(Anlage 3 zum Hauptvertrag – Version 01.01.2025)
Zwischen
Verantwortlicher (Auftraggeber):
KUNDE DES HAUPTVERTRAGES
Auftragsverarbeiter (Auftragnehmer):
FORMAT Promotion GmbH
Holstenstraße 103
22767 Hamburg
vertreten durch Matthias van den Nieuwendijk (Geschäftsführer),
wird folgende Vereinbarung getroffen:
Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen zur Erfüllung der vertraglich vereinbarten Dienstleistung „deichbot Entscheiderkontakte“. Gegenstand der Verarbeitung ist insbesondere die Verarbeitung von Kontakt- und Kommunikationsdaten potenzieller Kunden des Verantwortlichen (Empfänger der KI-E-Mails) zum Zwecke der personalisierten Ansprache und Lead-Generierung.
Die Verarbeitung erfolgt für die Dauer der Vertragslaufzeit des Hauptvertrags. Sie beginnt mit der ersten Verarbeitung personenbezogener Daten durch den Anbieter im Auftrag (etwa dem Import oder der Recherche von Kontaktdaten) und endet mit der endgültigen Löschung oder Rückgabe der Daten an den Verantwortlichen nach Beendigung des Vertrags (vgl. Ziffer 7 dieser Vereinbarung).
Die Verarbeitung umfasst alle Vorgänge, die zur Erbringung der Dienstleistung erforderlich sind, insbesondere: das Erheben (Recherchieren) von Kontaktdaten geeigneter Ansprechpartner, das Speichern dieser Daten in Systemen des Auftragsverarbeiters, das Verwenden der Daten zum Generieren personalisierter E-Mail-Inhalte, das Versenden von E-Mails an die betroffenen Personen, das Empfangen und Auswerten von Antworten (inkl. automatisierter Verarbeitung von Antwortdaten, z. B. Erkennung von Abwesenheitsnotizen), ggf. das Protokollieren von Interaktionen (Öffnungen, Klicks) und schließlich das Löschen der Daten gemäß den vertraglichen Vorgaben. Auch die Weitergabe durch Übermittlung ist umfasst, da E-Mails über das Internet an die Empfänger gesendet werden. Soweit optional vereinbart, umfasst die Verarbeitung auch das Tracking von Website-Aktivitäten der Empfänger (Besuchserkennung via IP-Adresse), was die Erhebung und Analyse von Nutzungsdaten einschließen kann.
Zweck der Verarbeitung ist es, im Auftrag des Verantwortlichen Direktwerbung gegenüber bestimmten Ansprechpartnern zu betreiben, nämlich durch personalisierte E-Mail-Kontaktaufnahmen potenzieller Kunden des Verantwortlichen. Die Verarbeitung dient somit der Neukundengewinnung bzw. Geschäftsanbahnung für die Produkte/Dienstleistungen des Verantwortlichen. Darüber hinaus sollen die Reaktionen der Angeschriebenen erfasst und dem Verantwortlichen berichtet werden, um den Erfolg der Marketingmaßnahme zu evaluieren und ggf. Nachfassaktionen zu ermöglichen. Alle Verarbeitungshandlungen erfolgen ausschließlich zur Erreichung dieser Zwecke und zur Erbringung der im Hauptvertrag beschriebenen Leistungen.
Im Rahmen dieses Auftrags können – je nach bereitgestellten oder erhobenen Informationen – insbesondere folgende Kategorien personenbezogener Daten verarbeitet werden:
Es werden ****keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO (wie z. B. Gesundheitsdaten, politische Meinungen, religiöse Überzeugungen) im Auftrag verarbeitet. Ebenso wenig werden Daten von Kindern Gegenstand der Verarbeitung. Der Auftragsverarbeiter wird keine zusätzlichen Daten erheben als die oben genannten, ohne vorherige Weisung des Verantwortlichen.
