1. Einleitung, Geltungsbereich, Definitionen
(1) Dieser Vertrag regelt die Rechte und Pflichten der Auftraggeberin und Adverfly im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.
(2) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Adverfly oder durch sie beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten der Auftraggeberin verarbeiten.
(3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU-Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden schriftlich zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.
2. Gegenstand und Dauer der Verarbeitung
2.1 Gegenstand
Adverfly übernimmt folgende Verarbeitungen:
Die Adverfly GmbH verarbeitet im Auftrag personenbezogene Daten gemäß den Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Die Kernleistungen umfassen die Analyse von Social Media Plattformen, Suchmaschinen, E-Mail-Marketing-Tools sowie Marketingkampagnen über Social Media Plattformen und Daten von Online-Shops und Webseiten.
Adverfly verfügt über die notwendigen fachlichen, rechtlichen und gewerberechtlichen Voraussetzungen, um die Beratungsleistungen selbständig zu erbringen.
Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag.
2.2 Dauer
Die Verarbeitung beginnt mit der Subskribierung der Adverfly Dienste über die Adverfly Webseiten. Sie erfolgt auf unbestimmte Zeit bis zur Kündigung des Vertrags durch eine Partei. AVV Adverfly ___________________________________________________________________________
___________________________________________________________________________ www.adverfly.com 23. Mai. 2024 Seite 2
3. Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung
3.1 Art der Verarbeitung
Personenbezogene Daten der Kunden des Nutzers werden unmittelbar nach Erfassung auf einem deutschen Server verschlüsselt und pseudonymisiert. IP-Adressen der Kunden des Nutzers werden nach Eingang auf den Servern innerhalb wenigen Sekunden anonymisiert. Die Plattform bietet ein integriertes Bezahlsystem sowie eine Chat-Funktion für registrierte Nutzer und Partnerunternehmen. Nach erfolgreichem Login können Nutzer verschiedene Kampagnen und Webseiten analysieren. Registrierte Nutzer haben die Möglichkeit, einzelne Käuferdaten im Dashboard zu löschen, wobei die Löschung bis zu 60 Tage dauern kann. Die Wartung der Plattform erfolgt durch die Adverfly GmbH selbst. Die Plattform bietet eine neu entwickelte Echtzeitmessung, um Interaktionen und Käufe genau zu verfolgen und Werbekampagnen effektiver zu verwalten.
3.2 Art und Kategorien der Daten
Kategorien und betroffene Personen können variieren, abhängig von den Daten, die über die Webseiten des jeweiligen Kunden auf die Plattform von Adverfly gelangen.
In vielen Fällen werden folgende Informationen aufgenommen:
▪ Registrierungsdaten der registrierten Nutzer
- E-Mail-Adresse
- Vor- und Nachname
▪ Kunden des Nutzers
- Nutzungsdaten
- Geräte- und Browserinformationen
- Bestellinformationen
- IP-Adressen
- E-Mail-Adressen oder Kundennummern
4. Pflichten der Adverfly
(1) Adverfly verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie von der Auftraggeberin angewiesen, es sei denn, die Adverfly ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für sie bestehen, teilt die Adverfly diese der Auftraggeberin vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihr gesetzlich verboten. Adverfly verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. AVV Adverfly ___________________________________________________________________________
___________________________________________________________________________ www.adverfly.com 23. Mai. 2024 Seite 3
(2) Adverfly bestätigt, dass ihr die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Sie beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
(3) Adverfly verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
(4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
(5) Adverfly trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
(6) Im Zusammenhang mit der beauftragten Verarbeitung hat Adverfly der Auftraggeberin bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Eventuell hierfür entstehende Aufwände werden vorab mit der Auftraggeberin abgestimmt.
(7) Wird die Auftraggeberin durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihr gegenüber Rechte geltend, verpflichtet sich Adverfly, die Auftraggeberin im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. Eventuell hierfür entstehende Aufwände werden vorab mit der Auftraggeberin abgestimmt.
(8) Auskünfte an Dritte oder den Betroffenen darf Adverfly nur nach vorheriger Zustimmung durch die Auftraggeberin erteilen. Direkt an sie gerichtete Anfragen leitet sie unverzüglich an die Auftraggeberin weiter.
