Impressum/Datenschutz

Verantwortlicher im Sinne des §5 TMG:

Thorsten Trautmann
Wadelheimer Chaussee 4
48431 Rheine

Inhaltlich verantwortlicImh im Sinne des § 5 TMG:

IMG 0368.JPG

Datenschutzerklärung

Einleitung

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als "Daten“ bezeichnet) wir zu welchen Zwecken und in welchem Umfang verarbeiten. Die Datenschutzerklärung gilt für alle von uns durchgeführten Verarbeitungen personenbezogener Daten, sowohl im Rahmen der Erbringung unserer Leistungen als auch insbesondere auf unseren Webseiten, in mobilen Applikationen sowie innerhalb externer Onlinepräsenzen, wie z.B. unserer Social-Media-Profile (nachfolgend zusammenfassend bezeichnet als "Onlineangebot“).

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Stand: 3. Februar 2020

Inhaltsübersicht

Verantwortlicher

E-Mail-Adresse : [email protected]

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen und verweist auf die betroffenen Personen.

Arten der verarbeiteten Daten

  • Bestandsdaten (z.B. Namen, Adressen).

  • Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos).

  • Kontaktdaten (z.B. E-Mail, Telefonnummern).

  • Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten).

Kategorien betroffener Personen

  • Kommunikationspartner.

  • Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

Zwecke der Verarbeitung

  • Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit.

  • Besuchsaktionsauswertung.

  • Content Delivery Network (CDN).

  • Direktmarketing (z.B. per E-Mail oder postalisch).

  • Feedback (z.B. Sammeln von Feedback via Online-Formular).

  • Interessenbasiertes und verhaltensbezogenes Marketing.

  • Kontaktanfragen und Kommunikation.

  • Profiling (Erstellen von Nutzerprofilen).

  • Remarketing.

  • Reichweitenmessung (z.B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher).

  • Sicherheitsmaßnahmen.

  • Tracking (z.B. interessens-/verhaltensbezogenes Profiling, Nutzung von Cookies).

  • Vertragliche Leistungen und Service.

  • Verwaltung und Beantwortung von Anfragen.

Maßgebliche Rechtsgrundlagen

Im Folgenden teilen wir die Rechtsgrundlagen der Datenschutzgrundverordnung (DSGVO), auf deren Basis wir die personenbezogenen Daten verarbeiten, mit. Bitte beachten Sie, dass zusätzlich zu den Regelungen der DSGVO die nationalen Datenschutzvorgaben in Ihrem bzw. unserem Wohn- und Sitzland gelten können. Sollten ferner im Einzelfall speziellere Rechtsgrundlagen maßgeblich sein, teilen wir Ihnen diese in der Datenschutzerklärung mit.

  • Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) - Die betroffene Person hat ihre Einwilligung in die Verarbeitung der sie betreffenden personenbezogenen Daten für einen spezifischen Zweck oder mehrere bestimmte Zwecke gegeben.

  • Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO) - Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.

  • Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 S. 1 lit. d. DSGVO) - Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

  • Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO) - Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Nationale Datenschutzregelungen in Deutschland : Zusätzlich zu den Datenschutzregelungen der Datenschutz-Grundverordnung gelten nationale Regelungen zum Datenschutz in Deutschland. Hierzu gehört insbesondere das Gesetz zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung (Bundesdatenschutzgesetz – BDSG). Das BDSG enthält insbesondere Spezialregelungen zum Recht auf Auskunft, zum Recht auf Löschung, zum Widerspruchsrecht, zur Verarbeitung besonderer Kategorien personenbezogener Daten, zur Verarbeitung für andere Zwecke und zur Übermittlung sowie automatisierten Entscheidungsfindung im Einzelfall einschließlich Profiling. Des Weiteren regelt es die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (§ 26 BDSG), insbesondere im Hinblick auf die Begründung, Durchführung oder Beendigung von Beschäftigungsverhältnissen sowie die Einwilligung von Beschäftigten. Ferner können Landesdatenschutzgesetze der einzelnen Bundesländer zur Anwendung gelangen.

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeiten und des Ausmaßes der Bedrohung der Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Zu den Maßnahmen gehören insbesondere die Sicherung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten durch Kontrolle des physischen und elektronischen Zugangs zu den Daten als auch des sie betreffenden Zugriffs, der Eingabe, der Weitergabe, der Sicherung der Verfügbarkeit und ihrer Trennung. Des Weiteren haben wir Verfahren eingerichtet, die eine Wahrnehmung von Betroffenenrechten, die Löschung von Daten und Reaktionen auf die Gefährdung der Daten gewährleisten. Ferner berücksichtigen wir den Schutz personenbezogener Daten bereits bei der Entwicklung bzw. Auswahl von Hardware, Software sowie Verfahren entsprechend dem Prinzip des Datenschutzes, durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen.

Kürzung der IP-Adresse : Sofern es uns möglich ist oder eine Speicherung der IP-Adresse nicht erforderlich ist, kürzen wir oder lassen Ihre IP-Adresse kürzen. Im Fall der Kürzung der IP-Adresse, auch als "IP-Masking" bezeichnet, wird das letzte Oktett, d.h., die letzten beiden Zahlen einer IP-Adresse, gelöscht (die IP-Adresse ist in diesem Kontext eine einem Internetanschluss durch den Online-Zugangs-Provider individuell zugeordnete Kennung). Mit der Kürzung der IP-Adresse soll die Identifizierung einer Person anhand ihrer IP-Adresse verhindert oder wesentlich erschwert werden.

SSL-Verschlüsselung (https) : Um Ihre via unser Online-Angebot übermittelten Daten zu schützen, nutzen wir eine SSL-Verschlüsselung. Sie erkennen derart verschlüsselte Verbindungen an dem Präfix https:// in der Adresszeile Ihres Browsers.

Übermittlung und Offenbarung von personenbezogenen Daten

Im Rahmen unserer Verarbeitung von personenbezogenen Daten kommt es vor, dass die Daten an andere Stellen, Unternehmen, rechtlich selbstständige Organisationseinheiten oder Personen übermittelt oder sie ihnen gegenüber offengelegt werden. Zu den Empfängern dieser Daten können z.B. Zahlungsinstitute im Rahmen von Zahlungsvorgängen, mit IT-Aufgaben beauftragte Dienstleister oder Anbieter von Diensten und Inhalten, die in eine Webseite eingebunden werden, gehören. In solchen Fall beachten wir die gesetzlichen Vorgaben und schließen insbesondere entsprechende Verträge bzw. Vereinbarungen, die dem Schutz Ihrer Daten dienen, mit den Empfängern Ihrer Daten ab.

Kontoname

[email protected]'s Account

Zusatz zur Datenverarbeitung

Der Zusatz zur Datenverarbeitung für dieses Konto wurde am 3. Februar 2020 vereinbart.

WHOIS

Bearbeiten Sie Ihre WHOIS-Kontaktdaten in allen Cloudflare-Registrar-Domains.

Kontakt

Support kontaktieren

Vertrieb kontaktieren

Telefonkontakt zum Vertrieb: +1 (888) 993 5273

Unser Angebot

Tarife

Überblick

Features

Netzwerk

Apps

Ressourcen

Blog

Fallstudien

Partner

Kunden

API

Support

Hilfe-Center

Community

Systemstatus

Videos

Trust & Safety

Über uns

Unser Team

Karriere

Presse

Nutzungsbedingungen für die Website

Self-Service-Abonnementvereinbarung

Datenschutzrichtlinie

Cloudflare, Inc. Data Processing Addendum, Version 2.0 29 October 2019

CLOUDFLARE VEREINBARUNG ZUR AUFTRAGSVERARBEITUNG

Cloudflare, Inc. (“Cloudflare”) und der Vertragspartner, der diesen Bestimmungen zustimmt (“Kunde”), haben einen Enterprise Subscription Vertrag, einen Self-Serve Subscription Vertrag oder einen anderen schriftlichen oder elektronischen Vertrag für Dienste abgeschlossen, die Cloudflare bereitstellt (der “Hauptvertrag”). Diese Vereinbarung zur Auftragsverarbeitung, einschließlich der Anlagen (die „AVV“), ist Bestandteil des Hauptvertrages.

Diese AVV tritt zu dem Zeitpunkt in Kraft, an dem der Kunde sie per Mausklick akzeptiert hat oder an dem die Parteien sich auf eine andere Weise auf diese AVV geeinigt haben (“Tag des Inkrafttretens der AVV”), und ersetzt und löst frühere anwendbare Bestimmungen ab, die sich auf deren Gegenstand beziehen (einschließlich etwaiger Datenschutzvereinbarungen in Bezug auf die Dienste).

Wenn Sie diese AVV im Namen des Kunden akzeptieren, gewährleisten Sie, dass: (a) Sie die volle rechtliche Befugnis haben, den Kunden an diese AVV zu binden; (b) Sie diese AVV gelesen und verstanden haben; und (c) Sie im Namen des Kunden mit dieser AVV einverstanden sind. Wenn Sie nicht die rechtliche Befugnis haben, den Kunden zu rechtlich zu binden, akzeptieren Sie diese AVV bitte nicht.

BESTIMMUNGEN ZUR DATENVERARBEITUNG

Die Parteien erwarten, dass Cloudflare im Zusammenhang mit den Diensten bestimmte Personenbezogene Daten, für die der Kunde oder ein Mitglied der Kundengruppe gemäß den geltenden EU-Datenschutzgesetzen und den Datenschutzgesetzen des Vereinigten Königreichs ein Verantwortlicher oder ein Auftragsverarbeiter sein kann, außerhalb des Europäischen Wirtschaftsraumes (“EWR”) und des Vereinigten Königreichs verarbeitet.

Die Parteien haben vereinbart, diese AVV abzuschließen, um sicherzustellen, dass geeignete Garantien in Bezug auf den Schutz Personenbezogener Daten geschaffen werden, wie sie in den geltenden Datenschutzgesetzen vorgeschrieben sind. Dementsprechend verpflichtet sich Cloudflare, die folgenden Bestimmungen in Bezug auf alle Personenbezogenen Daten einzuhalten, die vom oder für den Kunden an Cloudflare übermittelt oder vom oder für den Kunden, der die Dienste nutzt, erhoben oder verarbeitet werden.

