ADV Wie wir deine Studiodaten verarbeiten

Vereinbarung zur Verarbeitung personenbezogener Daten

Das Studio und Magicline haben eine Vereinbarung geschlossen, welche das Studio zur Nutzung der Magicline Verwaltungssoftware in Form eines „Software as a Service“-Dienstes sowie zur Inanspruchnahme sonstiger Serviceleistungen berechtigt („Hauptvertrag“). Die Erfüllung der auf Basis des Hauptvertrages seitens Magicline geschuldeten Leistungen bedingt, dass Magicline mit personenbezogenen Daten des Studios umgeht. Dieser Vertrag konkretisiert die für beide Parteien insoweit im Rahmen einer sogenannten Auftragsdatenverarbeitung gemäß § 11 des Bundesdatenschutzgesetz (nachfolgend BDSG) geltenden datenschutzrechtlichen Rechte und Pflichten.

§ 1 Gegenstand des Vertrags, Art der Daten, Kreis der Betroffenen

(1) Magicline erbringt gegenüber dem Studio folgende Dienstleistungen:

(i) Hosting der seitens des Studios zur Verfügung gestellten Daten

(ii) Verarbeitung der vom Studio zur Verfügung gestellten Daten zur Erstellung von (anonymisierten) Marktanalysen

(2) Magicline ist verpflichtet, sämtliche personenbezogenen Daten, auf welche Magicline im Zuge der Erfüllung der nach diesem Vertrag geschuldeten Leistungen Zugriff erlangt, nach Vorgaben des Studios streng räumlich getrennt von jedweden Daten von Magicline sowie Daten Dritter zu verarbeiten.

(3) Von der Auftragsdatenverarbeitung sind Daten folgender Personengruppen betroffen:

(i) Mitarbeiter des Studios und

(ii) Kunden des Studios (nachfolgend „Mitglieder des Studios“).

Es handelt sich dabei ausnahmslos um folgende personenbezogenen Daten des vorbezeichneten Kreises der Betroffenen:

(i) Bezüglich Mitarbeitern des Studios:

  • Name, Adresse, IBAN, BIC des jeweiligen Mitarbeiters
  • Geburtsdatum des jeweiligen Mitarbeiters
  • Vertragslaufzeit und Zahlungsmodalitäten des jeweiligen Mitarbeiters
  • offene Verbindlichkeiten des jeweiligen Mitarbeiters
  • Daten über Art und Umfang der Nutzung der vom Studio angebotenen Leistungen durch der Mitarbeiter (Häufigkeit und Dauer der Nutzung)

(ii) Bezüglich Mitgliedern des Studios:

  • Name, Adresse, IBAN, BIC des jeweiligen Mitglieds
  • Geburtsdatum des jeweiligen Mitglieds
  • Vertragslaufzeit und Zahlungsmodalitäten des jeweiligen Mitglieds
  • offene Verbindlichkeiten des jeweiligen Mitglieds
  • Daten über Art und Umfang der Nutzung der vom Studio angebotenen Leistungen durch den das Mitglied (Häufigkeit und Dauer der Nutzung)

(4) Zweck der Verarbeitung der vorbezeichneten Daten ist zum einen die Unterstützung des Studios bei der Verwaltung der mit den Mitgliedern des Studios geschlossenen Verträge (Mitgliederverwaltung). Zweck ist zum anderen, dem Studio für dessen Marktanalysen in anonymisierter Form interne und externe Marktdaten unter Nutzung der Daten der Mitglieder des Studios zur Verfügung zu stellen. Zweck der Verarbeitung der Mitarbeiterdaten ist eine technische Unterstützung des Studios bei der Personalverwaltung.

§ 2 Weisungsbefugnis

(1) Magicline verarbeitet Daten ausschließlich gemäß den Regelungen des mit dem Studio geschlossenen Vertrages sowie im Rahmen der vom Studio erteilten Weisungen. Magicline verwendet die zur Datenverarbeitung überlassenen Daten nicht anderweitig und bewahrt sie nicht länger auf, als es das Studio bestimmt.

(2) Für die Zulässigkeit der Datenverarbeitung ist allein das Studio verantwortlich.

(3) Das Studio ist insbesondere gegenüber den Personen, deren Daten verarbeitet werden (den Betroffenen), für die Einhaltung des Daten- schutzrechts verantwortlich. Magicline wird das Studio bei der Erfüllung von P ichten gegenüber den Betroffenen unterstützen.

(4) Mündlich erteilte Weisungen müssen schriftlich oder per E-Mail bestätigt werden.

§ 3 Datenschutzbeauftragter von Magicline

(1) BeiMagiclineistalsbetrieblicherDatenschutzbeauftragterbestellt: Hr. Daniel Hanelt, Raboisen 6, 20095 Hamburg, Kontakt: 040 42 93 24-0, datenschutz@magicline.com

(2) Der Datenschutzbeauftragte hat die Ausführungen des Bundesdatenschutzgesetzes sowie andere Vorschriften über den Datenschutz im Hinblick auf das Auftragsverhältnis sicherzustellen. Hierzu führt der Datenschutzbeauftragte regelmäßige Kontrollen durch. Über die Kontrollen wird ein Protokoll angefertigt. Stellt der Datenschutzbeauftragte im Rahmen seiner Aufgaben Unregelmäßigkeiten bei der Datenverarbeitung fest, so informiert er unverzüglich die Geschäftsführung von Magicline. Ein Wechsel des Datenschutzbeauftragten wird dem Studio unverzüglich mitgeteilt.

§ 4 Vertraulichkeit/Verpflichtung gemäß § 5 BDSG

(1) Magicline darf ohne schriftliche Weisung des Studios die überlassenen personenbezogenen Daten nicht an Dritte weitergeben.