(9) Soweit gesetzlich verpflichtet, bestellt die Adverfly eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich die Auftraggeberin direkt an den Datenschutzbeauftragten wenden. Adverfly teilt der Auftraggeberin unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt Adverfly der Auftraggeberin unverzüglich mit.
5. Technische und organisatorische Maßnahmen
5.1 Allgemein
(1) Die im Folgenden beschriebenen Datensicherheitsmaßnahmen definieren das von Adverfly geschuldete Minimum.
(2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird.
(3) Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen der Auftraggeberin nicht oder nicht mehr genügen, benachrichtigt Adverfly die Auftraggeberin unverzüglich.
(4) Adverfly sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden. AVV Adverfly ___________________________________________________________________________
___________________________________________________________________________ www.adverfly.com 23. Mai. 2024 Seite 4
(5) Kopien oder Duplikate werden ohne Wissen der Auftraggeberin nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
(6) Dedizierte Datenträger, die von der Auftraggeberin stammen bzw. für die Auftraggeberin genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.
(7) Adverfly führt den regelmäßigen Nachweis der Erfüllung ihrer Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit.
5.2 Maßnahmen
Adverfly wird nachfolgende technische und organisatorische Maßnahmen zur Umsetzung der Anforderungen aus Art. 32 DSGVO bei der Datenverarbeitung berücksichtigen.
(1) Zutrittskontrolle
Maßnahmen, mit denen Unbefugten der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt wird:
Server sind in verschlossenen, durch Zutrittskontrollsysteme gesicherte Räume zu betreiben
Protokollierung der Zutritte zu Serverräumen
Werkschutz, Pförtner
Videoüberwachung
(2) Zugangskontrolle
Maßnahmen, mit denen die Nutzung von Datenverarbeitungssystemen durch Unbefugte verhindert wird:
Verwendung von Passwörtern
Einsatz passwortgeschützter Bildschirmschoner
Verschlüsselung von Datenträgern
(3) Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugangsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt, gelesen, kopiert, verändert oder entfernt werden können.:
Erstellung und Nutzung eines Berechtigungskonzept – bedarfsgerechte Zugriffsrechte
AVV Adverfly ___________________________________________________________________________
___________________________________________________________________________ www.adverfly.com 23. Mai. 2024 Seite 5
Protokollierung von Zugriffen
sämtliche Datenträger sind unter Verschluss zu halten
Datenträger sind gemäß DIN-Norm (DIN 32757-1 bzw. 33858) zu vernichten
Verschlüsselung und Pseudonymisierung personenbezogener Daten
(4) Trennungskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die für unterschiedliche Zwecke erhoben wurde, getrennt voneinander verarbeitet werden. Die Trennungskontrolle ist wie folgt realisiert:
es gibt Produktivinstanzen und Testinstanzen
die Daten sind kundenbezogen (teilnehmerbezogen) separiert
die Datensicherung erfolgt auf separaten Datenträgern
die Erfassung, Veränderung, Löschung und Übermittlung erfolgt durch jeweils eigen-ständige Funktionen.
(5) Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO)
Sofern es das Ziel der Datenverarbeitung zulässt, werden personenbezogene Daten pseudonymisiert. „Pseudonymisierung“ meint die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
(6) Übertragungs-/Weitergabekontrolle
Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personen-bezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:
sämtliche Daten sind bei Datenübermittlungen über das Internet zu verschlüsseln
Transporte von Datenträgern sind in verschlossenen Behältern durchzuführen und werden protokolliert
(7) Speicher-/Eingabekontrolle
AVV Adverfly ___________________________________________________________________________
___________________________________________________________________________ www.adverfly.com 23. Mai. 2024 Seite 6
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten. Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt werden können:
Protokollierung sämtliche Aktivitäten mit Angabe des betroffenen Datensatzes, Art der Aktivität, Zeitpunkt und Name der ausführenden Person
Dokumentation der Administratortätigkeiten (Anlegen, Ändern, Löschen von Benutzern)
(8) Auftragskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Verantwortlichen verarbeitet werden können:
Abschluss von Vereinbarungen analog dieser Vereinbarung
(9) Verfügbarkeitskontrolle
Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind:
Einsatz von aktuellen Virenscanner, Firewalls und Spamfiltern
Regelmäßige Datensicherung
Erstellung eines Notfallplanes incl. Recovery-Konzeptes
regelmäßige Tests der vorhandenen Konzepte
katastrophensichere Aufbewahrung von Datenträgern
(10) Wiederherstellbarkeit
Maßnahmen, die gewährleisten, dass alle Funktionen des Systems und die Verfügbarkeit und der Zugang zu personenbezogenen Daten im Störungsfall rasch wiederhergestellt werden können.