1. Definitionen

1.1 Die folgenden Definitionen werden in dieser AVV verwendet:

a) “Adäquates Land“ bezeichnet ein Land oder Gebiet, das nach den EU-Datenschutzgesetzen und den Datenschutzgesetzen des Vereinigten Königreichs anerkannt ist, angemessenen Schutz für Personenbezogene Daten bereitzustellen;

b) „verbundenes Unternehmen“ bedeutet in Bezug auf eine Partei jedes Unternehmen, das die Partei direkt oder indirekt beherrscht, von der Partei beherrscht wird oder unter gemeinsamer Beherrschung mit der Partei steht (jedoch nur so lange, wie eine solche Beherrschung besteht);

c) „geltende Datenschutzgesetze“ bezeichnet alle Gesetze und Bestimmungen der Jurisdiktion, in der ein Unternehmen der Cloudflare Gruppe physisch präsent ist, die für die Verarbeitung personenbezogener Daten gemäß des Hauptvertrags gelten, einschließlich der EU- Datenschutzgesetze und der Datenschutzgesetze des Vereinigten Königreichs.

d) „Cloudflare Gruppe“ bezeichnet Cloudflare und alle ihre verbundenen Unternehmen;

e) „Kundengruppe“ bezeichnet den Kunden und alle seine verbundenen Unternehmen, die im EWR

oder im Vereinigten Königreich gegründet wurden oder Geschäfte betreiben;

f) „Auftragsverarbeiter“ bezeichnet eine juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und an die eine andere juristische Person personenbezogene Daten einer natürlichen Person zu Geschäftszwecken auf Grundlage eines schriftlichen Vertrages weitergibt, der vorsieht, dass die empfangende juristische Person personenbezogene Daten nur zu Zwecken der Erbringung der Dienste speichert, nutzt oder offenlegt.

g) „EU-Datenschutzgesetze und Datenschutzgesetze des Vereinigten Königreichs“ bezeichnet alle Gesetze und Verordnungen der Europäischen Union, des Europäischen Wirtschaftsraumes, ihrer

Mitgliedstaaten und des Vereinigten Königreiches, die für die Verarbeitung Personenbezogener Daten nach dem Hauptvertrag gelten, einschließlich (soweit anwendbar) die DSGVO und den Data Protection Act des Vereinigten Königreichs;

h) „DSGVO“ bezeichnet die Datenschutzgrundverordnung (Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG);

i) „Personenbezogene Daten“ bezeichnet alle Daten, die nach den EU-Datenschutzgesetzen und den Datenschutzgesetzen des Vereinigten Königreichs als “personenbezogene Daten” definiert sind, für die die EU-Datenschutzgesetze und Datenschutzgesetze des Vereinigten Königreichs gelten, die Cloudflare in ihrer Funktion als Auftragsverarbeiter vom Kunden erhält oder auf die Cloudflare auf andere Weise im Rahmen der Erbringung der Dienste für den Kunden Zugriff hat, die Cloudflare speichert oder im Namen des Kunden verarbeitet.; und

j) „verarbeiten“, „Verantwortlicher“, „Betroffene Person“ und „Aufsichtsbehörde“ haben die Bedeutung, die ihnen nach den EU-Datenschutzgesetzen und den Datenschutzgesetzen des Vereinigten Königreichs zugeschrieben wird.

k) „Dienste“ bezeichnet sämtliche Cloud-basierten Lösungen, die von Cloudflare oder ihren autorisierten Partnern angeboten, vermarktet oder verkauft werden und die darauf abzielen, die Leistung, Sicherheit und Verfügbarkeit von Internet-Einstellungen, -Anwendungen und - Netzwerken zu erhöhen, sowie sämtliche Software, Software Development Kits und Application Programming Interfaces („APIs“), die im Zusammenhang mit dem Vorgenannten bereitstellt werden.

1.2 Ein Unternehmen „Beherrscht” ein anderes Unternehmen, wenn es: (a) die Mehrheit der Stimmrechte an ihm hält; (b) Gesellschafter von ihm ist und das Recht hat, die Mehrheit seines Verwaltungsrates oder eines gleichwertigen Leitungsorgans abzusetzen; (c) Gesellschafter ist und allein oder aufgrund einer Vereinbarung mit anderen Gesellschaftern die Mehrheit der Stimmrechte an ihm kontrolliert; oder (d) das Recht hat, gemäß seinen Gründungsdokumenten oder gemäß einer Vereinbarung einen beherrschenden Einfluss auf das andere Unternehmen auszuüben; und zwei Unternehmen werden als unter „Gemeinsamer Beherrschung“ befindlich behandelt, wenn entweder eines das andere (direkt oder indirekt) beherrscht oder beide (direkt oder indirekt) von demselben Unternehmen beherrscht werden.

2. Status der Parteien

2.1 Die Art der Personenbezogenen Daten nach dieser AVV und der Gegenstand, die Dauer, die Art und der

Zweck der Verarbeitung sowie die Kategorien Betroffener Personen sind in Anlage 1 beschrieben.

2.2 Jede Partei gewährleistet in Bezug auf Personenbezogene Daten, dass sie die geltenden Datenschutzgesetze einhalten wird (und dafür sorgen wird, dass alle ihre Mitarbeiter die Vorschriften einhalten und wirtschaftlich angemessene Anstrengungen unternehmen, um sicherzustellen, dass die Unterauftragsverarbeiter die Vorschriften einhalten). Zwischen den Parteien ist der Kunde allein verantwortlich für die Richtigkeit, Qualität und Rechtmäßigkeit der Personenbezogenen Daten und der Mittel, mit denen der Kunde die Personenbezogenen Daten erworben hat.

2.3 In Bezug auf die Rechte und Pflichten der Parteien nach dieser AVV bezüglich der Personenbezogenen Daten erkennen die Parteien hiermit an und sind damit einverstanden, dass der Kunde Verantwortlicher oder der Auftragsverarbeiter ist, und gegebenenfalls dass Cloudflare Auftragsverarbeiter oder Unterauftragsverarbeiter ist; und entsprechend

(a) erklärt sich Cloudflare damit einverstanden, dass sie alle Personenbezogenen Daten in

Übereinstimmung mit den Verpflichtungen aus dieser AVV verarbeitet;

(b) erkennen die Parteien an, dass der Kunde Cloudflare Personenbezogene Daten nur für die Erbringung des Dienstes gemäß des Hauptvertrags zur Verfügung stellt und dass dies einen berechtigten Geschäftszweck in Bezug auf die Verarbeitung dieser Daten darstellt.

2.4 Falls der Kunde Auftragsverarbeiter ist, gewährleistet der Kunde gegenüber Cloudflare, dass Anweisungen und Handlungen des Kunden in Bezug auf Personenbezogene Daten, einschließlich der

Beauftragung von Cloudflare als einen weiteren Auftragsverarbeiter und des Abschlusses von Standardvertragsklauseln (Anlage 2), vom zuständigen Verantwortlichen genehmigt wurden.

2.5 Soweit Cloudflare als Verantwortlicher Daten verarbeitet, die nach den EU-Datenschutzgesetzen und den Datenschutzgesetzen des Vereinigten Königreichs als “personenbezogene Daten” definiert sind, wird Cloudflare Verantwortlicher gemäß der Datenschutzerklärung von Cloudflare bei dieser Verarbeitung die geltenden EU-Datenschutzgesetze und Datenschutzgesetze des Vereinigten Königreichs einhalten.

2.6 Jede Partei ist verpflichtet, eine Person innerhalb ihrer Organisation zu bestimmen, die dazu berechtigt ist, von Zeit zu Zeit Anfragen in Bezug auf Personenbezogene Daten zu beantworten, und jede Partei ist verpflichtet, solche Anfragen unverzüglich zu bearbeiten.

3. Verpflichtungen von Cloudflare

3.1 Cloudflare gewährleistet in Bezug auf alle Personenbezogenen Daten, die sie in Ihrer Funktion als

Auftragsverarbeiter oder Unterauftragsverarbeiter verarbeitet, dass sie:

(a) Personenbezogene Daten nur verarbeitet, um die Dienste zu erbringen; und dass sie nur: (i) gemäß dieser AVV, (ii) gemäß den schriftlichen Weisungen des Kunden, wie sie durch den Hauptvertrag und diese AVV dargestellt werden, und (iii) wie nach geltenden Datenschutzgesetzen erforderlich handelt;

(b) die Personenbezogenen Daten nicht für einen anderen Zweck als zur Erbringung des Dienstes verkaufen, speichern, verwenden oder offenlegen wird, einschließlich sämtlichen anderen kommerziellen Zwecken, die nicht die Erbringung des Dienstes vorsehen. Die Erbringung des Dienstes durch Cloudflare kann die Weitergabe von Personenbezogenen Daten an Unterauftragsverarbeiter einschließen, soweit dies in Übereinstimmung mit Ziffer 4 dieser AVV erforderlich ist.

(c) den Kunden nach Kenntnisnahme darüber informiert, ob nach Ansicht von Cloudflare

Weisungen des Kunden gemäß Ziffer 3.1(a) die DSGVO verletzen;

(d) geeignete technische und organisatorische Maßnahmen trifft, um ein dem Risiko, das mit der Verarbeitung Personenbezogener Daten verbunden ist, angemessenes Schutzniveau zu gewährleisten, insbesondere Schutz gegen unbeabsichtigte oder unberechtigte Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu Personenbezogenen Daten. Solche Maßnahmen schließen, ohne Begrenzung, die Sicherheitsmaßnahmen, die in Anlage 3 festgelegt sind, ein;

(e) angemessene Maßnahmen ergreift, um zu gewährleisten, dass nur berechtigte Mitarbeiter Zugang zu Personenbezogenen Daten haben und dass alle Personen, denen diese den Zugang zu Personenbezogenen Daten gestatten, an Geheimhaltungsverpflichtungen gebunden sind;

(f) den Kunden ohne schuldhaftes Zögern informiert, nachdem ihr eine Datenpanne bekannt geworden ist, die zu unbeabsichtigter oder unberechtigter Vernichtung, Verlust, Veränderung oder unbefugten Offenlegung von beziehungsweise unbefugten Zugang zu Personenbezogenen Daten führt, die Cloudflare, ihre Unterauftragsnehmer oder jeder andere bekannte oder unbekannte Dritte übertragen, gespeichert oder auf andere Weise verarbeitet hat (eine „Verletzung des Schutzes personenbezogener Daten“);

(g) dem Kunden in Bezug auf die Verletzung des Schutzes personenbezogener Daten unverzüglich angemessene Zusammenarbeit und Unterstützung leistet und alle angemessenen Informationen, die Cloudflare über eine solche Verletzung des Schutzes personenbezogener Daten zur Verfügung stehen, dem Kunden zur Verfügung stellt, soweit es den Kunden betrifft, einschließlich der folgenden Informationen, soweit bekannt:

(i) dem möglichen Grund und den Folgen für die Betroffenen Personen der Verletzung

des Schutzes personenbezogener Daten;

(ii) die Kategorien der betroffenen Personenbezogenen Daten;

(iii) eine Übersicht der möglichen Folgen für die Betroffenen Personen;

(iv) eine Übersicht der unberechtigten Empfänger der Personenbezogenen Daten; und

(v) die Maßnahmen, die Cloudflare unternommen hat, um den Schaden zu mindern;

(h) keine öffentliche Bekanntmachung über eine Verletzung des Schutzes personenbezogener Daten vornimmt (eine „Meldung einer Verletzung des Schutzes personenbezogener Daten”) ohne das vorherige schriftliche Einverständnis des Kunden, außer wenn durch geltendes Recht gefordert;

(i) den Kunden unverzüglich benachrichtigt, wenn sie eine Anfrage von einer Betroffenen Person erhält, um auf die Personenbezogenen Daten dieser Person zuzugreifen, sie zu berichtigen oder zu löschen, oder wenn eine Betroffene Person der Verarbeitung widerspricht oder eine Anfrage stellt bezüglich der Datenübertragbarkeit in Bezug auf solche Personenbezogenen Daten (jeweils eine „Anfrage einer Betroffenen Person“). Cloudflare wird keine Anfrage einer Betroffenen Person beantworten ohne die vorherige schriftliche Zustimmung des Kunden, außer um zu bestätigen, dass sich die Anfrage auf den Kunden bezieht, wobei der Kunde hiermit dazu sein Einverständnis erteilt.

