Diese Vereinbarung wird zwischen dem Kunden (im Folgenden auch „Kunde“) und der PlatinPage als Marke von business4winner UG, Schillerweg 2, 06667 Weißenfels, Deutschland (im Folgenden auch „PlatinPage“) abgeschlossen. Der Kunde und PlatinPage werden im Folgenden einzeln auch „Partei“ und gemeinsam die „Parteien“ genannt.

§ 1 Vertragsgegenstand

1.1. Der Kunde hat PlatinPage mit der Erbringung von Dienstleistungen beauftragt. In Anlage #1 wird diese Vereinbarung beschrieben (im Folgenden die „Dienstleistungen“).

1.2 Da PlatinPage im Rahmen der von ihr zu erbringenden Dienstleistungen auch Zugriff auf personenbezogene Daten des Kunden hat und diese verarbeitet, die in Anlage #1 zu dieser Vereinbarung aufgeführt sind (im Folgenden die „personenbezogenen Daten“), bzw. die personenbezogenen Daten auch anderweitig an PlatinPage übermittelt werden, ist gemäß Art. 28 Abs. 3 der Datenschutz-Grundverordnung (Verordnung (EU) 2016/679 – im Folgenden die „DSGVO“) der Abschluss einer Vereinbarung über die Auftragsdatenverarbeitung erforderlich.

1.3. PlatinPage ist verpflichtet, die personenbezogenen Daten gemäß den in Abschnitt 2 dieser Vereinbarung angegebenen datenschutzrechtlichen Bestimmungen zu behandeln.

§ 2 Datenschutzrechtliche Verpflichtungen PlatinPage

2.1. Der Kunde überlässt PlatinPage zur Erbringung von Dienstleistungen personenbezogene Daten. PlatinPage ist daher als datenschutzrechtlicher Auftragsverarbeiter im Sinne des Art. 4 Z 8 DSGVO anzusehen. Der Kunde ist datenschutzrechtlich Verantwortlicher im Sinne des Art. 4 Z 7 DSGVO.

2.2. PlatinPage verpflichtet sich, zu jedem Zeitpunkt alle ihm als Auftragsverarbeiter nach den europäischen Datenschutzvorschriften auferlegten, Pflichten zu erfüllen. Dies gilt insbesondere für die nachfolgend ausdrücklich genannten Verpflichtungen, ohne dass diese allgemeine Verpflichtung eingeschränkt wird.

2.3. PlatinPage verpflichtet sich, die personenbezogenen Daten ausschließlich im Rahmen der Aufträge des Kunden zu verarbeiten. Der zulässige Umfang der Verarbeitung personenbezogener Daten ergibt sich im Wesentlichen aus den vertraglichen Vereinbarungen und den damit verbundenen Dienstleistungen. Änderungen in Bezug auf die von PlatinPage durchzuführende Datenverarbeitung sind vom Kunden schriftlich oder in Textform mitzuteilen.

2.4. Jegliche sonstige Verarbeitung oder Übermittlung der personenbezogenen Daten ohne ausdrücklichen Auftrag des Kunden, primär jegliche Verarbeitung für eigene Zwecke, ist ausdrücklich untersagt. PlatinPage wird die personenbezogenen Daten nur in dem erforderlichen Umfang verwenden, der für die Erbringung der vereinbarten Dienstleistungen notwendig ist. PlatinPage informiert den Kunden unverzüglich, falls der Verdacht besteht, dass ein Auftrag des Kunden gegen die geltenden Datenschutzvorschriften verstößt.

2.5. Sofern PlatinPage aufgrund zwingender gesetzlicher Bestimmungen zur Übermittlung oder sonstigen Offenlegung personenbezogener Daten an Dritte verpflichtet ist, wird PlatinPage den Kunden, soweit rechtlich möglich, vor der jeweiligen Übermittlung darüber informieren.