(2) Magicline muss alle im Rahmen des Auftrages überlassenen Unterlagen, Dokumente und andere Informationsträger absolut vertraulich behandeln. Dies gilt auch für alle weiteren Informationen, die Magicline bei der Durchführung des Auftrages bekannt werden. Diese Verpflichtung gilt während und auch nach Beendigung des Vertrages.

(3) Sämtliche Personen, die bei der Verarbeitung von Daten bei Magicline tätig werden, müssen gemäß § 5 BDSG auf die Einhaltung des Datengeheimnisses verpflichtet werden.

§ 5 Berichtigung, Sperrung und Löschung von Daten

In Bezug auf die Berichtigung, Sperrung und Löschung von Daten wird Magicline nur auf Weisung des Studios tätig. Soweit ein Betroffener sich unmittelbar an Magicline zwecks Berichtigung oder Löschung seiner Daten wenden sollte, wird Magicline dieses Ersuchen unverzüglich an das Studio weiterleiten.

§ 6 Beauftragung von Subunternehmern

(1) Magicline darf Subunternehmer hinsichtlich der Verarbeitung oder Nutzung von personenbezogenen Daten des Studios beauftragen.

(2) Der Vertrag mit dem Subunternehmer muss ein Schutzniveau aufweisen, welches dem dieses Vertrags vergleichbar ist. Magicline muss dem Studio in dem Vertrag gegenüber dem Subunternehmer eigene Kontrollrechte nach § 8 dieses Vertrags einräumen.

§ 7 Hinweispflicht von Magicline

(1) Ist Magicline der Ansicht, dass eine Weisung gegen das Bundesdatenschutzgesetz oder andere Vorschriften über den Datenschutz verstößt, weist Magicline das Studio unverzüglich darauf hin.

(2) Bei Störungen, Verdacht auf Datenschutzverletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten des Studios muss dieses zeitnah informiert werden. Eine Datenschutzverletzung liegt insbesondere dann vor, wenn Magicline oder ein Mitarbeiter bei der Verarbeitung von personenbezogenen Daten des Studios gegen datenschutzrechtliche Vorschriften oder gegen Festlegungen aus diesem Vertrag verstoßen hat und wenn personenbezogene Daten des Studios einer unberechtigten Person absichtlich oder unabsichtlich bekannt werden oder wenn dies droht.

§ 8 Kontrolle durch das Studio sowie Mitwirkungs- und Duldungspflichten

(1) Das Studio ist berechtigt, vor Beginn der Dienstleistung sowie regelmäßig während der Dauer der Dienstleistung in angemessenen Abständen die Einhaltung der technischen und organisatorischen Maßnahmen zum Datenschutz und die Datenverarbeitung von Magicline und deren Dienstleistern zu überprüfen.

(2) Anstatt einer Vor-Ort-Kontrolle darf Magicline den Nachweis der Einhaltung der technischen und organisatorischen Maßnahmen auch durch die Vorlage eines geeigneten aktuellen Prüfberichts von unabhängigen Personen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragter oder Qualitätsauditoren) oder einer geeigneten Zerti zierung durch IT-Sicherheits- oder Datenschutzaudit – z. B. nach BSI-Grundschutz – („Prüfungsbericht“) erbringen. Der Prüfungsbericht muss es dem Studio in angemessener Weise ermöglichen, sich von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen.

§ 9 Festlegung der technischen und organisatorischen Maßnahmen

(1) Die Einhaltung von Datenschutz und Datensicherheit im Unternehmen (Anlage zu § 9 BDSG) wird bei Magicline unter anderem durch die in Anlage 1 aufgeführten konkreten Maßnahmen sichergestellt. Die Anlage 1 ist Bestandteil dieses Vertrages.

(2) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, darf Magicline andere und gleichwertige Maßnahmen umsetzen, sofern dabei das Sicherheitsniveau der in Anlage 1 festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen der Maßnahmen müssen von Magicline dokumentiert und dem Studio auf Anforderung zur Verfügung gestellt werden.

§ 10 Laufzeit dieses Vertrages

(1) Dieser Vertrag beginnt mit Unterzeichnung und wird für die Dauer der Laufzeit des Hauptvertrages abgeschlossen (au ösende Befristung).

(2) Die fristlosen Kündigungsrechte der Parteien bleiben hiervon unberührt. Das Studio ist berechtigt, diesen Vertrag fristlos zu kündigen, wenn ein schwerwiegender Verstoß von Magicline gegen die anzuwendenden Datenschutzvorschriften oder gegen P ichten aus diesem Vertrag vorliegt, Magicline eine Weisung des Studios nicht ausführen kann oder will oder die Wahrnehmung von Kontrollrechten durch das Studio vertragswidrig verweigert.

(3) Jede Kündigung bedarf der Schriftform.

§ 11 Löschung von Daten und Rückgabe von Datenträgern

(1) Bei Kündigung des Vertrags oder früher nach Aufforderung durch das Studio muss Magicline sämtliche Unterlagen und Daten, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Studio aushändigen oder nach vorheriger Zustimmung datenschutzgerecht vernichten.

(2) Dokumentationen, die für Magicline als Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, dürfen durch Magicline entsprechend den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahrt werden.

§ 12 Sonstiges

(1) Mündliche Nebenabreden sind nicht getroffen. Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für eine Änderung des Schriftformerfordernisses selbst.

(2) Sollte eine Bestimmung des Vertrages unwirksam sein oder werden, so verpflichten sich die Parteien, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Willen der Parteien möglichst nahekommt. Das Gleiche gilt im Falle einer Regelungslücke.

(3) Ausschließlicher Gerichtsstand für alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Hamburg. Die Parteien vereinbaren die Anwendbarkeit des deutschen Rechts.