Aus Datenschutzgründen werden vom Auftragsverarbeiter keine Öffnungs- und Klickdaten erhoben. Dieses Feature kann über unseren Partner Leadinfo dazugebucht werden. Dieser externe Dienst erfasst DSGVO konform Websitebesuche über IP Erkennung von Unternehmen. Für die Nutzung dieses externen Dienstes muss vom Auftraggeber ein separater Vertrag mit Leadinfo oder einem anderen Dienst geschlossen werden.
Kategorien betroffener Personen sind vor allem Geschäftskontakte des Verantwortlichen ****bzw. Personen, die als entscheidungsbefugte Ansprechpartner bei Zielunternehmen fungieren – typischerweise Führungskräfte oder Entscheider in Unternehmen, die potenziell Interesse an den Leistungen des Verantwortlichen haben könnten. Ferner können betroffen sein: Interessenten und andere Personen, die im Rahmen der Direktwerbungsmaßnahme angesprochen werden (z. B. Geschäftsführer, Vertriebsleiter oder Einkaufsleiter der Zielkunden). Darüber hinaus können in geringem Umfang auch Mitarbeiter des Verantwortlichen betroffen sein (etwa wenn deren Kontaktdaten im Versandsystem verarbeitet werden, z. B. der Name des Kundenansprechpartners, der als Absender fungiert). In jedem Fall handelt es sich ausschließlich um personenbezogene Daten natürlicher Personen im beruflichen Kontext.
Der Verantwortliche ist dafür verantwortlich, dass die Verarbeitung der genannten personenbezogenen Daten eine Rechtsgrundlage hat und nach geltendem Datenschutzrecht zulässig ist. Insbesondere obliegt es dem Verantwortlichen sicherzustellen, dass die betroffenen Personen auf geeignete Weise über die Datenverarbeitung informiert wurden (z. B. durch eine Datenschutzerklärung) und dass ggf. erforderliche Einwilligungen vorliegen oder berechtigte Interessen korrekt abgewogen wurden. Der Verantwortliche dokumentiert etwaige Weisungen gegenüber dem Auftragnehmer (über das im Vertrag Festgelegte hinaus) in Textform (z. B. per E-Mail). Mündliche Weisungen sind unverzüglich schriftlich oder per E-Mail zu bestätigen. Sollten Weisungen des Verantwortlichen nach Auffassung des Auftragnehmers gegen die DSGVO oder andere Datenschutzvorschriften verstoßen, wird der Auftragnehmer den Verantwortlichen darauf hinweisen; der Auftragnehmer ist berechtigt, die Durchführung solcher Weisungen bis zur Bestätigung oder Änderung durch den Verantwortlichen auszusetzen.
Der Verantwortliche bleibt „Herr der Daten“ und ist daher für die Wahrung der Rechte der betroffenen Personen zuständig. Er entscheidet über Berichtigungen, Sperrungen, Löschungen von Daten oder die Herausgabe von Informationen und erteilt dem Auftragnehmer entsprechende Weisungen zur Umsetzung (siehe auch Ziffer 6 unten).
Es obliegt dem Verantwortlichen, das nach Art. 30 DSGVO erforderliche Verzeichnis der Verarbeitungstätigkeiten zu führen, das u. a. diese Auftragsverarbeitung beschreibt. Der Auftragnehmer wird dem Verantwortlichen dafür auf Anfrage die notwendigen Informationen zur Verfügung stellen.
Der Auftragnehmer verarbeitet personenbezogene Daten ****im Rahmen der Weisungen des Verantwortlichen und der in dieser Vereinbarung festgelegten Zwecke. Der Auftragnehmer wird Daten des Verantwortlichen nicht für eigene Zwecke verarbeiten, insbesondere sie nicht zu eigenen Werbezwecken nutzen oder unbefugt an Dritte weitergeben. Kopien oder Duplikate der Daten werden ohne Wissen des Verantwortlichen nicht erstellt, außer sie sind für die ordnungsgemäße Auftragsdurchführung (z. B. als Backup) erforderlich.
