Direkt zum Inhalt wechseln

Vereinbarung über die Verarbeitung personenbezogener Daten in gemeinsamer Verantwortlichkeit

zwischen

Deutsches Ehrenamt Service GmbH

Mühlfelder Str. 20

82211 Herrsching am Ammersee

– im Folgenden „Service GmbH“ –

und

Stiftung Deutsches Ehrenamt gGmbH

Leonrodstr. 68

80636 München

– im Folgenden „Stiftung“ –

– im Folgenden gemeinsam „die Parteien“ –

Präambel

Die Parteien betreiben gemeinsam die Website www.deutsches-ehrenamt.de. Die Service GmbH ist Inhaberin der Domain, hat der Stiftung vertraglich aber umfassende Nutzungsrechte eingeräumt. Die Service GmbH betreibt lediglich den Teil „Vereins-Schutzbrief“. Vor diesem Hintergrund schließen die Parteien hinsichtlich der Datenverarbeitung folgende Vereinbarung.

§1 Verantwortliche

(1) Diese Vereinbarung regelt die Rechte und Pflichten der Parteien bei der gemeinsamen Verarbeitung personenbezogener Daten im Rahmen der nachfolgend näher festgelegten Verarbeitungstätigkeiten. Diese Vereinbarung gilt für alle Tätigkeiten, bei denen Beschäftigte der Parteien oder ein durch sie beauftragter Auftragsverarbeiter personenbezogene Daten für die Parteien verarbeiten.

(2) Die Parteien sind sich darüber einig, dass sie bei den nachfolgend näher beschriebenen Verarbeitungstätigkeiten gemeinsam über Zwecke und Mittel der Verarbeitung bestimmen und insoweit eine gemeinsame Verantwortlichkeit für festgelegte Prozessabschnitte besteht.

(3) Im Rahmen des Betriebs der Website www.deutsches-ehrenamt.de werden personenbezogene Daten verarbeitet. Gegenstand der Verarbeitung ist der Betrieb dieser Website.

(4) Diese Vereinbarung gilt für die Datenverarbeitung beim Betrieb der aktuell bereits bestehenden Unterseite auf der Website, die sich auf das Angebot und den Verkauf des Vereins-Schutzbriefs bezieht. Dies ist folgende Seite: https://deutsches-ehrenamt.de/vereins-schutzbrief/. Diese Vereinbarung bezieht sich zudem auf künftige von der Service GmbH betriebene Unterseiten.

(5) Für die Website im Übrigen, bei der keine gemeinsame Festlegung der Zwecke und Mittel einzelner Phasen der Datenverarbeitung besteht, ist die Stiftung eigenständige Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO.

§2 Wirkbereiche

(1) Im Rahmen der gemeinsamen Verantwortlichkeit ist die Service GmbH für die Verarbeitung personenbezogener Daten wie folgt zuständig (Wirkbereich A):

  • Verarbeitung von Stammdaten (Name, Adresse Kontaktdaten) von Kunden, inklusive der Bankverbindung/Kontodaten und Haushaltssumme zur Beitragsverwaltung zum Zwecke der Kundenverwaltung, Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.
  • Übermittlung von Stammdaten der Kunden an die GEMA zum Zwecke des Erhalts von Rabatten, Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.
  • Übermittlung von Stammdaten der Kunden an die Partneranwälte zum Zwecke der Beratung, Rechtsgrundlage hierfür ist Art. 6 Abs. 1 S. 1 lit. b DSGVO.

Im Rahmen der gemeinsamen Verantwortlichkeit ist die Stiftung für die Verarbeitung personenbezogener Daten wie folgt zuständig (Wirkbereich B):

  • Verarbeitung von IP-Adresse, Datum und Uhrzeit der Anfrage, Zeitzonendifferenz zur Greenwich Mean Time (GMT), Inhalt der Anforderung (besuchte Seite), Zugriffsstatus/HTTP-Statuscode, jeweils übertragene Datenmenge, vorher besuchte Seite, Browser, Betriebssystem, Sprache und Version der Browsersoftware der Website-Besucher zum Zwecke des Betriebs der Website, Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. f DSGVO.
  • Verarbeitung von E-Mail-Adressen zum Zwecke des Versands eines Newsletters, Rechtsgrundlage ist Art. 6 Abs. 1 S. 1 lit. a DSGVO.

