Vereinbarung zur gemeinsamen Verantwortlichkeit
gemäß Art. 26 DSGVO
zwischen
Phone+ GmbH & Co. KG
Am Kirschberg 20
D-97218 Gerbrunn
und
{firmenname} {rechtsform}
{inhabergeschaftsfuhrer}
{adresse}
(nachstehend "Vertriebspartner" genannt)
Präambel
1. Phone + und der Partner arbeiten vertrauensvoll im Bereich der Vermittlung von Verträgen und dazugehöriger Hardware an Kunden gegen Provision zusammen.
2. Hierzu gewährt Phone+ dem Partner einen geschützten Zugang zum Händlerportal „PlusPos“ (nachfolgend „Händlerportal“).
3. Der Partner erhebt die für den Abschluss des vermittelten Vertrages erforderlichen personenbezogenen Daten beim Kunden und gibt diese in das Händlerportal ein.
4. Zur Aktivierung des Vertrages prüft Phone + die relevanten personenbezogenen Daten und übermittelt diese an die zuständigen Netzbetreiber bzw. Provider für Mobilfunk.
5. Nach Aktivierung der Verträge durch den Netzbetreiber/Provider können Phone+ und der Partner zur weiteren Bearbeitung auf die Datenbank zugreifen, z.B. um die geschuldete Provision zu ermitteln.
6. Die Parteien schließen diese Vereinbarung zur gemeinsamen Verantwortung gemäß Art. 26 DSGVO ab, um den ab dem 25.05.2018 geltenden Anforderungen der DSGVO Rechnung zu tragen.
§1 Allgemeines, Vertragsgegenstand
1. Die Parteien haben mit dem Vertriebspartnervertrag einen Vertrag zur gemeinsamen Zusammenarbeit im Bereich der provisionspflichtigen Vermittlung von Verträgen geschlossen („Hauptvertrag“).
2. Im Rahmen der Durchführung des Hauptvertrags verarbeiten die Parteien personenbezogene Daten der jeweils Betroffenen über das Händlerportal.
3. Gegenstand dieser Vereinbarung ist die gemeinsame Festlegung der sich aus dem in § 2 beschriebenen Händlerportal ergebenden jeweiligen datenschutzrechtlichen Verpflichtungen der Parteien („Verantwortlichkeiten“).
4. Soweit eine Partei personenbezogene Daten über die vereinbarten Zwecke des Händlerportals hinaus verarbeitet, ist die Partei für diese Verarbeitung allein verantwortlich.
§2 Beschreibung des gemeinsamen Händlerportals
1. Anlage 1 enthält eine Beschreibung des Händlerportals.
2. Anlage 1 enthält insbesondere Angaben zu den folgenden Punkten:
a. Gegenstand und Zweck der Zusammenarbeit der Parteien
b. die Funktionen, Aufgaben und Beziehungen der Parteien und
c. die jeweiligen Verarbeitungsabläufe und -vorgänge.
§3 Verarbeitung aufgrund einer Einwilligung
1. Soweit im Rahmen des gemeinsamen Händlerportals personenbezogene Daten auf Grundlage einer Einwilligung im Sinne von Art. 4 Nr. 11 DSGVO verarbeitet werden, legen die Parteien die folgenden Verantwortlichkeiten fest:
2. Verantwortlich für die Erstellung der jeweiligen Einwilligungen (Formular für Einwilligung) gemäß den gesetzlichen Anforderungen ist Phone+.
3. Die Verantwortlichkeit für die Einholung der Einwilligung der Betroffenen gemäß den gesetzlichen Anforderungen sowie eine entsprechende Dokumentation der Einwilligungserklärung durch den Betroffenen ist in Anlage 1
4. Widerruft ein Betroffener seine erteilte Einwilligung, hat die von dem Widerruf betroffene Partei die Verarbeitung der entsprechenden personenbezogenen Daten sofort einzustellen. Geht aus dem Widerruf hervor, dass der Betroffene auch
Verarbeitungen der anderen Partei widerspricht, leitet die den Widerruf empfangende Partei den Widerruf unverzüglich an die andere Partei mindestens per E-Mail weiter.