(j) Soweit es Cloudflare möglich ist und dies in Übereinstimmung mit dem geltenden Recht geschieht, leistet Cloudflare dem Kunden angemessene Unterstützung bei der Beantwortung von Anfragen von Betroffenen Personen hinsichtlich der Auskunft über, der Berichtigung oder der Löschung von Personenbezogenen Daten, sofern der Kunde nicht in der Lage ist, die Anfrage einer Betroffenen Person ohne Cloudflares Unterstützung zu adressieren. Der Kunde trägt die Verantwortung für die Sicherstellung, dass es sich bei dem Anfragenden um die Betroffene Person handelt, deren Informationen abgefragt werden. Cloudflare übernimmt keine Verantwortung für Informationen, die dem Kunden in gutem Glauben gemäß dieses Unterabschnitts zur Verfügung gestellt werden. Der Kunde trägt alle Kosten, die Cloudflare in Verbindung mit der Leistung einer solchen Unterstützung entstehen;

(k) außer in dem Umfang, der zur Einhaltung des geltenden Rechts erforderlich ist, nach Beendigung oder Ablauf des Hauptvertrages oder Beendigung der Dienste alle gemäß dieser AVV verarbeiteten Personenbezogenen Daten (einschließlich Kopien hiervon) löscht;

(l) dem Kunden unter Berücksichtigung der Art der Verarbeitung und der für Cloudflare verfügbaren Informationen solche Unterstützung gewährt, die der Kunde venünftigerweise bezogen auf Verpflichtungen Cloudflares nach den EU-Datenschutzgesetzen und den Datenschutzgesetzen des Vereinigten Königreichs anfordert in Bezug auf:

(i) Datenschutz-Folgenabschätzung (wie in der DSGVO definiert);

(ii) Meldungen an die Aufsichtsbehörden nach den EU-Datenschutzgesetzen und den Datenschutzgesetzen des Vereinigten Königreichs und/oder Mitteilungen des Kunden an die Betroffenen Personen als Reaktion auf eine Verletzung des Schutzes personenbezogener Daten; und

(iii) die Erfüllung der Verpflichtungen des Kunden aus der DSGVO in Bezug auf die

Sicherheit der Verarbeitung;

vorausgesetzt, dass der Kunde alle Kosten trägt, die Cloudflare im Zusammenhang mit der Leistung einer solchen Unterstützung entstehen.

4. Unterauftragsverarbeitung

4.1 Cloudflare wird Personenbezogene Daten nur zum Zwecke der Erbringung des Dienstes im Auftrag von Cloudflare an Unterauftragsverarbeiter weitergeben. Cloudflare verkauft oder gibt Personenbezogene Daten nicht für kommerzielle Zwecke an Dritte weiter.

4.2 Der Kunde erteilt eine allgemeine Ermächtigung: (a) an Cloudflare, damit sie andere Mitglieder der Cloudflare Gruppe als Unterauftragsverarbeiter beauftragen kann, und (b) an Cloudflare und andere Mitglieder der Cloudflare Gruppe, damit sie Drittanbieter von Rechenzentren und ausgegliederte Anbieter von Unterstützungsleistungen im Bereich Marketing, Business, Entwicklung und

Kundenbetreuung als Unterauftragsverarbeiter beauftragen können, um die Erbringung der Dienste zu unterstützen.

4.3 Cloudflare wird eine Liste von Unterauftragsverarbeitern auf der Cloudflare.com Website bereithalten und wird die Namen neuer und ersetzter Unterauftragsverarbeiter der Liste hinzufügen, bevor sie mit der Unterauftragsverarbeitung Personenbezogener Daten beginnt. Wenn der Kunde einen begründeten Widerspruch gegen einen neuen oder ersetzten Unterauftragsverarbeiter erhebt, ist er verpflichtet, dies Cloudflare innerhalb von zehn (10) Tagen nach der Mitteilung schriftlich mitzuteilen und die Parteien werden sich bemühen, die Angelegenheit nach Treu und Glauben zu lösen. Wenn Cloudflare vernünftigerweise in der Lage ist, die Dienste für den Kunden in Übereinstimmung mit dem Hauptvertrag ohne Einsatz des Unterauftragsverarbeiters zu erbringen und in eigenem Ermessen entscheidet, dies zu tun, so hat der Kunde keine weiteren Rechte nach dieser Ziffer 4.3in Bezug auf den vorgeschlagenen Einsatz des Unterauftragsverarbeiters. Wenn Cloudflare nach eigenem Ermessen den Einsatz des Unterauftragsverarbeiters benötigt und nicht in der Lage ist, den Kunden innerhalb von neunzig (90) Tagen nach Mitteilung der Einwände durch den Kunden von der Eignung des Unterauftragsverarbeiters oder der zwischen Cloudflare und dem Unterauftragsverarbeiter bestehenden Dokumentation oder Schutzvorkehrungen zu überzeugen, kann der Kunde innerhalb von dreißig (30) Tagen nach Ablauf der oben genannten Frist von neunzig (90) Tagen das betreffende Bestellformular und/oder die Insertion Orders kündigen; und zwar ausschließlich in Bezug auf die Dienstleistung/en, auf die sich die Verarbeitung Personenbezogener Daten des vorgeschlagenen neuen Unterauftragsverarbeiters bezieht. Wenn der Kunde nicht gemäß dieser Ziffer 4.3rechtzeitig Widerspruch gegen einen neuen oder ersetzten Unterauftragsverarbeiter erhebt, so gilt die Zustimmung des Kunden zu dem Unterauftragsverarbeiter als erteilt und der Kunde hat auf sein Recht auf Widerspruch verzichtet. Cloudflare kann einen neuen oder ersetzten Unterauftragsverarbeiter einsetzen, solange das Widerspruchsverfahren nach dieser Ziffer 4.3läuft.

4.4 Cloudflare gewährleistet, dass jeder Unterauftragsverarbeiter, den sie beauftragt, um einen Dienst in ihrem Auftrag in Verbindung mit dieser AVV zu erbringen, diesen ausschließlich auf der Grundlage eines schriftlichen Vertrags erbringt, der dem Unterauftragsverarbeiter Bedingungen auferlegt, die im Wesentlichen keinen geringeren Schutz Personenbezogener Daten bieten als die, die Cloudflare in dieser AVV auferlegt werden (die „Wesentlichen Bedingungen“). Cloudflare sorgt für die Einhaltung der Wesentlichen Bedingungen durch einen solchen Unterauftragsverarbeiter und haftet gegenüber dem Kunden für jede Verletzung der Wesentlichen Bedingungen durch ihn.

5. Überpüfung und Aufzeichnungen

5.1 Cloudflare ist verpflichtet, in Übereinstimmung mit den EU-Datenschutzgesetzen und Datenschutzgesetzen des Vereinigten Königreichs dem Kunden diejenigen Informationen zur Verfügung zu stellen, die sie in ihrem Besitz oder in ihrer Kontrolle hat und die der Kunde vernünftigerweise verlangen kann, um Cloudflare‘s Einhaltung der Verpflichtungen für Auftragsverarbeiter im Rahmen der Verarbeitung Personenbezogener Daten nach den EU-Datenschutzgesetzen und Datenschutzgesetzen des Vereinigten Königreichs nachzuweisen.

5.2 Der Kunde kann sein Überprüfungsrecht nach den EU-Datenschutzgesetzen und Datenschutzgesetzen des Vereinigten Königreichs in Bezug auf Personenbezogene Daten ausüben, indem Cloudflare Folgendes zur Verfügung stellt:

(a) einen Prüfbericht, der nicht älter als achtzehn (18) Monate ist, den ein unabhängiger, externer Prüfer vorbereitet hat und der nachweist, dass Cloudflare‘s technische und organisatorische Maßnahmen ausreichend sind, und einem anerkannten Industrieprüfungsstandard entsprechen; und

b) Vorlage zusätzlicher Informationen, die sich im Besitz oder unter der Kontrolle von Cloudflare befinden, gegenüber einer EU-Aufsichtsbehörde oder einer Aufsichtsbehörde des Vereinigten Königreichs, wenn diese zusätzliche Informationen im Zusammenhang mit der Verarbeitung Personenbezogener Daten durch Cloudflare im Rahmen dieser AVV anfordert oder benötigt.

6. Übermittlung von Daten

6.1 Soweit eine Verarbeitung Personenbezogener Daten durch Cloudflare in einem Land außerhalb des EWR stattfindet (außer falls in einem Adäquaten Land), erklären sich die Parteien damit einverstanden, dass die Standardvertragsklauseln in Bezug auf die Verarbeitung gelten, die gemäß den EU-

Datenschutzgesetzen und Datenschutzgesetzen des Vereinigten Königreichs genehmigt wurden und die im Anlage 2 dargelegt sind; und Cloudflare wird die Verpflichtungen des “Datenimporteurs” gemäß den Standardvertragsklauseln einhalten, und der Kunde wird die Verpflichtungen des “Datenexporteurs” einhalten.

6.2 Der Kunde erkennt an und akzeptiert, dass die Erbringung des Dienstes nach dem Hauptvertrag gegebenenfalls die Verarbeitung Personenbezogener Daten durch Unterauftragsverarbeiter in Ländern außerhalb des EWR erfordert.

6.3 Wenn Cloudflare im Rahmen der Durchführung dieser AVV Personenbezogene Daten an einen Unterauftragsverarbeiter außerhalb des EWR übermittelt (unbeschadet Ziffer 4), ist Cloudflare verpflichtet, vor einer solchen Übermittlung sicherzustellen, dass ein rechtlicher Mechanismus zur Gewährleistung der Angemessenheit in Bezug auf die Verarbeitung vorhanden ist, wie zum Beispiel:

(a) das Erfordernis für Cloudflare zu bewirken, dass der Unterauftragsverarbeiter zum Vorteil des Kunden die Standardvertragsklauseln unterzeichnet, die nach den EU-Datenschutzgesetzen und Datenschutzgesetzen des Vereinigten Königreichs genehmigt wurden und die im Anlage 2 dargestellt sind;

(b) das Erfordernis für den Unterauftragsverarbeiter, nach den EU-U.S. oder Swiss-U.S. Privacy

Shield-Rahmenregelungen zertifiziert zu sein; oder

(c) das Bestehen einer anderen gesondert genehmigten Garantie für Datenübermittlungen (wie nach den EU-Datenschutzgesetzen und Datenschutzgesetzen des Vereinigten Königreichs anerkannt) und/oder eines Angemessenheitsbeschlusses der Europäischen Kommission.

6.4 Die folgenden Bestimmungen finden auf die Standardvertragsklauseln, die in der Anlage 2 dargelegt

sind, Anwendung:

(a) Der Kunde kann sein Überprüfungsrecht nach Ziffer 5.1(f) der Standardvertragsklauseln nach Maßgabe der Ziffer 5.2 dieser AVV und vorbehaltlich der darin dargelegten Erfordernisse ausüben; und

(b) Cloudflare kann Unteraufauftragsverarbeiter nach Maßgabe der Ziffern 4 und 6.3 dieser AVV

und vorbehaltlich der darin dargelegten Erfordernisse einsetzen.

7. Allgemeines

7.1 Diese AVV lässt die Rechte und Pflichten der Parteien nach dem Hauptvertrag unberührt, der weiterhin seine volle Gültigkeit und Wirksamkeit behält. Im Falle eines Widerspruchs zwischen den Bedingungen dieser AVV und den Bedingungen des Hauptvertrages haben die Bedingungen dieser AVV Vorrang, soweit es um die Verarbeitung Personenbezogener Daten geht.

