DSGVO-Informationen
- Präambel
- Erklärung des Auftragsverarbeiters
- Merkmale der Verarbeitung personenbezogener Daten
- Pflichten und Rechte des Verantwortlichen
- Pflichten des Auftragsverarbeiters
- Bei Verletzung personenbezogener Daten
- Aufbewahrung und Vernichtung der Daten
- Audit
- Anderer Auftragsverarbeiter
- Dauer
- Anwendbares Recht und Gerichtsstandsklausel
- Zugriff auf Ihre personenbezogenen Daten
Präambel
Der Nutzer des Verantwortlichen ist verantwortlich für eine Verarbeitung personenbezogener Daten, die durch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 geregelt ist, betreffend den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und den freien Datenverkehr sowie zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Nachfolgend wird diese Verordnung als DSGVO bezeichnet.
Die Verarbeitung personenbezogener Daten wird außerdem durch das französische Gesetz Nr. 78-17 vom 6. Januar 1978 über Informatik, Dateien und Freiheiten (in der geänderten Fassung) geregelt.
Der Verantwortliche möchte dem Auftragsverarbeiter eine Verarbeitung personenbezogener Daten übertragen, gemäß der Artikel 28 der DSGVO. Die Parteien verpflichten sich, die DSGVO streng einzuhalten, die in jeder Situation gilt, ungeachtet etwaiger entgegenstehender Bestimmungen.
Erklärung des Auftragsverarbeiters
Der Auftragsverarbeiter erklärt, dass er die erforderlichen Garantien hinsichtlich der Umsetzung angemessener technischer und organisatorischer Maßnahmen bietet, sodass die Verarbeitung die Anforderungen der DSGVO erfüllt und den Schutz der Rechte der betroffenen Person gewährleistet.
Merkmale der Verarbeitung personenbezogener Daten
Der Verantwortliche bestimmt wie folgt die Merkmale.
- Gegenstand der Verarbeitung – Die Verarbeitung hat zum Zweck, das Verhalten auf der Website der Besucher nachzuverfolgen, die ihre Einwilligung gegeben haben (Cookies akzeptieren), und demografische Informationen zu erheben.
- Dauer der Verarbeitung – Die Verarbeitung erfolgt ab dem Tag der Eröffnung des Kontos (siehe Vertrag) bis zu dessen Ablauf (siehe Vertrag).
- Art und Zweck der Verarbeitung – Die Verarbeitung der erforderlichen Daten hat zum Zweck, eine ordnungsgemäße geschäftliche Nachverfolgung sicherzustellen, ihre automatisierte Segmentierung sowie das Versenden von Informationen, die an ihr Profil und ihren Bedarf angepasst sind.
- Art personenbezogener Daten – Für die Nutzung und Konfiguration des Verantwortlichen spezifisch. Er wird sicherstellen, die Privacy-by-Design- und Privacy-by-Default-Grundsätze einzuhalten, die in der Artikel 25 der DSGVO vorgeschrieben sind.
- Kategorien betroffener Personen – Interessenten, Kunden und Partner.
Der Verantwortliche stellt sicher, dass er, um die oben genannten 5 Elemente zu begründen und im Detail darzustellen, das Verzeichnis der Verarbeitungstätigkeiten eingerichtet hat, das in der Artikel 30 der DSGVO vorgesehen ist.
Der Auftragsverarbeiter erklärt schriftlich, dass er ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten führt, die in seinem Auftrag für den Verantwortlichen durchgeführt werden, einschließlich:
- dem Namen und den Kontaktdaten des Verantwortlichen, für dessen Rechnung er handelt, etwaiger Auftragsverarbeiter und gegebenenfalls des Datenschutzbeauftragten;
- den Kategorien der Verarbeitungen, die im Auftrag des Verantwortlichen durchgeführt werden;
- gegebenenfalls den Übermittlungen von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Identifizierung dieses Drittlands oder dieser internationalen Organisation und, im Fall der Übermittlungen gemäß Artikel 49 Absatz 1 Unterabsatz 2 der europäischen Verordnung zum Datenschutz, der Dokumente, die das Bestehen geeigneter Garantien belegen;
- soweit möglich eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen entsprechend den Anforderungen.
Pflichten und Rechte des Verantwortlichen
Der Verantwortliche bestimmt die Zwecke und Mittel der Verarbeitung personenbezogener Daten.
