundlage des GDPR ohne zusätzliche Kosten einzusehen und/oder zu ändern.

4. Rechtmäßigkeit der Verarbeitung und Schadloshaltung

4.1. Der Verantwortliche gewährleistet, dass die Verarbeitung (einschließlich der Erhebung und der Übermittlung an den Verarbeiter) personenbezogener Daten gemäß diesem Abkommen in Übereinstimmung mit der Allgemeinen Datenschutzverordnung (GDPR) und allen anderen anwendbaren Datenschutzgesetzen erfolgt. Der Verantwortliche stellt den Verarbeiter von allen damit zusammenhängenden Ansprüchen frei, einschließlich der Ansprüche der betroffenen Personen und/oder der von der zuständigen Behörde verhängten Strafen.

 

4.2. Der Verarbeiter stellt den Verantwortlichen von allen Strafen und Schadenersatzansprüchen Dritter frei,wenn diese Strafen und Schadensersatzansprüche auf die Nichteinhaltung dieser Vereinbarung durch den Verarbeiter oder auf die gesetzlichen Verpflichtungen des Verarbeiters zurückzuführen sind.

 

Der vom Verarbeiter im Rahmen dieser Gewährleistung und/oder Entschädigung zu zahlende Betrag ist auf den Rechnungswert der im Rahmen des Hauptvertrags bereitgestellten Produkte und / oder Dienstleistungen begrenzt.

 

5. Allgemein

5.1. Der Verarbeiter hat keine Kontrolle über die Zwecke/Gründe und Mittel der Verarbeitung personenbezogener Daten. Sofern in dieser DVA nicht anders angegeben, trifft der Verarbeiter keine Entscheidungen über die Verwendung der personenbezogenen Daten, die Weitergabe an Dritte und die Dauer der Speicherung personenbezogenen Daten.

 

5.2. Der Verarbeiter muss geeignete technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten gegen Verlust und/oder gegen jede Form der rechtswidrigen Verarbeitung zu schützen. Diese Maßnahmen gewährleisten ein angemessenes Sicherheitsniveau unter Berücksichtigung des Standes der Technik und der Kosten der Umsetzung sowie unter Berücksichtigung der mit der Verarbeitung verbundenen Risiken und der Art der zu schützenden personenbezogenen Daten gemäß Anhang 2. Der Verarbeiter ermöglicht dem Verantwortlichen bei seiner erste Anfrage, die getroffenen Maßnahmen zu überprüfen.

 

5.3Wenn der Verarbeiter in einem anderen Mitgliedstaat der Europäischen Union die personenbezogenen Daten des Verantwortlichen verarbeitet oder zur Verarbeitung bestimmt, muss er dies in Übereinstimmung mit den Gesetzen und Vorschriften des betreffenden Mitgliedstaats tun oder als solche bestimmen. Der Verarbeiter darf die personenbezogenen Daten des Verantwortlichen in einem Land außerhalb der Europäischen Union nur nach vorheriger schriftlicher Genehmigung des Verantwortlichen verarbeiten.

 

5.4. Die Geheimhaltungspflicht des Verarbeiters auf der Grundlage des GDPR kann nur dann aufgehoben werden, wenn eine gesetzliche Verpflichtung zur Offenlegung personenbezogenen Daten besteht oder der Verarbeiter den für die Verarbeitung Verantwortlichen über die Notwendigkeit der Verbreitung informiert hat.

 

6. Datenverletzung

6.1. Der Auftragsverarbeiter muss den Verantwortlichen so bald wie möglich, mindestens jedoch innerhalb von 72 Stunden, nachdem er von einem Vorfall oder einer Sicherheitsverletzung (gleich welcher Art) in Bezug auf personenbezogene Daten Kenntnis erhalten hat, davon in Kenntnis setzen.

 

6.2. In dem oben unter 5.1. beschriebenen Fall muss der Verantwortliche  dem Verarbeiter die folgenden Mindestinformationen zur Verfügung stellen: (i) die Art des Vorfalls oder der Verletzung der Datensicherheit, (ii) die personenbezogenen Daten, die betroffen sind oder betroffen sein könnten, (iii) die festgestellten und erwarteten Folgen des Vorfalls oder der Verletzung der Datensicherheit auf die personenbezogenen Daten und (iv) die Maßnahmen, die der Verarbeiter iter ergriffen hat und voraussichtlich ergreifen wird.

 

6.3. Der Verarbeiter muss die geeigneten Maßnahmen ergreifen, um (potenzielle) (weitere) Schäden und/oder Leckagen/Verluste von (personenbezogenen Daten oder) Daten einzudämmen.

 

6.4. Der Verarbeiter unterstützt den Verantwortlichen bei allen Meldungen an betroffene Personen und/oder Behörden, wenn Verantwortliche darum ersucht. Der Verarbeiter  sieht davon ab, betroffene Personen und/oder Behörden ohne vorherige Absprache mit dem Verantwortlichen zu benachrichtigen.

 

 

7. Gerichtsbarkeit

7.1. Diese DVA unterliegt niederländischem Recht, und alle (Rechts-)Transaktionen, die sich aus dieser Vereinbarung ergeben, unterliegen niederländischem Recht. Im Falle von Streitigkeiten hat das zuständige Gericht in Amsterdam die ausschließliche Zuständigkeit für die Streitigkeit.

