Jimdo Datenverarbeitungsvereinbarung für Affiliates (DVV)

Präambel

Jimdo GmbH, Stresemannstrasse 375, 22761 Hamburg, Deutschland und die Rechtsperson, die diese Vereinbarung akzeptiert (nachfolgend “Partner” genannt), haben eine Jimdo Affiliate Partnerprogramm Vereinbarung (vis a vis die Annahme der Jimdo Affiliate Partnerprogramm Teilnahmebedingungen durch den Partner und die nachfolgende Annahme der Auftragsbestätigung durch Jimdo) abgeschlossen, in deren Rahmen der Partner dem Jimdo Affiliate Partnerprogramm beigetreten ist. Beide Parteien dieses Datenverarbeitungsvertrags werden nachfolgend zusammen als "Parteien" und einzeln als die"Partei" bezeichnet.

Diese Datenverarbeitungsvereinbarung wird zwischen den oben aufgeführten Parteien abgeschlossen und gilt ergänzend zu den Jimdo Affiliate Partnerprogramm Teilnahmebedingungen.

Dem Partner ist bekannt, dass Jimdo seine Affiliate Dienstleistungen für eine Vielzahl von Partner anbietet. Die Möglichkeit des Partners, ergänzende Weisungen z.B. in Form einer individualisierten Datenverarbeitungsvereinbarung zu erteilen, die die Affiliate Dienstleistungen von Jimdo für andere Partner oder Nutzer beeinflusst oder beeinträchtigt, ist daher durch diese Vereinbarung beschränkt. Ein Betrieb von dem Jimdo Affiliate Partnerprogramm unter Berücksichtigung einer Vielzahl von Einzelweisungen des Partners wäre nicht möglich.

1. Allgemeines

1.1 In dieser DVV haben die folgenden Begriffe die nachstehend aufgeführten Bedeutungen:

  • DSGVO ist die Datenschutz-Grundverordnung 2016/679 der Europäischen Union (DSGVO).
  • Regelungen zum Datenschutz sind sämtliche anwendbaren datenschutzrechtlichen und sonstigen Bestimmungen und Gesetze, die Anwendung finden hinsichtlich der Datenverarbeitung in Zusammenhang mit dieser Vereinbarung, für EU-Bürger einschließlich der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, nachfolgend DSGVO genannt) (wie jeweils anwendbar) und der Datenschutzrichtlinie für elektronische Kommunikation 2002/58/EG.
  • Unterauftragnehmer ist jede Person (ausgenommen die Mitarbeiter der Parteien), die von oder im Auftrag einer der Parteien beauftragt wurde, im Auftrag dieser Partei oder anderweitig im Zusammenhang mit den Jimdo Affiliate Partnerprogramm Teilnahmebedingungen personenbezogene Daten zu verarbeiten.

1.2 Sofern in dieser Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.

1.3 Die Begriffe “Verantwortlicher”, “betroffene Person”, “Mitgliedstaat”, “personenbezogene Daten”, “Verletzung des Schutzes personenbezogener Daten”,“Verarbeitung” und Profile haben die Bedeutung die Ihnen in der DSGVO gegeben wurde.

1.4 Die Bestimmungen in den Jimdo Affiliate Partnerprogramm Teilnahmebedingungen bleiben uneingeschränkt wirksam sofern es nicht anders festgelegt ist.

1.5 Bei Abweichungen zwischen den Festlegungen dieser DVV und der Teilnahmebedingungen (die Verarbeitung der Daten betreffend) hat diese DVV Vorrang.

1.6 Diese DVV gilt nur in Bezug auf die Verarbeitung personenbezogener Daten durch die Parteien im Rahmen des Jimdo Affiliate Partnerprogramms.

2. Verpflichtungen und Rechte der Parteien

2.1 Der Partner und Jimdo kommen ihren jeweiligen Pflichten entsprechend den Regelungen zum Datenschutz nach. Jede Partei kooperiert in angemessenem Umfang mit der anderen Partei, um dieser die Einhaltung dieser Ziffer 2 zu ermöglichen.

2.2 Gemäß den Regelungen zum Datenschutz ist der Partner verpflichtet, von den Besuchern eine vorherige, freiwillig erteilte, spezifische, informierte, unmissverständliche und widerrufbare Einwilligung zum Einsatz der Cookies einzuholen, die dem Besucher von Jimdo infolge eines Clicks zugewiesen werden.