Der Verantwortliche gewährleistet, dass die Verarbeitung rechtmäßig ist und die personenbezogenen Daten von ihm selbst gemäß der DSGVO und dem französischen Recht erhoben und verarbeitet werden. Der Verantwortliche stellt insbesondere sicher, dass er den betroffenen Personen die erforderlichen Informationen zu den Verarbeitungsvorgängen zum Zeitpunkt der Erhebung der Daten bereitstellt, wenn die personenbezogenen Daten bei der betroffenen Person erhoben werden, oder innerhalb der erforderlichen Fristen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, gemäß den Artikeln 12 bis 14 der DSGVO. Der Verantwortliche gewährleistet, dass der Auftragsverarbeiter gegen die Folgen eines etwaigen Verstoßes des Verantwortlichen gegen dessen Verpflichtungen aus der DSGVO geschützt ist.
Der Verantwortliche wird dem Auftragsverarbeiter alle Informationen mitteilen, die erforderlich sind, damit dieser seine Leistungen in Übereinstimmung mit der DSGVO und dem französischen Recht erbringen kann.
Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter bestimmt in keinem Fall die Zwecke und Mittel der Verarbeitung. Andernfalls wird er für die betreffende Verarbeitung als Verantwortlicher angesehen.
Der Auftragsverarbeiter und jede Person, die unter seiner Aufsicht tätig ist und Zugriff auf personenbezogene Daten hat, dürfen diese Daten nicht verarbeiten, es sei denn auf Weisung des Verantwortlichen, sofern sie nicht durch das Recht der Europäischen Union oder das Recht eines Mitgliedstaats dazu verpflichtet sind.
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, einschließlich in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland außerhalb der Europäischen Union oder an eine internationale Organisation, es sei denn, er ist dazu verpflichtet, weil dies nach dem Recht der Europäischen Union oder dem Recht des Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, erforderlich ist; in diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen über diese rechtliche Verpflichtung vor der Verarbeitung, sofern die betreffende Rechtsvorschrift eine solche Information aus wichtigen Gründen des öffentlichen Interesses nicht untersagt.
Der Auftragsverarbeiter stellt sicher, dass sich die befugten Personen, die personenbezogene Daten verarbeiten, zur Vertraulichkeit verpflichten oder einer angemessenen gesetzlichen Vertraulichkeitsverpflichtung unterliegen.
Der Auftragsverarbeiter trifft alle erforderlichen Maßnahmen gemäß Artikel 32 der DSGVO.
Der Auftragsverarbeiter berücksichtigt die Art der Verarbeitung und unterstützt den Verantwortlichen dabei, soweit möglich, seinen Verpflichtungen nachzukommen, indem er ihm durch geeignete technische und organisatorische Maßnahmen dabei hilft, den Verpflichtungen zur Bearbeitung von Anfragen nachzukommen, die die betroffenen Personen im Hinblick auf die Ausübung ihrer Rechte stellen, die in Kapitel III der DSGVO vorgesehen sind.
Der Auftragsverarbeiter unterstützt den Verantwortlichen dabei, die Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 der DSGVO unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen sicherzustellen.
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Ansicht ist, dass eine Weisung gegen die DSGVO oder andere Vorschriften des Rechts der Union oder des Rechts der Mitgliedstaaten im Hinblick auf den Datenschutz verstößt.
Bei Verletzung personenbezogener Daten
Der Auftragsverarbeiter benachrichtigt den Verantwortlichen über jede Verletzung von Daten so bald wie möglich, nachdem er davon Kenntnis erlangt hat. Diese Benachrichtigung wird von jeder sachdienlichen Dokumentation begleitet, um es dem Verantwortlichen zu ermöglichen, sofern erforderlich, diese Verletzung der zuständigen Aufsichtsbehörde zu melden.
Allein der Kunde ist in seiner Eigenschaft als Verantwortlicher dafür zuständig, diese Verletzung von Daten der zuständigen Aufsichtsbehörde sowie gegebenenfalls der betroffenen Person zu melden. Der Auftragsverarbeiter enthält sich jeglicher Stellungnahme zu dem Vorfall, es sei denn, der Verantwortliche fordert etwas anderes.
Der Auftragsverarbeiter übermittelt im Namen und für Rechnung des Verantwortlichen die Verletzung von Daten so bald wie möglich an die betroffene Person, wenn diese Verletzung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person zur Folge hat.
