11. April 2022

1.         Gegenstand der Vereinbarung

1.1.    Die Parteien sind sich darüber einig, dass sie im Hinblick auf die Zusammenarbeit im Rahmen des geschlossenen Anbietervertrags für den hier unter Nr. 2 und Nr. 3 definierten Umfang gemeinsam über Zwecke und Mittel der Verarbeitung i.S.d. Art. 4 Nr. 7 DSGVO entscheiden und insoweit eine gemeinsame Verantwortlichkeit besteht.

1.2.    Dieser Abschnitt stellt die Vereinbarung zwischen gemeinsam Verantwortlichen i.S.d. Art. 26 Abs. 1 S. 2 DSGVO zwischen den Parteien dar. Im Folgenden werden Regelungen dazu getroffen, welche Partei welchen Verpflichtungen nach der DSGVO im Zusammenhang mit der gemeinsamen Verarbeitung personenbezogener Daten nachkommt.

2.         Beschreibung der Datenverarbeitung

2.1.    Zweck, Art, Dauer und Umfang der Verarbeitung personenbezogener Daten ergeben sich aus dem zwischen den Parteien geschlossenen Shop-Partner-Vertrag sowie der insoweit ggf. zusätzlich einbezogenen vertraglichen Regelungen und insbesondere den in dieser Vereinbarung zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO Abs. 1 S. 2 getroffenen Regelungen.

2.2.    Die Kategorien der betroffenen Personen sowie die Art der Daten umfassen:

Kategorien betroffener Personen:

·         Endkunden des jeweiligen Onlineshops des Partners

Art der Daten:

·         Vor- und Nachname,

·         Preis,

·         Bestellnummer,

·         Teilnehmerzahl,

·         Produktinfo,

·         Preiskategorie (Kind, Normal, Senioren)

2.3.    Im Rahmen der Nutzung des Webportals können die gemeinsam verantwortlichen Parteien eine Verarbeitung der soeben genannten personenbezogenen Daten von Endkunden wie folgt vornehmen:

3.         Umfang der gemeinsamen Verantwortlichkeit

Kundendaten werden im Rahmen des Registrierungs- und/oder Kaufprozesses im jeweiligen Onlineshop des Partners durch DSR Digital Solutions in eigener Verantwortung erhoben. Die Daten werden zunächst in den Systemen von DSR Digital Solutions zur Auftragserfüllung verarbeitet und in reduzierter Form (siehe 2.2) auch dem Partner über ein Webportal zugänglich gemacht. Eine gemeinsame Verarbeitung der Daten geschieht nur im Rahmen der Funktionalitäten des Webportals zur statistischen Auftragsanalyse. Außerhalb des Webportals erfolgt die Weiterverarbeitung der Daten jeweils in getrennter Verantwortung durch DSR Digital Solutions und den Partner.

4.         Umsetzung von Betroffenenrechten

4.1.    Die Parteien legen nachfolgend die Zuständigkeiten für die Bearbeitung und Umsetzung der Informationspflichten (Art. 12-14 und Art. 26 Abs. 2 S. 2 DSGVO) und Pflichten aus der Wahrnehmung der Rechte von Betroffenen (Art. 12, 15-21 DSGVO) im Rahmen der gemeinsamen Verantwortlichkeit fest. Falls und soweit in dieser Vereinbarung keine Zuweisung der Zuständigkeit für die vorgenannten Pflichten an eine Partei erfolgt, sind beide Parteien gleichermaßen für die Sicherstellung der Einhaltung dieser Pflichten zuständig.

4.2.    Jede Partei ist verpflichtet, die Informationspflichten aus Art. 12-14 DSGVO und Art. 26 Abs. 2 S. 2 DSGVO gegenüber den Betroffenen umzusetzen, soweit die jeweilige Partei für den/die Verarbeitungsschritt(e)/-phase(n) im Sinne der Nr. 2.3 zuständig ist. Die Parteien tragen Sorge dafür, dass diese Informationen über das Internet zugänglich sind und stellen sich gegenseitig die Internetadressen zur Verfügung, unter denen die jeweiligen Informationen abrufbar sind.

4.3.    Betroffenen Personen sind die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen.

4.4.    DSR Digital Solutions wird Betroffenenanfragen nach Art. 15-21 DSGVO innerhalb der gesetzlich festgelegten Frist bearbeiten, den Betroffenen über das Ergebnis informieren und die andere Partei entsprechend benachrichtigen.

4.5.    Ungeachtet der Regelungen in Nr. 4.1 bis 4.4 stimmen die Parteien überein, dass sich betroffene Personen an beide Parteien zwecks Wahrnehmung der ihnen jeweils zustehenden Betroffenenrechte wenden können. Wenden sich betroffene Personen an den Partner, um ihre Rechte geltend zu machen, so teilt der Partner diesen mit, dass die Anfrage DSR Digital Solutions zum Zwecke der Bearbeitung weitergeleitet wird. Nach unverzüglicher Weiterleitung der Anfrage an DSR Digital Solutions wird DSR Digital Solutions die Anfrage innerhalb der gesetzlich festgelegten Frist bearbeiten, den Betroffenen über das Ergebnis informieren und den Partner entsprechend benachrichtigen. Die Parteien werden sich hierfür gegenseitig Kontaktadressen benennen und jede Änderung unverzüglich in Textform mitteilen. Bis zur Mitteilung einer abweichenden Adresse durch DSR Digital Solutions sind Mitteilungen an DSR Digital Solutions an kontakt@7f.com zu richten; Mitteilungen an Partner können über jeden Kontaktweg erfolgen, für den die erforderlichen Kontaktdaten (E-Mail-Adresse, Telefonnummer, Postanschrift, etc.) vom Partner im Vertragsdokument genannt wurden.

4.6.    Beide Parteien haben darüber hinaus selbständig dafür Sorge zu tragen, dass die gesetzlichen Vorschriften zur Löschung von Daten und zur Beschränkung der Datenverarbeitung eingehalten werden. Die Parteien haben die gesetzlichen Aufbewahrungspflichten zu beachten.

5.         Datensicherheit

5.1.    Die Parteien verpflichten sich, ihre interne Organisation innerhalb des Unternehmens so zu gestalten, dass sie den geltenden datenschutzrechtlichen Anforderungen genügt. Es ist zu gewährleisten, dass durch geeignete technische und organisatorische Maßnahmen ein angemessenes Sicherheitsniveau der Datenverarbeitungssysteme und -dienste sichergestellt ist. Hierbei sind der Stand der Technik, die Implementierungskosten, Art, Umfang und Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen. Die vorgenannte Festlegung technischer und organisatorischer Maßnahmen (im Folgenden: "TOM") zur Risikoabschätzung und ggf. Datenschutzfolgenabschätzung obliegt den Parteien dieser Vereinbarung.

5.2.    Aufgrund des technischen Fortschritts und der Entwicklung der Gesetzgebung kann es notwendig werden, die durchgeführten technischen und organisatorischen Maßnahmen an den technischen Fortschritt und die Entwicklung der Gesetzgebung anzupassen. Die Parteien werden ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM einführen, um so den Schutz der Rechte der betroffenen Personen zu gewährleisten.

5.3.    Zur Anpassung an den technischen Fortschritt ist es gestattet, alternative, geeignete Übergabemodalitäten einzuführen. Dabei darf das jeweilige Sicherheitsniveau gegenüber den ursprünglich festgelegten Maßnahmen nicht unterschritten werden. Die Parteien werden sich vor einer solchen Anpassung einigen.

5.4.    Notwendige Anpassungen der TOM an geänderte oder neue gesetzliche Anforderungen müssen von den Parteien zum Zeitpunkt ihres Inkrafttretens umgesetzt werden, sofern zwischen den Parteien nichts anderes vereinbart wird.

5.5.    Jede Partei trägt die Kosten für die Anpassung der TOM im Rahmen ihrer internen Betriebsorganisation selbst. Soweit die damit verbundenen Kosten zu einer unangemessenen wirtschaftlichen Benachteiligung einer Partei führen und diese Kosten der anderen Partei entsprechend erspart bleiben, werden sich die Parteien in gemeinsamen Verhandlungen um eine einvernehmliche Einigung über die Verteilung der Kosten bemühen.

6.         Meldepflichten bei Datenschutzverletzungen

6.1.    Jede Partei wird die jeweils andere Partei unverzüglich über jede Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO in Textform unterrichten. Die Parteien werden sich gegenseitig unverzüglich alle Informationen im Zusammenhang mit der Datenschutzverletzung zur Verfügung stellen, die zur Prüfung der Datenschutzverletzung und seiner Folgen sowie für die Erfüllung etwaiger Meldepflichten nach den Art. 33, 34 DSGVO erforderlich sind.

6.2.    Für den Fall, dass eine Meldepflicht nach Art. 33 DSGVO besteht, werden die Parteien im Rahmen der Zumutbarkeit das weitere Vorgehen abstimmen und sich bei der Erfüllung der Meldepflichten gegenseitig unterstützen.

6.3.    Sofern eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich ist, werden die Parteien im Rahmen der Zumutbarkeit zusammenwirken und eine gemeinsame Benachrichtigung der Betroffenen durchführen, soweit die Parteien dies für sinnvoll halten.

7.         Gemeinsame Pflichten

Beide Vertragsparteien haben sich gegenseitig unverzüglich und vollständig zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung oder Verletzungen von Bestimmungen dieses Vertrags oder anwendbaren Datenschutzrechts (insbesondere der DSGVO) festgestellt werden.

8.         Zusammenarbeit mit Aufsichtsbehörden

8.1.    Jede Partei ist verpflichtet, die jeweils andere Partei unverzüglich zu informieren, wenn eine Datenschutzaufsichtsbehörde sich an sie wendet und dies eine Verarbeitung betrifft, die von diesem Vertrag umfasst ist.

8.2.    Die Parteien werden die Beantwortung von Anfragen von Aufsichtsbehörden zu der vertragsgegenständlichen Verarbeitung miteinander abstimmen, soweit dies rechtlich zulässig und/oder zumutbar ist.

8.3.    Die Parteien sind sich darüber einig, dass aufsichtsbehördlichen Maßnahmen grundsätzlich Folge zu leisten ist. Gleichwohl werden die Parteien sich darüber ins Benehmen setzen, ob und inwieweit Rechtsbehelfe gegen Anordnungen der Behörde eingelegt werden.

9.         Haftung

9.1.    Die Parteien haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften.

9.2.    Die Parteien stellen einander im Innenverhältnis von jeglicher Haftung frei, wenn die haftungsauslösende Ursache im Rahmen der Verantwortlichkeit nach Nr. 2.3 und Nr. 3 dieses Vertrages allein von einer Partei zu vertreten ist. Das gilt auch im Hinblick auf eine gegen eine Partei etwa verhängte Geldbuße wegen eines Verstoßes gegen Datenschutzvorschriften.