Letzte Aktualisierung: 1. Juni 2021
Der vorliegende Datenverarbeitungsvertrag gilt für die von Stager B.V. (Auftragsverarbeiter) im Rahmen des mit dem Kunden (Verantwortlicher) geschlossenen Hauptvertrages hinsichtlich der Verarbeitung personenbezogener Daten ausgeübten Tätigkeiten. Mit diesem Datenverarbeitungsvertrag bietet Stager B.V. seinen Kunden ein einheitliches Regelwerk, das dem Kunden bei der Erfüllung seiner Pflichten als Verantwortlicher im Sinne der Datenschutz-Grundverordnung helfen soll.
In Anbetracht dessen:
* der Verantwortliche ein Unternehmen betreibt, das Veranstaltungen organisiert und zu diesem Zweck das System und die Dienste des Auftragsverarbeiters nutzt;
* der Auftragsverarbeiter Anbieter eines (Online-)Systems für Veranstaltungsplanung und -vermarktung, die Verwaltung seiner Geschäftsbeziehungen und den Ticketverkauf ist;
* die Parteien einen Vertrag geschlossen haben (im Folgenden „der Hauptvertrag“), bei dessen Unterzeichnung vorauszusehen war, dass der Auftragsverarbeiter (wahrscheinlich) personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten würde;
* die Parteien dem Verantwortlichen die Erfüllung seiner Pflichten als Verantwortlicher im Sinne der Datenschutz-Grundverordnung (im Folgenden „DSGVO“) ermöglichen sowie die Einhaltung der Pflichten des Auftragsverarbeiters gegenüber dem Verantwortlichen gewährleisten möchten.
Folgendes als zwischen ihnen vereinbart:
Die im vorliegenden Datenverarbeitungsvertrag verwendeten Begriffe haben die nachstehend festgelegte Bedeutung, wobei Begriffe, die den in der DSGVO verwendeten Begriffen ähnlich oder gleich sind, dieselbe Bedeutung haben wie in der DSGVO:
a. Auftragsverarbeiter: die Gesellschaft mit beschränkter Haftung, Stager B.V., gegründet in Zomerhofstraat 82, Rotterdam (3032 CM), eingetragen im Handelsregister unter der Nr. 55142648, mit der USt.-ID NL851582953B01.
b. Verantwortlicher: die natürliche oder juristische Person, mit welcher der Auftragsverarbeiter den Hauptvertrag für die Erbringung von Diensten geschlossen hat.
c. System: die dem Verantwortlichen von Stager über das Internet bereitgestellte Plattform für die Planung und Vermarktung der vom Verantwortlichen oder in seinem Auftrag organisierten Veranstaltungen, die Verwaltung seiner Geschäftsbeziehungen und den Ticketverkauf.
d. Dienste: die Bereitstellung des Systems über das Internet durch Stager, einschließlich dessen Verwaltung, Pflege und Hosting sowie die Entwicklung neuer Versionen des Systems, wobei (neue) Systemkomponenten nicht speziell für den Verantwortlichen entwickelt oder gepflegt werden.
e. Zusatzdienste: von Stager erbrachte Dienstleistungen, die nicht zu den vorstehend definierten Diensten gehören.
f. Ticket(s): die Eintrittskarte für eine vom Verantwortlichen oder in seinem Auftrag organisierte Veranstaltung und damit verbundene Produkte und Dienstleistungen, die der Verantwortliche Besuchern über das System anbietet.
g. Veranstaltung: die vom Verantwortlichen oder in dessen Auftrag organisierte öffentliche oder private Veranstaltung.
h. Der Besucher: die juristische oder natürliche Person, die über das System ein Ticket vom Verantwortlichen für eine Veranstaltung erwirbt.
i. Personenbezogene Daten: sich auf eine identifizierte oder identifizierbare natürliche Person beziehende Daten, die vom Auftragsverarbeiter in jeglicher Weise im Zusammenhang mit dem Hauptvertrag verarbeitet werden.
j. Hauptvertrag: das Dokument oder (elektronische) Formular oder sonstige Übereinkommen, das die Vereinbarung zwischen dem Auftragsverarbeiter und dem Verantwortlichen darstellt. Der Verantwortliche erbringt dem Auftragsverarbeiter seine Dienste oder Zusatzdienste nach Maßgabe der Bestimmungen und Bedingungen des Hauptvertrages.
k. DSGVO: Datenschutz-Grundverordnung.
l. Datenschutzverletzung: eine Verletzung der Sicherheit, die unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust oder zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang zu übermittelten, gespeicherten oder auf sonstige Weise verarbeiteten personenbezogenen Daten führt.
m. Aufsichtsbehörde: Die für die Einhaltung der Datenschutzvorschriften zuständige Datenschutzbehörde, im Allgemeinen die niederländische ‘Autoriteit Persoonsgegevens’.
