1. Parteien
The Company AB, Unternehmensregisternummer XXXXXX-XXXX, in The Street 17, 11160 The
City, im Folgenden als „Data Controller“ bezeichnet; und
2. Rule Communication – Nordic AB, Unternehmensreg. Nr. 556740-1293,
Kammakargatan 48, 111 60 Stockholm, im Folgenden als „Datenverarbeiter“ bezeichnet
.
3. Der Datenverantwortliche und der Datenverarbeiter werden einzeln als
„die Partei“ und zusammen als „die Parteien“ bezeichnet.
2. Hintergrund und Zweck
2.1 In Bezug auf die Datenschutzverordnung ist eine schriftliche Vereinbarung erforderlich, die regelt, unter welchen Umständen und Bedingungen ein Datenverarbeiter personenbezogene Daten im Auftrag eines Datenverantwortlichen verarbeiten kann.
2.2 Die Parteien haben einen Vertrag über die Dienstleistung Rule („der Hauptvertrag“) geschlossen, d.h. der Datenverarbeiter wird personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeiten. Wenn Bestimmungen der Vereinbarung („die Vereinbarung“) im Widerspruch zur Hauptvereinbarung stehen, haben die Bestimmungen der Vereinbarung Vorrang
2.3 Der für die Verarbeitung Verantwortliche beauftragt hiermit den Datenverarbeiter, personenbezogene Daten aus dem digitalen Marketing, dem Webverkehr usw. zu speichern und die Ergebnisse dieser Daten an den für die Verarbeitung Verantwortlichen zu übermitteln. Der Datenverarbeiter kann die personenbezogenen Daten auf die folgenden Arten sammeln:
Digitale Kommunikation:
Der Datenverarbeiter speichert alle Informationen über die digitale Kommunikation aus dem Konto des für die Datenverarbeitung Verantwortlichen in Rule und speichert alle Informationen über die E-Mail-Adresse des Besuchers, seine Mobiltelefonnummer, sein Profil, seine geografische Position, die Zeit und die Klicks. Mobiltelefonnummer, Profil, geografische Position, Benutzer-Agent, Zeit und Klicks.
Von Rule veröffentlichte Formulare:
Der für die Datenverarbeitung Verantwortliche kann über Rule auch eigene Formulare („Widgets“) erstellen, die auf der Website angezeigt werden. Diese können dazu verwendet werden, persönliche Daten zu sammeln.
Persönliche Daten importieren oder manuell einreichen:
Der für die Datenverarbeitung Verantwortliche kann unabhängig oder mit Hilfe des Datenverarbeiters personenbezogene Daten in die Rules-Datenbank importieren. Dies kann indirekt geschehen, über die Website, durch digitale Kommunikation, durch den Import von Daten direkt in der Schnittstelle für Regeln oder über API. Der Data Controller kann auch Add-ons für die Integration mit anderen Systemen (E-Mail, CRM, Eventsysteme usw.) aktivieren. Diese Integrationen können Rule mit personenbezogenen Daten versorgen.
2.4 In der Rule kann der Data Controller einen Abgleich zwischen Abonnement-/Mitgliederdaten vornehmen, um Verhaltensweisen zu identifizieren.
2.5 Der Zweck dieses Abgleichs ist es, relevantere digitale Kommunikation an den Abonnenten/das Mitglied zu richten und den Abonnenten/Mitgliedern, die identifiziert werden können, ein maßgeschneidertes Angebot zu machen. Rule wird daher im Rahmen dieses Abgleichs personenbezogene Daten im Auftrag des Data Controller verarbeiten.
2.6 Der Schutz der Integrität der Kunden des Datenverantwortlichen ist für den Datenverantwortlichen von großer ethischer und kommerzieller Bedeutung, daher muss der Datenverarbeiter die personenbezogenen Daten in Übereinstimmung mit den geltenden Gesetzen, Vorschriften und Industriestandards.
3. Definitionen
3.1 Der Begriff „personenbezogene Daten“ bezieht sich im Folgenden auf alle Arten von Daten, die direkt oder indirekt einer lebenden natürlichen Person zugeordnet werden können und durch die Nutzung des Rule-Dienstes im Auftrag des Data Controller verarbeitet werden.
3.2 „Registriert“ bezieht sich im Folgenden auf die Person, auf die sich die persönlichen Daten beziehen.