7.2 Die Haftung von Cloudflare nach oder im Zusammenhang mit dieser AVV (einschließlich der

Standardvertragsklauseln nach Anlage 2) unterliegt den Haftungsbeschränkungen des Hauptvertrages.

7.3 Diese AVV gewährt keine Rechte zu Gunsten Dritter, sie ist ausschließlich zum Vorteil der Parteien und ihrer jeweils zulässigen (Rechts-)Nachfolger bestimmt; sie dient weder dem Vorteil anderer Personen noch kann eine andere Person eine ihrer Bestimmungen durchsetzen.

7.4 Diese AVV und alle damit zusammenhängenden Handlungen unterliegen den Gesetzen des Staates Kalifornien und werden in Übereinstimmung mit diesen ausgelegt, ohne dass die Regelungen des internationalen Privatrechts Anwendung finden. Die Parteien erklären sich mit der persönlichen Zuständigkeit und dem Gerichtsstand der Gerichte von San Francisco, Kalifornien einverstanden.

7.5 Diese AVV ist die endgültige, vollständige und ausschließliche Vereinbarung der Parteien in Bezug auf ihren Gegenstand und ersetzt und vereint alle vorherigen Diskussionen und Vereinbarungen zwischen den Parteien in Bezug auf diesen Gegenstand. Mit Ausnahme von Erklärungen, die in betrügerischer Absicht abgegeben wurden, gelten keine weiteren Erklärungen oder Bedingungen oder sind Teil dieser AVV. Keine Änderung oder Verzicht auf Rechte aus dieser AVV ist wirksam, wenn sie nicht schriftlich erfolgt ist und von einem Unterschriftsbevollmächtigten jeder Partei unterzeichnet wurde. Diese AVV kann in doppelter Ausfertigung unterzeichnet werden, von denen jede als Original gilt, die aber zusammengenommen ein und dieselbe Vereinbarung bilden. Jede Person, die unten unterzeichnet,

gewährleistet, dass sie ordnungsgemäß bevollmächtigt ist und geschäftsfähig ist, um diese AVV zu unterzeichnen. Jede Partei gewährleistet, dass die Unterzeichnung dieser AVV und die Erfüllung der Verpflichtungen der jeweiligen Partei aus dieser Vereinbarung, ordnungsgemäß genehmigt wurden, und dass diese AVV eine gültige und rechtsverbindliche Vereinbarung für jede dieser Parteien ist, die gemäß ihren Bedingungen durchsetzbar ist.

Anlage 1

Angaben zu den Personenbezogenen Daten und Verarbeitungstätigkeiten

(a) Die Personenbezogenen Daten umfassen: Identifikationsdaten, berufsbezogene Daten, private Daten, Verbindungsdaten oder Lokalisierungsdaten (einschließlich IP Adresse) in Bezug auf Besucher der Online-Plattformen des Kunden. Der Kunde, seine Online-Besucher und/oder andere Partner können auch Inhalte auf die Online-Plattformen des Kunden hochladen, die gegebenenfalls personenbezogene Daten und besondere Kategorien personenbezogener Daten enthalten, wobei dies durch den Kunden in eigener Verantwortung festgelegt und kontrolliert wird. Solche besondere Kategorien personenbezogener Daten enthalten, aber sind nicht beschränkt auf, Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Gesundheitsdaten oder Daten zum Sexualleben.

(b) Die Dauer der Verarbeitung läuft: bis zum frühesten der folgenden Zeitpunkte (i) Ablauf/Beendigung des Hauptvertrages, oder (ii) der Zeitpunkt, an dem die Verarbeitung für die Zwecke der jeweiligen Partei zur Erfüllung ihrer Verpflichtungen aus dem Hauptvertrag (soweit anwendbar) nicht länger erforderlich ist;

(c) Die Verarbeitung umfasst nur: Die notwendige Verarbeitung, um dem Kunden gegenüber die

Dienste gemäß dem Hauptvertrag zu erbringen;

(d) Der/die Zweck(e) der Verarbeitung ist/sind: notwendig für die Erbringung der Dienste;

(e) Personenbezogene Daten betreffen gegebenenfalls die folgenden Betroffenen Personen:

Natürliche Personen, die auf die Internet-Einstellungen, -Anwendungen und -Netzwerke des Kunden zugreifen oder diese nutzen, zusammen mit sämtlicher Software, Software Development Kits und Application Programming Interfaces („APIs“), die im Zusammenhang mit dem Dienst zur Verfügung gestellt werden.

Anlage 2

Standardvertragsklauseln aus dem Anhang des Beschlusses der Kommission vom 5. Februar 2010 (2010/87/EU)

Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter, die in Drittländern niedergelassen sind, in denen kein angemessenes Schutzniveau gewährleistet ist.

-----------------------------------------------------------------------------------------------------------------------------

EINFÜHRUNG

Beide Parteien vereinbaren folgende Vertragsklauseln („Klauseln“), um angemessene Garantien hinsichtlich des Schutzes der Privatsphäre, der Grundrechte und der Grundfreiheiten von Personen bei der Übermittlung der in Anhang 1 zu diesen Vertragsklauseln spezifizierten personenbezogenen Daten vom Datenexporteur an den Datenimporteur zu bieten.

VEREINBARTE BEDINGUNGEN

1. Begriffsbestimmungen

Im Rahmen der Vertragsklauseln gelten folgende Begriffsbestimmungen:

a) die Ausdrücke „personenbezogene Daten“, „besondere Kategorien personenbezogener Daten“, „Verarbeitung“, „für die Verarbeitung Verantwortlicher“, „Auftragsverarbeiter“, „betroffene Person“ und „Kontrollstelle“ entsprechen den Begriffsbestimmungen der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr;

b) der „Datenexporteur“ ist der für die Verarbeitung Verantwortliche, der die personenbezogenen

Daten übermittelt;

c) der „Datenimporteur“ ist der Auftragsverarbeiter, der sich bereit erklärt, vom Datenexporteur personenbezogene Daten entgegenzunehmen und sie nach der Übermittlung nach dessen Anweisungen und den Bestimmungen der Klauseln in dessen Auftrag zu verarbeiten und der nicht einem System eines Drittlandes unterliegt, das angemessenen Schutz im Sinne von Artikel 25 Absatz 1 der Richtlinie 95/46/EG gewährleistet;

d) der „Unterauftragsverarbeiter“ ist der Auftragsverarbeiter, der im Auftrag des Datenimporteurs oder eines anderen Unterauftragsverarbeiters des Datenimporteurs tätig ist und sich bereit erklärt, vom Datenimporteur oder von einem anderen Unterauftragsverarbeiter des Datenimporteurs personenbezogene Daten ausschließlich zu dem Zweck entgegenzunehmen, diese nach der Übermittlung im Auftrag des Datenexporteurs nach dessen Anweisungen, den Klauseln und den Bestimmungen des schriftlichen Unterauftrags zu verarbeiten;

e) der Begriff „anwendbares Datenschutzrecht“ bezeichnet die Vorschriften zum Schutz der Grundrechte und Grundfreiheiten der Personen, insbesondere des Rechts auf Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten, die in dem Mitgliedstaat, in dem der Datenexporteur niedergelassen ist, auf den für die Verarbeitung Verantwortlichen anzuwenden sind; und

f) die „technischen und organisatorischen Sicherheitsmaßnahmen“ sind die Maßnahmen, die personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligen Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang,

insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung schützen sollen.

2. Einzelheiten der Übermittlung

Die Einzelheiten der Übermittlung, insbesondere die besonderen Kategorien personenbezogener Daten, sofern vorhanden, werden in Anhang 1 erläutert, der Bestandteil dieser Klauseln ist.

3. Drittbegünstigtenklausel

3.1 Die betroffenen Personen können diese Klausel sowie Klausel 4 Buchstaben b bis i, Klausel 5 Buchstaben a bis e und g bis j, Klausel 6 Absätze 1 und 2, Klausel 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenexporteur als Drittbegünstigte geltend machen.

3.2 Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Datenimporteur geltend machen, wenn das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen.

3.3 Die betroffene Person kann diese Klausel, Klausel 5 Buchstaben a bis e und g, die Klauseln 6 und 7, Klausel 8 Absatz 2 sowie die Klauseln 9 bis 12 gegenüber dem Unterauftragsverarbeiter geltend machen, wenn sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, es sei denn, ein Rechtsnachfolger hat durch einen Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in letzterem Fall kann die betroffene Person die Klauseln gegenüber dem Rechtsnachfolger als Träger sämtlicher Rechte und Pflichten des Datenexporteurs geltend machen. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.

3.4 Die Parteien haben keine Einwände dagegen, dass die betroffene Person, sofern sie dies ausdrücklich wünscht und das nationale Recht dies zulässt, durch eine Vereinigung oder sonstige Einrichtung vertreten wird.

4. Pflichten des Datenexporteurs

4.1 Der Datenexporteur erklärt sich bereit und garantiert, dass:

a) die Verarbeitung der personenbezogenen Daten einschließlich der Übermittlung entsprechend den einschlägigen Bestimmungen des anwendbaren Datenschutzrechts durchgeführt wurde und auch weiterhin so durchgeführt wird (und gegebenenfalls den zuständigen Behörden des Mitgliedstaats mitgeteilt wurde, in dem der Datenexporteur niedergelassen ist) und nicht gegen die einschlägigen Vorschriften dieses Staates verstößt;;

b) er den Datenimporteur angewiesen hat und während der gesamten Dauer der Datenverarbeitungsdienste anweisen wird, die übermittelten personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dem anwendbaren Datenschutzrecht und den Klauseln zu verarbeiten;

c) der Datenimporteur hinreichende Garantien bietet in Bezug auf die in Anhang 2 zu diesem Vertrag

beschriebenen technischen und organisatorischen Sicherheitsmaßnahmen;

d) die Sicherheitsmaßnahmen unter Berücksichtigung der Anforderungen des anwendbaren Datenschutzrechts, des Standes der Technik, der bei ihrer Durchführung entstehenden Kosten, der

von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten hinreichend gewährleisten, dass personenbezogene Daten vor der zufälligen oder unrechtmäßigen Zerstörung, dem zufälligem Verlust, der Änderung, der unberechtigten Weitergabe oder dem unberechtigten Zugang, insbesondere wenn die Verarbeitung die Übermittlung der Daten über ein Netzwerk umfasst, und vor jeder anderen Form der unrechtmäßigen Verarbeitung geschützt sind;

e) er für die Einhaltung dieser Sicherheitsmaßnahmen sorgt;

f) die betroffene Person bei der Übermittlung besonderer Datenkategorien vor oder sobald wie möglich nach der Übermittlung davon in Kenntnis gesetzt worden ist oder gesetzt wird, dass ihre Daten in ein Drittland übermittelt werden könnten, das kein angemessenes Schutzniveau im Sinne der Richtlinie 95/46/EG bietet;

g) er die gemäß Klausel 5 Buchstabe b sowie Klausel 8 Absatz 3 vom Datenimporteur oder von einem Unterauftragsverarbeiter erhaltene Mitteilung an die Kontrollstelle weiterleitet, wenn der Datenexporteur beschließt, die Übermittlung fortzusetzen oder die Aussetzung aufzuheben;

h) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln mit Ausnahme von Anhang 2 sowie eine allgemeine Beschreibung der Sicherheitsmaßnahmen zur Verfügung stellt; außerdem stellt er ihnen gegebenenfalls die Kopie des Vertrags über Datenverarbeitungsdienste zur Verfügung, der gemäß den Klauseln an einen Unterauftragsverarbeiter vergeben wurde, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden;

i) bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter die Verarbeitung gemäß Klausel 11 erfolgt und die personenbezogenen Daten und die Rechte der betroffenen Person mindestens ebenso geschützt sind, wie vom Datenimporteur nach diesen Klauseln verlangt; und

j) er für die Einhaltung der Klausel 4 Buchstaben a bis i sorgt.