2.6. PlatinPage verpflichtet sich, die gemäß Art. 32 DSGVO erforderlichen Datensicherheitsmaßnahmen hinsichtlich der von ihr betriebenen Systeme, auf denen die personenbezogenen Daten verwendet werden, zu ergreifen. PlatinPage wird die ergriffenen Datensicherheitsmaßnahmen regelmäßig auf den jeweiligen Stand der Technik überprüfen und gegebenenfalls anpassen. PlatinPage wird die umgesetzten Sicherheitsmaßnahmen dokumentieren und diese Dokumentation während der Laufzeit dieser Vereinbarung aufbewahren. Nach Beendigung dieser Vereinbarung beträgt die Aufbewahrungsfrist 12 Monate. Die spezifischen technischen und organisatorischen Datensicherheitsmaßnahmen, die von PlatinPage ergriffen wurden, sind in Anlage #2 zu dieser Vereinbarung aufgeführt.

2.7. PlatinPage wird durch die Verwendung der personenbezogenen Daten nur Mitarbeiter oder sonstige Beauftragte heranziehen, die sich gegenüber PlatinPage zur Vertraulichkeit und zur Einhaltung des Datengeheimnisses verpflichtet haben, insbesondere gemäß § 6 DSG. Die Verpflichtung zur Einhaltung des Datengeheimnisses bleibt auch nach Beendigung des jeweiligen Beschäftigungsverhältnisses und/oder dieser Vereinbarung bestehen.

2.8. Der Kunde erteilt seine Zustimmung zur Einbeziehung der in Anlage #3 genannten Sub-Auftragsverarbeiter. PlatinPage verpflichtet sich, den Kunden über die Einbeziehung von Sub-Auftragsverarbeitern, die nicht in Anlage #3 aufgeführt sind, zu informieren. Der Kunde kann aus wichtigen Gründen der Einbeziehung eines Sub-Auftragsverarbeiters widersprechen.

2.9. In den entsprechenden Vereinbarungen mit etwaigen beauftragten Sub-Auftragsverarbeitern sind auch die Verpflichtungen von PlatinPage gemäß diesem § 2 gegenüber dem Sub-Auftragsverarbeiter festzulegen. Auf Verlangen gewährt PlatinPage dem Kunden Einblick in die datenschutzrelevanten Teile solcher Vereinbarungen mit Sub-Auftragsverarbeitern. PlatinPage verpflichtet sich, die Einhaltung der Verpflichtungen gemäß diesem § 2 durch etwaige beauftragte Sub-Auftragsverarbeiter regelmäßig und mindestens einmal jährlich zu überprüfen und den Kunden auf Verlangen, über die Ergebnisse einer solchen Überprüfung zu informieren.

2.10. Unabhängig von den Vereinbarungen mit (Sub-)Auftragsverarbeitern bleibt PlatinPage dem Kunden gegenüber uneingeschränkt für die Einhaltung der Verpflichtungen gemäß diesem § 2 verantwortlich. Die Haftung des Auftragsverarbeiters wird jedoch – soweit gesetzlich zulässig – auf grobe Fahrlässigkeit oder Vorsatz beschränkt und ist in Höhe des Betrags begrenzt, der in den vergangenen zwölf Monaten vom Kunden an PlatinPage gezahlt wurde.

2.11. Falls die Verarbeitung personenbezogener Daten außerhalb der EU oder des EWR erfolgt, wird PlatinPage sicherstellen, dass entweder ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO vorliegt oder geeignete Garantien gemäß Art. 46 DSGVO eingehalten werden.

2.12. PlatinPage wird den Kunden bei der technischen und organisatorischen Unterstützung im Falle der Ausübung von Betroffenenrechten (z. B. Auskunftsersuchen, Anträge auf Löschung) unterstützen. Ferner wird PlatinPage den Kunden gegebenenfalls bei der Durchführung einer Datenschutz-Folgenabschätzung gemäß Art. 35 und 36 DSGVO unterstützen.

