Trustpilot

                                                    ANHANG 1 – VEREINBARUNG ZUR AUFTRAGSVERARBEITUNG

                                                                                                                           (Version 2.0, Februar 2018)

                                                                                                                („Vereinbarung zur Auftragsverarbeitung“)

                                                                                                                                      der Kunde

                                                                                                                                          und

                                                                                                                                     Trustpilot

                                                                                                             (gemeinsam mit dem Kunden die „Parteien“)

 

1  Geltungsbereich der Vereinbarung zur Auftragsverarbeitung

1.1  Diese Vereinbarung zur Auftragsverarbeitung ist Teil der bestehenden Vereinbarung zwischen dem Kunden und Trustpilot und enthält die Vereinbarung der Parteien zur Verarbeitung personenbezogener Daten.

1.2  Trustpilot agiert als datenverarbeitende Stelle für den Kunden, da Trustpilot, wie in Anhang 1 dargelegt, personenbezogene Daten für den Kunden verarbeitet.

1.3  Die personenbezogenen Daten, die von Trustpilot verarbeitet werden sollen, betreffen die Datenkategorien, die Kategorien von betroffenen Personen und die Datenverarbeitungszwecke, die in Anhang 1 dargelegt sind.

1.4  „Personenbezogene Daten“ bezeichnet Informationen in Verbindung mit einer identifizierten oder identifizierbaren natürlichen Person (siehe Artikel 4(1) der Verordnung (EU) 2016/679 vom 27. April 2016 (die Datenschutz-Grundverordnung, „DSGVO“)).

2  Verarbeitung personenbezogener Daten

2.1  Anweisungen: Trustpilot wird angewiesen, die personenbezogenen Daten ausschließlich zum Zwecke der Erbringung der Dienstleistungen gemäß den Darlegungen in Anhang 1 zu verarbeiten. Trustpilot darf die personenbezogenen Daten des Kunden für keine anderen als die in den Anweisungen angegebenen Zwecke verarbeiten oder verwenden und unter anderem personenbezogene Daten nicht an Drittländer oder an eine internationale Organisation übertragen, wenn Trustpilot gemäß den Gesetzen der Europäischen Union oder eines Mitgliedsstaates nicht zu einer solchen Verarbeitung oder Verwendung verpflichtet ist. In diesem Fall hat Trustpilot den Kunden vor der Verarbeitung schriftlich über diese rechtliche Verpflichtung zu informieren, sofern eine solche Benachrichtigung gemäß dem entsprechenden Gesetz nicht aus wichtigen Gründen des öffentlichen Interesses untersagt ist.

2.2  Wenn der Kunde in den in Anhang 1 enthaltenen Anweisungen oder anderweitig seine Zustimmung für die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation erteilt hat, hat Trustpilot sicherzustellen, dass eine rechtliche Grundlage für die Übermittlung besteht, z. B. die Standardvertragsklauseln der EU-Kommission für die Übermittlung personenbezogener Daten an Drittländer.

2.3  Wenn Trustpilot der Meinung ist, dass eine Anweisung des Kunden einen Verstoß gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union bzw. von Mitgliedsstaaten darstellt, hat Trustpilot den Kunden unverzüglich schriftlich darüber zu informieren.

2.4  Wenn Trustpilot Gesetzen eines Drittlandes unterliegt, erklärt Trustpilot, dass die jeweiligen Gesetze Trustpilot nach Wissen von Trustpilot nicht an der Erfüllung der Vereinbarung zur Auftragsverarbeitung hindern, und sichert zu, dass Trustpilot den Kunden unverzüglich schriftlich benachrichtigt, wenn Trustpilot Kenntnis davon erhält, dass eine solche Behinderung vorliegt oder auftreten wird.

3  Allgemeine Pflichten von Trustpilot

3.1  Trustpilot muss sicherstellen, dass Personen, die befugt sind, die personenbezogenen Daten zu verarbeiten, sich der Vertraulichkeit verpflichtet haben oder einer entsprechenden  gesetzlichen Vertraulichkeitspflicht unterliegen.