(2) Die Parteien erklären einvernehmlich, dass diese Vereinbarung die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen gebührend widerspiegelt.

§3 Zuweisung der datenschutzrechtlichen Verpflichtungen

(1) Jede Partei ist für die Umsetzung der Verpflichtungen gemäß der DSGVO, insbesondere der Informationspflichten sowie der Rechte der betroffenen Personen, in ihrem Wirkbereich zuständig. Diesbezügliche Informationen und Mitteilungen gegenüber betroffenen Personen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu gestalten.

(2) Ungeachtet dieser Festlegung können betroffene Personen ihre Betroffenenrechte bei und gegenüber jeder Partei geltend machen. Die Parteien verpflichten sich, einander sämtliche für die Beantwortung von Auskunftsersuchen notwendigen Informationen zur Verfügung zu stellen.

(3) Soweit sich eine betroffene Person an eine der Parteien in Wahrnehmung ihrer Betroffenenrechte wendet, insbesondere wegen Auskunft oder Berichtigung und Löschung ihrer personenbezogenen Daten, verpflichten sich die Parteien, dieses Ersuchen unverzüglich unabhängig von der Pflicht zur Gewährleistung des Betroffenenrechtes an die andere Partei weiterzuleiten. Diese ist verpflichtet, der anfragenden Partei die zur Bearbeitung des Ersuchens notwendigen Informationen aus ihrem Wirkbereich unverzüglich zur Verfügung zu stellen.

(4) Sollen personenbezogene Daten gelöscht werden, informieren sich die Parteien zuvor gegenseitig. Die jeweils andere Partei kann der Löschung aus berechtigtem Grund widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflicht trifft.

(5) Die zuständigen Ansprechpartner der Parteien sind:

Ansprechpartner der Service GmbH: Annika Reiter

Ansprechpartner der Stiftung: Michaela Horn

§4 Grundsätze der gemeinsamen Verarbeitung

(1) Jede Partei gewährleistet die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen. Die Verarbeitung kann nur bei Vorliegen einer entsprechenden Rechtsgrundlage erfolgen.

(2) Die Parteien speichern die personenbezogenen Daten in einem strukturierten gängigen und maschinenlesbaren Format.

(3) Die Parteien tragen dafür Sorge, dass nur personenbezogene Daten erhoben werden, die für die rechtmäßige Prozessabwicklung zwingend erforderlich sind. Im Übrigen beachten die Parteien den Grundsatz der Datenminimierung im Sinne von Art. 5 Abs. 1 lit. c DSGVO.

§5 Technisch-organisatorische Maßnahmen

(1) Die Parteien stellen innerhalb ihres Wirkbereichs sicher, dass die nach Art. 24, 25, 32 DSGVO jeweils erforderlichen technischen und organisatorischen Maßnahmen implementiert und eingehalten werden.

(2) Die Parteien stellen innerhalb ihres Wirkbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäß Art. 28 Abs. 3, 29 und 32 DSGVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.

(3) Die Parteien haben eigenständig dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten. Sie haben hierzu angemessene Datensicherheitsvorkehrungen (Art. 32 ff. DSGVO) zu treffen. Dies gilt insbesondere im Falle der Beendigung der Zusammenarbeit.

(4) Die Parteien ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, damit die Rechte der betroffenen Personen, insbesondere nach den Art. 12 bis 22 DSGVO, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw. sind.

§6 Auftragsverarbeitung

(1) Die Parteien verpflichten sich, beim Einsatz von Auftragsverarbeitern im Anwendungsbereich dieser Vereinbarung einen Vertrag nach Art. 28 DSGVO abzuschließen und die schriftliche Zustimmung der anderen Vertragspartei vor Abschluss des Vertrages einzuholen. Sollte ein Auftragsverarbeiter von mehreren Vertragspartnern gleichzeitig in Anspruch genommen werden, so verpflichten sich diese, im Rahmen des Auftragsverarbeitungsverhältnisses klarzustellen, in wessen Wirkbereich die jeweilige Datenverarbeitung im Auftrag erfolgt.

(2) Die Parteien informieren sich gegenseitig rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von als Subunternehmer eingesetzten Auftragsverarbeitern und beauftragen nur solche Subunternehmer, die die Anforderungen des Datenschutzrechts und die Festlegungen dieser Vereinbarung erfüllen.

