Vereinbarung zur Auftragsverarbeitung

zwischen dem Kunden und Trustpilot (gemeinsam mit dem Kunden die „Parteien“)

1. Geltungsbereich der Vereinbarung zur Auftragsverarbeitung

1.1 Diese Vereinbarung zur Auftragsverarbeitung ist Teil der bestehenden Dienstleistungsvereinbarung (im Folgenden die „Vereinbarung“) zwischen dem Kunden und Trustpilot und enthält die Vereinbarung der Parteien zur Verarbeitung personenbezogener Daten.

1.2 Trustpilot agiert als Auftragsverarbeiter für den Kunden, da Trustpilot, wie in Anhang 1 dargelegt, personenbezogene Daten für den Kunden verarbeitet.

1.3 Die personenbezogenen Daten, die von Trustpilot verarbeitet werden sollen, betreffen die Datenkategorien, die Kategorien von betroffenen Personen und die Datenverarbeitungszwecke, die in Anhang 1 dargelegt sind.

1.4 „Personenbezogene Daten“ bezeichnet jegliche Informationen in Verbindung mit einer identifizierten oder identifizierbaren natürlichen Person (siehe Artikel 4(1) der Verordnung (EU) 2016/679 vom 27. April 2016 (die Datenschutz-Grundverordnung, „DSGVO“)).

1.5 „Sensible Daten“ bedeutet (a) eine Sozialversicherungsnummer, Passnummer, Führerscheinnummer oder ähnliche identifizierende Informationen (oder Teile davon), (b) eine Kredit- oder Debitkartennummer (außer den abgetrennten (letzten vier) Ziffern einer Kredit- bzw. Debitkarte), (c) beschäftigungsbezogene, finanzielle, genetische oder biometrische Daten bzw. Daten zur Gesundheit; (d) Daten, welche die ethnische Herkunft, politische Ansichten, religiöse bzw. weltanschauliche Überzeugungen oder eine Gewerkschaftszugehörigkeit preisgeben; (e) Informationen zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person; (f) Kontopasswörter; (g) das Geburtsdatum; (h) personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten; (i) der Geburtsname der Mutter; und (j) jegliche andere Informationen, die unter die Definition der „besonderen Kategorien personenbezogener Daten“ gemäß der DSGVO oder einem anderen geltenden Recht in Bezug auf die Privatsphäre und den Datenschutz fallen.

2. Verarbeitung personenbezogener Daten

2.1 Anweisungen: Trustpilot wird angewiesen, die personenbezogenen Daten ausschließlich zum Zwecke der Erbringung der Dienstleistungen gemäß den Darlegungen in Anhang 1 zu verarbeiten. Trustpilot darf die personenbezogenen Daten des Kunden für keine anderen als die in den Anweisungen angegebenen Zwecke verarbeiten oder verwenden und unter anderem personenbezogene Daten nicht an Drittländer oder an eine internationale Organisation übertragen, sofern Trustpilot gemäß dem Recht der Europäischen Union oder der Mitgliedstaaten nicht zu einer solchen Verarbeitung oder Verwendung verpflichtet ist. In diesem Fall hat Trustpilot den Kunden vor der Verarbeitung schriftlich über diese rechtliche Verpflichtung zu informieren, sofern eine solche Benachrichtigung gemäß dem entsprechenden Gesetz nicht aus wichtigen Gründen des öffentlichen Interesses untersagt ist.

2.2 Wenn der Kunde in den in Anhang 1 enthaltenen Anweisungen oder anderweitig seine Einwilligung für die Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation erteilt hat, hat Trustpilot sicherzustellen, dass eine rechtliche Grundlage für die Übermittlung besteht, z. B. die Standardvertragsklauseln der EU-Kommission für die Übermittlung personenbezogener Daten an Drittländer.

2.3 Wenn Trustpilot der Meinung ist, dass eine Anweisung des Kunden einen Verstoß gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union bzw. von Mitgliedstaaten darstellt, hat Trustpilot den Kunden unverzüglich schriftlich darüber zu informieren.

2.4 Wenn Trustpilot Gesetzen eines Drittlandes unterliegt, erklärt Trustpilot, dass die jeweiligen Gesetze Trustpilot nach Wissen von Trustpilot nicht an der Erfüllung der Vereinbarung zur Auftragsverarbeitung hindern, und dass Trustpilot den Kunden unverzüglich schriftlich benachrichtigen wird, wenn Trustpilot Kenntnis davon erhält, dass eine solche Behinderung vorliegt oder auftreten wird.

2.5 Im Rahmen dieser Vereinbarung zur Auftragsverarbeitung werden keine sensiblen Daten verarbeitet, und der Kunde gewährleistet und sichert zu, dass der Kunde keine sensiblen Daten an Trustpilot weitergibt, offenlegt oder anderweitig überträgt.

