Vereinbarung über die Auftragsverarbeitung (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

1. Gegenstand und Dauer der Vereinbarung

(1) Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus dem zwischen dem Auftraggeber und dem Auftragnehmer (Patrik Silbermann, Golden-Feedback) geschlossenen Hauptvertrag über die Nutzung des Feedback-Systems ergeben.

(2) Die Dauer dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages.

2. Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erhebung, Speicherung, Filterung (je nach Konfigurationsmodus) und Bereitstellung von Kundenfeedback sowie die Verwaltung von Teilnehmerdaten für das Jackpot-Gewinnspiel.

(2) Zweck: Statistische Auswertung der Kundenzufriedenheit für den Auftraggeber und Steigerung der Interaktionsrate durch ein zentrales Gewinnspiel.

(3) Kategorien betroffener Personen: Gäste und Kunden des Auftraggebers.

(4) Arten personenbezogener Daten:

• Feedback-Inhalte (Bewertungstendenzen, Freitextkommentare)
• E-Mail-Adressen (nur bei aktiver Gewinnspielteilnahme)
• Technische Metadaten (IP-Adresse, Zeitstempel für Double-Opt-In)

3. Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

(2) Er gewährleistet, dass sich die zur Verarbeitung berechtigten Personen zur Vertraulichkeit verpflichtet haben.

(3) Sicherheit der Verarbeitung (Art. 32 DSGVO): Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen (TOM), insbesondere:

• Verschlüsselung der Datenübertragung (SSL/TLS).
• Hosting auf zertifizierten Servern in Deutschland (STRATO AG).
• Verfahren zur regelmäßigen Überprüfung der Sicherheit.
• Anonymisierung von E-Mail-Adressen nicht gewonnener Teilnehmer nach Monatsablauf.

4. Unterauftragsverhältnisse

(1) Der Auftraggeber genehmigt die Hinzuziehung folgender Unterauftragsverarbeiter:

• STRATO AG: Hosting und Datenbankbetrieb (Deutschland).
• Mollie B.V.: Zahlungsabwicklung für die B2B-Vertragsbeziehung (Niederlande).

5. Verantwortlichkeit des Auftraggebers

(1) Der Auftraggeber ist als "Verantwortlicher" für die Wahrung der Betroffenenrechte zuständig.

(2) Konfigurationsmodus: Der Auftraggeber trifft die Entscheidung über die Aktivierung des "Safe Mode" oder des "Gate Keeping" Modus. Er trägt die Verantwortung für die Information der Gäste über diese Form der Feedback-Steuerung in seinem Betrieb.

6. Haftung

(1) Die Parteien haften für Schäden nach den gesetzlichen Bestimmungen der DSGVO.

(2) Entsprechend der Regelung im Hauptvertrag haftet der Auftragnehmer gegenüber dem Auftraggeber unbeschränkt bei Vorsatz und grober Fahrlässigkeit. Bei einfacher Fahrlässigkeit ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt, sofern keine Verletzung von Leben, Körper oder Gesundheit vorliegt.

7. Löschung von Daten

Der Auftragnehmer löscht die Daten nach Ende der Verarbeitungsleistungen oder auf Anfrage des Auftraggebers, sofern keine gesetzlichen Aufbewahrungsfristen (z. B. steuerliche Nachweise für Gewinnspielauszahlungen) entgegenstehen.