2.3 Der Partner stellt Jimdo keinerlei personenbezogene Daten zur Verfügung soweit dies nicht von Jimdo, im Rahmen von dernen gewöhnlichem Betrieb des Jimdo Affiliate Partnerprogramms, erwartet wird.

2.4 In Bezug auf Verarbeitung im Rahmen der Jimdo Affiliate Partnerprogramm Teilnahmebedingungen, für die der Partner und Jimdo gemeinsam Verantwortliche sind, gelten folgende Verpflichtungen:

Transparenz

2.4.1 Der Partner hat geeignete Maßnahmen zu treffen, um betroffenen Personen Informationen darüber zu übermitteln, wie personenbezogene Daten vom Partner oder in seinem Auftrag verarbeitet werden. Das schließt mindestens alle Informationen ein, die Artikel 13, 14, und 26 der DSGVO vorschreibt. Der Partner wird diese Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln. (Partner Hinweis zur Verarbeitung).

2.4.2 Jimdo hat geeignete Maßnahmen zu treffen, um betroffenen Personen Informationen darüber zu übermitteln, wie personenbezogene Daten von Jimdo oder in seinem Auftrag verarbeitet werden. Das schließt mindestens alle Informationen ein, die Artikel 13, 14, und 26 der DSGVO vorschreibt. In der Jimdo Datenschutzerklärung wird Jimdo diese Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermitteln.

2.4.3 Der Partner muss in seinem Partner Hinweis zur Verarbeitung einen Hyperlink zur aktuellen Jimdo Datenschutzerklärung beinhalten.

Personal

2.4.4 Jede Partei ergreift angemessene Maßnahmen zur Gewährleistung der Zuverlässigkeit sämtlicher Mitarbeiter, Vertreter und Auftragnehmer, die Zugang zu den personenbezogenen Daten haben können. In jedem Fall ist zu gewährleisten, dass der Zugriff:

  • auf die Personen beschränkt ist, die Zugriff auf die relevanten personenbezogenen Daten brauchen und/oder diese kennen müssen, und
  • unbedingt notwendig für die Zwecke der Hauptvereinbarung und die Einhaltung des geltenden Rechts im Rahmen der Pflichten dieser Personen, ist.

2.4.5 Jede Partei stellt sicher, dass sämtliche unter Ziffer 2.4 genannten Personen Vertraulichkeitsverplfichtungen bzw. beruflichen oder gesetzlichen Verpflichtungen zur Einhaltung der Vertraulichkeit unterliegen.

Sicherheit und Vertraulichkeit von Daten

2.4.6 Jede Partei trifft in Bezug auf die personenbezogenen Daten geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessen Schutzniveaus. Das schließt, wie jeweils anwendbar, die in Artikel 32(1) der DSGVO aufgeführten Maßnahmen ein. Dabei berücksichtigen die Parteien folgende Punkte:

  • den Stand der Technik, Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, und
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

2.4.7 Bei der Bewertung des angemessenen Schutzniveaus berücksichtigen die Parteien insbesondere die Risiken, die mit der Verarbeitung einhergehen. Das schließt u. a. Vernichtung, Verlust oder Veränderung ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von der unbefugter Zugang zu personenbezogenen Daten ein, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden,

Auftragsverarbeitung

2.4.8 In Bezug auf eine beabsichtigte Verarbeitung durch einen Unterauftragnehmer haben die Parteien folgende Pflichten:

a.) Bevor der Unterauftragnehmer die personenbezogenen Daten erstmalig verarbeitet, müssen die Parteien mit gebührender Sorgfalt gewährleisten, dass der Unterauftragnehmer in der Lage ist, den in den Regelungen zum Datenschutz vorgeschriebenen Schutz der personenbezogenen Daten sicherzustellen.

b.) Die Parteien müssen gewährleisten, dass die Verarbeitung mit einem solchen Unterauftragnehmer in einer schriftlichen Vereinbarung geregelt ist, der die in Artikel 28(3) der DSGVO aufgeführten Bedingungen einschließt.

c.) Jede Partei hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen den Parteien getroffenen Vereinbarungen einhalten kann. Die Parteien haben insbesondere vorab und regelmäßig während der Dauer der Vereinbarung zu kontrollieren, dass der Unterauftragsverarbeiter die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle wird von der zuständigen Partei dokumentiert und ist auf Anfrage der anderen Partei zu übermitteln.