Der Auftragnehmer verpflichtet sich, alle im Rahmen des Auftrags erlangten personenbezogenen Daten vertraulich zu behandeln. Er stellt sicher, dass alle Personen, die beim Auftragnehmer Zugang zu den Daten haben (Mitarbeiter sowie etwaige Subunternehmer), auf die Vertraulichkeit verpflichtet und in die relevanten Datenschutzpflichten eingewiesen worden sind. Diese Verpflichtung besteht auch nach Beendigung des Auftrags fort.
Der Auftragnehmer ergreift sämtliche geeigneten technischen und organisatorischen Maßnahmen (TOMs), um die Sicherheit der Verarbeitung gemäß Art. 32 DSGVO zu gewährleisten. Dazu gehören insbesondere Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung dauerhaft sicherzustellen. Beispiele für solche Maßnahmen sind:
Der Auftragnehmer wird die TOMs entsprechend dem technischen Fortschritt und den aktuellen Risiken weiterentwickeln. Wesentliche Änderungen, die zu einer Schwächung des Schutzniveaus führen könnten, sind mit dem Verantwortlichen abzustimmen.
Der Einsatz von Subunternehmern durch den Auftragnehmer erfolgt gemäß Ziffer 3.3 der AGB und den Vorgaben des Art. 28 DSGVO. Der Auftragnehmer hat derzeit u. a. die folgenden Unterauftragsverarbeiter im Einsatz:
| Unterauftragsverarbeiter | Anschrift / Sitz | Zweck & Leistung | Datenstandort |
| --- | --- | --- | --- |
| IONOS SE | Elgendorfer Str. 57, 56410 Montabaur, DE | Server-Hosting (Web- & Mail-Server), Datacenter-Betrieb | Deutschland / EU |
| Airtable, Inc. | 799 Market St, 8th Floor, San Francisco, CA 94103, USA ¹ | Tabellen- / Datenbank-Front-End | USA / EU-DPF |
| Boost.space s.r.o. | Karlovo nám. 290/16, 120 00 Praha 2, CZ | Daten-Hub & Automationsplattform | EU (CZ) |
| Celonis, Inc. – Make.com | Karolinská 706/3, 186 00 Praha 8, CZ | Workflow-Automation | EU (CZ) |
| Google Cloud EMEA Ltd. | Gordon House, Barrow St, Dublin 4, IE | E-Mail & Collaboration (Google Workspace) | EU / USA² |
| Hetzner | Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, DE | Server-Hosting | Deutschland / EU |
| Hostinger | HOSTINGER operations, UAB, Švitrigailos str. 34, 03230 Vilnius
Litauen | Server-Hosting | EU (LT/CY) |
| Missive App, Inc. | 5605 Avenue de Gaspé #204, Montréal, QC H2T 2A4, CA | Shared Inbox | Kanada (Adequacy) |
| Dropbox Int. Unlimited Co. | 10 Hanover Quay, Dublin 2, IE | File-Hosting / Back-ups | EU / USA² |
| Notion Labs, Inc. | 548 Market St #74567, San Francisco, CA 94104, USA¹ | Projekt- & Wissensmanagement | USA / EU-DPF |
| n8n | Novalisstr. 10, 10115 Berlin, DE | Workflow-Automation | Deutschland / EU |
| Calendly LLC | 271 17th St NW Ste 1000, Atlanta, GA 30363, USA¹ | Termin-Planung | USA / EU-DPF |
¹ Datenübermittlung in die USA auf Basis des EU-US Data Privacy Framework (EU-DPF) bzw. Standardvertragsklauseln.
² Sofern Daten in die USA übertragen werden, erfolgt dies ebenfalls unter Einsatz des EU-DPF oder geeigneter SCC.
Der Auftragnehmer stellt sicher, dass mit jedem Subunternehmer ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO abgeschlossen wurde, der vergleichbare Pflichten enthält wie diese Vereinbarung. Er bleibt dem Verantwortlichen gegenüber verantwortlich für die Einhaltung der Pflichten durch die Subunternehmer.
