Vereinbarung über die Auftragsverarbeitung (AVV)

gemäß Art. 28 Datenschutz-Grundverordnung (DSGVO)

1. Gegenstand und Dauer der Vereinbarung

(1) Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Parteien, die sich aus dem zwischen dem Auftraggeber und dem Auftragnehmer (Patrik Silbermann, Golden-Feedback) geschlossenen Hauptvertrag über die Nutzung des Feedback-Systems ergeben.

(2) Die Dauer dieser Vereinbarung richtet sich nach der Laufzeit des Hauptvertrages.

2. Art und Zweck der Verarbeitung

(1) Art der Verarbeitung: Erhebung, Speicherung, Filterung (je nach Konfigurationsmodus) und Bereitstellung von Kundenfeedback sowie die Verwaltung von Teilnehmerdaten für das Jackpot-Gewinnspiel.

(2) Zweck: Statistische Auswertung der Kundenzufriedenheit für den Auftraggeber und Steigerung der Interaktionsrate durch ein zentrales Gewinnspiel.

(3) Kategorien betroffener Personen: Gäste und Kunden des Auftraggebers.

(4) Arten personenbezogener Daten:

• Feedback-Inhalte (Bewertungstendenzen, Freitextkommentare)
• E-Mail-Adressen (nur bei aktiver Gewinnspielteilnahme)
• Technische Metadaten (IP-Adresse, Zeitstempel für Double-Opt-In)

3. Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.

(2) Er gewährleistet, dass sich die zur Verarbeitung berechtigten Personen zur Vertraulichkeit verpflichtet haben.

(3) Sicherheit der Verarbeitung (Art. 32 DSGVO): Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen (TOM), insbesondere:

• Verschlüsselung der Datenübertragung (SSL/TLS).
• Hosting auf zertifizierten Servern in Deutschland (STRATO AG).
• Verfahren zur regelmäßigen Überprüfung der Sicherheit.
• Anonymisierung von E-Mail-Adressen nicht gewonnener Teilnehmer nach Monatsablauf.

4. Unterauftragsverhältnisse

(1) Der Auftraggeber genehmigt die Hinzuziehung folgender Unterauftragsverarbeiter:

• STRATO AG: Hosting und Datenbankbetrieb (Deutschland).
• Mollie B.V.: Zahlungsabwicklung für die B2B-Vertragsbeziehung (Niederlande).

5. Verantwortlichkeit des Auftraggebers

(1) Der Auftraggeber ist als "Verantwortlicher" für die Wahrung der Betroffenenrechte zuständig.

(2) Konfigurationsmodus: Der Auftraggeber trifft die Entscheidung über die Aktivierung des "Safe Mode" oder des "Gate Keeping" Modus. Er trägt die Verantwortung für die Information der Gäste über diese Form der Feedback-Steuerung in seinem Betrieb.

6. Haftung

(1) Die Parteien haften für Schäden nach den gesetzlichen Bestimmungen der DSGVO.

(2) Entsprechend der Regelung im Hauptvertrag haftet der Auftragnehmer gegenüber dem Auftraggeber unbeschränkt bei Vorsatz und grober Fahrlässigkeit. Bei einfacher Fahrlässigkeit ist die Haftung auf den vertragstypischen, vorhersehbaren Schaden begrenzt, sofern keine Verletzung von Leben, Körper oder Gesundheit vorliegt.

7. Löschung von Daten

Der Auftragnehmer löscht die Daten nach Ende der Verarbeitungsleistungen oder auf Anfrage des Auftraggebers, sofern keine gesetzlichen Aufbewahrungsfristen (z. B. steuerliche Nachweise für Gewinnspielauszahlungen) entgegenstehen.

8. Unterstützung bei Datenschutzverletzungen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art. 32 bis 36 DSGVO genannten Pflichten, insbesondere hinsichtlich der Sicherheit der Verarbeitung, der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde sowie der Benachrichtigung der betroffenen Personen.

(2) Der Auftragnehmer meldet dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich, spätestens jedoch innerhalb von 24 Stunden nach Bekanntwerden. Die Meldung erfolgt per E-Mail an die vom Auftraggeber zuletzt bekannt gegebene E-Mail-Adresse und enthält mindestens:

• eine Beschreibung der Art der Verletzung;
• die Kategorien und die ungefähre Anzahl der betroffenen Personen und Datensätze;
• die wahrscheinlichen Folgen der Verletzung;
• die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung.

9. Kontrollrechte des Auftraggebers

(1) Der Auftraggeber ist berechtigt, die Einhaltung dieser Vereinbarung und der datenschutzrechtlichen Vorschriften durch den Auftragnehmer zu überprüfen. Dies kann erfolgen durch:

• Einholung von Auskünften und Nachweisen (z. B. Zertifikate, Dokumentationen);
• Ankündigung und Durchführung von Audits oder Inspektionen, sofern diese mit angemessener Vorankündigung (mindestens 5 Werktage) erfolgen.

(2) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung seiner Pflichten aus Art. 28 DSGVO zur Verfügung.

(3) Audits sind auf das erforderliche Maß zu beschränken und dürfen den laufenden Betrieb des Auftragnehmers nicht unverhältnismäßig beeinträchtigen. Die Kosten eines Audits trägt grundsätzlich der Auftraggeber, es sei denn, das Audit ergibt wesentliche Verstöße durch den Auftragnehmer.