3. Allgemeine Pflichten von Trustpilot

3.1 Trustpilot hat sicherzustellen, dass Personen, die befugt sind, die personenbezogenen Daten zu verarbeiten, sich der Vertraulichkeit verpflichtet haben oder einer entsprechenden gesetzlichen Vertraulichkeitspflicht unterliegen.

3.2 Trustpilot hat geeignete technische und organisatorische Maßnahmen zu implementieren, um dem Risiko angemessene Sicherheitsvorkehrungen zu treffen und zu verhindern, dass die verarbeiteten personenbezogenen Daten

  • (i) unbeabsichtigt oder unrechtmäßig vernichtet werden, verlorengehen oder verändert werden,
  • (ii) ohne Genehmigung offengelegt oder zur Verfügung gestellt werden oder
  • (iii) anderweitig unter Verstoß gegen die für die Dienstleistungen geltenden Rechtsvorschriften, einschließlich der DSGVO, verarbeitet werden.

3.3 Trustpilot ist zudem zur Einhaltung der geltenden Datensicherheitsanforderungen verpflichtet, welche unmittelbar auf Trustpilot Anwendung finden, einschließlich der Datensicherheitsanforderungen des Landes, in dem Trustpilot ansässig ist, oder des Landes, in dem die Daten verarbeitet werden.

3.4 Die geeigneten technischen und organisatorischen Sicherheitsmaßnahmen müssen unter Berücksichtigung folgender Aspekte bestimmt werden:

  • (i) aktueller Stand der Technik,
  • (ii) Kosten der Implementierung und
  • (iii) Art, Umfang, Kontext und Zwecke der Verarbeitung sowie Risiko der variierenden Wahrscheinlichkeit und Schwere der Verletzung der Rechte und Freiheiten natürlicher Personen.

3.5 Trustpilot hat dem Kunden auf Aufforderung ausreichend Informationen vorzulegen, damit der Kunde sicherstellen kann, dass Trustpilot seine Pflichten aus der Vereinbarung zur Auftragsverarbeitung erfüllt, einschließlich der Sicherstellung, dass die geeigneten technischen und organisatorischen Sicherheitsmaßnahmen implementiert wurden.

3.6 Der Kunde ist berechtigt, auf eigene Kosten einen unabhängigen Sachverständigen zu beauftragen, dem der Zugang zu den Räumlichkeiten von Trustpilot gewährt wird und der alle erforderlichen Informationen erhält, die er benötigt, um prüfen zu können, ob Trustpilot seine Pflichten unter der Vereinbarung zur Auftragsverarbeitung erfüllt, einschließlich der Sicherstellung, dass die geeigneten technischen und organisatorischen Maßnahmen implementiert wurden. Der Kunde hat Trustpilot unter Einhaltung einer Frist von 14 Tagen im Voraus schriftlich zu informieren, und der Kunde ist verpflichtet, sicherzustellen, dass der Sachverständige eine übliche Geheimhaltungsvereinbarung unterzeichnet und die von Trustpilot erhaltenen Informationen vertraulich behandelt und ausschließlich an den Kunden weitergibt. Jegliche Ergebnisse oder Berichte, die auf Grundlage solcher Inspektionen erstellt werden, müssen an Trustpilot weitergegeben werden und gelten als vertrauliche Informationen.

3.7 Trustpilot ist verpflichtet, Behörden oder externen Beratern des Kunden, einschließlich Auditoren, Informationen in Verbindung mit der Erbringung der Dienstleistungen bereitzustellen, wenn dies für die Erfüllung ihrer Pflichten gemäß dem Recht der Europäischen Union oder des Mitgliedstaats erforderlich ist.

3.8 Trustpilot hat Behörden, die gemäß dem Recht der Europäischen Union oder des Mitgliedstaats berechtigt sind, die Einrichtungen des Kunden oder der Lieferanten des Kunden zu betreten bzw. Vertretern solcher Behörden nach Vorlage eines ordentlichen Identitätsnachweises Zugang zu den physischen Einrichtungen von Trustpilot zu gewähren.

3.9 Trustpilot muss den Kunden unverzüglich, nachdem Trustpilot Kenntnis darüber erhält, schriftlich über folgende Dinge informieren:

  • (i) Jegliche Anfragen von Behörden nach Offenlegung von personenbezogenen Daten, welche unter der Vereinbarung zur Auftragsverarbeitung verarbeitet wurden, sofern dies nicht ausdrücklich gemäß dem Recht der Europäischen Union oder des entsprechenden Mitgliedstaates untersagt ist,
  • (ii) Jeglichen Verdacht oder jegliche Feststellung in Bezug auf (a) eine Verletzung des Schutzes personenbezogener Daten, dieunbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die Trustpilot im Zusammenhang mit den Dienstleistungen übermittelt, speichert oder anderweitig verarbeitet, oder (b) sonstige wesentliche Nichtbefolgung der Pflichten von Trustpilot gemäß Klausel 3.2 und 3.3.