3.3 „Verarbeitung“ bezieht sich im Folgenden auf jede Maßnahme oder Reihe von Maßnahmen, die im Zusammenhang mit personenbezogenen Daten ergriffen werden, unabhängig davon, ob sie automatisch erfolgen oder nicht, z.B. Erfassung, Registrierung, Organisation, Speicherung, Bearbeitung oder Änderung, Wiederverwendung, Erwerb, Nutzung, Offenlegung durch Übermittlung, Verbreitung oder sonstige Bereitstellung von Daten, Zusammenstellung oder Querverweis, Sperrung, Löschung oder Vernichtung.
3.4 „Datenschutzverordnung“ bezieht sich auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung), auch GDPR genannt. „Datenschutzverordnung“ bezieht sich auch auf zusätzliche nationale Verfassungen, Verordnungen und allgemeine Leitlinien der Aufsichtsbehörde (der schwedischen Datenschutzbehörde) und von EU-Organisationen sowie auf indikative Urteile des schwedischen Gerichtshofs und des Europäischen Gerichtshofs.
4. Die Pflichten des Datenverarbeiters
4.1 Der Zweck der Vereinbarung besteht darin, dass der Datenverarbeiter sicherstellt, dass die Verarbeitung personenbezogener Daten in Übereinstimmung mit der Datenschutzverordnung und den geltenden Vorschriften und Industriestandards erfolgt.
4.2 Der Datenverarbeiter und die Person(en), die unter seiner Leitung arbeiten, dürfen personenbezogene Daten nur in Übereinstimmung mit den Anweisungen verarbeiten, die von Zeit zu Zeit von dem für die Datenverarbeitung Verantwortlichen erteilt werden.
4.3 Der Datenverarbeiter darf personenbezogene Daten nur in Übereinstimmung mit den vom Data Controller erteilten Anweisungen erheben. Da der Datenverarbeiter nur die Instrumente für die Erfassung der personenbezogenen Daten liefert, ist der für die Verarbeitung Verantwortliche dafür verantwortlich, dass die Verarbeitung auf rechtlicher Grundlage erfolgt, z.B. dass die erforderlichen Zustimmungen von der registrierten Stelle eingeholt wurden. und dass die Registrierten Informationen gemäß den Anforderungen der Datenverordnung erhalten. Der Datenverarbeiter muss auf Anfrage des Datenverantwortlichen unverzüglich die Daten vorlegen, die der Datenverantwortliche benötigt, um nachweisen zu können, dass die Registrierten informiert worden sind, sofern der Datenverarbeiter über diese Daten verfügt.
4.4 Der Datenverarbeiter ergreift die technischen und organisatorischen Maßnahmen, die gemäß der Datenschutzverordnung erforderlich sind, um die personenbezogenen Daten, die verarbeitet werden, vor unberechtigtem Zugriff, Zerstörung und Missbrauch zu schützen . Daten, die verarbeitet werden, vor unberechtigtem Zugriff, Zerstörung und Änderungen. Der Datenverarbeiter hält sich dann insbesondere an die erlassenen allgemeinen Richtlinien oder andere jederzeit gültige Vorschriften, wie z.B. die allgemeinen Richtlinien der schwedischen Datenschutzbehörde „Säkerhet för personuppgifter“ oder andere Vorschriften, die die vorgenannten ersetzen. Der Datenverarbeiter stellt sicher, dass alle Daten verschlüsselt werden.
4.5 Falls das Register, die schwedische Datenschutzbehörde oder ein anderer Dritter vom Datenverarbeiter Informationen über die Verarbeitung personenbezogener Daten anfordert, muss sich der Datenverarbeiter an den Datenverantwortlichen wenden. Der Datenverarbeiter darf ohne ausdrückliche Anweisung des Datenverantwortlichen keine personenbezogenen Daten oder andere Informationen über die Verarbeitung personenbezogener Daten weitergeben.
4.6 Der für die Verarbeitung Verantwortliche hat das Recht, auf eigene Kosten oder über Dritte zu kontrollieren, ob der Datenverarbeiter die Vereinbarung einhält. Der Datenverarbeiter muss Überprüfungen, einschließlich Inspektionen, die vom Datenverantwortlichen oder anderen vom Datenverantwortlichen autorisierten Prüfern durchgeführt werden, ermöglichen und dazu beitragen.