n. Verarbeitung: jede Tätigkeit oder Abfolge von Tätigkeiten, die personenbezogene Daten einbeziehen.
o. Unterauftragsverarbeiter: ein vom Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten für den Verantwortlichen beauftragter Dritter.
a. Der Auftragsverarbeiter verarbeitet personenbezogene Daten (im Folgenden als die „Daten” bezeichnet) lediglich im Auftrag und nach Weisung des Verantwortlichen, wobei es sich hierbei um Tätigkeiten handelt, die im Rahmen der Durchführung des Hauptvertrages beschrieben sind. Die Verarbeitung der Daten erfolgt unter Verwendung des vom Auftragsverarbeiter im Auftrag des Verantwortlichen betriebenen Systems sowie der erforderlichen Zahlungsabwicklungs- und E-Mail-Infrastruktur. Die Arten der personenbezogenen Daten sind im Anhang [Anhang 1] zu diesem Datenverarbeitungsvertrag aufgeführt. Der Verantwortliche informiert den Auftragsverarbeiter umgehend, wenn die verarbeiteten Daten in die Kategorie sogenannter besonderer personenbezogener Daten fallen.
b. Der Auftragsverarbeiter ist verpflichtet, die Daten ausschließlich im Rahmen der unter Ziffer 1.a bezeichneten Zusammenarbeit zu verarbeiten und diese nicht länger zu behalten als vom Verantwortlichen vorgegeben. Die Verarbeitung der Daten erfolgt innerhalb des Europäischen Wirtschaftsraumes (EWR) oder aber durch Unterauftragsverarbeiter und Dritte, die Daten in Ländern außerhalb des EWR verarbeiten, welche ein angemessenes Schutzniveau garantieren, und die Regeln für die Übermittlung von personenbezogenen Daten in solche Länder beachten. Eine Verarbeitung von Daten in seinem eigenen Namen oder für seine eigenen Zwecke ist dem Auftragsverarbeiter untersagt.
c. Der Verantwortliche und der Auftragsverarbeiter sind zur gemeinsamen Erstellung und Fortführung eines Sicherheitsplans verpflichtet, der den Anforderungen der DSGVO genügt. Der Sicherheitsplan wird als Anhang in den vorliegenden Datenverarbeitungsvertrag aufgenommen.
d. Der Auftragsverarbeiter erkennt an, dass ein Pflichtverstoß bezüglich der Sicherheit der Datenverarbeitung sowie eine Nichteinhaltung des unter Ziffer 1.c bezeichneten Sicherheitsplans oder direkter Anweisungen des Verantwortlichen hinsichtlich der Datenverarbeitung den Verantwortlichen zur Kündigung des Hauptvertrages ohne Pflicht zur Entschädigungszahlung berechtigen kann. Der Verantwortliche kann sich auf dieses Kündigungsrecht erst nach erfolgter schriftlicher Mitteilung über Vertragsverletzung an den Auftragsverarbeiter unter Einräumung einer angemessenen Frist zur Behebung berufen.
e. In dem Falle, dass anwendbare gesetzliche Datenschutzbestimmungen die Durchführung einer Datenschutz-Folgenabschätzung („DFA”) verlangen, bevor die Verarbeitung gemäß dem Hauptvertrag und dem vorliegenden Datenverarbeitungsvertrag durchgeführt werden darf, leistet der Auftragsverarbeiter dem Verantwortlichen die hierzu erforderliche und angemessene Unterstützung. Der Auftragsverarbeiter darf dem Verantwortlichen für die vorbezeichnete Unterstützung angemessene Kosten berechnen.
a. Im Falle einer Verletzung der Sicherheit und/oder eines Datenlecks im Sinne des Artikel 4 Abs. 12 der DSGVO, bemüht sich der Auftragsverarbeiter nach Kräften, den Verantwortlichen hierüber innerhalb von 72 Stunden nach Entdeckung zu unterrichten, woraufhin der Verantwortliche darüber entscheidet, ob die betroffenen Personen und/oder die zuständigen Aufsichtsbehörden zu informieren sind. Der Auftragsverarbeiter bemüht sich dafür zu sorgen, dass die bereitgestellten Informationen vollständig, richtig und genau sind.
b. Sofern gesetzlich oder durch Verordnung vorgeschrieben, hilft der Auftragsverarbeiter bei der Unterrichtung der zuständigen Behörden und/oder betroffenen Personen. Der Verantwortliche bleibt zuständig für die Einhaltung der diesbezüglichen gesetzlichen Vorschriften.