3.10 Trustpilot ist verpflichtet, den Kunden unverzüglich bei der Bearbeitung von Anfragen von betroffenen Personen unter Kapitel III der DSGVO, einschließlich Anfragen nach Zugang, Korrektur, Sperrung oder Löschung, welche mit der Verarbeitung personenbezogener Daten im Zusammenhang mit den Dienstleistungen in Verbindung stehen, zu unterstützen.

Wenn Trustpilot die Zugangsanfrage der betroffenen Person in Verbindung mit der Verarbeitung der personenbezogenen Daten im Auftrag des Kunden erhält, wird Trustpilot auf solche Anfragen nicht antworten, außer um die betroffene Person darüber zu informieren, ob im Auftrag des Kunden eine E-Mail mit einer Bewertungseinladung versandt wurde (dem der Kunde hiermit zustimmt) und um der betroffenen Person zu raten, ihre Anfrage an den Kunden zu richten, da der Kunde für die Beantwortung von Anfragen betroffener Personen verantwortlich ist, einschließlich, falls erforderlich, unter Verwendung der Dienstleistungen.

3.11 Trustpilot muss den Kunden bei der Erfüllung der anderen Pflichten, welche dem Kunden gegebenenfalls gemäß dem Recht der Europäischen Union oder der Mitgliedstaaten in Verbindung mit der Datenverarbeitung obliegen, unterstützen, wenn eine solche Unterstützung durch Trustpilot impliziert ist und wenn die Unterstützung von Trustpilot erforderlich ist, damit der Kunde seine Pflichten erfüllen kann. Dies umfasst insbesondere, dem Kunden auf Verlangen alle erforderlichen Informationen über einen Vorfall gemäß Klausel 3.9 (ii) sowie alle erforderlichen Informationen für eine Folgenabschätzung gemäß Artikel 35 und 36 der DSGVO bereitzustellen.

3.12 Trustpilot hat in Anhang 1 angegeben, welche Server, Niederlassungen etc. für die Erbringung der Dienstleistungen verwendet werden. Der Kunde kann jederzeit Informationen über die von Trustpilot im Zusammenhang mit den Dienstleistungen verwendeten Server oder Niederlassungen anfordern, und Trustpilot hat solche Informationen innerhalb von 30 Tagen bereitzustellen.

4. Unterauftragsverarbeiter

4.1 Trustpilot kann Unterauftragsverarbeiter beauftragen. Zum Zeitpunkt des Abschlusses der Vereinbarung zur Auftragsverarbeitung setzt Trustpilot für die Erbringung der Dienstleistungen die hier aufgeführten Unterauftragsverarbeiter ein. Trustpilot verpflichtet sich, den Kunden durch vorherige schriftliche Mitteilung an den Business-Account des Kunden über vorgesehene Änderungen hinsichtlich der Hinzufügung oder des Ersatzes eines Unterauftragsverarbeiters zu informieren. Wenn der Kunde objektive und vernünftige Gründe dokumentieren kann, aus denen vorgeschlagene neue Unterauftragsverarbeiter nicht akzeptiert werden können, kann der Kunde Widerspruch gegen den Einsatz dieser vorgeschlagenen Unterauftragsverarbeiter einlegen. Wenn Trustpilot keine alternativen Unterauftragsverarbeiter vorschlägt oder der Kunde vernünftige und objektive Gründe hat, Widerspruch gegen alle vorgeschlagenen Alternativen einzulegen, ist der Kunde berechtigt, den Vertrag mit Trustpilot innerhalb von 14 Tagen nach Erhalt einer diesbezüglichen Mitteilung zu kündigen.

4.2 Vor der Beauftragung eines Unterauftragsverarbeiters hat Trustpilot eine schriftliche Vereinbarung mit dem Unterauftragsverarbeiter abzuschließen, in der der Unterauftragsverarbeiter mindestens den gleichen Datenschutzverpflichtungen unterworfen wird, die in der Vereinbarung zur Auftragsverarbeitung dargelegt sind, einschließlich der Verpflichtung, geeignete technische und organisatorische Maßnahmen auf eine Weise zu implementieren, dass die Verarbeitung die Anforderungen der DSGVO erfüllt.