3.2  Trustpilot hat geeignete technische und organisatorische Maßnahmen zu implementieren, um zu verhindern, dass die verarbeiteten personenbezogenen Daten

(i)  aus Versehen oder gesetzwidrig vernichtet werden, verlorengehen oder Änderungen an solchen Daten vorgenommen werden,

(ii)  ohne Genehmigung offengelegt oder zur Verfügung gestellt werden oder

(iii)  anderweitig unter Verstoß gegen geltende einschlägige  Gesetze, einschließlich der DSGVO, für die Dienstleistungen verarbeitet werden.

3.3  Trustpilot ist zudem zur Einhaltung von geltenden Datensicherheitsanforderungen verpflichtet, welche unmittelbar auf Trustpilot Anwendung finden, einschließlich der Datensicherheitsanforderungen des Landes, in dem Trustpilot ansässig ist, oder des Landes, in dem die Daten verarbeitet werden.

3.4  Die geeigneten technischen und organisatorischen Sicherheitsmaßnahmen müssen unter Berücksichtigung folgender Aspekte bestimmt werden:

(i)  aktueller Stand der Technik,

(ii)  Kosten der Implementierung und

(iii)  Art, Umfang, Kontext und Zwecke der Verarbeitung sowie Risiko der variierenden Wahrscheinlichkeit und Schwere der Verletzung der Rechte und Freiheiten natürlicher Personen.

3.5  Trustpilot hat dem Kunden auf Aufforderung ausreichend Informationen vorzulegen, damit der Kunde sicherstellen kann, dass Trustpilot seine Pflichten aus der Vereinbarung zur Auftragsverarbeitung erfüllt, einschließlich der Sicherstellung, dass die geeigneten technischen und organisatorischen Sicherheitsmaßnahmen implementiert  wurden.

3.6  Der Kunde ist berechtigt, auf eigene Kosten einen unabhängigen Sachverständigen zu beauftragen, dem der Zugang zu den Räumlichkeiten von Trustpilot gewährt wird und der die Informationen erhält, die er benötigt, um prüfen zu können, ob Trustpilot seine Pflichten unter der Vereinbarung zur Auftragsverarbeitung erfüllt, einschließlich der Sicherstellung, dass diegeeigneten technischen und organisatorischen Maßnahmen implementiert wurden. Der Kunde hat Trustpilot unter Einhaltung einer Frist von 14 Tagen im Voraus schriftlich zu informieren und der Kunde ist verpflichtet sicherzustellen, dass der Sachverständige eine übliche Geheimhaltungsvereinbarung unterzeichnet und die von Trustpilot erhaltenen Informationen vertraulich behandelt und ausschließlich an den Kunden weitergibt. Ergebnisse oder Berichte, die auf Grundlage solcher Inspektionen erstellt werden, müssen an Trustpilot weitergegeben werden und gelten als vertrauliche Informationen.

3.7  Trustpilot ist verpflichtet, den Behörden oder externen Beratern des Kunden, einschließlich Auditoren, Informationen in Verbindung mit der Erbringung der Dienstleistungen bereitzustellen, wenn dies für die Erfüllung ihrer Pflichten gemäß Gesetzen der Europäischen Union oder des Mitgliedsstaates erforderlich ist.

3.8  Trustpilot hat Behörden, die gemäß Gesetzen der Europäischen Union oder des Mitgliedsstaates berechtigt sind, die Einrichtungen des Kunden oder der Lieferanten des Kunden zu betreten bzw. Vertretern solcher Behörden nach Vorlage eines ordentlichen Identitätsnachweises Zugang zu den physischen Einrichtungen von Trustpilot zu gewähren.

3.9  Trustpilot muss den Kunden unverzüglich, nachdem Trustpilot Kenntnis darüber erhält, schriftlich über folgende Dinge informieren:

(i)  Anfragen von Behörden nach Offenlegung von  personenbezogenen Daten, welche unter der Vereinbarung zur Auftragsverarbeitung verarbeitet wurden,  sofern dies nicht ausdrücklich gemäß den Gesetzen der Europäischen Union oder des entsprechenden Mitgliedsstaates untersagt ist,