§4 Verarbeitung von besonderen personenbezogenen Daten
Eine Verarbeitung von besonderen personenbezogenen Daten nach Art. 9 DSGVO findet grundsätzlich nicht statt. Soweit im Rahmen des gemeinsamen Händlerportals dennoch ausnahmsweise besondere Kategorien personenbezogener Daten verarbeitet werden, sind die Parteien verpflichtet, hinsichtlich der von ihnen jeweils vorgenommenen Verarbeitungsvorgänge die Vorgaben in Art. 9 DSGVO zu beachten. Soweit die Verarbeitung besonderer personenbezogener Daten auf Grundlage einer Einwilligung erfolgt, gelten die
Regelungen in § 3 dieser Vereinbarung entsprechend.
§5 Informationspflichten
1. Die Parteien sind verpflichtet, die Informationspflichten gemäß Art. 12, 13, 14 DSGVO einzuhalten. Die Parteien legen hierzu folgende Verantwortlichkeiten fest:
2. Jede Partei ist verpflichtet, für alle sie betreffenden Verarbeitungsvorgänge die erforderlichen Informationen gemäß den gesetzlichen Vorgaben in den Art. 12, 13, 14 DSGVO zu erstellen. Zu den eine Partei betreffenden Verarbeitungsvorgängen gehören insbesondere selbst vorgenommene Verarbeitungsvorgänge, wie die Erhebung, Speicherung, Verwendung und Übermittlung, sowie der Empfang von personenbezogenen Daten.
3. Die Verantwortlichkeit für die unmittelbare Bereitstellung der Informationen gegenüber dem Betroffenen und die Dokumentation der Kenntnisnahme des Betroffenen ist in Anlage 1
4. Phone + stellt dem Partner die Datenschutzinformationen zur Verfügung. Sollte der Partner über die gemeinsame Zusammenarbeit hinaus Daten vom Betroffenen erheben, ist er selbst zur Erstellung entsprechender Datenschutzinformationen verpflichtet.
§6 Gewährleistung der Betroffenenrechte
1. Die Parteien sind jeweils hinsichtlich der sie betreffenden Verarbeitungsvorgänge zur Einhaltung der Vorgaben bezüglich
der Rechte der Betroffenen (Auskunfts-, Lösch- und sonstige Rechte) gemäß Art. 15 ff. DSGVO verantwortlich.
2. Sollte eine Partei für die Beantwortung von Auskunfts- oder sonstigen Ansprüchen eines Betroffenen auf die Unterstützung
der anderen Partei angewiesen sein, ist die andere Partei verpflichtet, die angemessene erforderliche Unterstützung zu leisten, etwa Informationen zu liefern.
§7 Einbindung von Dienstleistern
1. Soweit eine der Parteien im Rahmen des gemeinsamen Händlerportals zur Erfüllung ihrer Pflichten einen Dienstleister beauftragt, der im Auftrag dieser Partei personenbezogene Daten der Betroffenen verarbeitet, bleibt die beauftragende
Partei für die Einhaltung ihrer Pflichten aus dieser Vereinbarung verantwortlich.
2. Außerdem ist sie für die Umsetzung und Einhaltung der Vorgaben gemäß Art. 28 DSGVO verantwortlich.
§8 Datensicherheit
1. Jede Partei ist selbst dafür verantwortlich, die Einhaltung der Vorgaben zur Datensicherheit gemäß Art. 32 DSGVO sowie zu den Grundsätzen des Datenschutzes durch Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) gemäß Art. 25 DSGVO für die von ihnen außerhalb des Händlerportals betriebenen
Datenverarbeitungssysteme (etwa Webseiten, Anwendungen, Plattformen, IT-Systeme) sicherzustellen.
2. Die Parteien sind jeweils verpflichtet, die in ihrem Verantwortungsbereich liegenden Datenverarbeitungssysteme und die in
diesen verarbeiteten personenbezogenen Daten durch angemessene technische und organisatorische Maßnahmen gemäß
Art. 32 DSGVO zu schützen.
3. Insbesondere sind die Daten und Systeme gegen unbefugte oder zufällige Vernichtung, zufälligen Verlust, technische
Fehler, Fälschung, Diebstahl, widerrechtliche Verwendung, unbefugten Zutritt und Zugang sowie unbefugtes Ändern, Kopieren, Entfernen, Weitergeben, Zugreifen und andere unbefugte Verarbeitungen zu schützen.