Die Mitteilung an die betroffene Person beschreibt in klaren und einfachen Worten die Art der Verletzung von Daten und enthält mindestens:
- eine Beschreibung der Art der Verletzung von Daten, einschließlich, sofern möglich, der Kategorien und der ungefähren Anzahl der von der Verletzung betroffenen Personen sowie der Kategorien und der ungefähren Anzahl der betroffenen personenbezogenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle, bei der zusätzliche Informationen eingeholt werden können;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung von Daten;
- eine Beschreibung der Maßnahmen, die ergriffen wurden oder vorgeschlagen werden, um die Verletzung von Daten zu beheben, einschließlich der Maßnahmen zur Minderung etwaiger nachteiliger Auswirkungen, soweit zutreffend.
Darüber hinaus verpflichtet sich der Anbieter, alle erforderlichen Maßnahmen zu ergreifen, um jede Verletzung von Daten so bald wie möglich zu beheben. In diesem Zusammenhang hält der Anbieter den Verantwortlichen fortlaufend über die ergriffenen Maßnahmen auf dem Laufenden.
Aufbewahrung und Vernichtung der Daten
Nach Wahl des Verantwortlichen löscht der Auftragsverarbeiter sämtliche personenbezogenen Daten oder gibt sie dem Verantwortlichen nach Abschluss der Erbringung von Dienstleistungen im Zusammenhang mit der Verarbeitung zurück und vernichtet bestehende Kopien, sofern das Recht der Europäischen Union oder das geltende Recht eines Mitgliedstaats nicht die Aufbewahrung personenbezogener Daten verlangt.
Audit
Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zur Verfügung, um die Einhaltung der Verpflichtungen gemäß diesem Vertrag nachzuweisen und die Durchführung von Audits zu ermöglichen, einschließlich Inspektionen, durch den Verantwortlichen oder einen anderen von ihm beauftragten Prüfer, und zur Unterstützung dieser Audits beizutragen.
Anderer Auftragsverarbeiter
Der Auftragsverarbeiter erfüllt die folgenden Bedingungen für die Einstellung eines weiteren Auftragsverarbeiters.
Der Auftragsverarbeiter stellt keinen weiteren Auftragsverarbeiter ein, ohne die vorherige schriftliche spezifische oder allgemeine Genehmigung des Verantwortlichen. Im Falle einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen über jede geplante Änderung hinsichtlich des Hinzufügens oder Ersetzens anderer Auftragsverarbeiter, sodass der Verantwortliche die Möglichkeit hat, Einwände gegen diese Änderungen zu erheben.
Wenn ein Auftragsverarbeiter einen weiteren Auftragsverarbeiter einstellt, um bestimmte Verarbeitungstätigkeiten für den Verantwortlichen durchzuführen, werden dieselben Verpflichtungen zum Schutz personenbezogener Daten, die in diesem Vertrag festgelegt sind, diesem weiteren Auftragsverarbeiter durch Vertrag oder gegebenenfalls im Wege eines anderen Rechtsinstruments gemäß dem Recht der Union oder dem Recht eines Mitgliedstaats auferlegt; insbesondere in Bezug auf die Verpflichtung, ausreichende Garantien für die Umsetzung angemessener technischer und organisatorischer Maßnahmen zu bieten, sodass die Verarbeitung den Anforderungen der DSGVO entspricht. Wenn dieser weitere Auftragsverarbeiter seine Verpflichtungen zum Schutz personenbezogener Daten nicht erfüllt, bleibt der anfängliche Auftragsverarbeiter gegenüber dem Verantwortlichen weiterhin vollständig verantwortlich für die Erfüllung der Verpflichtungen durch den weiteren Auftragsverarbeiter.
Dauer
Dieser Vertrag gilt für die gesamte Dauer, in der der Auftragsverarbeiter die personenbezogenen Daten innehat. Er regelt die Unterauftragsvergabe der hier genannten personenbezogenen Daten zu jeder Zeit, einschließlich nach seinem Ende.
Anwendbares Recht und Gerichtsstandsklausel
Dieser Vertrag unterliegt dem französischen Recht und der ausschließlichen Zuständigkeit der Gerichte, die örtlich für die Stadt Annecy, Frankreich, zuständig sind.
Zugriff auf Ihre personenbezogenen Daten
Gemäß dem Gesetz über Informatik und Freiheiten ermöglicht Webmecanik SAS allen Personen, ihr Recht auf Auskunft über die sie betreffenden Daten auszuüben und diese berichtigen oder löschen zu lassen.