5. Pflichten des Datenimporteurs

5.1 Der Datenimporteur erklärt sich bereit und garantiert, dass:

a) er die personenbezogenen Daten nur im Auftrag des Datenexporteurs und in Übereinstimmung mit dessen Anweisungen und den vorliegenden Klauseln verarbeitet; dass er sich, falls er dies aus irgendwelchen Gründen nicht einhalten kann, bereit erklärt, den Datenexporteur unverzüglich davon in Kenntnis zu setzen, der unter diesen Umständen berechtigt ist, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

b) er seines Wissens keinen Gesetzen unterliegt, die ihm die Befolgung der Anweisungen des Datenexporteurs und die Einhaltung seiner vertraglichen Pflichten unmöglich machen, und eine Gesetzesänderung, die sich voraussichtlich sehr nachteilig auf die Garantien und Pflichten auswirkt, die die Klauseln bieten sollen, dem Datenexporteur mitteilen wird, sobald er von einer solchen Änderung Kenntnis erhält; unter diesen Umständen ist der Datenexporteur berechtigt, die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten;

c) er vor der Verarbeitung der übermittelten personenbezogenen Daten die in Anhang 2 beschriebenen

technischen und organisatorischen Sicherheitsmaßnahmen ergriffen hat;

d) er den Datenexporteur unverzüglich informiert über:

(i) alle rechtlich bindenden Aufforderungen einer Vollstreckungsbehörde zur Weitergabe der personenbezogenen Daten, es sei denn, dies wäre anderweitig untersagt,

beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses bei strafrechtlichen Ermittlungen;

(ii) jeden zufälligen oder unberechtigten Zugang und

(iii) alle Anfragen, die direkt von den betroffenen Personen an ihn gerichtet werden, ohne

diese zu beantworten, es sei denn, er wäre anderweitig dazu berechtigt;

e) er alle Anfragen des Datenexporteurs im Zusammenhang mit der Verarbeitung der übermittelten personenbezogenen Daten durch den Datenexporteur unverzüglich und ordnungsgemäß bearbeitet und die Ratschläge der Kontrollstelle im Hinblick auf die Verarbeitung der übermittelten Daten befolgt;

f) er auf Verlangen des Datenexporteurs seine für die Verarbeitung erforderlichen Datenverarbeitungseinrichtungen zur Prüfung der unter die Klauseln fallenden Verarbeitungstätigkeiten zur Verfügung stellt. Die Prüfung kann vom Datenexporteur oder einem vom Datenexporteur ggf. in Absprache mit der Kontrollstelle ausgewählten Prüfgremium durchgeführt werden, dessen Mitglieder unabhängig sind, über die erforderlichen Qualifikationen verfügen und zur Vertraulichkeit verpflichtet sind;

g) er den betroffenen Personen auf Anfrage eine Kopie der Klauseln und gegebenenfalls einen bestehenden Vertrag über die Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter zur Verfügung stellt, es sei denn, die Klauseln oder der Vertrag enthalten Geschäftsinformationen; in diesem Fall können solche Geschäftsinformationen herausgenommen werden; Anhang 2 wird durch eine allgemeine Beschreibung der Sicherheitsmaßnahmen ersetzt, wenn die betroffene Person vom Datenexporteur keine solche Kopie erhalten kann;

h) er bei der Vergabe eines Verarbeitungsauftrags an einen Unterauftragsverarbeiter den

Datenexporteur vorher benachrichtigt und seine vorherige schriftliche Einwilligung eingeholt hat;

i) der Unterauftragsverarbeiter die Datenverarbeitungsdienste in Übereinstimmung mit Klausel 11

erbringt;

j) er dem Datenexporteur unverzüglich eine Kopie des Unterauftrags über die Datenverarbeitung

zuschickt, den er nach den Klauseln geschlossen hat.

6. Haftung

6.1 Die Parteien vereinbaren, dass jede betroffene Person, die durch eine Verletzung der in Klausel 3 oder 11 genannten Pflichten durch eine Partei oder den Unterauftragsverarbeiter Schaden erlitten hat, berechtigt ist, vom Datenexporteur Schadenersatz für den erlittenen Schaden zu erlangen.

6.2 Ist die betroffene Person nicht in der Lage, gemäß Absatz 1 gegenüber dem Datenexporteur wegen Verstoßes des Datenimporteurs oder seines Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 genannte Pflichten Schadenersatzansprüche geltend zu machen, weil das Unternehmen des Datenexporteurs faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist, ist der Datenimporteur damit einverstanden, dass die betroffene Person Ansprüche gegenüber ihm statt gegenüber dem Datenexporteur geltend macht, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen.

Der Datenimporteur kann sich seiner Haftung nicht entziehen, indem er sich auf die Verantwortung des Unterauftragsverarbeiters für einen Verstoß beruft.

6.3 Ist die betroffene Person nicht in der Lage, gemäß den Absätzen 1 und 2 gegenüber dem Datenexporteur oder dem Datenimporteur wegen Verstoßes des Unterauftragsverarbeiters gegen in den Klauseln 3 und 11 aufgeführte Pflichten Ansprüche geltend zu machen, weil sowohl das Unternehmen des Datenexporteurs als auch das des Datenimporteurs faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind, ist der Unterauftragsverarbeiter damit einverstanden, dass die betroffene Person im Zusammenhang mit seinen Datenverarbeitungstätigkeiten aufgrund der Klauseln gegenüber ihm statt gegenüber dem Datenexporteur oder dem Datenimporteur einen Anspruch geltend machen kann, es sei denn, ein Rechtsnachfolger hat durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen; in diesem Fall kann die betroffene Person ihre Ansprüche gegenüber dem Rechtsnachfolger geltend machen. Eine solche Haftung des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach diesen Klauseln beschränkt.

7. Schlichtungsverfahren und Gerichtsstand

7.1 Für den Fall, dass eine betroffene Person gegenüber dem Datenimporteur Rechte als Drittbegünstigte und/oder Schadenersatzansprüche aufgrund der Vertragsklauseln geltend macht, erklärt sich der Datenimporteur bereit, die Entscheidung der betroffenen Person zu akzeptieren, und zwar entweder:

a) die Angelegenheit in einem Schlichtungsverfahren durch eine unabhängige Person oder

gegebenenfalls durch die Kontrollstelle beizulegen oder

b) die Gerichte des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist, mit dem Streitfall zu

befassen.

7.2 Die Parteien vereinbaren, dass die Entscheidung der betroffenen Person nicht die materiellen Rechte oder Verfahrensrechte dieser Person, nach anderen Bestimmungen des nationalen oder internationalen Rechts Rechtsbehelfe einzulegen, berührt.

8. Zusammenarbeit mit Kontrollstellen

8.1 Der Datenexporteur erklärt sich bereit, eine Kopie dieses Vertrags bei der Kontrollstelle zu hinterlegen,

wenn diese es verlangt oder das anwendbare Datenschutzrecht es so vorsieht.

8.2 Die Parteien vereinbaren, dass die Kontrollstelle befugt ist, den Datenimporteur und etwaige Unterauftragsverarbeiter im gleichen Maße und unter denselben Bedingungen einer Prüfung zu unterziehen, unter denen die Kontrollstelle gemäß dem anwendbaren Datenschutzrecht auch den Datenexporteur prüfen müsste.

8.3 Der Datenimporteur setzt den Datenexporteur unverzüglich über Rechtsvorschriften in Kenntnis, die für ihn oder etwaige Unterauftragsverarbeiter gelten und eine Prüfung des Datenimporteurs oder von Unterauftragsverarbeitern gemäß Absatz 2 verhindern. In diesem Fall ist der Datenexporteur berechtigt, die in Klausel 5 Buchstabe b vorgesehenen Maßnahmen zu ergreifen.

9. Anwendbares Recht

Für diese Klauseln gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

10. Änderung des Vertrags

Die Parteien verpflichten sich, die Klauseln nicht zu verändern. Es steht den Parteien allerdings frei, erforderlichenfalls weitere, geschäftsbezogene Klauseln aufzunehmen, sofern diese nicht im Widerspruch zu der Klausel stehen.

11. Vergabe eines Unterauftrags

11.1 Der Datenimporteur darf ohne die vorherige schriftliche Einwilligung des Datenexporteurs keinen nach den Klauseln auszuführenden Verarbeitungsauftrag dieses Datenexporteurs an einen Unterauftragnehmer vergeben. Vergibt der Datenimporteur mit Einwilligung des Datenexporteurs Unteraufträge, die den Pflichten der Klauseln unterliegen, ist dies nur im Wege einer schriftlichen Vereinbarung mit dem Unterauftragsverarbeiter möglich, die diesem die gleichen Pflichten auferlegt, die auch der Datenimporteur nach den Klauseln erfüllen muss. .Sollte der Unterauftragsverarbeiter seinen Datenschutzpflichten nach der schriftlichen Vereinbarung nicht nachkommen, bleibt der Datenimporteur gegenüber dem Datenexporteur für die Erfüllung der Pflichten des Unterauftragsverarbeiters nach der Vereinbarung uneingeschränkt verantwortlich.

11.2 Die vorherige schriftliche Vereinbarung zwischen dem Datenimporteur und dem Unterauftragsverarbeiter muss gemäß Klausel 3 auch eine Drittbegünstigtenklausel für Fälle enthalten, in denen die betroffene Person nicht in der Lage ist, einen Schadenersatzanspruch gemäß Klausel 6 Absatz 1 gegenüber dem Datenexporteur oder dem Datenimporteur geltend zu machen, weil diese faktisch oder rechtlich nicht mehr bestehen oder zahlungsunfähig sind und kein Rechtsnachfolger durch Vertrag oder kraft Gesetzes sämtliche rechtlichen Pflichten des Datenexporteurs oder des Datenimporteurs übernommen hat. Eine solche Haftpflicht des Unterauftragsverarbeiters ist auf dessen Verarbeitungstätigkeiten nach den Klauseln beschränkt.

11.3 Für Datenschutzbestimmungen im Zusammenhang mit der Vergabe von Unteraufträgen über die Datenverarbeitung gemäß Absatz 1 gilt das Recht des Mitgliedstaats, in dem der Datenexporteur niedergelassen ist.

11.4 Der Datenexporteur führt ein mindestens einmal jährlich zu aktualisierendes Verzeichnis der mit Unterauftragsverarbeitern nach den Klauseln geschlossenen Vereinbarungen, die vom Datenimporteur nach Klausel 5 Buchstabe j übermittelt wurden. Das Verzeichnis wird der Kontrollstelle des Datenexporteurs bereitgestellt.

12. Pflichten nach Beendigung der Datenverarbeitungsdienste

12.1 Die Parteien vereinbaren, dass der Datenimporteur und der Unterauftragsverarbeiter bei Beendigung der Datenverarbeitungsdienste je nach Wunsch des Datenexporteurs alle übermittelten personenbezogenen Daten und deren Kopien an den Datenexporteur zurückschicken oder alle personenbezogenen Daten zerstören und dem Datenexporteur bescheinigen, dass dies erfolgt ist, sofern die Gesetzgebung, der der Datenimporteur unterliegt, diesem die Rückübermittlung oder Zerstörung sämtlicher oder Teile der übermittelten personenbezogenen Daten nicht untersagt. In diesem Fall garantiert der Datenimporteur, dass er die Vertraulichkeit der übermittelten personenbezogenen Daten gewährleistet und diese Daten nicht mehr aktiv weiterverarbeitet.