4.7 Wenn der Vertrag ausläuft, stellt der Datenverarbeiter dem Verantwortlichen die personenbezogenen Daten über den Dienst Rule zur Verfügung. Wenn der Verantwortliche den Datenverarbeiter über die Erfassung der personenbezogenen Daten informiert hat, muss er schriftlich die Löschung der personenbezogenen Daten beantragen. Der Datenverarbeiter stellt in jedem Fall spätestens 30 Tage nach Ablauf des Vertrags sicher, dass keine personenbezogenen Daten beim Datenverarbeiter verbleiben, es sei denn, der Datenverarbeiter und der Kunde haben etwas anderes vereinbart.
4.8 Der Datenverarbeiter muss, sobald er von einer Verletzung des Schutzes personenbezogener Daten erfährt, die die personenbezogenen Daten des für die Verarbeitung Verantwortlichen einschließt, den für die Verarbeitung Verantwortlichen ohne unnötige Verzögerung über die Verletzung informieren. Die Benachrichtigung muss die Informationen enthalten, die der für die Verarbeitung Verantwortliche benötigt, um seinen Verpflichtungen gemäß der Datenschutzverordnung nachkommen zu können, die Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde zu melden und das Register über die Verletzung des Schutzes personenbezogener Daten zu informieren. Eine solche Benachrichtigung ist an die von dem für die Verarbeitung Verantwortlichen benannte Kontaktperson zu richten, die mit dem Datenverarbeiter in Verbindung steht.
4.9 Der Datenverarbeiter ist verantwortlich für die persönlichen Daten, die innerhalb der EU/EES verarbeitet werden.
4.10 Der Datenverarbeiter unterstützt den für die Verarbeitung Verantwortlichen bei Bedarf bei der Durchführung einer Datenschutz-Folgenabschätzung sowie bei der vorherigen Konsultation der Aufsichtsbehörde.
5. Vertraulichkeit
5.1 Der Datenverarbeiter verpflichtet sich, Informationen über die Verarbeitung personenbezogener Daten, die in der Vereinbarung enthalten sind, oder andere Informationen, die der Datenverarbeiter im Zusammenhang mit der Vereinbarung erhalten hat, nicht weiterzugeben oder auf andere Weise offenzulegen. Der Datenverarbeiter verpflichtet sich außerdem, die personenbezogenen Daten nicht für seine eigenen Zwecke zu verwenden.
5.2 Die Verpflichtung im ersten Satz von Absatz 5.1 gilt nicht für:
a) Informationen, von denen eine Partei nachweisen kann, dass sie zum Zeitpunkt ihres Erhalts öffentlich bekannt waren, oder
b) Informationen, die eine Partei einer Behörde zur Verfügung stellen muss. Die Vertraulichkeitsverpflichtung gilt auch nach dem Abkommen in anderer Hinsicht abgelaufen ist.
5.3 Der Datenverarbeiter stellt sicher, dass alle Personen, die unter seiner Aufsicht arbeiten und an der Verarbeitung beteiligt sind, zur Geheimhaltung der Verarbeitung verpflichtet sind. Dies ist jedoch nicht erforderlich, wenn sie bereits einer gesetzlich sanktionierten Verschwiegenheitspflicht unterworfen sind. Der Datenverarbeiter verpflichtet sich außerdem, dafür zu sorgen, dass es Vertraulichkeitsvereinbarungen mit dem Unterauftragsverarbeiter sowie Vertraulichkeitsverpflichtungen zwischen dem Unterauftragsverarbeiter und allen unter seiner Aufsicht arbeitenden Personen gibt, die an der Verarbeitung beteiligt sind.
6. Geistige Eigentumsrechte etc.
6.1 Alle geistigen Eigentumsrechte für die Sammlung von persönlichen Daten gehören dem Datenverantwortlichen, und der Datenverantwortliche gewährt dem Datenverarbeiter nur ein nicht-exklusives Recht zur Nutzung der persönlichen Daten für die Ausführung von Aufträgen gemäß der Vereinbarung.
7. Die Beauftragung von Unterauftragsverarbeitern
7.1 Überträgt der Datenverarbeiter mit Zustimmung des für die Verarbeitung Verantwortlichen seine vertraglichen Verpflichtungen auf einen Unterauftragsverarbeiter, so kann dies nur durch Abschluss eines schriftlichen Vertrags mit dem Unterauftragsverarbeiter geschehen, wobei dem Unterauftragsverarbeiter dieselben Verpflichtungen auferlegt werden, die dem Datenverarbeiter gemäß dem Vertrag auferlegt sind.
