­čĆć ­čĆć ­čĆć ­čĆć ­čĆć ­čĆć ­čĆć ­čĆć ­čĆć Wir sind zum 18. Mal in Folge Branchenprimus ­čĆć ­čĆć ­čĆć ­čĆć ­čĆć ­čĆć ­čĆć ­čĆć ­čĆć Wechsel jetzt und profitiere von unserem Special-Deal ┬╗

ADV Wie wir deine Studiodaten verarbeiten

Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag gem├Ą├č Art. 28 DSGVO

Das Studio und Magicline haben eine Vereinbarung geschlossen, welche das Studio zur Nutzung der Magicline Verwaltungssoftware in Form eines ÔÇ×Software as a ServiceÔÇť-Dienstes sowie zur Inanspruchnahme sonstiger Serviceleistungen berechtigt (ÔÇ×HauptvertragÔÇť). Die Erf├╝llung der auf Basis des Hauptvertrages seitens Magicline geschuldeten Leistungen bedingt, dass Magicline mit personenbezogenen Daten des Studios umgeht. Dieser Vertrag konkretisiert die f├╝r beide Parteien insoweit im Rahmen einer sogenannten Auftragsdatenverarbeitung gem├Ą├č Art. 28 DSGVO geltenden datenschutzrechtlichen Rechte und Pflichten.

┬ž 1 Gegenstand des Vertrags, Art der Daten, Kreis der Betroffenen

(1) Magicline erbringt gegen├╝ber dem Studio folgende Dienstleistungen:

(i) Hosting und Support der seitens des Studios zur Verf├╝gung gestellten Daten

(ii) Verarbeitung der vom Studio zur Verf├╝gung gestellten Daten zur Erstellung von anonymisierten Marktanalysen

(2) Magicline ist verpflichtet, s├Ąmtliche personenbezogenen Daten, auf welche Magicline im Zuge der Erf├╝llung der nach diesem Vertrag geschuldeten Leistungen Zugriff erlangt, nach Vorgaben des Studios streng r├Ąumlich getrennt von jedweden Daten von Magicline sowie Daten Dritter zu verarbeiten.

(3) Von der Auftragsdatenverarbeitung sind Daten folgender Personengruppen betroffen:

(i) Mitarbeiter des Studios und

(ii) Kunden des Studios (nachfolgend ÔÇ×Mitglieder des StudiosÔÇť). Es handelt sich dabei ausnahmslos um folgende personenbezogenen Daten des vorbezeichneten Kreises der Betroffenen:

(i) Bez├╝glich Mitarbeitern des Studios:

  • Name, Adresse, IBAN, BIC des jeweiligen Mitarbeiters
  • Geburtsdatum des jeweiligen Mitarbeiters
  • Foto des jeweiligen Mitarbeiters
  • Vertragslaufzeit und Zahlungsmodalit├Ąten des jeweiligen Mitarbeiters
  • offene Verbindlichkeiten des jeweiligen Mitarbeiters
  • Daten ├╝ber Art und Umfang der Nutzung der vom Studio angebotenen Leistungen durch der Mitarbeiter (H├Ąufigkeit und Dauer der Nutzung)

(ii) Bez├╝glich Mitgliedern des Studios:

  • Name, Adresse, IBAN, BIC des jeweiligen Mitglieds
  • Geburtsdatum des jeweiligen Mitglieds
  • Foto des jeweiligen Mitglieds
  • Vertragslaufzeit und Zahlungsmodalit├Ąten des jeweiligen Mitglieds
  • offene Verbindlichkeiten des jeweiligen Mitglieds
  • Daten ├╝ber Art und Umfang der Nutzung der vom Studio angebotenen Leistungen durch den das Mitglied (H├Ąufigkeit und Dauer der Nutzung)

(4) Zweck der Verarbeitung der vorbezeichneten Daten ist zum einen die Unterst├╝tzung des Studios bei der Verwaltung der mit den Mitgliedern des Studios geschlossenen Vertr├Ąge (Mitgliederverwaltung). Zweck ist zum anderen, dem Studio f├╝r dessen Marktanalysen in anonymisierter Form interne und externe Marktdaten unter Nutzung der Daten der Mitglieder des Studios zur Verf├╝gung zu stellen. Zweck der Verarbeitung der Mitarbeiterdaten ist eine technische Unterst├╝tzung des Studios bei der Personalverwaltung.