2.13. PlatinPage wird die personenbezogenen Daten (einschließlich etwaiger Verarbeitungsergebnisse und Kopien der personenbezogenen Daten) auf Anweisung des Kunden oder spätestens nach Beendigung dieser Vereinbarung unwiederbringlich löschen. Es wird klargestellt, dass die Verpflichtungen gemäß diesem § 2 unabhängig von dieser Vereinbarung vollumfänglich bestehen bleiben, bis die personenbezogenen Daten beim Auftragsverarbeiter endgültig gelöscht wurden.

2.14. PlatinPage wird den Kunden unverzüglich, jedoch spätestens innerhalb von 48 Stunden, über jeglichen unbefugten Zugriff auf die personenbezogenen Daten sowie über jede Verletzung oder Einschränkung der Datensicherheit informieren. In einem solchen Fall wird PlatinPage den Kunden bei der Erfüllung seiner Pflichten gemäß Art. 33 DSGVO und Art. 34 DSGVO unterstützen.

2.15. PlatinPage verpflichtet sich, dem Kunden auf Anforderung alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Verpflichtungen gemäß diesem § 2 zu überprüfen.

2.16. PlatinPage und der Kunde vereinbaren, dass dem Auftragsverarbeiter für die Erfüllung der Verpflichtungen gemäß diesem § 2 eine angemessene Vergütung zusteht.

§ 3 Geheimhaltung

3.1. Die Parteien verpflichten sich, alle Informationen, die ihnen im Zusammenhang mit dieser Vereinbarung über die jeweils andere Partei und den Inhalt dieser Vereinbarung sowie über etwaige Betriebs- und Geschäftsgeheimnisse bekannt werden, geheim zu halten.

3.2. Die Geheimhaltungsverpflichtung gemäß diesem § 3 gilt auch nach Beendigung dieser Vereinbarung zeitlich unbegrenzt fort.

§ 4 Weiterverarbeitung

4.1. Der Kunde stimmt zu, dass PlatinPage Sub-Auftragsverarbeiter mit der Verarbeitung von Kundendaten im Auftrag des Kunden beauftragen darf. Die derzeit von PlatinPage beauftragten und vom Kunden autorisierten Sub-Auftragsverarbeiter sind in Anlage #3 aufgeführt.

4.2. PlatinPage hat folgende Verpflichtungen:

1) Einen schriftlichen Vertrag mit dem Sub-Auftragsverarbeiter abzuschließen, der Datenschutzbestimmungen enthält und den Sub-Auftragsverarbeiter dazu verpflichtet, die Kundendaten gemäß den geltenden Datenschutzgesetzen angemessen zu schützen.

2) Für die Einhaltung der Verpflichtungen aus dieser Datenschutzvereinbarung sowie für alle Handlungen oder Unterlassungen des Sub-Auftragsverarbeiters verantwortlich zu bleiben, die dazu führen, dass PlatinPage gegen eine ihrer Verpflichtungen aus dieser Datenschutzvereinbarung verstößt.

§ 5 Schlussbestimmungen

5.1. Diese Vereinbarung unterliegt dem bulgarischen materiellen Recht unter Ausschluss der Kollisionsnormen des internationalen Privatrechts.

5.2. Alle Streitigkeiten, die sich aus dieser Vereinbarung ergeben oder auf deren Verletzung oder Ungültigkeit Bezug nehmen, werden ausschließlich von den zuständigen Gerichten in Varna entschieden.

5.3. Diese Vereinbarung stellt die gesamte Vereinbarung zwischen dem Kunden und PlatinPage in Bezug auf den Vertragsgegenstand dar. Die Bestimmungen dieser Vereinbarung haben Vorrang vor abweichenden Bestimmungen in den Anlagen zu dieser Vereinbarung und Bestimmungen in anderen Vereinbarungen zwischen den Parteien.