§7 Melde- und Benachrichtigungspflichten

(1) Den Parteien obliegen die aus Art. 33, 34 DSGVO resultierenden Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Wirkbereich. Die Parteien verpflichten sich gegenseitig, auch im Interesse der jeweils anderen Vertragsparteien, den Pflichten nach Art. 33, 34 DSGVO unverzüglich nachzukommen.

(2) Die Parteien informieren sich unverzüglich gegenseitig über die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde nach Art. 33 DSGVO und leiten sich die zur Durchführung der Meldung erforderlichen Informationen jeweils unverzüglich zu.

(3) Ist eine Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person nach Art. 34 DSGVO erforderlich, so informieren und unterstützen sich die Parteien gegenseitig und führen die Benachrichtigung gegebenenfalls gemeinsam durch.

§8 Dokumentation

Dokumentationen im Sinne von Art. 5 Abs. 2 DSGVO, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden durch jede Partei entsprechend den rechtlichen Befugnissen und Verpflichtungen über das Ende der Vereinbarung hinaus aufbewahrt.

§9 Bekanntgabe an betroffene Personen

Die Parteien verpflichten sich, den wesentlichen Inhalt der Vereinbarung über die gemeinsame datenschutzrechtliche Verantwortlichkeit gemäß Art. 26 Abs. 2 Satz 2 DSGVO den betroffenen Personen auf der Website www.deutsches-ehrenamt.de zur Verfügung zu stellen.

§10 Datenschutz-Folgenabschätzung

Ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich, unterstützen sich die Parteien gegenseitig.

§11 Schadensersatz

(1) Unbeschadet der Regelungen dieser Vereinbarung haften die Parteien für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, im Außenverhältnis gemäß Art. 82 Abs. 4 DSGVO gemeinsam gegenüber den betroffenen Personen.

(2) Im Innenverhältnis haften die Parteien, unbeschadet der Regelungen dieser Vereinbarung, nur für Schäden, die innerhalb ihres jeweiligen Prozessabschnittes entstanden sind.

(3) Für den Fall einer Inanspruchnahme hinsichtlich etwaiger Schadensersatzansprüche nach Art. 82 DSGVO verpflichten sich die Parteien, sich gegenseitig bei der Abwehr der Ansprüche im Rahmen ihrer Möglichkeiten zu unterstützen.

§12 Schlussbestimmungen

(1) Die Parteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.

(2) Die Parteien informieren sich unverzüglich gegenseitig, wenn eine Datenschutzaufsichtsbehörde sich an sie wendet und dies eine Verarbeitung betrifft, die von dieser Vereinbarung umfasst ist.

(3) Änderungen und Ergänzungen dieser Vereinbarung bedürfen zu ihrer Wirksamkeit der Schriftform. Dies gilt auch für eine Änderung dieser Klausel selbst.

(4) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder nichtig sein oder werden, so wird dadurch die Wirksamkeit des Vertrages im Übrigen nicht berührt. Die Parteien verpflichten sich, die unwirksame oder nichtige Bestimmung durch diejenige wirksame Bestimmung zu ersetzen, die dem rechtlich und vor allem wirtschaftlich Gewollten rechtswirksam möglichst nahekommt.

(5) Sind Bestimmungen dieser Vereinbarung auslegungs- oder ergänzungsbedürftig, erfolgt die Auslegung oder Ergänzung unter weitestgehender Berücksichtigung von Zweck und Inhalt des Vertrages; sowie dem mutmaßlichen Willen der Parteien, wenn diese die Auslegungs- oder Ergänzungsbedürftigkeit erkannt hätten. Gleiches gilt für den Fall von Regelungslücken.

………………………………………..                                             ………………………………………….

Ort, Datum                                                                            Service GmbH

………………………………………..                                             ………………………………………….

Ort, Datum                                                                            Stiftung

Jetzt unseren Newsletter abonnieren und jeden Monat die Info zur aktuellen Ausgabe von Benedetto erhalten.
Newsletter Anmeldung
Sie haben Fragen?
DEUTSCHES EHRENAMT e.V.
Mühlfelder Straße 20
82211 Herrsching
T +49 (8152) 9994170
F +49 (8152) 9994177
E benedetto@deutsches-ehrenamt.de
Deutsches Ehrenamt