┬ž 2 Weisungsbefugnis

(1) Magicline verarbeitet Daten ausschlie├člich gem├Ą├č den Regelungen des mit dem Studio geschlossenen Vertrages sowie im Rahmen der vom Studio erteilten Weisungen. Magicline verwendet die zur Datenverarbeitung ├╝berlassenen Daten nicht anderweitig und bewahrt sie nicht l├Ąnger auf, als es das Studio bestimmt.

(2) F├╝r die Zul├Ąssigkeit der Datenverarbeitung sowie f├╝r die Wahrung der Rechte der Personen, deren Daten verarbeitet werden (den Betroffenen) nach den Art. 12 bis 22 DSGVO ist allein der Auftraggeber verantwortlich.

(3) Magicline wird den Auftraggeber bei der Erf├╝llung von Pflichten gegen├╝ber den Betroffenen unterst├╝tzen.

(4) Der Auftraggeber erteilt alle Weisungen in der Regel schriftlich oder per E-Mail. M├╝ndlich erteilte Weisungen m├╝ssen unverz├╝glich schriftlich oder per E-Mail best├Ątigt werden.

┬ž 3 Datenschutzbeauftragter von Magicline, Verzeichnis der Verarbeitungst├Ątigkeit

(1) Bei Magicline ist als betrieblicher Datenschutzbeauftragter bestellt:ÔÇĘMarc Althaus, DS Extern GmbH, Bredkamp 53a, 22589 Hamburg, https://www.dsextern.de/anfragen

(2) Der Datenschutzbeauftragte hat die Ausf├╝hrungen der EU-DSGVO sowie andere Vorschriften ├╝ber den Datenschutz im Hinblick auf das Auftragsverh├Ąltnis sicherzustellen. Hierzu f├╝hrt der Datenschutzbeauftragte regelm├Ą├čige Kontrollen durch. ├ťber die Kontrollen wird ein Protokoll angefertigt. Stellt der Datenschutzbeauftragte im Rahmen seiner Aufgaben Unregelm├Ą├čigkeiten bei der Datenverarbeitung fest, so informiert er unverz├╝glich die Gesch├Ąftsf├╝hrung von Magicline. Ein Wechsel des Datenschutzbeauftragten wird dem Studio unverz├╝glich mitgeteilt.

┬ž 4 Vertraulichkeit

(1) Magicline darf ohne schriftliche Weisung des Studios die ├╝berlassenen personenbezogenen Daten nicht an Dritte weitergeben.

(2) Magicline muss alle im Rahmen des Auftrages ├╝berlassenen Unterlagen, Dokumente und andere Informationstr├Ąger absolut vertraulich behandeln. Dies gilt auch f├╝r alle weiteren Informationen, die Magicline bei der Durchf├╝hrung des Auftrages bekannt werden. Diese Verpflichtung gilt w├Ąhrend und auch nach Beendigung des Vertrages.

(3) Magicline verpflichtet sich, bei der auftragsgem├Ą├čen Verarbeitung der personenbezogenen Daten des Auftraggebers Vertraulichkeit im Sinne von Art. 28 Abs. 3 b) DSGVO zu wahren. Der Auftragnehmer sichert zu, dass er die bei der Durchf├╝hrung der Arbeiten besch├Ąftigten Mitarbeiter vor Aufnahme der T├Ątigkeit mit den f├╝r sie ma├čgebenden Bestimmungen des Datenschutzes vertraut macht und f├╝r die Zeit ihrer T├Ątigkeit wie auch nach Beendigung des Besch├Ąftigungsverh├Ąltnisses in geeigneter Weise zur Verschwiegenheit verpflichtet. Der Auftragnehmer ├╝berwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

┬ž 5 Berichtigung, Sperrung und L├Âschung von Daten

In Bezug auf die Berichtigung, Sperrung und L├Âschung von Daten wird Magicline nur auf Weisung des Studios t├Ątig. Soweit ein Betroffener sich unmittelbar an Magicline zwecks Berichtigung oder L├Âschung seiner Daten wenden sollte, wird Magicline dieses Ersuchen unverz├╝glich an das Studio weiterleiten.