12.2 Der Datenimporteur und der Unterauftragsverarbeiter garantieren, dass sie auf Verlangen des Datenexporteurs und/oder der Kontrollstelle ihre Datenverarbeitungseinrichtungen zur Prüfung der in Absatz 1 genannten Maßnahmen zur Verfügung stellen.

Diese Vereinbarung wurde zu dem am Anfang der ersten Seite dieser Vereinbarung angegebenen Datum abgeschlossen.

Anhang 1

zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Die Mitgliedstaaten können entsprechend den nationalen Verfahren Zusatzangaben, die in diesem Anhang enthalten sein müssen, ergänzen.

Datenexporteur Der Datenexporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): Die Gegenpartei, die diesen Bedingungen zustimmt, und alle verbundenen Unternehmen desselben mit Sitz im EWR, die Dienstleistungen von Cloudflare oder ihren verbundenen Unternehmen erworben haben.

Datenimporteur Der Datenimporteur ist (bitte erläutern Sie kurz Ihre Tätigkeiten, die für die Übermittlung von Belang sind): Cloudflare, die personenbezogene Daten auf Weisung des Datenexporteurs gemäß den Bestimmungen der Vereinbarung zwischen dem Datenexporteur und Cloudflare verarbeitet.

Betroffene Personen Die übermittelten personenbezogenen Daten betreffen folgende Kategorien betroffener Personen: Der Datenexporteur kann personenbezogene Daten an Cloudflare und ihre verbundenen Unternehmen übermitteln, deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird und die personenbezogene Daten zu den folgenden Kategorien von betroffenen Personen beinhalten können, aber nicht beschränkt sind auf:

• Natürliche Personen, die auf die Internet-Einstellungen, -Anwendungen und -Netzwerke des Kunden zugreifen oder diese nutzen, zusammen mit sämtlicher Software, Software Development Kits und Application Programming Interfaces („APIs“), die im Zusammenhang mit dem Dienst zur Verfügung gestellt werden.

Kategorien von Daten Die übermittelten personenbezogenen Daten gehören zu folgenden Datenkategorien: Der Datenexporteur kann personenbezogene Daten an Cloudflare, Inc. und ihre verbundenen Unternehmen übermitteln, deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird und die personenbezogene Daten zu den folgenden Kategorien von Personenbezogenen Daten beinhalten können, aber nicht beschränkt sind auf:

• Namen, Titel, Funktion, Arbeitnehmer, Kontaktdaten (E-Mail, Telefon, Fax, physische Adresse, etc.), Identifikationsdaten, berufsbezogene Daten, persönliche Daten, Verbindungsdaten oder Lokalisierungsdaten (einschließlich IP-Adresse).

Besondere Datenkategorien (soweit zutreffend) Die übermittelten personenbezogenen Daten umfassen folgende besondere Datenkategorien:

Der Datenexporteur kann besondere Datenkategorien an Cloudflare und ihre verbundenen Unternehmen übermitteln, wobei deren Umfang vom Datenexporteur nach eigenem Ermessen festgelegt und kontrolliert wird. Solche besondere Kategorien personenbezogener Daten enthalten, aber sind nicht beschränkt auf Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von Gesundheitsdaten oder Daten zum Sexualleben.

Verarbeitung Die übermittelten personenbezogenen Daten werden folgenden grundlegenden Verarbeitungsmaßnahmen unterzogen:

Das Ziel der Verarbeitung der Personenbezogenen Daten durch Cloudflare ist, die Dienste gemäß dem Hauptvertrag zu erbringen.

Anhang 2

zu den Standardvertragsklauseln

Dieser Anhang ist Bestandteil der Klauseln und muss von den Parteien ausgefüllt und unterzeichnet werden.

Beschreibung der technischen oder organisatorischen Sicherheitsmaßnahmen, die der Datenimporteur gemäß Klausel 4 Buchstabe d und Klausel 5 Buchstabe c eingeführt hat (oder Dokument/Rechtsvorschrift beigefügt):

Siehe Anlage 3 zu der AVV.

Anlage 3

Sicherheitsmaßnahmen

A. Der Datenimporteur/Unterauftragsverarbeiter hat in Übereinstimmung mit den Industriestandards ein

Sicherheitsprogramm umgesetzt und ist verpflichtet, dieses zu aufrechtzuerhalten.

B. Im Einzelnen umfasst das Sicherheitsprogramm des Datenimporteurs/Unterauftragsverarbeiters:

Zugangskontrolle zu den Bereichen der Verarbeitung

Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen, um zu verhindern, dass unberechtigte Personen Zugang zu den Verarbeitungsgeräten (und zwar Telefone, Datenbank- und Applikationsserver und zugehörige Hardware) erhalten, mit denen personenbezogene Daten verarbeitet oder genutzt werden, einschließlich:

• Errichtung von Sicherheitsbereichen;

• Schutz und Einschränkung von Zugangspfaden;

• Einrichtung von Zugriffsberechtigungen für Arbeitnehmer und Dritte, einschließlich der betreffenden Dokumentation;

• Protokollierung, Überwachung und Verfolgung aller Zugriffe auf das Rechenzentrum, in dem personenbezogene Daten gehostet werden; und

• Sicherung des Rechenzentrums, wo personenbezogene Daten gehostet werden, durch ein Sicherheitsalarmsystem und andere geeignete Sicherheitsmaßnahmen.

Zugangskontrolle zu den Datenverarbeitungsanlagen

Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen, um zu verhindern, dass seine Datenverarbeitungssysteme von unberechtigten Personen benutzt werden, einschließlich:

• Verwendung von geeigneten Verschlüsselungstechnologien;

• Identifizierung des Terminals und/oder des Terminal-Nutzers gegenüber dem Datenimporteur/Unterauftragsverarbeiter;

• automatische temporäre Sperrung des Benutzerterminals bei Leerlauf; Identifikation und Passwort zum Wiederöffnen erforderlich;

• automatische temporäre Sperrung der Nutzer-ID, wenn mehrmals falsche Passwörter eingegeben werden, Protokolldatei der Ereignisse, Überwachung von Einbruchsversuchen (Alarme); und

• Protokollierung, Überwachung und Nachverfolgung aller Zugriffe auf Daten.

Zugangskontrolle zur Verwendung bestimmter Bereiche der Datenverarbeitungssysteme

Der Datenimporteur/Unterauftragsverarbeiter verpflichtet sich, dass die Personen, die berechtigt sind, Datenverarbeitungssysteme zu nutzen, ausschließlich innerhalb des Umfangs ihrer jeweiligen Zugangserlaubnis (Berechtigung) und soweit von dieser gedeckt auf die Daten zugreifen können und dass personenbezogene Daten nicht ohne Berechtigung gelesen, verändert oder entfernt werden können. Dies wird durch verschiedene Maßnahmen erreicht, einschließlich:

• Arbeitnehmerrichtlinien und Schulungen in Bezug auf die Zugriffsrechte des jeweiligen Arbeitnehmers auf personenbezogene Daten;

• Zuweisung einzelner Terminals und/oder Terminalbenutzer und funktionsspezifische Identifikationsmerkmale;

• Überwachungsfähigkeit in Bezug auf Personen, die personenbezogene Daten löschen, hinzufügen oder ändern;

• Freigabe von Daten ausschließlich an berechtigte Personen, einschließlich Zuweisung von verschiedenen Zugangsberechtigungen und Funktionen;

• Verwendung geeigneter Verschlüsselungstechnologien; und

• Kontrolle von Dateien, kontrollierte und dokumentierte Vernichtung von Daten.

Verfügbarkeitskontrolle

Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen, um sicherzustellen, dass personenbezogene Daten gegen zufällige/n Vernichtung oder Untergang geschützt werden, einschließlich:

• Infrastrukturredundanz; und

• das Backup wird an einem alternativen Standort gespeichert und steht bei einem Ausfall des Primärsystems zur Wiederherstellung zur Verfügung.

Übertragungskontrolle

Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen, um zu verhindern, dass unberechtigte Personen personenbezogene Daten während deren Übertragung oder während des Transports der Datenmedien lesen, kopieren, verändern oder vernichten. Dies wird durch verschiedene Maßnahmen erreicht, einschließlich:

• Verwendung geeigneter Firewall, VPN und Verschlüsselungstechnologien, um die Schnittstellen und Leitungen zu schützen, durch die die Daten laufen;

• bestimmte hochvertrauliche Arbeitnehmerdaten (z.B. persönliche Daten wie nationale ID-Nummern, Kredit- oder Debitkartennummern) werden auch innerhalb des Systems verschlüsselt; und

• Benachrichtigung des Benutzers bei unvollständiger Datenübertragung (End-to-End-Check); und

• soweit möglich, werden alle Datenübertragungen protokolliert, überwacht und verfolgt.

Eingabekontrolle

Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen zur Eingabekontrolle, einschließlich:

• einer Berechtigungsrichtlinie für die Eingabe, das Lesen, die Veränderung und die Vernichtung von Daten;

• Authentifizierung des berechtigten Personals;

• Schutzmaßnahmen für die Dateneingabe in den Speicher, sowie für das Lesen, die Veränderung und die Vernichtung von gespeicherten Daten;

• Verwendung einmaliger Authentifizierungsnachweise oder Codes (Passwörter);

• es wird dafür gesorgt dass die Zugänge zu den Datenverarbeitungseinrichtungen (Räume, in denen sich die Computerhardware und die dazugehörige Ausrüstung befinden) verschlossen bleiben;

• automatisches Abmelden von Benutzer-ID's, die für eine wesentliche Zeit nicht mehr benutzt wurden; und

• Nachweis der Eingabeberechtigung innerhalb der Organisation des Datenimporteurs/Unterprozessors;

• Elektronische Aufzeichnung von Einträgen.

Trennung der Verarbeitung für verschiedene Zwecke

Der Datenimporteur/Unterauftragsverarbeiter unternimmt geeignete Maßnahmen, um sicherzustellen, dass Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden können, einschließlich:

• Der Zugriff auf Daten ist durch Anwendungssicherheit für die entsprechenden Benutzer getrennt;

• Module innerhalb der Datenbank des Datenimporteurs/Unterauftragsverarbeiters trennen, welche Daten für welchen Zweck genutzt werden, d.h. nach Funktionalität und Funktion;

• Auf Datenbankebene werden die Daten in verschiedenen normalisierten Tabellen gespeichert, die pro Modul, pro Kunde des Verantwortlichen oder nach den von ihnen unterstützten Funktionen getrennt sind; und

• Schnittstellen, Batch-Prozesse und Berichte sind ausschließlich für bestimmte Zwecke und Funktionen bestimmt, damit die Daten, die für verschiedene Zwecke erhoben werden, getrennt verarbeitet werden.

Dokumentation

Der Datenimporteur/Unterauftragsverarbeiter behält die Dokumentation der technischen und organisatorischen Maßnahmen für den Fall von Überprüfungen und zur Beweissicherung. Der Datenimporteur/Unterauftragsverarbeiter ist verpflichtet, angemessene Maßnahmen zu treffen, um sicherzustellen, dass Personen, die bei ihm angestellt sind, und andere Personen, die am Arbeitsplatz betroffen sind, die technischen und organisatorischen Maßnahmen, die in dieser Anlage 3 aufgeführt sind, kennen und einhalten.