Der Auftragnehmer unterstützt den Verantwortlichen im Rahmen des Zumutbaren bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten. Dies umfasst insbesondere: angemessene Unterstützung bei der Erstellung von notwendigen Dokumentationen (z. B. Verzeichnisse, Meldungen) sowie bei der Meldung von Datenschutzvorfällen an die Aufsichtsbehörden. Zudem wird der Auftragnehmer den Verantwortlichen – unter Berücksichtigung von Ziffer 6 – dabei unterstützen, Anfragen betroffener Personen zu erfüllen.
Der Auftragnehmer wird den Verantwortlichen unverzüglich informieren, sobald ihm Verstöße gegen Datenschutzvorschriften oder die in dieser Vereinbarung getroffenen Schutzmaßnahmen in Bezug auf die Daten des Verantwortlichen bekannt werden. Gleiches gilt für schwerwiegende Störungen beim Auftragnehmer oder andere Unregelmäßigkeiten bei der Verarbeitung der Daten. Insbesondere wird der Auftragnehmer etwaige Datenschutzverletzungen (Security Breaches), die personenbezogene Daten dieses Auftrags betreffen, ohne schuldhaftes Zögern melden, damit der Verantwortliche seinen Meldepflichten nach Art. 33, 34 DSGVO nachkommen kann. In Abstimmung mit dem Verantwortlichen ergreift der Auftragnehmer unverzüglich angemessene Maßnahmen, um die Verletzung zu beheben bzw. die Auswirkungen möglichst gering zu halten.
Der Auftragnehmer wird dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die dieser benötigt, um die Einhaltung der in dieser Vereinbarung und in Art. 28 DSGVO niedergelegten Pflichten nachzuweisen. Hierzu kann der Auftragnehmer auch auf bestehende Zertifizierungen oder Audit-Berichte verweisen, sofern sie den konkreten Auftragsgegenstand abdecken.
Die Bearbeitung von Anfragen oder Ansprüchen betroffener Personen (z. B. Auskunftsverlangen, Löschungsersuchen, Widersprüche) obliegt grundsätzlich dem Verantwortlichen (siehe Ziffer 4.2). Sollte sich eine betroffene Person unmittelbar an den Auftragnehmer wenden, wird der Auftragnehmer dieses Anliegen ohne Verzögerung an den Verantwortlichen weiterleiten. Der Auftragnehmer wird die personenbezogenen Daten einer betroffenen Person nicht eigenmächtig berichtigen, löschen oder einschränken, außer der Verantwortliche hat dies angeordnet oder es ist zur Wahrung der Rechte der betroffenen Person zwingend erforderlich (z. B. sofortige Sperrung eines Kontakts, der Widerspruch gegen die Verarbeitung eingelegt hat, um weitere E-Mail-Zusendungen zu unterbinden – in einem solchen Fall informiert der Auftragnehmer den Verantwortlichen umgehend über die erfolgte Maßnahme).
Nach Beendigung des Hauptvertrags und auf Weisung des Verantwortlichen – spätestens jedoch mit vollständiger Abwicklung des Vertrags – wird der Auftragnehmer alle personenbezogenen Daten, die im Auftrag verarbeitet wurden, löschen oder an den Verantwortlichen herausgeben. Dies umfasst auch sämtliche ggf. angefertigten Datensicherungen. Eine Herausgabe kann nach Wahl des Verantwortlichen in Form der Übergabe von Exportdateien (z. B. CSV/Excel-Listen der Kontakte und E-Mail-Logs) erfolgen. Nach bestätigter vollständiger Rückgabe bzw. Löschung beim Verantwortlichen löscht der Auftragnehmer etwaige verbleibende Kopien der Daten.