┬ž6 Unterauftragsverh├Ąltnisse

(1) Zum Zeitpunkt des Abschlusses dieses Vertrages sind die in der Anlage 2 aufgef├╝hrten Unternehmen als Unterauftragnehmer f├╝r Teilleistungen f├╝r den Auftragnehmer t├Ątig und verarbeiten und/oder nutzen in diesem Zusammenhang auch unmittelbar die Auftragsdaten. F├╝r diese Unterauftragnehmer gilt die Einwilligung f├╝r das T├Ątigwerden als erteilt. Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff DSGVO erf├╝llt sind (z.B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

(2) Der Auftragnehmer informiert den Auftraggeber ├╝ber jede beabsichtigte ├änderung in Bezug auf die Hinzuziehung oder die Ersetzung von anderen als den in Anlage 2 genannten Unterauftragnehmern, wodurch der Auftraggeber die M├Âglichkeit erh├Ąlt, gegen derartige ├änderungen Einspruch zu erheben. Gleiches gilt, wenn der Auftragnehmer zur Erf├╝llung seiner vertraglich ├╝bernommenen Leistungspflichten sonstige dritte Unternehmen zur Leistungserf├╝llung heranzieht. Hierbei muss jeder neue Unterauftragnehmer vor Beauftragung dem Auftraggeber schriftlich angezeigt werden, sodass der Auftraggeber gegen die Beauftragung innerhalb von 1 Woche nach Zugang der Anzeige Einspruch erheben kann.

(3) Verweigert der Auftraggeber durch seinen Einspruch die Zustimmung aus anderen als aus wichtigen Gr├╝nden, kann der Auftragnehmer den Vertrag mit dem Auftraggeber zum Zeitpunkt des geplanten Einsatzes des Unterauftragnehmers k├╝ndigen, ohne dass dem Auftraggeber gegen den Auftragnehmer in diesem Zusammenhang Schadensersatz- oder sonstige Zahlungsanspr├╝che zustehen.

(4) Der Auftragnehmer muss jeden Unterauftragnehmer unter besonderer Ber├╝cksichtigung der Eignung hinsichtlich der Erf├╝llung der zwischen dem Auftraggeber und dem Auftragnehmer vereinbarten technischen und organisatorischen Ma├čnahmen gewissenhaft ausw├Ąhlen.

(5) Ist der Auftragnehmer im Sinne dieser Vereinbarung befugt, die Dienste eines Unterauftragnehmers in Anspruch zu nehmen, um bestimmte Verarbeitungst├Ątigkeiten zur Erf├╝llung der gegen├╝ber dem Auftraggeber bestehenden Leistungspflichten auszuf├╝hren, so werden diesem Unterauftragnehmer im Wege eines Vertrags dieselben Pflichten auferlegt, die in diesem Vertrag zwischen dem Auftraggeber und dem Auftragnehmer festgelegt sind. Dies gilt insbesondere hinsichtlich der Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit sowie den in diesem Vertrag beschriebenen Kontroll- und ├ťberpr├╝fungsrechten des Auftraggebers. Hierbei m├╝ssen ferner hinreichend Garantien daf├╝r geboten werden, dass die geeigneten technischen und organisatorischen Ma├čnahmen so durchgef├╝hrt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt.

(6) Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft ├╝ber die datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, erforderlichenfalls auch durch Einsicht in die relevanten Vertragsunterlagen. Unter den in ┬ž 8 dieses Vertrages geregelten Voraussetzungen m├╝ssen Vor-Ort Kontrollen des Auftraggebers beim Unterauftragnehmer m├Âglich sein.

(7) Ein zustimmungspflichtiges Unterauftragsverh├Ąltnis liegt nicht vor, wenn der Auftragnehmer Dritte im Rahmen einer Nebenleistung zur Hauptleistung beauftragt, wie beispielsweise bei Personal-, Post- und Versanddienstleistungen. Der Auftragnehmer ist jedoch verpflichtet, zur Gew├Ąhrleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollma├čnahmen zu ergreifen. Die Nebenleistungen sind vorab detailliert zu benennen.

┬ž 7 Hinweispflicht von Magicline

(1) Ist Magicline der Ansicht, dass eine Weisung gegen das DSGVO oder andere Vorschriften ├╝ber den Datenschutz verst├Â├čt, weist Magicline das Studio unverz├╝glich darauf hin.

(2) Die Pflichten des Auftragnehmers bei St├Ârungen, Verdacht auf Datenschutzverletzungen oder anderen Unregelm├Ą├čigkeiten bei der Verarbeitung ergeben sich aus ┬ž 10 dieses Vertrages.

┬ž 8 Kontrolle durch das Studio sowie Mitwirkungs- und Duldungspflichten

(1) Der Auftraggeber ist berechtigt, durch einen zur Geheimhaltung verpflichteten Bevollm├Ąchtigten, vor Beginn der Dienstleistung sowie regelm├Ą├čig w├Ąhrend der Dauer der Dienstleistung in angemessenen Abst├Ąnden die Einhaltung der technischen und organisatorischen Ma├čnahmen zum Datenschutz und die Datenverarbeitung von Magicline und deren Unterauftragnehmern zu ├╝berpr├╝fen.