c. Die Mitteilungspflicht schließt insbesondere die Pflicht zur Meldung der Tatsache ein, dass ein Leck aufgetreten ist, einschließlich näheren Angaben zu:
I. dem (vermuteten) Grund des Lecks;
II. den (zum jeweiligen Zeitpunkt bekannten und/oder erwarteten) Folgen;
III. der (vorgeschlagenen) Lösung;
IV. den bereits eingeleiteten Maßnahmen.
a. Der Auftragsverarbeiter verlangt von seinen Mitarbeitern, die Zugang zu den verarbeiteten personenbezogenen Daten haben, die Unterzeichnung einer Geheimhaltungsvereinbarung, sofern und insoweit die betreffenden Mitarbeiter nicht bereits einer berufsständischen Geheimhaltungsverpflichtung unterliegen.
b. Der Auftragsverarbeiter gewährt dem Verantwortlichen auf dessen erstes Verlangen Einblick in die Planung, Aktualisierung und Durchführung der mit der Datenverarbeitung verbundenen Sicherheitsmaßnahmen.
a. Der Verantwortliche erteilt dem Auftragsverarbeiter hiermit die Erlaubnis zum Einsatz von Unterauftragsverarbeitern bei der Verarbeitung personenbezogener Daten nach dem vorliegenden Datenverarbeitungsvertrag. Ein Überblick über die aktuell beauftragten Unterauftragsverarbeiter sind in Anhang 2 zu finden.
b. Über einen Wechsel von Unterauftragsverarbeitern setzt der Auftragsverarbeiter den Verantwortlichen in Kenntnis, wobei der Verantwortliche das Recht hat, objektive Einwände gegen den Einsatz des neuen Unterauftragsverarbeiters zu erheben, sofern er dies innerhalb von zwei (2) Wochen tut, nachdem er in Kenntnis gesetzt wurde. Erhebt der Verantwortliche Einwände, bemühen sich die Parteien gemeinsam um eine Lösung.
c. Der Auftragsverarbeiter wird einen schriftlichen Vertrag mit dem Unterauftragsverarbeiter schließen, der festlegt, dass der Unterauftragsverarbeiter bei der Verarbeitung personenbezogener Daten alle Bestimmungen des vorliegenden Datenverarbeitungsvertrages (einschließlich seiner Anhänge) einzuhalten hat. Der Auftragsverarbeiter bleibt dem Verantwortlichen gegenüber vollumfänglich haftbar für die Erfüllung der Pflichten des Unterauftragsverarbeiters.
a. Der Verantwortliche hat das Recht, die Einhaltung des vorliegenden Datenverarbeitungsvertrages durch einen zur Geheimhaltung verpflichteten, unabhängigen Dritten überprüfen zu lassen.
b. Solche Prüfungen dürfen erst durchgeführt werden, wenn der Verantwortliche zuvor (vom Auftragsverarbeiter) ähnliche, bereits im Besitz des Auftragsverarbeiters befindliche Prüfungsberichte unabhängiger Dritter verlangt hat und der Verantwortliche nach Einsicht in die vorgenannten Prüfungsberichte nachvollziehbare Gründe für die Einleitung einer Prüfung gemäß Ziffer 5.a vorbringen kann.
c. Eine Prüfung gemäß Ziffer 5.a darf nicht häufiger als einmal pro Kalenderjahr erfolgen. Der Verantwortliche hat dem Auftragsverarbeiter eine Prüfung mindestens zwei Wochen im Voraus anzukündigen.
d. Der Auftragsverarbeiter hat bei der Prüfung mitzuwirken und sämtliche Informationen, die nach vernünftigen Maßstäben für die Prüfung von Bedeutung sind, einschließlich ergänzender Daten wie z.B. System-Logs, so zeitnah wie möglich zu liefern.
e. Die aus der Prüfung gewonnenen Erkenntnisse werden von Parteien gemeinsam ausgewertet, so dass eine der Parteien oder beide zusammen anschließend ggf. entsprechende Maßnahmen daraus ableiten können.
f. Die Kosten der Prüfung, einschließlich der dem Auftragsverarbeiter durch seine Mitwirkung bei der Prüfung entstandenen Kosten, trägt der Verantwortliche.
g. Auch abseits einer Prüfung ist der Verantwortliche verpflichtet, dem Auftragsverarbeiter stets alle Informationen zu liefern, die dieser zur Erfüllung seiner Pflichten aus dem vorliegenden Datenverarbeitungsvertrag für erforderlich hält.
a. Sendet eine betroffene Person dem Auftragsverarbeiter eine Anfrage bezüglich ihrer personenbezogenen Daten (z.B. eine Bitte um Einsichtnahme, Berichtigung oder Löschung der Daten oder um Bereitstellung einer Kopie der Daten), verweist der Auftragsverarbeiter die betroffene Person an den Verantwortlichen, der die Beantwortung der Anfrage übernimmt. Der Auftragsverarbeiter darf die betroffene Person entsprechend informieren. Auf Verlangen des Verantwortlichen leistet der Auftragsverarbeiter bei der Bearbeitung einer solchen Anfrage die erforderliche und angemessene Unterstützung. Der Auftragsverarbeiter darf für die Unterstützung angemessene Kosten berechnen.