7.2 Der Datenverarbeiter informiert den für die Verarbeitung Verantwortlichen schriftlich über seine Absicht, einen Vertrag mit einem Unterauftragnehmer zu schließen. Wenn der für die Verarbeitung Verantwortliche nicht innerhalb von 14 Tagen nach Erhalt der Mitteilung einen schriftlichen, objektiv begründeten Einspruch dagegen erhebt, steht es dem Datenverarbeiter frei, den Unterauftragsverarbeiter zu beauftragen. Zum Zeitpunkt der Unterzeichnung der Vereinbarung werden die in Anhang 1 aufgeführten Unterauftragsverarbeiter vom für die Verarbeitung Verantwortlichen genehmigt.
7.3 Falls die Verarbeitung personenbezogener Daten durch einen Unterauftragsverarbeiter in Drittländern erfolgt, ermächtigt der für die Verarbeitung Verantwortliche den Datenverarbeiter, im Namen des für die Verarbeitung Verantwortlichen einen Datenverarbeitungsvertrag mit Unterauftragsverarbeitern in Drittländern gemäß dem Beschluss der Kommission (2010/87/EU) über Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer zu unterzeichnen. Der Datenverarbeiter muss dabei dem für die Verarbeitung Verantwortlichen erklären, in welchem Land die Verarbeitung stattfindet. Die Anforderungen in Kapitel V GDPR müssen ebenfalls erfüllt werden.
7.4 Wenn der Unterauftragsverarbeiter seinen Verpflichtungen in Bezug auf die Verarbeitung gemäß dem Unterauftragsverarbeitungsvertrag nicht nachkommt, bleibt der Datenverarbeiter gegenüber dem für die Verarbeitung Verantwortlichen in vollem Umfang dafür verantwortlich, dass der Unterauftragsverarbeiter seinen Verpflichtungen gemäß dem Vertrag nachkommt.
8. Finanzielle Entschädigung
8.1 Der Datenverarbeiter hat keinen Anspruch auf eine besondere finanzielle Entschädigung für die Verarbeitung personenbezogener Daten gemäß dem Vertrag.
9. Einschränkung der Haftung
9.1 Für den Fall, dass der Registrierte oder ein anderer Dritter aufgrund der Verarbeitung personenbezogener Daten durch den Datenverarbeiter Ansprüche gegen den für die Verarbeitung Verantwortlichen erhebt, muss der für die Verarbeitung Verantwortliche dies dem Datenverarbeiter melden.
9.2 Wenn der Datenverarbeiter seinen Verpflichtungen gemäß der Vereinbarung nicht nachgekommen ist, hat der für die Verarbeitung Verantwortliche das Recht, entschädigt zu werden. Die Verantwortung des Datenverarbeiters gegenüber dem für die Verarbeitung Verantwortlichen ist gemäß der Vereinbarung auf 50 % der Zahlung beschränkt, die er gemäß der Hauptvereinbarung von dem für die Verarbeitung Verantwortlichen während des letzten 12-Monats-Zeitraums nach der Meldung erhalten hat.
10. Höhere Gewalt
10.1 Keine der Parteien ist für Schäden oder Verzögerungen verantwortlich, die durch Arbeitskämpfe, behördliche Entscheidungen oder andere Umstände entstehen, die außerhalb der Kontrolle der Parteien liegen.
11. Vereinbarungszeitraum
11.1 Der Vertrag gilt ab dem Datum der Unterzeichnung und so lange, wie der Datenverarbeiter die personenbezogenen Daten gemäß dem Hauptvertrag verarbeitet.
12. Anwendbares Recht und Streitbeilegung
12.1 Die Vereinbarung und die gesamte Verarbeitung personenbezogener Daten, die im Rahmen der Vereinbarung stattfindet, unterliegen schwedischem Recht, mit Ausnahme der geltenden Rechtswahlbestimmungen. Streitigkeiten über die Auslegung oder Anwendung des Vertrages werden gemäß den Bestimmungen des Hauptvertrages zur Streitbeilegung beigelegt.
Dieser Vertrag wurde in zwei Exemplaren abgefasst, von denen die Parteien jeweils eines erhalten haben.