(2) Anstatt einer Vor-Ort-Kontrolle darf Magicline den Nachweis der Einhaltung der technischen und organisatorischen Ma├čnahmen auch durch die Vorlage eines geeigneten aktuellen Pr├╝fberichts von unabh├Ąngigen Personen (z. B. Wirtschaftspr├╝fer, Datenschutzbeauftragter oder Qualit├Ątsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit ÔÇô z. B. nach BSI-Grundschutz ÔÇô (ÔÇ×Pr├╝fungsberichtÔÇť) erbringen. Der Pr├╝fungsbericht muss es dem Studio in angemessener Weise erm├Âglichen, sich von der Einhaltung der technischen und organisatorischen Ma├čnahmen zu ├╝berzeugen.

┬ž 9 Festlegung der technischen und organisatorischen Ma├čnahmen

(1) Der Auftragnehmer trifft geeignete technische und organisatorische Ma├čnahmen, um ein dem Risiko f├╝r die Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau zu gew├Ąhrleisten. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos im Sinne von Art. 32 Abs. 1 DSGVO zu ber├╝cksichtigen. Die konkreten, vom Auftragnehmer ergriffenen technischen und organisatorischen Ma├čnahmen werden in Anlage 1 aufgelistet.

(2) Da die technischen und organisatorischen Ma├čnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, darf der Auftragnehmer andere und gleichwertige Ma├čnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage 1 festgelegten Ma├čnahmen nicht unterschritten wird. Wesentliche ├änderungen der Ma├čnahmen m├╝ssen vom Auftragnehmer dokumentiert und dem Auftraggeber auf Anforderung zur Verf├╝gung gestellt werden.

┬ž 10 Mitteilungs- und Unterst├╝tzungspflichten des Auftragnehmers bei Datensicherheitsvorf├Ąllen

(1) Der Auftragnehmer informiert den Auftraggeber unverz├╝glich, wenn er oder eine bei ihm besch├Ąftigte Person gegen Vorschriften zum Schutz personenbezogener Daten, gegen Festlegungen nach diesem Vertrag oder gegen eine vom Verantwortliche erteilte Weisung versto├čen hat, wenn Anhaltspunkte daf├╝r bestehen, dass ein Dritter ÔÇô egal aus welchem Grund ÔÇô unrechtm├Ą├čig Kenntnis von Auftragsdaten erlangt haben k├Ânnte, oder wenn in sonstiger Weise eine Gef├Ąhrdung f├╝r die Integrit├Ąt oder Vertraulichkeit der Auftragsdaten eingetreten ist (ÔÇ×DatensicherheitsvorfallÔÇť).

(2) Die Information ├╝ber den Datensicherheitsvorfall hat Angaben ├╝ber den Zeitpunkt und die Art des Vorfalls (einschlie├člich einer Information, welche Auftragsdaten in welcher Form betroffen sind), das betroffene EDV-System, die betroffenen Personen, den Zeitpunkt der Entdeckung, denkbare nachteilige Folgen des Datensicherheitsvorfalls sowie die vom Auftragnehmer ergriffenen Ma├čnahmen und alle sonstigen in Art. 33 Abs. 3 DSGVO bezeichneten Informationen zu enthalten. Der Auftragnehmer hat des Weiteren konkret mitzuteilen, ob eine Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko f├╝r Rechte und Freiheiten nat├╝rlicher Personen im Sinne des Art. 33 Abs. 1 Satz 1 DSGVO f├╝hrt und ob das Risiko voraussichtlich hoch im Sinne von Art. 34 Abs. 1 DSGVO ist.

(3) Eine erste Information des Auftraggebers hat unverz├╝glich, eine dezidierte Information, die s├Ąmtliche Informationen gem├Ą├č vorstehendem Abs. (2) enthalten muss, soweit m├Âglich, innerhalb von 24 Stunden nach Kenntniserlangung von dem Datensicherheitsvorfall, zu erfolgen.

(4) Der Auftragnehmer wird nach Bekanntwerden eines Datensicherheitsvorfalls unverz├╝glich s├Ąmtliche zumutbaren Ma├čnahmen ergreifen, um die entstandenen Gef├Ąhrdungen f├╝r die Integrit├Ąt oder Vertraulichkeit der Auftragsdaten zu minimieren und zu beseitigen, die Auftragsdaten zu sichern und m├Âgliche nachteilige Folgen f├╝r Betroffene zu verhindern oder in ihren Auswirkungen so weit wie m├Âglich zu begrenzen.