Überwachung

Der Datenimporteur/Unterauftragsverarbeiter sind verpflichtet, geeignete Maßnahmen zu treffen, um die Zugangsbeschränkungen für die Systemadministratoren des Datenimporteurs/Unterauftragsverarbeiters zu überwachen und sicherzustellen, dass sie gemäß den erhaltenen Anweisungen handeln. Dies wird durch verschiedene Maßnahmen erreicht, einschließlich:

• individuelle Ernennung von Systemadministratoren;

• Ergreifen geeigneter Maßnahmen, um die Zugangsprotokolle der Systemadministratoren zur Infrastruktur zu registrieren und sie mindestens sechs Monate lang sicher, genau und unverändert zu halten;

• jährliche Überprüfung der Tätigkeit der Systemadministratoren zur Beurteilung der Einhaltung der zugewiesenen Aufgaben, der Anweisungen, die der Datenimporteur/Unterauftragsverarbeiter erhalten hat, und der geltenden Gesetze;

• Führung einer aktualisierten Liste mit den Identifikationsdaten der Systemadministratoren (z.B. Name, Nachname, Funktion oder Organisationsbereich) und den zugewiesenen Aufgaben und unverzügliche Verfügbarmachung derselben auf Anfrage des Datenexporteurs.

Der Zusatz zur Datenverarbeitung für dieses Konto wurde am 3. Februar 2020 vereinbart.

Datenverarbeitung in Drittländern

Sofern wir Daten in einem Drittland (d.h., außerhalb der Europäischen Union (EU), des Europäischen Wirtschaftsraums (EWR)) verarbeiten oder die Verarbeitung im Rahmen der Inanspruchnahme von Diensten Dritter oder der Offenlegung bzw. Übermittlung von Daten an andere Personen, Stellen oder Unternehmen stattfindet, erfolgt dies nur im Einklang mit den gesetzlichen Vorgaben.

Vorbehaltlich ausdrücklicher Einwilligung oder vertraglich oder gesetzlich erforderlicher Übermittlung verarbeiten oder lassen wir die Daten nur in Drittländern mit einem anerkannten Datenschutzniveau, zu denen die unter dem "Privacy-Shield" zertifizierten US-Verarbeiter gehören, oder auf Grundlage besonderer Garantien, wie z.B. vertraglicher Verpflichtung durch sogenannte Standardschutzklauseln der EU-Kommission, des Vorliegens von Zertifizierungen oder verbindlicher interner Datenschutzvorschriften, verarbeiten (Art. 44 bis 49 DSGVO, Informationsseite der EU-Kommission: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection_de ).

Einsatz von Cookies

Cookies sind Textdateien, die Daten von besuchten Websites oder Domains enthalten und von einem Browser auf dem Computer des Benutzers gespeichert werden. Ein Cookie dient in erster Linie dazu, die Informationen über einen Benutzer während oder nach seinem Besuch innerhalb eines Onlineangebotes zu speichern. Zu den gespeicherten Angaben können z.B. die Spracheinstellungen auf einer Webseite, der Loginstatus, ein Warenkorb oder die Stelle, an der ein Video geschaut wurde, gehören. Zu dem Begriff der Cookies zählen wir ferner andere Technologien, die die gleichen Funktionen wie Cookies erfüllen (z.B., wenn Angaben der Nutzer anhand pseudonymer Onlinekennzeichnungen gespeichert werden, auch als "Nutzer-IDs" bezeichnet)

Die folgenden Cookie-Typen und Funktionen werden unterschieden:

  • Temporäre Cookies (auch: Session- oder Sitzungs-Cookies): Temporäre Cookies werden spätestens gelöscht, nachdem ein Nutzer ein Online-Angebot verlassen und seinen Browser geschlossen hat.
  • Permanente Cookies: Permanente Cookies bleiben auch nach dem Schließen des Browsers gespeichert. So kann beispielsweise der Login-Status gespeichert oder bevorzugte Inhalte direkt angezeigt werden, wenn der Nutzer eine Website erneut besucht. Ebenso können die Interessen von Nutzern, die zur Reichweitenmessung oder zu Marketingzwecken verwendet werden, in einem solchen Cookie gespeichert werden.
  • First-Party-Cookies: First-Party-Cookies werden von uns selbst gesetzt.
  • Third-Party-Cookies (auch: Drittanbieter-Cookies) : Drittanbieter-Cookies werden hauptsächlich von Werbetreibenden (sog. Dritten) verwendet, um Benutzerinformationen zu verarbeiten.
  • Notwendige (auch: essentielle oder unbedingt erforderliche) Cookies: Cookies können zum einen für den Betrieb einer Webseite unbedingt erforderlich sein (z.B. um Logins oder andere Nutzereingaben zu speichern oder aus Gründen der Sicherheit).
  • Statistik-, Marketing- und Personalisierungs-Cookies : Ferner werden Cookies im Regelfall auch im Rahmen der Reichweitenmessung eingesetzt sowie dann, wenn die Interessen eines Nutzers oder sein Verhalten (z.B. Betrachten bestimmter Inhalte, Nutzen von Funktionen etc.) auf einzelnen Webseiten in einem Nutzerprofil gespeichert werden. Solche Profile dienen dazu, den Nutzern z.B. Inhalte anzuzeigen, die ihren potentiellen Interessen entsprechen. Dieses Verfahren wird auch als "Tracking", d.h., Nachverfolgung der potentiellen Interessen der Nutzer bezeichnet. . Soweit wir Cookies oder "Tracking"-Technologien einsetzen, informieren wir Sie gesondert in unserer Datenschutzerklärung oder im Rahmen der Einholung einer Einwilligung.

Hinweise zu Rechtsgrundlagen: Auf welcher Rechtsgrundlage wir Ihre personenbezogenen Daten mit Hilfe von Cookies verarbeiten, hängt davon ab, ob wir Sie um eine Einwilligung bitten. Falls dies zutrifft und Sie in die Nutzung von Cookies einwilligen, ist die Rechtsgrundlage der Verarbeitung Ihrer Daten die erklärte Einwilligung. Andernfalls werden die mithilfe von Cookies verarbeiteten Daten auf Grundlage unserer berechtigten Interessen (z.B. an einem betriebswirtschaftlichen Betrieb unseres Onlineangebotes und dessen Verbesserung) verarbeitet oder, wenn der Einsatz von Cookies erforderlich ist, um unsere vertraglichen Verpflichtungen zu erfüllen.

Allgemeine Hinweise zum Widerruf und Widerspruch (Opt-Out): Abhängig davon, ob die Verarbeitung auf Grundlage einer Einwilligung oder gesetzlichen Erlaubnis erfolgt, haben Sie jederzeit die Möglichkeit, eine erteilte Einwilligung zu widerrufen oder der Verarbeitung Ihrer Daten durch Cookie-Technologien zu widersprechen (zusammenfassend als "Opt-Out" bezeichnet). Sie können Ihren Widerspruch zunächst mittels der Einstellungen Ihres Browsers erklären, z.B., indem Sie die Nutzung von Cookies deaktivieren (wobei hierdurch auch die Funktionsfähigkeit unseres Onlineangebotes eingeschränkt werden kann). Ein Widerspruch gegen den Einsatz von Cookies zu Zwecken des Onlinemarketings kann auch mittels einer Vielzahl von Diensten, vor allem im Fall des Trackings, über die Webseiten https://optout.aboutads.info und https://www.youronlinechoices.com/ erklärt werden. Daneben können Sie weitere Widerspruchshinweise im Rahmen der Angaben zu den eingesetzten Dienstleistern und Cookies erhalten.

Verarbeitung von Cookie-Daten auf Grundlage einer Einwilligung : Bevor wir Daten im Rahmen der Nutzung von Cookies verarbeiten oder verarbeiten lassen, bitten wir die Nutzer um eine jederzeit widerrufbare Einwilligung. Bevor die Einwilligung nicht ausgesprochen wurde, werden allenfalls Cookies eingesetzt, die für den Betrieb unseres Onlineangebotes erforderlich sind. Deren Einsatz erfolgt auf der Grundlage unseres Interesses und des Interesses der Nutzer an der erwarteten Funktionsfähigkeit unseres Onlineangebotes.

  • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Blogs und Publikationsmedien

Wir nutzen Blogs oder vergleichbare Mittel der Onlinekommunikation und Publikation (nachfolgend "Publikationsmedium"). Die Daten der Leser werden für die Zwecke des Publikationsmediums nur insoweit verarbeitet, als es für dessen Darstellung und die Kommunikation zwischen Autoren und Lesern oder aus Gründen der Sicherheit erforderlich ist. Im Übrigen verweisen wir auf die Informationen zur Verarbeitung der Besucher unseres Publikationsmediums im Rahmen dieser Datenschutzhinweise.

Kommentare und Beiträge : Wenn Nutzer Kommentare oder sonstige Beiträge hinterlassen, können ihre IP-Adressen auf Grundlage unserer berechtigten Interessen gespeichert werden. Das erfolgt zu unserer Sicherheit, falls jemand in Kommentaren und Beiträgen widerrechtliche Inhalte hinterlässt (Beleidigungen, verbotene politische Propaganda etc.). In diesem Fall können wir selbst für den Kommentar oder Beitrag belangt werden und sind daher an der Identität des Verfassers interessiert.

Des Weiteren behalten wir uns vor, auf Grundlage unserer berechtigten Interessen die Angaben der Nutzer zwecks Spamerkennung zu verarbeiten.

Auf derselben Rechtsgrundlage behalten wir uns vor, im Fall von Umfragen die IP-Adressen der Nutzer für deren Dauer zu speichern und Cookies zu verwenden, um Mehrfachabstimmungen zu vermeiden.

Die im Rahmen der Kommentare und Beiträge mitgeteilten Informationen zur Person, etwaige Kontakt- sowie Webseiteninformationen als auch die inhaltlichen Angaben werden von uns bis zum Widerspruch der Nutzer dauerhaft gespeichert.

  • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

  • Zwecke der Verarbeitung: Vertragliche Leistungen und Service, Feedback (z.B. Sammeln von Feedback via Online-Formular), Sicherheitsmaßnahmen, Verwaltung und Beantwortung von Anfragen.

  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO), Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 S. 1 lit. d. DSGVO).

Kontaktaufnahme

Bei der Kontaktaufnahme mit uns (z.B. per Kontaktformular, E-Mail, Telefon oder via soziale Medien) werden die Angaben der anfragenden Personen verarbeitet, soweit dies zur Beantwortung der Kontaktanfragen und etwaiger angefragter Maßnahmen erforderlich ist.

Die Beantwortung der Kontaktanfragen im Rahmen von vertraglichen oder vorvertraglichen Beziehungen erfolgt zur Erfüllung unserer vertraglichen Pflichten oder zur Beantwortung von (vor)vertraglichen Anfragen und im Übrigen auf Grundlage der berechtigten Interessen an der Beantwortung der Anfragen.

  • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos).

  • Betroffene Personen: Kommunikationspartner.

  • Zwecke der Verarbeitung: Kontaktanfragen und Kommunikation.