5.4. Sollte eine Bestimmung dieser Vereinbarung ganz oder teilweise nichtig, unwirksam oder undurchsetzbar sein oder werden, berührt dies nicht die Gültigkeit, Wirksamkeit und Durchsetzbarkeit der übrigen Bestimmungen. Die nichtige, unwirksame oder undurchsetzbare Bestimmung gilt als ersetzt durch diejenige wirksame und durchsetzbare Bestimmung, die dem mit der nichtigen, unwirksamen oder undurchsetzbaren Bestimmung verfolgten wirtschaftlichen Zweck am nächsten kommt, hinsichtlich Gegenstand, Umfang, Zeit, Ort und Geltungsbereich. Gleiches gilt für die Ausfüllung etwaiger Lücken in dieser Vereinbarung.

Anlage #1:

Beschreibung der Dienstleistungen und der personenbezogenen Daten

1. Erbrachte Dienstleistungen:

PlatinPage bietet dem Kunden eine sogenannte SaaS-Plattform an. SaaS steht für „Software as a Service“. Der Kunde hat die Möglichkeit, ein eigenes Nutzerkonto auf der Plattform des Auftragsverarbeiters zu erstellen und die Funktionen der Software des Auftragsverarbeiters zu nutzen. Es gibt zwei Möglichkeiten zur Registrierung: 1. Kostenlose Registrierung mit einem 14-tägigen Testabonnement, in dem der Kunde die Software mit allen Funktionen kostenlos nutzen kann. Nach Ablauf des Testzeitraums kann der Kunde auf eine kostenpflichtige Version der Software wechseln, wobei sechs verschiedene Pakete angeboten werden. Oder 2. Der Kunde wählt einen Plan seiner Wahl und zahlt im ersten Monat nur 1 €. Danach wird der monatliche, reguläre Preis fällig.

2. Verarbeitungszweck:

Die personenbezogenen Daten werden verarbeitet, um die vertraglich vereinbarten Dienstleistungen entsprechend des ausgewählten Leistungspakets bereitzustellen.

3. Dauer der Verarbeitung:

Die Verarbeitung personenbezogener Daten erfolgt während der Laufzeit der vertraglichen Vereinbarungen für die Dienstleistungen und bis zur Erfüllung aller mit dem ursprünglichen Vertrag zusammenhängenden Ansprüche. Sofern anwendbar, werden die Daten auch während der gesetzlich vorgeschriebenen Aufbewahrungsfristen (z. B. gemäß UGB oder BAO) verarbeitet.

4. Betroffene Personen:

Accountbesitzer:

Dies ist die Person, die den Account auf der Plattform erstellt hat. Die erhobenen Daten sind in der Datenschutzerklärung des Kunden beschrieben.

Unterkonten:

Der Accountbesitzer hat die Möglichkeit, je nach Paket ein oder mehrere Administratoren hinzuzufügen, die ihm beispielsweise beim Website-Aufbau oder im Vertrieb unterstützen können. Für die Unterkonten werden nur Name, E-Mail, Telefonnummer und Passwort benötigt. Der Accountbesitzer kann zudem die Berechtigungen selbst festlegen, z. B. für eine bestimmte Website, alle Websites oder nur für die Kontaktdatenbank.

Kontaktdatenbank (CRM):

Der Accountbesitzer verfügt über eine CRM-Funktion (in allen Paketen enthalten). In diesem CRM können verschiedene Arten von Kontaktdaten hinzugefügt werden. Es besteht die Möglichkeit, beispielsweise Kunden- oder Lieferantendaten per CSV-Datei hochzuladen. Welche Art von Daten der Nutzer hier erhebt und verarbeitet, liegt grundsätzlich in seiner Verantwortung, solange diese nicht illegal beschafft oder rechtswidrig sind.

5. Verarbeitete Datenkategorien:

Das CRM von PlatinPage verfügt standardmäßig über vordefinierte Systemfelder und Eigenschaften, die sich auf Stammdaten von Kunden beschränken. Dazu gehören insbesondere Name, Firmenname, Adressdaten, Rechnungs- und Lieferadressen.