(ii)  jeglicher Verdacht oder jegliche Feststellung von (a) Sicherheitsverstößen, die zu versehentlichen oder gesetzwidrigen Vernichtungen, Verlusten, Änderungen, unbefugten Offenlegungen oder Zugriffen auf personenbezogene Daten führen, die Trustpilot im Zusammenhang mit den Dienstleistungen übermittelt, speichert oder anderweitig verarbeitet, oder (b) sonstige Nichtbefolgung der Pflichten von Trustpilot gemäß Klausel 3.2 und 3.3 oder

(iii) Anfragen, die den Zugang zu den personenbezogenen Daten betreffen, welche direkt von den betroffenen Personen oder von Dritten in Verbindung mit der Verarbeitung von personenbezogenen Daten im Auftrag des Kunden.eingehen..

3.10  Trustpilot ist verpflichtet, den Kunden unverzüglich bei der Bearbeitung von Anfragen von betroffenen Personen unter Kapitel III der DSGVO, einschließlich Anfragen nach Zugang, Korrektur, Sperrung oder Löschung, welche mit der Verarbeitung personenbezogener Daten im Zusammenhang mit den Dienstleistungen in Verbindung stehen, zu unterstützen.

3.11  Trustpilot muss den Kunden bei der Erfüllung der anderen Pflichten, welche dem Kunden gegebenenfalls gemäß Gesetzen der Europäischen Union oder der Mitgliedsstaaten in Verbindung mit der Datenverarbeitung obliegen, unterstützen, wenn eine solche Unterstützung durch Trustpilot impliziert ist und wenn die Unterstützung von Trustpilot erforderlich ist, damit der Kunde seine Pflichten erfüllen kann. Dies umfasst insbesondere, dem Kunden auf Aufforderung alle erforderlichen Informationen über einen Vorfall gemäß Klausel 3.9 (ii) sowie alle erforderlichen Informationen für eine Auswirkungseinschätzung gemäß Artikel 35 und 36 der DSGVO bereitzustellen.

3.12  Trustpilot hat in Anhang 1 angegeben, welche Server, Niederlassungen etc. für die Erbringung der Dienstleistungen verwendet werden. Der Kunde kann jederzeit Informationen über die von Trustpilot im Zusammenhang mit den Dienstleistungen verwendeten Server oder Niederlassungen anfordern und Trustpilot hat solche Informationen innerhalb von 30 Tagen bereitzustellen.

4  Unterauftragsverarbeiter

4.1  Trustpilot kann Unterauftragsverarbeiter beauftragen. Zum Zeitpunkt des Abschlusses der Vereinbarung zur Auftragsverarbeitung setzt Trustpilot für die Erbringung der Dienstleistungen die hier aufgeführten Unterauftragsverarbeiter ein. Trustpilot verpflichtet sich, den Kunden durch vorherige schriftliche Mitteilung an das Geschäftskonto des Kunden über vorgesehene Änderungen hinsichtlich der Hinzufügung oder dem Ersatz eines Unterauftragsverarbeiters zu informieren. Wenn der Kunde objektive und vernünftige Gründe dokumentieren kann, aus denen vorgeschlagene neue Unterauftragsverarbeiter nicht akzeptiert werden können, kann der Kunde Widerspruch gegen den Einsatz solcher vorgeschlagenen Unterauftragsverarbeiter einlegen. Wenn Trustpilot keine alternativen Unterauftragsverarbeiter vorschlägt oder der Kunde vernünftige und objektive Gründe hat, Widerspruch gegen alle vorgeschlagenen Alternativen einzulegen, ist der Kunde berechtigt, den Vertrag mit Trustpilot innerhalb von 30 Tagen nach Erhalt einer diesbezüglichen Mitteilung zu kündigen. Trustpilot muss den Kunden schriftlich informieren, wenn ein Unterauftragsverarbeiter nicht länger eingesetzt wird.

4.2  Vor der Beauftragung eines Unterauftragsverarbeiters hat Trustpilot eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter abzuschließen, in der der Unterauftragsverarbeiter mindestens den gleichen Datenschutzverpflichtungen unterworfen wird, die in der Vereinbarung zur Auftragsverarbeitung dargelegt sind, einschließlich der Verpflichtung, geeignete technische und organisatorische Maßnahmen auf eine Weise zu implementieren, dass die Verarbeitung die Anforderungen der DSGVO erfüllt.