a. Die Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen je Ereignis (wobei eine Reihe miteinander verbundener Ereignisse als ein Ereignis zählt) ist unabhängig von den Gründen auf die Höhe der dem Auftragsverarbeiter vom Verantwortlichen (auf Grundlage des Hauptvertrages) in den letzten 6 Monaten vor dem schädigenden Ereignis geleisteten Zahlungen begrenzt, höchstens jedoch auf die tatsächliche maximale Deckungssumme der Datenschutzversicherung des Auftragsverarbeiters.
b. Die Haftung seitens des Auftragsverarbeiters für mittelbare Schäden oder Verluste, einschließlich Folgeschäden, ist ausgeschlossen.
c. Die Haftbarkeit des Auftragsverarbeiters für eine ihm zurechenbare Verletzung des vorliegenden Datenverarbeitungsvertrages besteht nur, wenn der Verantwortliche den Auftragsverarbeiter ordnungsgemäß, schriftlich und unverzüglich sowie unter Einräumung einer angemessenen Frist zur Behebung über die Vertragsverletzung in Kenntnis gesetzt hat und der Auftragsverarbeiter nach Verstreichen dieser Frist die betreffenden Pflichten aus dem vorliegenden Datenverarbeitungsvertrages weiterhin verletzt.
d. Die vorstehenden Absätze dieser Ziffer 7 und jede sonstige im vorliegenden Datenverarbeitungsvertrag festgelegte Abbedingung oder Beschränkung von Haftpflichten finden bei Vorsatz oder bewusster Fahrlässigkeit seitens der Geschäftsführung des Auftragsverarbeiters keine Anwendung.
a. Änderungen am vorliegenden Datenverarbeitungsvertrag können nur im gegenseitigen Einvernehmen der Parteien vorgenommen werden.
b. Beide Parteien sind bereit, den vorliegenden Datenverarbeitungsvertrag zu ändern, sofern Entwicklungen in der Gesetzgebung und Regulierung und/oder neue Erkenntnisse von den Aufsichtsbehörden oder ein neuer Stand der Technik dies erfordern.
a. Der vorliegende Vertrag wird durch seine Aufnahme in den Hauptvertrag wirksam und endet von Rechts wegen mit Beendigung des Hauptvertrages.
b. Pflichten, die ihrem Wesen nach über das Ende des Hauptvertrages gültig sein sollen, gelten nach Kündigung oder Beendigung des Hauptvertrages fort.
c. Der Auftragsverarbeiter stellt dem Verantwortlichen bei Kündigung oder Beendigung zunächst alle personenbezogenen Daten zur Verfügung und vernichtet anschließend alle personenbezogenen Daten, wobei er die Vernichtungsmaßnahmen zu dokumentieren und die Dokumentation dem Verantwortlichen zu liefern hat, all dies auf Verlangen und Kosten des Verantwortlichen.
a. Der vorliegende Datenverarbeitungsvertrag unterliegt niederländischem Recht.
b. Alleiniger Gerichtsstand für jegliche aus dem vorliegenden Datenverarbeitungsvertrag oder in Verbindung damit erwachsenden Auseinandersetzungen ist Rotterdam.
a. Sollte(n) eine oder mehrere Bestimmungen des vorliegenden Datenverarbeitungsvertrages nichtig sein oder für nichtig erklärt werden, bleiben die übrigen Bestimmungen des vorliegenden Datenverarbeitungsvertrages vollumfänglich wirksam. Der Auftragsverarbeiter und der Verantwortliche ersetzen die betreffende Bestimmung durch eine neue, vergleichbare Regelung.
Stager B.V. verarbeitet für den Verantwortlichen die nachstehend aufgeführten personenbezogenen Daten.
Der Verantwortliche erhält die Möglichkeit, sogenannte Nutzer zu erstellen. Nutzer sind vom Verantwortliche benannte Mitarbeiter, die befugt sind, sich in das System einzuloggen und es zu verwalten. Zu den von Nutzern zu verarbeitenden personenbezogenen Daten gehören:
Stager bietet dem Verantwortlichen die Möglichkeit, personenbezogene Daten von Besuchern, d.h. Käufern von Tickets, Personen, die sich für Newsletter anmelden, zuständigen Mitarbeitern und Freiwilligen sowie Lieferanten und sonstigen Geschäftsverbindungen des Verantwortlichen über ein sogenanntes CRM-System zu speichern und zu verwalten. Als personenbezogene Daten gelten hierbei:
Der Auftragsverarbeiter setzt die folgenden Unterauftragsverarbeiter und Dritte ein: