Verpflichtungserklärungzur Adressennutzung
Zwischen dem Adresseigner und datenschutzrechtlichen Auftraggeber interfon adress GmbH, Leisewitzstr. 26, 30175 Hannover, Deutschland (interfon adress)
und dem im o. s. Formular genannten Unternehmen als Dienstleister/Auftragnehmer/Werbetreibenden werden die nachfolgenden Regeln zur Verarbeitung von personenbezogenen Daten geschlossen:
Vorbemerkung
Diese DDV-Regeln zur Auftragsverarbeitung enthalten Mindestanforderungen zur Auftragsverarbeitung und Pflichten zum Datenumgang. Sie gelten für Werbetreibende (im Folgenden auch Auftragnehmer genannt), die personenbezogene Daten gemäß der Datenschutz-Grundverordnung (im Folgenden DS-GVO) verarbeiten. Der Adresseigner hat mit dem Auftragnehmer im Rahmen der Vereinbarung jedes Datenverarbeitungsauftrags eine nachweisbare Vereinbarung über eine Auftragsverarbeitung zu schließen. Die Vereinbarung wurde für Werbetreibende modifiziert.
Durch elektronische Zeichnung und Einreichung dieser „DDV-Regeln zur Auftragsverarbeitung“ erklärt der Auftragnehmer verbindlich, für jeden Auftrag zur Auftragsverarbeitung die nachfolgenden Regeln und damit die gesetzlichen Vertragspflichten der Auftragsverarbeitung einzuhalten. Zusammen mit dem gesonderten Adressauftrag, der ausdrücklich diese „DDV-Regeln zur Auftragsverarbeitung“ einbeziehen muss, erfüllt der Auftragnehmer die gesetzliche und datenschutzkonformen Anforderungen an eine Auftragsverarbeitung.
Für solche Unternehmen, die nur Teilbereiche der gesetzlichen Auftragsverarbeitung abdecken, gelten die „DDV-Regeln zur Auftragsverarbeitung“ nur soweit wie die vereinbarten Leistungen erbracht und dabei Adressdaten verarbeit werden.
Diese DDV-Regeln zur Auftragsverarbeitung (DDV-Verpflichtungserklärung) gelten für Dienstleistungen, bei denen der Auftragnehmer die Daten von natürlichen Personen (betroffene Personen nach Art. 4 Nr. 1 EU-Datenschutz-Grundverordnung, DS-GVO; insbesondere Kunden, Interessenten, Ansprechpartner von juristischen Personen, sonstige personenbezogene Daten) verarbeitet und zwar unabhängig davon, ob die Datenverarbeitung und damit der Zugriff auf die Daten der betroffenen Personen Kernaufgabe des Auftragnehmers ist oder sonst als Auftragsverarbeitung nach Art. 28 DS-GVO einzuordnen ist.
Bei Leistungen im Dialogmarketing sind datenschutzrechtlich in der Regel drei bzw. vier Beteiligte erfasst: Der Werbetreibende, der Adresseigner, der Dienstleister und der potentielle Kunde, der eine Werbemaßnahme empfängt. Der Werbetreibende stößt praktisch die Auftragsverarbeitung an, indem er das Ziel verfolgt, Kunden oder Neukunden (in Sinne dieser DDV-Regeln zur Auftragsverarbeitung „betroffene Personen“) werblich anzusprechen. Die werbliche Ansprache stellt eine Verarbeitung personenbezogener Daten (Name, Adresse und ggf. weitere Daten) des Adresseigners dar. Der Werbetreibende erhält die Nutzungsrechte an den personenbezogenen Daten vom Adresseigner und vergütet diese. Der Werbetreibende hat bei der hier vereinbarten Auftragsverarbeitung Zugriff auf die personenbezogenen Daten der betroffenen Personen. Den Zugriff auf diese Daten steuert der Adresseigner als Herr der Daten, so dass dieser für die datenschutzkonforme Verarbeitung der personenbezogenen Daten verantwortlich ist (auch datenschutzrechtlicher Auftraggeber). Die datenschutzrechtliche Vertragsbeziehung (auch Auftragsverarbeitung) besteht also zwischen dem Adresseigner und dem Auftragnehmer.
1. Begriffsbestimmungen
Adresseigner (= Listeigner): interfon adress, Hannover
Adressdaten (-sätze): Personenbezogene Daten, deren Verarbeitung den datenschutzrechtlichen Anforderungen unterliegt und die bei der Verwendung dieser Vereinbarung ausschließlich mit Erteilung eines Auftrags nach Art. 28 DS-GVO durch den Dienstleister verarbeitet werden dürfen. Es kann sich um Namen, Postadressen, Kommunikationsdaten und sonstige personenbezogene Daten handeln.
Datenschutzrechtlicher Auftraggeber: Verantwortlicher nach Art. 4 Nr. 7 DS-GVO und Inhaber der Daten, der den Auftrag zur Datenverarbeitung nach Art. 28 DS-GVO an den Dienstleister bzw. Werbetreibenden (soweit dieser auch die Verarbeitung der Daten durchführt) erteilt.
DDV: Deutscher Dialogmarketing Verband e.V., Hahnstraße 70, 60528 Frankfurt, www.ddv.de.
Dienstleister: Auftragsverarbeiter nach Art. 4 Nr. 8 DS-GVO, der die Adressdaten zwecks Dialogmarketing im Auftrag des Adresseigners verarbeitet und unterzeichnende Partei dieser VEREINBARUNG einschließlich der jeweiligen gesonderten Vereinbarungen zwischen beiden Parteien ist.
DS-GVO: EU-Datenschutz-Grundverordnung
Gesonderter Vereinbarung: Vereinbarung zwischen Adresseigner und Auftragnehmer mit Weisungen für den Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sowie ggf. etwaige Kategorien von Empfängern oder Empfänger. Der gesonderte
Adressauftrag in Kombination mit den einbezogenen DDV-Regeln zur Auftragsverarbeitung ermöglichen eine datenschutzkonforme Auftragsverarbeitung.
Werbeaktion: Die Werbemaßnahme, die mit den Adressdaten vorgenommen wird (beispielsweise ein ausgesendetes Mailing/ein ausgesendeter Katalog, ein werblicher Anruf oder eine Datenaufbereitung/-weiterverarbeitung).
Werbetreibender: Der kommerzielle Auftraggeber, der als wirtschaftlicher Auftraggeber die Adressdaten für seine Zwecke nur mit Zustimmung des Adresseigners nutzen darf.
2. Allgemeine Pflichten des werbetreibenden Unternehmen
(1) Der Adresseigner räumt in einem gesonderten Adressauftrag Nutzungsrechte an Adressdaten ein. Der Werbetreibende erwirbt diese Nutzungsrechte zur Durchführung einer konkret definierten Werbeaktion und wird für den Adresseigner als Auftragsverarbeiter tätig, um bei der Werbeaktion Dienstleistungen unter Zugriff auf die vom Adresseigner gehaltenen, im gesonderten Adressauftrag genannten Adressdaten zu erbringen. Der Auftragnehmer wird die Adressdaten ausschließlich dem jeweils gesonderten Adressauftrag, sonstigen Weisungen des Adresseigners für die erforderlichen auftragsbezogenen Dienstleistungen wie IT- (beispielsweise Analyse, postalische Korrektur, Abgleich, Porto-Optimierung und Ausdruck),
Druck-, Lettershop- oder Call-Center-Arbeiten und den einbezogenen DDV-Regeln zur Auftragsverarbeitung verarbeiten. Der Werbetreibende wird eine darüberhinausgehende Verarbeitung (beispielsweise Speicherung von Daten in anonymisierter Form, zur Auftragserfassung, History-Files oder Optimierungsanalysen) nur dann durchführen, wenn dies datenschutzrechtlich zulässig ist und die dazu notwendigen Weisungen des Adresseigners oder eine zwingende gesetzliche Verpflichtung vorliegen. Die Weisungen sind grundsätzlich in Textform zu erteilen; im Ausnahmefall erforderliche mündliche Weisungen sind vom Adresseigner unverzüglich in Textform zu bestätigen.
(2) Der Gegenstand und die Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sowie ggf. etwaige Kategorien von Empfängern oder Empfänger sind – sofern nicht mit diesen DDV-Regeln zur Auftragsverarbeitung bestimmt – im jeweiligen Adressauftrag festgelegt.
(3) Der Werbetreibende wird die Adressdaten getrennt von Datenbeständen, die nicht im Zusammenhang mit dem gesonderten Adressauftrag stehen, verarbeiten. Damit soll eine unbefugte Verarbeitung für andere, nicht erlaubte Zwecke ausgeschlossen werden.
(4) Nach Abschluss der vertraglichen Arbeiten hat der Werbetreibende die im Rahmen des Adressauftrags in seinen Besitz gelangten Adressdaten nach Weisung des Adresseigners DS-GVO datenschutzkonform zu löschen. Das gilt auch für Verarbeitungsergebnisse, die im Rahmen des gesonderten Adressauftrags erstellt worden sind, sowie für Test- und Ausschussmaterial. Makulatur mit personenbezogenen Daten ist gemäß Sicherheitsstufe 3 der DIN 66399-2 entweder durch hausinterne Aktenvernichter oder von spezialisierten Auftragsverarbeitern zu vernichten. Der Werbetreibende hat dafür Sorge zu tragen, dass Datensätze mit personenbezogenen Adressdaten nicht als E-Mail-Anhang, auf Kommunikationsservern, Clients, Produktionsrechnern, in Datensicherungen über den Löschtermin hinaus bestehen bleiben. Sofern nicht der Adresseigner eine andere Weisung, beispielsweise für Treuhandbestände, gegeben hat, muss die Löschung dieser Daten spätestens im siebenten Monat nach Postauflieferung nachweislich erfolgt sein. Die Kalenderwoche (ISO 8601) der letzten Postauflieferung ist dem Adresseigner mitzuteilen, wenn sie sich nicht aus dem gesondertem Adressauftrag ergibt. Der Werbetreibende wird dem Adresseigner und seinem Vertreter auf deren Wunsch die eigene Löschung oder die Löschung durch Auftragnehmer in Textform innerhalb von fünf Werktagen bestätigen. Auf Wunsch stellt der Dienstleister dem Adresseigner und seinem Vertreter ein Löschprotokoll bzw. einen Vernichtungsbeleg zur Verfügung. Vorzulegen ist ein Protokoll, das die Tatsache der Löschung mit Datums- und Zeitangabe, Löschart und verantwortliche Person für fünf Jahre dokumentiert. Die Verpflichtung zur Löschung gilt nicht, wenn der Dienstleister gesetzlich zu einer Aufbewahrung oder in sonstiger Weise zur Speicherung der konkreten Daten verpflichtet ist. Eine sonstige Weitergabe der Daten ist nur laut gesondertem Adressauftrag oder Weisung des Adresseigners erlaubt.
(5) Die Einschaltung von Unterauftragnehmern zur Erfüllung des gesonderten Adressauftrags (Dienstleister mit vereinbartem Datenzugriff) setzt die vorherige schriftliche Zustimmung des Adresseigners voraus. Der Werbetreibende kann ohne schriftliche Zustimmung Unterauftragnehmer zur Vertragsdurchführung unter Wahrung seiner Pflicht zur Auftragskontrolle und nachweislich geschlossener Vereinbarungen gemäß Art. 28 DS-GVO einschalten, wenn es sich um Dienstleistungen der Auftragsverarbeitung handelt, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen beispielsweise erweiterte Telekommunikationsleistungen oder Reinigungskräfte, die zugleich mit der Entsorgung von Datenträgern betraut sind. Eine Zustimmung wird allerdings dann erforderlich, wenn die genannte Leistung selbst ganz oder zumindest in wesentlichen Teilen vereinbarte Dienstleistung darstellt. In jedem Fall sind bei den genannten (Unter-)Beauftragungen die Inhalte dieser DDV-Regeln zur Auftragsverarbeitung entsprechend vorzusehen. Auf Wunsch erhält der Adresseigner eine Liste aller Unterauftragnehmer, einschließlich solcher, zu deren Einsatz der Auftraggeber zugestimmt hat. Diese Vorgaben gelten entsprechend für die Einschaltung von Freiberuflern/Freelancern, die für den Dienstleister tätig sind, ohne dabei wie ein Arbeitnehmer in dessen Unternehmen eingegliedert zu sein und wesentliche Leistungen für den gesonderten Adressauftrag erbringen.
(6) Der Werbetreibende wird in seinem Verantwortungsbereich technische und organisatorische Maßnahmen zum angemessenen Schutz der Adressdaten des Adresseigners vor allem gegen ungewollten oder unbefugten Abfluss treffen (geeignete technische und organisatorische Datensicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu schaffen; nach Art. 32 DS-GVO) und den Auftraggeber bei der gegebenenfalls gebotenen Datenschutz-Folgenabschätzung bezogen auf seine Sphäre und mit Rücksicht auf die ihm vom Auftraggeber zur Verfügung gestellten Informationen unterstützen. Der Werbetreibende unterstützt den Adresseigner unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Mittel und Informationen unverzüglich bei der Einhaltung dessen Pflichten zur Information der Betroffenen und zur Auskunftserteilung sowie zur Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie sonstiger Betroffenenrechte nach den geltenden Datenschutzvorschriften. Nach Art. 30 Abs. 2 DS-GVO führt der Dienstleister ein Verzeichnis über die von ihm durchgeführten Verarbeitungen. Dieses ist auf Wunsch dem Adresseigner und seinem Vertreter in Kopie herauszugeben, soweit dessen Inhalt im Zusammenhang mit dem gesonderten Adressauftrag steht.
(7) Der Adresseigner ist verpflichtet, ungewollte oder unrechtmäßige gesetzlich relevante Datenabflüsse an Dritte oder sonstige Datenschutzverletzungen, die zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führen, der zuständigen Datenschutzaufsichtsbehörde und – bei hohem Risiko für die Rechte und Freiheiten der betroffenen Person – den betroffenen Personen unverzüglich mitzuteilen. Soweit derartige Verletzungen dem Werbetreibenden in seiner Sphäre bekannt werden, unterrichtet er den Adresseigner unverzüglich. Der Werbetreibenden wird in diesem Fall einstweilig und nach pflichtgemäßen Ermessen in seinem Verantwortungsbereich angemessene Maßnahmen zum Schutze der Adressdaten des Adresseigners und zur Minderung möglicher nachteiliger Folgen (geeignete technische und organisatorische Datensicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu schaffen; nach Art. 32 DS-GVO) treffen. Der Werbetreibenden informiert den Adresseigner über etwaige von ihm getroffene Maßnahmen möglichst zeitnah.
(8) Der Werbetreibenden benennt einen einheitlichen Ansprechpartner für sich, mit dem der Adresseigner oder sein Vertreter Fragen im Zusammenhang mit dem gesonderten Adressauftrag klären kann. Der Werbetreibenden hat unter den gesetzlichen Voraussetzungen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten bestellt. Über einen Wechsel der Ansprechpartner wird der Dienstleister den Adresseigner unverzüglich in Textform informieren.
3. Sicherheitspflichten des Dienstleisters
(1) Der Werbetreibende gewährleistet in seinem Verantwortungsbereich, dass er die Adressdaten nach dem Stand der Technik, den Implementierungskosten, ihrer Art, ihrem Umfang, den Umständen und den Zwecken der mit dem gesonderten Adressauftrag in Zusammenhang stehenden Verarbeitung, nach der Eintrittswahrscheinlichkeit und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen hinreichend technisch und organisatorisch sicher im Sinne der Art. 32 DS-GVO verarbeitet (Datensicherheitseinrichtungen). Auf Wunsch des Adresseigners gibt der Werbetreibende dem Adresseigner und seinem Vertreter auch nach Erteilung des Auftrags sein aktuelles Datensicherheitskonzept heraus und ermöglicht dem Datenschutzbeauftragten des Adresseigners oder einem zur Berufsverschwiegenheit verpflichteten vom Adresseigner benannten Prüfer die Einsicht in das Datensicherheitskonzept, ebenso dessen Prüfung. Das Datensicherheitskonzept beinhaltet hinreichende Erläuterungen zu den Themen Zutrittskontrolle zum Gebäude, Zugangskontrolle zum System, Zugriffskontrolle zu den Anwendungen, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und getrennte Verarbeitung. Soweit vom Adresseigner Änderungen gewünscht sind, wird der Werbetreibende diese implementieren; auf schriftliche vorherige Ankündigung und auf Kosten des Adresseigners, soweit sie den gesetzlich geforderten Stand der Technik überschreiten.
(2) Adressdaten, die auf elektronischem Wege weitergegeben werden müssen, dürfen vom Werbetreibende nur in nach dem Stand der Technik sicherer, nämlich verschlüsselter Form weisungsgemäß weitergegeben werden, sofern nicht der Adresseigner etwas anderes wünscht.
(3) Der Werbetreibende ist nicht befugt, bei der Entwicklung von Software oder bei sonstigen Tests – außerhalb des gesetzlich Zulässigen – Echtdaten des Adresseigners zu verwenden. Es ist mit anonymisierten Original- oder fiktiven Testdaten zu arbeiten.
(4) Der Werbetreibende speichert und verarbeitet die Adressdaten getrennt nach Aufträgen und erlaubt Zugriff durch Mitarbeiter nur, soweit dies zur Durchführung des gesonderten Adressauftrags erforderlich ist. Zudem erlaubt er nur solchen Mitarbeitern Zugriff auf die Daten, die auf Geheimhaltung gesondert und ausdrücklich verpflichtet sind und regelmäßig in für die Adressverarbeitung relevanten Datenschutz- und Datensicherheitsvorschriften und -verfahren geschult sind.
4. Pflichten des Werbetreibende / Dienstleisters zur Duldung von Kontrollen
(1) Der Adresseigner ist gesetzlich verpflichtet, sich von der Wirksamkeit der Datensicherheitseinrichtungen beim Werbetreibenden zu überzeugen. Der Werbetreibenden duldet daher, dass der Adresseigner die Verarbeitung der von ihm überlassenen Daten durch Einsichtnahme und Prüfung der mit dieser Vereinbarung in Zusammenhang stehenden Datenverarbeitungseinrichtungen, der gespeicherten Daten, der Datenverarbeitungsprogramme und der Dokumentation der Datenschutzorganisation, einschließlich Arbeitsanweisungen bei Bedarf kontrolliert. Der Werbetreibenden hat die mit dem gesonderten Adressauftrag in Zusammenhang stehenden Dokumente zur Einsicht bereit zu halten und Antworten auf Fragen in angemessener Frist zu geben. Die Einsicht ist dem Datenschutzbeauftragten des Adresseigners und von ihm beauftragten zur gesetzlichen Berufsverschwiegenheit verpflichteten Personen zu gewähren.
(2) Der Adresseigner kann sich ohne eigene Kontrollen von den nach dem Stand der Technik hinreichenden Datensicherheitseinrichtungen auch dadurch überzeugen, dass ihm der werbetreibenden entsprechende Nachweise wie Prüfungsberichte zur Informationssicherheit oder die Angaben zur Erlangung der DDV-Gütesiegel der Kompetenz-Center DirectMail Services (DMS) und Zielgruppenmarketing (ZGM) vorlegt.
5. Abgleichprotokoll / Kontrolladressen
(1) Wenn auftragsgemäß Abgleiche mit Einsatz von Fremddaten durchgeführt werden, hat der Werbetreibende ein lückenloses und nachvollziehbares Protokoll mit nachfolgend festgelegten Inhalten zu erstellen:
Erstellungsdatum, Bezeichnung der Werbeaktion, Listenbezeichnung pro Datei, Zahl der gelieferten Adressdaten, Bruttomenge für den Abgleich (Abgleich-Input, soweit nicht Liefermenge), Adressdaten, die durch den Dubletten-Abgleich eliminiert worden sind, Nettomenge nach Abgleich (Abgleich-Output), Reduzierungen sowie die endgültige Einsatzmenge.
(2) Zur Kontrolle und zum Schutz vor vertragswidriger Verwendung dürfen Kontrolladressen in die jeweiligen Datensätze eingefügt werden. Kann der Adresseigner eine nicht mit ihm vereinbarte Werbung an eine Kontrolladresse vorlegen, wobei diese Kontrolladresse eindeutig allein dem Bestand zuzuordnen ist, der nur für die jeweilige Werbeaktion zur Verarbeitung überlassen worden ist, so wird vermutet, dass eine unbefugte Verwendung erfolgt ist. Der Dienstleister ist verpflichtet, dem Adresseigner und seinem Vertreter eine von sich aus erkannte unbefugte Verwendung von Daten unverzüglich mitzuteilen. Eine solche Mitteilung hat mindestens in Textform zu erfolgen.
6. Sonstiges
(1) Im Falle der Weitergabe von Fremddaten (elektronisch oder in gedruckter Form) ist der Empfänger darüber zu unterrichten, dass die Adressdaten von einem oder – unter Umständen – von verschiedenen Verantwortlichen stammen und nur für den Zweck verarbeitet werden dürfen, für den sie geliefert wurden.
(2) Diese VEREINBARUNG wird elektronisch abgeschlossen und mit der Bestätigung, welche an beide Parteien elektronisch versendet wird, sofort gültig.
(3) Diese VEREINBARUNG gilt zeitlich unbeschränkt für alle gesonderten Aufträge zur Bereitstellung von Adressdaten, die vor wirksamer Kündigung dieser Individualvereinbarung erteilt worden sind.
(4) Diese VEREINBARUNG wie auch die einzelnen gesonderten Adressaufträge und die schriftlichen Weisungen unterliegen dem deutschen Recht. Es gilt der Gerichtsstand des Ortes des Amtsgerichts des Adresseigners.