Ausgenommen von der Löschung sind Daten, die der Auftragnehmer aufgrund gesetzlicher Aufbewahrungspflichten weiter vorhalten muss (z. B. Protokolldaten zu versendeten E-Mails, sofern sie für Abrechnungszwecke relevant sind, oder Kommunikation mit dem Verantwortlichen). Diese Daten wird der Auftragnehmer für keinen anderen Zweck nutzen und sie nach Ablauf der gesetzlichen Aufbewahrungsfrist ebenfalls löschen. Der Auftragnehmer wird die Durchführung der Löschung auf Verlangen des Verantwortlichen schriftlich bestätigen.
Der Verantwortliche hat das Recht, die Einhaltung der in dieser Vereinbarung festgelegten Pflichten beim Auftragnehmer zu überprüfen. Der Auftragnehmer wird dem Verantwortlichen dafür auf Anfrage aktuelle Nachweise über die getroffenen TOMs zur Verfügung stellen (z. B. relevante Zertifizierungen, Prüfungsberichte). Bei berechtigtem Interesse darf der Verantwortliche zudem – einmal jährlich oder bei konkretem Anlass – ein Audit vor Ort beim Auftragnehmer durchführen (selbst oder durch einen beauftragten Dritten). Das Audit ist vom Verantwortlichen mit angemessener Frist anzukündigen (mindestens 2 Wochen) und während der üblichen Geschäftszeiten ohne Störung des Betriebs durchzuführen. Der Auftragnehmer wird Audit-Anfragen des Verantwortlichen im zumutbaren Rahmen ermöglichen, kann aber aus Sicherheits- und Vertraulichkeitsgründen verlangen, dass das Audit auf Stichproben beschränkt wird. Die Kosten eines Audits trägt der Verantwortliche, außer es wird ein vom Auftragnehmer zu vertretender schwerwiegender Verstoß festgestellt.
Der Auftragnehmer führt eine Liste aller Unterauftragsverarbeiter mit Beschreibung der jeweiligen Leistung und dem Ort der Datenverarbeitung. Diese Liste hält er aktuell und stellt sie dem Verantwortlichen auf Anfrage zur Verfügung.
Die Haftungsregelungen des Hauptvertrags (bzw. der AGB) gelten für diese Auftragsverarbeitung entsprechend. Sollte der Verantwortliche durch eine vom Auftragnehmer verursachte fehlerhafte Datenverarbeitung einen Schaden erleiden oder gegenüber Dritten haften, wird der Auftragnehmer den Verantwortlichen im Rahmen der im Hauptvertrag vereinbarten Haftungsbeschränkungen und Freistellungen schadlos halten, soweit der Auftragnehmer den Schaden zu vertreten hat.
Sofern der Verantwortliche wegen eines Datenschutzverstoßes des Auftragnehmers von Dritten (z. B. einer betroffenen Person oder einer Aufsichtsbehörde) in Anspruch genommen wird, gelten die gesetzlichen Regressmöglichkeiten nach Art. 82 DSGVO. Eine darüberhinausgehende Vertragsstrafe wird nicht vereinbart, es sei denn, sie wird individuell zwischen den Parteien festgelegt.
Im Übrigen gelten die Bestimmungen des Hauptvertrags und der AGB entsprechend. Bei etwaigen Widersprüchen zwischen dieser Auftragsverarbeitungs-Vereinbarung und anderen Vereinbarungen geht diese Vereinbarung hinsichtlich der datenschutzrelevanten Aspekte vor. Sollten einzelne Bestimmungen dieser Vereinbarung unwirksam oder undurchführbar sein, so tritt an ihre Stelle die entsprechende gesetzliche Regelung. Die Wirksamkeit der übrigen Bestimmungen bleibt unberührt.
—
Diese Anlage ist Bestandteil des zwischen den Parteien geschlossenen Dienstleistungsvertrages („Hauptvertrag“).
Durch die im Hauptvertrag geleisteten Unterschriften erkennen beide Parteien diese Anlage rechtsverbindlich an; eine gesonderte Signatur auf der Anlage ist nicht erforderlich.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr Informationen