Rechte der betroffenen Personen

2.4.9 Jede Partei erfüllt ihre Pflichten auf Anfragen und Ausübung der Rechte der betroffenen Personen gemäß den Regelungen zum Datenschutz, zu antworten. Jede Partei kooperiert in angemessenem Umfang mit der anderen Partei, um dieser die Einhaltung dieser Ziffer zu ermöglichen.

Verletzung des Schutzes personenbezogener Daten

2.4.10 Jede Partei:

a.) muss die jeweils andere Partei unverzüglich und spätestens aber binnen 48 Stunden ab Kenntnis in Textform (Fax/E-Mail) benachrichtigen, nachdem ihr eine Verletzung des Schutzes personenbezogener Daten (“Verletzung des Schutzes von Netzwerkdaten”) bekannt wurde, und

b.) muss der jeweils anderen Partei genug Informationen bereitstellen, damit diese ihren Pflichten zur Meldung oder Benachrichtigung der betroffenen Personen über die Verletzung des Schutzes von Netzwerkdaten im Rahmen der, oder in Zusammenhang mit den Regelungen zum Datenschutz nachkommen kann, und

c.) muss in Bezug auf die externe Kommunikation- und PR-Strategie im Zusammenhang mit der Verletzung des Schutzes von Netzwerkdaten Rücksprache mit der anderen Partei halten, und

d.) darf, vorbehaltlich der Einhaltung geltenden Gesetzen, keine Datenschutzbehörde über die Verletzung des Schutzes von Netzwerkdaten informieren, ohne vorher eine schriftliche Genehmigung der anderen Partei eingeholt zu haben, und

e.) darf in Bezug auf die Verletzung des Schutzes von Netzwerkdaten keine Pressemitteilung herausgeben oder mit einem Pressevertreter sprechen, ohne vorher die schriftliche Genehmigung der anderen Partei eingeholt zu haben.

f.) wird die andere Partei unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber einer Partei tätig wird und dies auch eine Kontrolle der Verarbeitung, der personenbezogenen Daten die im Rahmen des Jimdo Affiliate Partnerprogramms gemeinsam durch die Parteien verarbeitet werden, betreffen kann.

2.4.11 Die in Ziffer 2.4.10 (a) genannte Benachrichtigung muss mindestens folgende Bedingungen erfüllen:

a.) In ihr müssen die Art der Verletzung des Schutzes von Netzwerkdaten, (soweit möglich mit Angabe der Kategorien), die Arten und die Anzahl der betroffenen Personen sowie die Arten und die Anzahl der betroffenen personenbezogenen Datensätze aufgeführt sein.

b.) In ihr müssen die möglichen Folgen der Verletzung des Schutzes von Netzwerkdaten beschrieben sein,

c.) In ihr müssen die ergriffenen oder vorgeschlagenen oder geplanten Maßnahmen beschrieben sein, mit denen die Verletzung des Schutzes von Netzwerkdaten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen, behandelt werden soll.

2.4.12 Der Partner muss mit Jimdo kooperieren und die von Jimdo geforderten angemessenen Maßnahmen ergreifen, um die Untersuchung, Schadensminderung und Behebung jeder Verletzung des Schutzes von Netzwerkdaten zu unterstützen.

Datentransfers

2.4.13 Keine der Parteien darf personenbezogene Daten unter Verletzung der Regelungen zum Datenschutz in Länder außerhalb der EU transferieren.

2.5 Der Partner gewährleistet und verpflichtet sich während der Laufzeit der Hauptvereinbarung dafür einzustehen, dass:

  • die Verarbeitung im Rahmen der Jimdo Affiliate Partnerprogramm Teilnahmebedingungen, die von Jimdo, als für die Verarbeitung Verantwortlicher, durchgeführt wird, einschließlich der Verarbeitung personenbezogener Daten, die sich auf den Partner und sämtliche Autorisierten Benutzer beziehen, die Regelungen zum Datenschutz einhalten;
  • er über sämtliche Rechte oder Einwilligungen verfügt, die notwendig sind für den Transfer von personenbezogenen Daten außerhalb der EU durch Jimdo.