Die Nutzer haben die Möglichkeit, Daten über den Upload in ihr eigenes CRM-System hochzuladen. Ferner können unsere Nutzer frei eigene CRM-Eigenschaften und Felder definieren.

Des Weiteren können die Nutzer sogenannte Opt-In-Prozesse für Websitebesucher erstellen. Diese umfassen Formulare, Bestellformulare, Terminbuchungen, Umfragen und Quiz, Registrierungsformulare. Unsere Kunden können selbst bestimmen, welche Daten in diesen Formularen abgefragt werden. Werden die Formulare von einem Websitebesucher ausgefüllt, werden die entsprechenden Daten automatisch im CRM abgelegt.

PlatinPage hat keinen Einfluss auf die Festlegung der Kategorien der verarbeiteten Daten oder den Inhalt der konkreten Daten. Das bedeutet, dass je nach den Anforderungen der Kunden an unser CRM-System auch sensible Daten verarbeitet werden können. Die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung und die Einhaltung der geltenden datenschutzrechtlichen Vorschriften liegt beim Kunden.

Anlage #2:

Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen

1. Verschlüsselung: Alle Daten werden mit einer 256-Bit SSL-Verschlüsselung übertragen.

2. Gewährleistung der Vertraulichkeit: Die Mitarbeiter von PlatinPage haben alle eine Vertraulichkeitsvereinbarung unterzeichnet und unterliegen der Geheimhaltungspflicht. Der Zugang zu den Kundendaten ist auf Mitarbeiter beschränkt, deren Aufgaben den Zugang erfordern. Nur autorisierte Personen, die von PlatinPage entsprechende Berechtigungen erhalten haben, haben administrativen Zugang zu den Kundendaten. Dieser administrative Zugang wird gegebenenfalls für die Bereitstellung von technischem Support benötigt.

3. Gewährleistung der Verfügbarkeit: Es werden täglich Sicherungskopien der Systeme von PlatinPage erstellt. Diese dienen der Wiederherstellung von Daten bei Fehlern oder unabsichtlichem Löschen durch den Nutzer.

4. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall: Im Falle eines unabsichtlichen Datenverlusts können die Daten aus den Sicherungskopien von PlatinPage wiederhergestellt werden. Gelöschte Daten werden jedoch nach 30 Tagen auch aus den Sicherungskopien gelöscht und können nicht mehr wiederhergestellt werden. PlatinPage behält sich vor, gelöschte Daten, die vom Kunden entfernt wurden, nicht wiederherzustellen, da dies einen erheblichen Aufwand erfordert. Im Falle eines technischen Fehlers, der von PlatinPage zu verantworten ist, werden die Daten jedoch auf jeden Fall wiederhergestellt.

5. Sonstige Maßnahmen und Dokumente: Die Mitarbeiter von PlatinPage sind geschult in den erforderlichen Sicherheitspraktiken und wissen, wie sie Verletzungen von Kundendaten erkennen und sofort darauf reagieren können. PlatinPage implementiert Richtlinien und Verfahren zur Überwachung, Prüfung und Implementierung von Änderungen an den Diensten, einschließlich der zugrunde liegenden Infrastruktur- und Systemkomponenten, um sicherzustellen, dass die Qualitätsstandards eingehalten werden. Alle identifizierten Sicherheitslücken werden gemäß den entsprechenden Verfahren behoben.

Anlage #3

Sub-Auftragsverarbeiter

• PlatinPage: Provider Software-Plattform
• Strato: Domainverwaltung & PlatinPage E-Mailpostfächer
• AWS (Amazon Web Services): Hosting der Software-Plattform, E-Mail-Versand (E-Mail-Marketing)
  
• Google Ireland Limited: Synchronisierung von Kalendern und Terminen, ReCaptcha, Google Fonts
• Facebook: Tracking und Online-Marketing (bei erteilter Einwilligung)
• Stripe: Zahlungsdienstleistungen

Letzte Aktualisierung: 11.07.2023