(5) Der Auftragnehmer ist verpflichtet, den Auftraggeber im Falle eines Datensicherheitsvorfalls bei seinen diesbez├╝glichen Aufkl├Ąrungs-, Abhilfehandlungen, einschlie├člich aller Handlungen zur Erf├╝llung gesetzlicher Verpflichtungen, auf erstes Anfordern, im Rahmen des Zumutbaren, zu unterst├╝tzen.

(6) Der Auftragnehmer ist verpflichtet, unverz├╝glich nach Kenntniserlangung von einem Datensicherheitsvorfall eine Analyse der Ursachen durchzuf├╝hren, diese zu dokumentieren und dem Auftraggeber die Dokumentation auf Verlangen auszuh├Ąndigen. Stellt der Auftragnehmer im Rahmen der Analyse fest, dass die technischen und organisatorischen Ma├čnahmen die bislang zum Schutz der Auftragsdaten ergriffen wurden, nicht ausreichen um ein angemessenes Schutzniveau herzustellen, wird er auf eigene Kosten erforderliche zus├Ątzliche technischen und organisatorischen Ma├čnahmen umzusetzen.

┬ž 11 Laufzeit dieses Vertrages

(1) Dieser Vertrag beginnt mit Unterzeichnung und wird f├╝r die Dauer der Laufzeit des Hauptvertrages abgeschlossen (aufl├Âsende Befristung).

(2) Die fristlosen K├╝ndigungsrechte der Parteien bleiben hiervon unber├╝hrt. Das Studio ist berechtigt, diesen Vertrag fristlos zu k├╝ndigen, wenn ein schwerwiegender Versto├č von Magicline gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, Magicline eine Weisung des Studios nicht ausf├╝hren kann oder will oder die Wahrnehmung von Kontrollrechten durch das Studio vertragswidrig verweigert.

(3) Jede Partei ist berechtigt, diesen Vertrag mit einer Frist von zwei Wochen zum Ende eines Kalendermonats zu k├╝ndigen, wenn die Durchf├╝hrung des Hauptvertrages und/oder die Durchf├╝hrung dieses Vertrages von einer hierf├╝r zust├Ąndigen Aufsichtsbeh├Ârde (insbesondere der zust├Ąndigen Datenschutzbeh├Ârde) beanstandet wird und eine von dieser Beh├Ârde zur Abstellung festgestellter M├Ąngel gesetzte Frist erfolglos verstreicht oder mindestens eine der Parteien von der hierf├╝r zust├Ąndigen Beh├Ârde die weitere Durchf├╝hrung des Partnerschaftsvertrages und/oder dieses Vertrages untersagt wird.

(4) Jede K├╝ndigung bedarf der Schriftform.

┬ž 12 Regelungen zur Berichtigung, L├Âschung und Sperrung von Daten

(1) Magicline hat personenbezogene Daten aus dem Auftragsverh├Ąltnis zu berichtigen, zu l├Âschen oder zu sperren, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.

(2) Bei Beendigung dieses Vertrags oder fr├╝her nach Aufforderung durch den Auftraggeber muss Magicline s├Ąmtliche Unterlagen und Daten, die im Zusammenhang mit dem Auftragsverh├Ąltnis stehen, dem Auftraggeber aush├Ąndigen oder nach vorheriger Zustimmung datenschutzgerecht vernichten.

(3) Dokumentationen, die f├╝r Magicline als Nachweis der auftrags- und ordnungsgem├Ą├čen Datenverarbeitung dienen, d├╝rfen durch Magicline entsprechend den jeweiligen Aufbewahrungsfristen ├╝ber das Vertragsende hinaus aufbewahrt werden.

┬ž 13 Sonstiges

(1) M├╝ndliche Nebenabreden sind nicht getroffen. ├änderungen und Erg├Ąnzungen dieses Vertrages bed├╝rfen der in ┬ž 28 Abs. 9 DSGVO geregelten Form. Dies gilt auch f├╝r eine ├änderung des Schriftformerfordernisses selbst.

(2) Sollte eine Bestimmung des Vertrages unwirksam sein oder werden, so verpflichten sich die Parteien, die unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Willen der Parteien m├Âglichst nahekommt. Das Gleiche gilt im Falle einer Regelungsl├╝cke.

(3) Ausschlie├člicher Gerichtsstand f├╝r alle Streitigkeiten aus und im Zusammenhang mit diesem Vertrag ist Hamburg. Die Parteien vereinbaren die Anwendbarkeit des deutschen Rechts.