Standardisiertes Notfallmanagement inkl. Notfallpläne und Leitfäden, so dass eine unverzügliche Wiederherstellbarkeit gewährleistet ist.
Regelmäßige Tests der Wiederherstellbarkeit.
(11) Zuverlässigkeit
Maßnahmen, die gewährleisten, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.
Elektronisches Fehlermeldungssystem
Reaktions- und Fehlerbehebungszeiten im Störungsfall
Regelmäßige Testläufe zur Ansprache aller im System enthaltenen Funktionen
(12) Datenintegrität
AVV Adverfly ___________________________________________________________________________
___________________________________________________________________________ www.adverfly.com 23. Mai. 2024 Seite 7
Maßnahmen, die gewährleisten, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.
Rekonstruierbarkeit der Daten aus einem Datenstrom an allen erforderlichen Stellen einer Datenübertragung
Richtungsindikator
Analyse von Sequenznummern
(13) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Maßnahmen (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)
Datenschutzmanagement mit Leitlinien zu Datenschutz und Datensicherheit und Richtlinien, mit denen die Umsetzung der Ziele der Leitlinie gewährleistet wird.
Regelmäßige Überprüfung und Anpassung der Richtlinien im Hinblick auf Wirksamkeit und flächendeckender Durchsetzung.
Datenschutz- und Informationssicherheits-Team, das Maßnahmen im Bereich von Datenschutz und Datensicherheit plant, umsetzt, evaluiert und Anpassungen vornimmt.
Sensibilisierung und Schulung aller Mitarbeiter hinsichtlich Datenschutzvorfälle und Etablierung von Meldeketten.
Regelmäßige interne Auditierung der TOMs
Überprüfung des Datenschutzniveaus bei Abänderung von Datenverarbeitungsprozessen und technischen Neuerungen
Regelmäßige Bewertung des Risikos für Systemangriffe und Anpassung des Kontrollturnus für Abwehrmaßnahmen
Regelmäßige Risikoanalyse in Bezug auf materielle und immaterielle Schäden die im Rahmen der Verarbeitungstätigkeit bzw. bei den zugrundeliegenden Systemen auf-treten können.
Fortschreibung eines Maßnahmenplans auf Basis der identifizierten und bewerteten Risiken.
Entsprechende Auditierung und Nachweise von Subdienstleistern.
6. Regelungen zur Berichtigung, Löschung und Sperrung von Daten
(1) Im Rahmen des Auftrags verarbeitete Daten wird Adverfly nur entsprechend der getroffenen vertraglichen Vereinbarung oder nach Weisung der Auftraggeberin berichtigen, löschen oder sperren.
(2) Den entsprechenden Weisungen der Auftraggeberin wird Adverfly jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.
7. Unterauftragsverhältnisse AVV Adverfly ___________________________________________________________________________
___________________________________________________________________________ www.adverfly.com 23. Mai. 2024 Seite 8
(1) Adverfly besitzt die allgemeine Genehmigung der Auftraggeberin für die Beauftragung von Unterauftragsverarbeitern (Subunternehmers). Auf Verlangen der Auftraggeberin stellt Adverfly die erforderlichen Informationen hinsichtlich ggf. eingesetzter Unterauftragsverarbeitern zur Verfügung.
(2) Die Rechte der Auftraggeberin müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss die Auftraggeberin berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.
(3) Die Verantwortlichkeiten der Adverfly und des Subunternehmers sind eindeutig voneinander abzugrenzen.
(4) Adverfly wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.
(5) Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig, wenn sich Adverfly davon überzeugt hat, dass der Subunternehmer seine Verpflichtungen vollständig erfüllt hat.
(6) Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet.
(7) Adverfly hat die Einhaltung der Pflichten des Subunternehmers regelmäßig, spätestens alle 12 Monate, angemessen zu überprüfen.
(8) Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht der Adverfly, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.
8. Rechte und Pflichten der Auftraggeberin
(1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Kunde verantwortlich.
(2) Die Auftraggeberin erteilt alle Aufträge, Teilaufträge oder Weisungen und dokumentiert diese. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird die Auftraggeberin unverzüglich dokumentiert bestätigen.
(3) Die Auftraggeberin informiert die Adverfly unverzüglich, wenn sie Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
(4) Die Auftraggeberin ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen bei der Adverfly in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kontrollieren. Den mit der Kontrolle betrauten Personen ist von der Adverfly soweit erforderlich Zutritt und Einblick zu ermöglichen. Adverfly ist AVV Adverfly ___________________________________________________________________________
___________________________________________________________________________ www.adverfly.com 23. Mai. 2024 Seite 9
verpflichtet, erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind.
(5) Kontrollen bei der Adverfly haben ohne vermeidbare Störungen ihres Geschäftsbetriebs zu erfolgen. Soweit nicht aus von der Auftraggeberin zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten der Adverfly, sowie nicht häufiger als alle 12 Monate statt. Soweit die Adverfly den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten erbringt, soll sich eine Kontrolle auf Stichproben beschränken.
9. Mitteilungspflichten
(1) Adverfly teilt der Auftraggeberin Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis der Adverfly vom relevanten Ereignis an eine von der Auftraggeberin benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
eine Beschreibung der von Adverfly ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
(2) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße der Adverfly oder der bei ihr beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
(3) Adverfly informiert die Auftraggeberin unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
10. Weisungen
(1) Die Auftraggeberin behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungsrecht vor.
(2) Die Auftraggeberin und die Adverfly benennen die zur Erteilung und Annahme von Weisungen ausschließlich befugten Personen. AVV Adverfly ___________________________________________________________________________
___________________________________________________________________________ www.adverfly.com 23. Mai. 2024 Seite 10
(3) Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.
(4) Adverfly wird die Auftraggeberin unverzüglich darauf aufmerksam machen, wenn eine von der Auftraggeberin erteilte Weisung ihrer Meinung nach gegen gesetzliche Vorschriften verstößt. Adverfly ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bei der Auftraggeberin bestätigt oder geändert wird.
(5) Adverfly hat ihr erteilte Weisungen und deren Umsetzung zu dokumentieren.
11. Beendigung des Auftrags
(1) Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen der Auftraggeberin hat Adverfly die im Auftrag verarbeiteten Daten nach Wahl der Auftraggeberin entweder zu vernichten oder an die Auftraggeberin zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.
(2) Adverfly ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.
(3) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch die Adverfly den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Sie kann sie zu ihrer Entlastung der Auftraggeberin bei Vertragsende übergeben.
12. Vergütung
Die Vergütung von Adverfly ist abschließend im Dienstleistungsvertrag (Subskribierung geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.
13. Haftung
(1) Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeberin und Adverfly gesamtschuldnerisch.
(2) Adverfly trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihr zu vertretenden Umstandes ist, soweit die relevanten Daten von ihr unter dieser Vereinbarung verarbeitet wurden.
(3) Adverfly haftet der Auftraggeberin für Schäden, die Adverfly, ihre Mitarbeiter bzw. die von ihr mit der Vertragsdurchführung Beauftragten oder die von ihr eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen. AVV Adverfly ___________________________________________________________________________
___________________________________________________________________________ www.adverfly.com 23. Mai. 2024 Seite 11
(4) Nummern (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer von der Auftraggeberin erteilten Weisung entstanden ist.
14. Sonstiges
(1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.
(2) Sollte Eigentum der Auftraggeberin bei der Adverfly durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat Adverfly die Auftraggeberin unverzüglich zu verständigen.
(3) Für Nebenabreden ist die Schriftform erforderlich.
(4) Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
(5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
(6) Es gelten die Allgemeinen Geschäftsbedingungen der Adverfly GmbH.