4.3  Der Kunde ist berechtigt, eine Kopie der Vereinbarung von Trustpilot mit dem Unterauftragsverarbeiter bezüglich der Bestimmungen zu den Datenschutzpflichten zu erhalten. Trustpilot bleibt gegenüber dem Kunden   für die Erfüllung der Pflichten des Unterauftragsverarbeiters vollumfänglich haftbar. Die Tatsache, dass der Kunde seine Einwilligung zum Einsatz von Unterauftragsverarbeitern durch Trustpilot erteilt hat, hat keinerlei Auswirkungen auf die Pflicht von Trustpilot, die Vereinbarung zur Auftragsverarbeitung zu befolgen.

5  Änderungen

5.1  Die Parteien können jederzeit vereinbaren, Änderungen an dieser Vereinbarung zur Auftragsverarbeitung vorzunehmen. Änderungen bedürfen der Schriftform.

6  Laufzeit und Konsequenzen der Kündigung der Vereinbarung zur Auftragsverarbeitung

6.1  Die Vereinbarung zur Auftragsverarbeitung tritt am 25. Mai 2018 in Kraft. Die Laufzeit dieser Vereinbarung zur Auftragsverarbeitung entspricht der Laufzeit der Vereinbarung.

6.2  Auf Aufforderung des Kunden hat Trustpilot personenbezogene Daten, die Trustpilot für den Kunden verarbeitet, unverzüglich zu übermitteln oder zu löschen (einschließlich Anonymisieren), sofern gemäß Gesetzen der Europäischen Union oder der Mitgliedsstaaten keine Speicherung der personenbezogenen Daten vorgeschrieben ist.          

7  Priorität

7.1  Wenn eine Bestimmung der Vereinbarung zur Auftragsverarbeitung mit den Bestimmungen der Vereinbarung im Widerspruch steht, gelten die Bestimmungen der Vereinbarung zur Auftragsverarbeitung. Die in Klausel 3 enthaltenen Anforderungen gelten nur insoweit, als dass in einer anderen Vereinbarung keine strikteren Verpflichtungen für Trustpilot vereinbart wurden.  Ferner gilt die Vereinbarung zur Auftragsverarbeitung nicht, soweit  Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten an Drittländer vereinbart wurden   und solche Klauseln strengere Pflichten für Trustpilot bzw. für Unterauftragsverarbeiter definieren.

7.2  Diese Vereinbarung zur Auftragsverarbeitung legt nicht die Vergütung von Trustpilot durch den Kunden für die Dienstleistungen gemäß der Vereinbarung fest.

7.3  Datenschutzbeauftragter von Trustpilot

Der Kunde kann den Datenschutzbeauftragten von Trustpilot per E-Mail an privacy@trustpilot.com kontaktieren.

 

                                                                                       ANHANG 1

Dieser Anhang bestimmt die Anweisungen des Kunden an Trustpilot im Zusammenhang mit der Datenverarbeitung von Trustpilot für den Kunden und stellt einen Bestandteil der Vereinbarung dar.

1.1  Die Verarbeitung personenbezogener Date

a)  Zweck und Art der Verarbeitungstätigkeiten

-  Bereitstellung des Bewertungs-Einladungsdienstes an den Kunden.[1]

b)  Kategorien betroffener Personen

-  Die Kunden des Kunden

c)  Kategorien personenbezogener Daten

-  Re b) I:     Name

-  Re b) II:    E-Mail-Adresse

-  Re b) III:   Referenznummer, zum Beispiel Bestellnummer oder Ähnliches

d)  Sonderkategorien von Daten

-  Keine

e)  Ort(e), einschließlich Name des Landes/der Länder der Verarbeitung

-  Irland

-  Die Vereinigten Staaten

-  Deutschland

-  Australien

-  Litauen 

-  Vereinigtes Königreich

 

[1]  In Abhängigkeit davon, welche Trustpilot-Dienstleistung der Kunde ausgewählt hat, kann es sich hierbei um den automatischen Feedback-Service, um Business Generated Links, eine Kickstart-Lösung bzw. um einen API-Einladungslink handeln.