4. Die verantwortliche Partei muss ebenfalls sicherstellen, dass geeignete Maßnahmen vorliegen, um die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei technischen Zwischenfällen rasch wiederherzustellen und eine Überprüfung der Wirksamkeit der vorgenommenen technischen und organisatorischen Maßnahmen zu ermöglichen.
5. Die verantwortliche Partei hat vor Beginn der Datenverarbeitung ein Sicherheitskonzept mit den getroffenen Maßnahmen
zu erstellen.
§9 Durchführung einer Datenschutz-Folgenabschätzung
1. Jede Partei ist verpflichtet, für die von ihr jeweils vorgenommenen Verarbeitungsvorgänge (z.B. Erhebung, Speicherung, Verwendung, Übermittlung von personenbezogenen Daten) eine Datenschutz- Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen, wenn die Voraussetzungen von Art. 35 DSGVO erfüllt sind.
2. Sollte eine Partei für diese Zwecke auf die Unterstützung der anderen Partei angewiesen sein, ist die andere Partei verpflichtet, die angemessene erforderliche Unterstützung zu leisten, etwa Informationen zu liefern.
§10 Übermittlung personenbezogener Daten in Drittländer
1. Eine Übermittlung von personenbezogenen Daten in Drittländer ist dem Partner ohne vorherige schriftliche Vereinbarung nicht gestattet.
2. Phone + wird vor Übermittlung personenbezogener Daten in Drittstaaten die Rechtmäßigkeit dieses Vorhabens prüfen.
§11 Vorgehen bei Datenschutzverletzungen
1. Bei Verletzungen des Schutzes von personenbezogenen Daten (Art. 33 oder Art. 34 DSGVO), insbesondere bei Datenverlusten, ist jeweils die Partei für die Einhaltung der gesetzlichen Melde- und Benachrichtigungspflichten gegenüber
den Aufsichtsbehörden und Betroffenen verantwortlich, bei der die Verletzung aufgetreten ist.
2. Die Partei, in deren Verantwortungsbereich die jeweilige Datenschutzverletzung liegt, hat im Benehmen mit der anderen Partei umgehend angemessene Maßnahmen zur Einhaltung der Pflichten aus Artt. 33, 34 DSGVO, zum Schutze der Daten sowie zur Minderung möglicher nachteiliger Folgen für die Betroffenen zu ergreifen.
§12 Mitwirkungspflichten
Die Parteien sind einander zur angemessenen Mitwirkung verpflichtet, soweit dies für die Einhaltung der nach dieser Vereinbarung festgelegten Verantwortlichkeiten oder sonstiger im Zusammenhang mit dem Händlerportal relevanten datenschutzrechtlichen Verpflichtungen erforderlich ist.
§13 Mitteilungen der Parteien
1. Die Parteien werden einander unverzüglich über Anfragen und Maßnahmen der Aufsichtsbehörden, insbesondere angekündigte Datenschutzüberprüfungen, informieren, wenn diese Maßnahmen zumindest auch die andere Partei
betreffen.
2. Die Parteien unterrichten einander unbeschadet § 11 unverzüglich bei schwerwiegenden Störungen des Verarbeitungsablaufs, bei Verdacht auf Datenschutzverletzungen oder Verstößen gegen die in dieser Vereinbarung
getroffenen Festlegungen sowie anderen Unregelmäßigkeiten bei der Datenverarbeitung. Dies gilt insbesondere bei Abhandenkommen der im Rahmen des Händlerportals verarbeiteten Daten, bei unberechtigtem oder unbeabsichtigtem Zugriff Dritter auf die Daten und/oder bei deren unberechtigter Weitergabe.
3. Die Informationspflicht besteht bereits, wenn etwaige Störungen, Verletzungen oder Unregelmäßigkeit mit einiger Wahrscheinlichkeit zu befürchten sind.
§14 Interne Ansprechpartner
1. Die Parteien benennen sich gegenseitig Ansprechpartner für die Durchführung dieser Vereinbarung.
2. Sie schicken Mitteilungen, Informationen oder sonstige Kommunikation im Rahmen dieser Vereinbarung an die jeweils ihr gegenüber benannte Kontaktperson der jeweils anderen Partei.
3. Jede Partei ist verpflichtet, Änderungen der Ansprechpartner unverzüglich mindestens in Textform mitzuteilen; unterlässt eine Partei diese Mitteilung, muss sie es gegen sich gelten lassen, wenn die andere Partei eine Mitteilung an den alten Ansprechpartner sendet.
§15 Maßnahmen zur Einhaltung der Verantwortlichkeiten und Dokumentation
1. Die Parteien treffen geeignete technische und organisatorische Maßnahmen, um die Einhaltung ihrer Verantwortlichkeiten sicherzustellen.
2. Die Parteien sind verpflichtet, die Einhaltung der Verantwortlichkeiten sowie die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen zu dokumentieren, um den Nachweis erbringen zu können, dass die Verarbeitung der
personenbezogenen Daten der Betroffenen im Rahmen des gemeinsamen Händlerportals im Einklang mit dieser Vereinbarung sowie den gesetzlichen Vorgaben erfolgt.
3. Die von der verantwortlichen Partei vorzunehmenden technischen und organisatorischen Maßnahmen, einschließlich der Maßnahmen zur Sicherstellung der Datensicherheit gemäß § 8, unterliegen der stetigen Aktualisierung und Anpassung entsprechend der technischen und organisatorischen Weiterentwicklung.
§16 Anpassung der Verantwortlichkeiten nach Vertragsschluss
1. Soweit die Parteien nach Abschluss dieser Vereinbarung Änderungen am Händlerportal vornehmen, die Auswirkungen auf Art und/oder Umfang der Datenverarbeitung haben, prüfen die Parteien, inwieweit diese Änderungen auch Auswirkungen auf die in dieser Vereinbarung festgelegten Verantwortlichkeiten sowie die zur Einhaltung der Verantwortlichkeiten getroffenen geeigneten technischen und organisatorischen Maßnahmen haben.
§17 Haftungsverteilung
1. Die Parteien haften bei einer Verletzung der Ihnen nach dieser Vereinbarung auferlegten Verantwortlichkeiten gegenüber den jeweils im Rahmen des gemeinsamen Händlerportals Betroffenen („Außenverhältnis“) - unbeschadet etwaiger Haftungsbeschränkungen im Innenverhältnis - gemeinsam.
2. Die Parteien haften jeweils untereinander („Innenverhältnis“) soweit sie für die Einhaltung der jeweiligen Verantwortlichkeit nach dieser Vereinbarung zuständig sind. Soweit ein Betroffener gegenüber einer der Parteien Ansprüche wegen einer
Verletzung seiner Rechte und/oder Freiheiten geltend macht, ist die Partei, die nach den Festlegungen dieser Vereinbarung für die Einhaltung der dieser Verletzung zugrundeliegenden Verpflichtung zuständig ist, zur Freistellung der
anderen Partei von diesen Ansprüchen verpflichtet, wobei die freizustellende Partei sich ein eigenes Verschulden anrechnen lassen muss.
3. Soweit eine Datenschutzaufsichtsbehörde gegen eine Partei ein Bußgeld wegen der Verletzung der sich aus dem Händlerportal ergebenden datenschutzrechtlichen Verpflichtungen erlässt, gilt § 17 Abs. 2 dieser Vereinbarung entsprechend.
4. Eine etwaige Haftungsbeschränkung im Hauptvertrag findet keine Anwendung auf Verstöße aus dieser Vereinbarung.
5. Soweit sich die Parteien bei der Erfüllung Ihrer Pflichten und Verantwortlichkeiten bei externen Dienstleistern bedienen, gehen etwaige Verstöße des Dienstleisters zu Lasten der beauftragenden Partei.
§18 Inkrafttreten, Laufzeit
1. Die Pflichten dieser Vereinbarung gelten ab dem Abschluss dieser Vereinbarung oder dem 25.05.2018, je nachdem, welches Ereignis später eintritt.
2. Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrags.
§19 Schlussbestimmungen
1. Sollten einzelne Klauseln dieser Vereinbarung ganz oder teilweise unwirksam oder nicht durchführbar sein oder werden, so wird die Gültigkeit der übrigen Bestimmungen dadurch nicht berührt.
2. Änderungen dieser Vereinbarung und seiner Anlagen sowie Nebenabreden bedürfen der Schriftform.
3. Der Gerichtsstand für alle Streitigkeiten im Zusammenhang mit dieser Vereinbarung richtet sich nach den Festlegungen im
Hauptvertrag.