4.3 Der Kunde ist berechtigt, eine Kopie der Vereinbarung von Trustpilot mit dem Unterauftragsverarbeiter bezüglich der Bestimmungen zu den Datenschutzpflichten zu erhalten. Trustpilot bleibt gegenüber dem Kunden für die Erfüllung der Pflichten des Unterauftragsverarbeiters vollumfänglich haftbar. Die Tatsache, dass der Kunde seine Einwilligung zum Einsatz von Unterauftragsverarbeitern durch Trustpilot erteilt hat, hat keinerlei Auswirkungen auf die Pflicht von Trustpilot, die Vereinbarung zur Auftragsverarbeitung zu befolgen.

5. Änderungen

5.1 Die Parteien können jederzeit vereinbaren, Änderungen an dieser Vereinbarung zur Auftragsverarbeitung vorzunehmen. Änderungen bedürfen der Schriftform.

6. Laufzeit und Konsequenzen der Kündigung der Vereinbarung zur Auftragsverarbeitung

6.1 Die Vereinbarung zur Auftragsverarbeitung tritt in Kraft, wenn:

(i) der Kunde die Vereinbarung im Einklang mit Abschnitt 1.1 der Vereinbarung annimmt oder
(ii) beide Parteien die Vereinbarung zur Auftragsverarbeitung elektronisch oder persönlich unterzeichnen.

6.2 Die Laufzeit dieser Vereinbarung zur Auftragsverarbeitung entspricht der Laufzeit der Vereinbarung, außer wenn Trustpilot im Auftrag des Kunden weiterhin personenbezogene Daten verarbeitet. In diesem Fall bleibt Trustpilot weiterhin an die Pflichten der Vereinbarung zur Auftragsverarbeitung gebunden.

6.3 Trustpilot speichert die für den Kunden verarbeiteten personenbezogenen Daten für die folgenden Zeiträume:

(i) alle BCC-E-Mails werden automatisch nach 30 Tagen gelöscht;
(ii) alle Daten in Verbindung mit Bewertungseinladungen werden nach 3 Jahren gelöscht.

6.6 Auf Verlangen des Kunden hat Trustpilot personenbezogene Daten, die Trustpilot für den Kunden verarbeitet, unverzüglich zu übermitteln oder zu löschen (einschließlich anonymisieren), sofern gemäß dem Recht der Europäischen Union oder der Mitgliedstaaten keine Speicherung der personenbezogenen Daten vorgeschrieben ist.

7. Priorität

7.1 Wenn eine Bestimmung der Vereinbarung zur Auftragsverarbeitung mit den Bestimmungen der Vereinbarung im Widerspruch steht, gelten die Bestimmungen der Vereinbarung zur Auftragsverarbeitung. Die in Klausel 3 enthaltenen Anforderungen gelten jedoch nur insoweit, als dass in einer anderen Vereinbarung keine strikteren Pflichten für Trustpilot vereinbart wurden. Ferner gilt die Vereinbarung zur Auftragsverarbeitung nicht, soweit Standardvertragsklauseln der Europäischen Kommission für die Übermittlung personenbezogener Daten an Drittländer vereinbart wurden und solche Klauseln strengere Pflichten für Trustpilot bzw. für Unterauftragsverarbeiter definieren.

7.2 Diese Vereinbarung zur Auftragsverarbeitung legt nicht die Vergütung von Trustpilot durch den Kunden für die Dienstleistungen gemäß der Vereinbarung fest.

8. Datenschutzbeauftragter von Trustpilot

8.1 Der Kunde kann den Datenschutzbeauftragten von Trustpilot per E-Mail an privacy@trustpilot.com kontaktieren.

___

ANHANG 1

Dieser Anhang bestimmt die Anweisungen des Kunden an Trustpilot im Zusammenhang mit der Datenverarbeitung von Trustpilot für den Kunden und stellt einen Bestandteil der Vereinbarung dar.

1. Die Verarbeitung personenbezogener Daten

a) Zweck und Art der Verarbeitungstätigkeiten
Bereitstellung des Dienstes zur Bewertungseinladung an den Kunden.(1)

b) Kategorien betroffener Personen
Die Kunden des Kunden

c) Kategorien personenbezogener Daten
Betr. b) I: Name Betr. b) II: E-Mail-Adresse Betr. b) III: Referenznummer, zum Beispiel Bestellnummer oder ähnliches.

d) Sonderkategorien von Daten
Keine

e) Ort(e), einschließlich Name des Landes/der Länder der Verarbeitung
Dänemark
Irland
Vereinigte Staaten von Amerika
Deutschland
Australien
Litauen
Vereinigtes Königreich

(1) Abhängig davon, welche Trustpilot-Dienstleistung der Kunde ausgewählt hat, kann es sich hierbei um den Automatischen Feedback-Service, „Business Generated Links“, „Unique Links“, eine Kickstart-Lösung und/oder um einen API-Einladungslink handeln.

Zurück zum Anfang