Kontrollrechte und -pflichten

2.6 Soweit Jimdo als für die Verarbeitung Verantwortlicher agiert und der Partner als Auftragsverarbeiter (oder, wie jeweils anwendbar, Jimdo ist Auftragsverarbeiter und der Partner ist der Unterauftragsverarbeiter), wird der Partner:

a.) die personenbezogene Daten nur auf dokumentierte Weisung von Jimdo verarbeiten, auch in Bezug auf die Löschung oder die Rückgabe der personenbezogenen Daten.

b.) Jimdo jegliche Information im Zusammenhang mit personenbezogenen Daten zur Verfügung stellen, einschließlich, es zu erlauben, soweit der Partner diesbezüglich mindestens 30 Tage im Voraus schriftliche Mitteilung erhalten hat, dass Jimdo oder deren Auditoren oder Berater, während üblicher Geschäftszeiten, das Gelände des Partners betreten um die Systeme und Unterlagen des Partners zu Untersuchen, die (soweit Jimdo bestimmt) nötig sind um zu demonstrieren dass der Partner diese Ziffer 2 einhält. Jede Partei wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe der anderen Partei durch die Kontrollen nicht unverhältnismäßig zu stören. Der Aufwand einer Inspektion ist für die jeweilige Partei grundsätzlich auf einen Tag pro Kalenderjahr begrenzt. Jede Partei ist verpflichtet, die ihm im Rahmen oder bei Gelegenheit einer solchen Kontrolle zur Kenntnis gelangten internen geheimhaltungsbedürftigen Informationen der anderen Partei, insbesondere Details zu den technischen und organisatorischen Maßnahmen, streng geheim zu halten, nicht Dritten mitzuteilen oder Dritten zugänglich zu machen, sofern dies nicht zum Zweck der vertraglichen Leistungsbeziehung zwischen den Parteien erfolgt.

c.) Ziffern 2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8, 2.4.9, 2.4.10, 2.4.11, 2.4.12, und 2.4.13 erfüllen.

d.) Damit die Parteien wo zutreffend ihre Kontrollrechte und -pflichten vor Beginn und während des Vertragsverhältnisses ausüben können, kann eine Partei die andere Partei auf Anfrage einen Bericht deren Datenschutzbeauftragten zu den getroffenen technischen und organisatorischen Maßnahmen bei der jeweiligen Partei und in den von der Partei genutzten Rechenzentren zur Verfügung stellen. Der Bericht wird spätestens alle 24 Monate aktualisiert.

2.7 Der Partner wird Berichte, die durch die Nutzung der von Jimdo zur Verfügung gestellten externen Affiliate Plattform generiert werden, nicht benutzen um Profile der Besucher zu erstellen.

3. Geheimhaltungspflichten

3.1 Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieser Vereinbarung erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung der Vereinbarung zu verwenden.

3.2 Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.

4. Haftungsbeschränkung

4.1 Jede Partei haftet für jegliche Verletzungen der Regelungen zum Datenschutz für die sie verantwortlich ist und dementsprechend haften die Parteien nicht gesamtschuldnerisch.

4.2 Die Parteien informieren sich unverzüglich, wenn eine Partei Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung Personenbezogener Daten durch die andere Partei feststellt.

5. Anwendbares Recht und Gerichtsstand

5.1 Anwendbares Recht und Gerichtsstand dieser DVV entsprechen denen der Jimdo Affiliate Partnerprogramm Teilnahmebedingungen.

6. Dauer des Auftrags

6.1 Diese Vereinbarung beginnt mit der Annahme der Auftragsbestätigung durch Jimdo (Punkt 2.3 der Jimdo Affiliate Partnerprogramm Teilnahmebedingungen) und läuft für die Dauer des zwischen den Parteien bestehenden Hauptvertrages bzw. für die Dauer der Teilnahme an dem Jimdo Affiliate Partnerprogramm. Er ist mit einer Frist von 5 Tagen zum Ende der jeweiligen Laufzeit kündbar. Bei einer Beendigung der Teilnahme an dem Jimdo Affiliate Partnerprogramm, erfolgt gleichzeitig eine automatische Kündigung dieser Datenverarbeitungsvereinbarung.

7. Schlussbestimmungen

7.1 Für Nebenabreden ist die Schriftform erforderlich.

7.2 Sollten einzelne Teile dieser DVV unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen der Vereinbarung nicht.

7.3 Bei Abweichungen, die aus der Übersetzung entstehen, gilt die Formulierung in deutscher Sprache.

Stand:

16.01.2019