Anhang 1 Verarbeitung von Daten und Zweckbestimmungen

Dieser Anhang ist Teil des DVA

Persönliche Daten:

  • Wir sammeln E-Mail-Adressen, die uns mitgeteilt werden um elektronisch gekaufte Waren, Rechnungen, Erinnerungen an gekaufte Veranstaltungen und kundenspezifische Angebote zustellen zu können. Wir verwenden E-Mail-Adressen, um Kundendienste bereitzustellen, Service- oder Support Nachrichten, Aktualisierungen und andere Benachrichtigungen zu versenden. Wir verwenden E-Mail-Adressen auch, um Überweisungseinladungen zu erleichtern, Betrug, Missbrauch und andere schädliche Aktivitäten aufzudecken und zu verhindern.

  • Wir sammeln automatisch Protokollinformationen von Benutzern auf der Convious Enabled Site. Zu diesen Informationen gehören Einzelheiten über die Nutzung der Convious Enabled Site, IP-Adresse, Zugriffszeiten, Hardware- und Software-Informationen, Geräteinformationen, Informationen über Geräteereignisse (z.B. Abstürze, Browsertyp), betrachtete oder bearbeitete Seiten. Wir erfassen auch Informationen im Zusammenhang mit Kundentransaktionen auf der Convious Enabled Site, einschließlich Datum und Uhrzeit, belasteter Betrag, Zahlungsart und andere zugehörige Transaktionsdetails. Wir sammeln keine finanziellen Informationen (wie Bankkonto- oder Kreditkarteninformationen);

  • Verweisende URL und Domain;
     

  • besuchte Seiten;
     

  • Bevorzugte Sprache, in der die Webseite angezeigt wird;
     

  • Datum und Uhrzeit des Zugriffs auf die Webseiten.

  • IP-Adresse

  • Wir protokollieren und analysieren die Kommunikation auf der Convious Enable Site:

  • um Kunden den Zugang und die Nutzung der Convious-Software zu ermöglichen

  • Convious-Software und die Erfahrung unserer Nutzer zu betreiben, zu schützen, zu verbessern und zu optimieren

  • Unterstützung bei der Schaffung und Aufrechterhaltung einer vertrauenswürdigen und sicheren Umgebung (Aufdeckung und Verhinderung von Betrug, Risikoabschätzung, Durchführung von Überprüfungen anhand öffentlicher Datenbanken)

  • Service, Support, administrative Mitteilungen, Erinnerungen, technische Mitteilungen, Aktualisierungen, Sicherheitswarnungen und von Kunden angeforderte Informationen zu versenden

  • für die Produktentwicklung

  • für Forschung und Produktinnovation

  • Zwecke der Kundenbetreuung.

Beispielsweise scannen und analysieren wir Chat-Nachrichten, um das Produktangebot zu verbessern und zu erweitern. Wir werden die Kommunikation nicht überprüfen, scannen oder analysieren, um Marketingnachrichten an Dritte zu senden.

Anhang 2 Sicherheitsmaßnahmen

Dieser Anhang ist Teil des DVA.

Zu den von Convious angenommenen Sicherheitsmaßnahmen gehören:

  • Der Zugriff auf die Informationen, die auf den Servern von Convious gespeichert sind, ist abgestuft und beschränkt auf die Mitarbeiter von Convious, die für die Ausführung ihrer Arbeitsaufgaben notwendig sind, und auf die Benutzer, die auf den Konten unserer Kunden und Dritten, die nur unter bestimmten und begrenzten Umständen auf die Informationen zugreifen können und an die Vertraulichkeit gebunden sind. Alle Zugriffe auf die bei Convious gespeicherten Informationen werden von unserem Sicherheitsteam protokolliert, gemeldet und überprüft;

  • Personenbezogene Datenverarbeitungssysteme erfordern eine Autorisierung;

  • Persönliche Daten sind gegen versehentliche Zerstörung oder Verlust geschützt;

  • Die Server von Convious sind geschützt durch: a) Firewalls, die eine Barriere zwischen unserem vertrauenswürdigen, sicheren internen Netzwerk und dem Internet errichten; b) IP-Einschränkungen, die den Zugriff auf IPs der Whitelist einschränken; und c) verschlüsselte Kommunikation zwischen den Diensten;

  • Jeder Kunde darf nur auf Informationen zugreifen, die sich auf seine Kunden-Webseite beziehen, die er verfolgt, und auf die spezifischen Endbenutzer, die diese Kunden-Webseite besuchen;

  • Wir verwenden HTTPS für die Dienste von Convious, die eine sichere Übertragung von Daten bieten, um Abhör- und Man-in-the-Middle-Angriffe zu verhindern;

  • Convious überprüft seine Datenerfassungs- und -verarbeitungspraktiken in regelmäßigen Abständen und wird diese Datenschutzrichtlinie entsprechend überprüfen und ändern.

Der Verarbeiter stellt sicher, dass jedes Personal, das der Verarbeiter autorisiert, persönliche Daten in seinem Namen zu verarbeiten, in Bezug auf diese persönlichen Daten Vertraulichkeitsverpflichtungen unterliegt. Die Verpflichtung zur Vertraulichkeit besteht auch nach Beendigung der oben genannten berechtigten Aktivitäten fort.

CONVIOUS_logo_white.png
IAAPA 2020 LOGO.png
VDFU LOGO.png

© 2021 Convious | Amsterdam | All Rights Reserved Kwyck BV.

  • Convious LinkedIn
  • Convious Facebook
  • Convious Instagram
  • Twitter
  • YouTube
  • Spotify
  • SoundCloud