  • Rechtsgrundlagen: Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Bereitstellung des Onlineangebotes und Webhosting

Um unser Onlineangebot sicher und effizient bereitstellen zu können, nehmen wir die Leistungen von einem oder mehreren Webhosting-Anbietern in Anspruch, von deren Servern (bzw. von ihnen verwalteten Servern) das Onlineangebot abgerufen werden kann. Zu diesen Zwecken können wir Infrastruktur- und Plattformdienstleistungen, Rechenkapazität, Speicherplatz und Datenbankdienste sowie Sicherheitsleistungen und technische Wartungsleistungen in Anspruch nehmen.

Zu den im Rahmen der Bereitstellung des Hostingangebotes verarbeiteten Daten können alle die Nutzer unseres Onlineangebotes betreffenden Angaben gehören, die im Rahmen der Nutzung und der Kommunikation anfallen. Hierzu gehören regelmäßig die IP-Adresse, die notwendig ist, um die Inhalte von Onlineangeboten an Browser ausliefern zu können, und alle innerhalb unseres Onlineangebotes oder von Webseiten getätigten Eingaben.

E-Mail-Versand und -Hosting : Die von uns in Anspruch genommenen Webhosting-Leistungen umfassen ebenfalls den Versand, den Empfang sowie die Speicherung von E-Mails. Zu diesen Zwecken werden die Adressen der Empfänger sowie Absender als auch weitere Informationen betreffend den E-Mailversand (z.B. die beteiligten Provider) sowie die Inhalte der jeweiligen E-Mails verarbeitet. Die vorgenannten Daten können ferner zu Zwecken der Erkennung von SPAM verarbeitet werden. Wir bitten darum, zu beachten, dass E-Mails im Internet grundsätzlich nicht verschlüsselt versendet werden. Im Regelfall werden E-Mails zwar auf dem Transportweg verschlüsselt, aber (sofern kein sogenanntes Ende-zu-Ende-Verschlüsselungsverfahren eingesetzt wird) nicht auf den Servern, von denen sie abgesendet und empfangen werden. Wir können daher für den Übertragungsweg der E-Mails zwischen dem Absender und dem Empfang auf unserem Server keine Verantwortung übernehmen.

Erhebung von Zugriffsdaten und Logfiles : Wir selbst (bzw. unser Webhostinganbieter) erheben Daten zu jedem Zugriff auf den Server (sogenannte Serverlogfiles). Zu den Serverlogfiles können die Adresse und Name der abgerufenen Webseiten und Dateien, Datum und Uhrzeit des Abrufs, übertragene Datenmengen, Meldung über erfolgreichen Abruf, Browsertyp nebst Version, das Betriebssystem des Nutzers, Referrer URL (die zuvor besuchte Seite) und im Regelfall IP-Adressen und der anfragende Provider gehören.

Die Serverlogfiles können zum einen zu Zwecken der Sicherheit eingesetzt werden, z.B., um eine Überlastung der Server zu vermeiden (insbesondere im Fall von missbräuchlichen Angriffen, sogenannten DDoS-Attacken) und zum anderen, um die Auslastung der Server und ihre Stabilität sicherzustellen.

Content-Delivery-Network : Wir setzen ein "Content-Delivery-Network" (CDN) ein. Ein CDN ist ein Dienst, mit dessen Hilfe Inhalte eines Onlineangebotes, insbesondere große Mediendateien, wie Grafiken oder Programm-Skripte, mit Hilfe regional verteilter und über das Internet verbundener Server schneller und sicherer ausgeliefert werden können.

  • Verarbeitete Datenarten: Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

  • Zwecke der Verarbeitung: Content Delivery Network (CDN).

  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Musik und Podcasts

Wir nutzen die Hosting- und Analyse-Angebote der nachfolgend genannten Dienstanbieter, um unsere Audio-Inhalte zum Anhören bzw. zum Download anzubieten und statistische Informationen zum Abruf der Audio-Inhalte zu erhalten.

  • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

  • Zwecke der Verarbeitung: Reichweitenmessung (z.B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher), Besuchsaktionsauswertung, Profiling (Erstellen von Nutzerprofilen).

Webanalyse und Optimierung

Die Webanalyse (auch als "Reichweitenmessung" bezeichnet) dient der Auswertung der Besucherströme unseres Onlineangebotes und kann Verhalten, Interessen oder demographische Informationen zu den Besuchern, wie z.B. das Alter oder das Geschlecht, als pseudonyme Werte umfassen. Mit Hilfe der Reichweitenanalyse können wir z.B. erkennen, zu welcher Zeit unser Onlineangebot oder dessen Funktionen oder Inhalte am häufigsten genutzt werden oder zur Wiederverwendung einladen. Ebenso können wir nachvollziehen, welche Bereiche der Optimierung bedürfen.

Neben der Webanalyse können wir auch Testverfahren einsetzen, um z.B. unterschiedliche Versionen unseres Onlineangebotes oder seiner Bestandteile zu testen und optimieren.

Zu diesen Zwecken können sogenannte Nutzerprofile angelegt und in einer Datei (sogenannte "Cookie") gespeichert oder ähnliche Verfahren mit dem gleichen Zweck genutzt werden. Zu diesen Angaben können z.B. betrachtete Inhalte, besuchte Webseiten und dort genutzte Elemente und technische Angaben, wie der verwendete Browser, das verwendete Computersystem sowie Angaben zu Nutzungszeiten gehören. Sofern Nutzer in die Erhebung ihrer Standortdaten eingewilligt haben, können je nach Anbieter auch diese verarbeitet werden.

Es werden ebenfalls die IP-Adressen der Nutzer gespeichert. Jedoch nutzen wir ein IP-Masking-Verfahren (d.h., Pseudonymisierung durch Kürzung der IP-Adresse) zum Schutz der Nutzer. Generell werden die im Rahmen von Webanalyse, A/B-Testings und Optimierung keine Klardaten der Nutzer (wie z.B. E-Mail-Adressen oder Namen) gespeichert, sondern Pseudonyme. D.h., wir als auch die Anbieter der eingesetzten Software kennen nicht die tatsächliche Identität der Nutzer, sondern nur den für Zwecke der jeweiligen Verfahren in deren Profilen gespeicherten Angaben.

Hinweise zu Rechtsgrundlagen: Sofern wir die Nutzer um deren Einwilligung in den Einsatz der Drittanbieter bitten, ist die Rechtsgrundlage der Verarbeitung von Daten die Einwilligung. Ansonsten werden die Daten der Nutzer auf Grundlage unserer berechtigten Interessen (d.h. Interesse an effizienten, wirtschaftlichen und empfängerfreundlichen Leistungen) verarbeitet. In diesem Zusammenhang möchten wir Sie auch auf die Informationen zur Verwendung von Cookies in dieser Datenschutzerklärung hinweisen.

  • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

  • Zwecke der Verarbeitung: Reichweitenmessung (z.B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher), Tracking (z.B. interessens-/verhaltensbezogenes Profiling, Nutzung von Cookies), Besuchsaktionsauswertung, Profiling (Erstellen von Nutzerprofilen).

  • Sicherheitsmaßnahmen: IP-Masking (Pseudonymisierung der IP-Adresse).

  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Eingesetzte Dienste und Diensteanbieter:

Präsenzen in sozialen Netzwerken

Wir unterhalten Onlinepräsenzen innerhalb sozialer Netzwerke, um mit den dort aktiven Nutzern zu kommunizieren oder um dort Informationen über uns anzubieten.

Wir weisen darauf hin, dass dabei Daten der Nutzer außerhalb des Raumes der Europäischen Union verarbeitet werden können. Hierdurch können sich für die Nutzer Risiken ergeben, weil so z.B. die Durchsetzung der Rechte der Nutzer erschwert werden könnte. Im Hinblick auf US-Anbieter, die unter dem Privacy-Shield zertifiziert sind oder vergleichbare Garantien eines sicheren Datenschutzniveaus bieten, weisen wir darauf hin, dass sie sich damit verpflichten, die Datenschutzstandards der EU einzuhalten.

Ferner werden die Daten der Nutzer innerhalb sozialer Netzwerke im Regelfall für Marktforschungs- und Werbezwecke verarbeitet. So können z.B. anhand des Nutzungsverhaltens und sich daraus ergebender Interessen der Nutzer Nutzungsprofile erstellt werden. Die Nutzungsprofile können wiederum verwendet werden, um z.B. Werbeanzeigen innerhalb und außerhalb der Netzwerke zu schalten, die mutmaßlich den Interessen der Nutzer entsprechen. Zu diesen Zwecken werden im Regelfall Cookies auf den Rechnern der Nutzer gespeichert, in denen das Nutzungsverhalten und die Interessen der Nutzer gespeichert werden. Ferner können in den Nutzungsprofilen auch Daten unabhängig der von den Nutzern verwendeten Geräte gespeichert werden (insbesondere, wenn die Nutzer Mitglieder der jeweiligen Plattformen sind und bei diesen eingeloggt sind).

Für eine detaillierte Darstellung der jeweiligen Verarbeitungsformen und der Widerspruchsmöglichkeiten (Opt-Out) verweisen wir auf die Datenschutzerklärungen und Angaben der Betreiber der jeweiligen Netzwerke.

Auch im Fall von Auskunftsanfragen und der Geltendmachung von Betroffenenrechten weisen wir darauf hin, dass diese am effektivsten bei den Anbietern geltend gemacht werden können. Nur die Anbieter haben jeweils Zugriff auf die Daten der Nutzer und können direkt entsprechende Maßnahmen ergreifen und Auskünfte geben. Sollten Sie dennoch Hilfe benötigen, dann können Sie sich an uns wenden.

  • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

  • Zwecke der Verarbeitung: Kontaktanfragen und Kommunikation, Tracking (z.B. interessens-/verhaltensbezogenes Profiling, Nutzung von Cookies), Remarketing, Reichweitenmessung (z.B. Zugriffsstatistiken, Erkennung wiederkehrender Besucher).

  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Eingesetzte Dienste und Diensteanbieter:

Plugins und eingebettete Funktionen sowie Inhalte

Wir binden in unser Onlineangebot Funktions- und Inhaltselemente ein, die von den Servern ihrer jeweiligen Anbieter (nachfolgend bezeichnet als "Drittanbieter”) bezogen werden. Dabei kann es sich zum Beispiel um Grafiken, Videos oder Social-Media-Schaltflächen sowie Beiträge handeln (nachfolgend einheitlich bezeichnet als "Inhalte”).

Die Einbindung setzt immer voraus, dass die Drittanbieter dieser Inhalte die IP-Adresse der Nutzer verarbeiten, da sie ohne die IP-Adresse die Inhalte nicht an deren Browser senden könnten. Die IP-Adresse ist damit für die Darstellung dieser Inhalte oder Funktionen erforderlich. Wir bemühen uns, nur solche Inhalte zu verwenden, deren jeweilige Anbieter die IP-Adresse lediglich zur Auslieferung der Inhalte verwenden. Drittanbieter können ferner sogenannte Pixel-Tags (unsichtbare Grafiken, auch als "Web Beacons" bezeichnet) für statistische oder Marketingzwecke verwenden. Durch die "Pixel-Tags" können Informationen, wie der Besucherverkehr auf den Seiten dieser Webseite, ausgewertet werden. Die pseudonymen Informationen können ferner in Cookies auf dem Gerät der Nutzer gespeichert werden und unter anderem technische Informationen zum Browser und zum Betriebssystem, zu verweisenden Webseiten, zur Besuchszeit sowie weitere Angaben zur Nutzung unseres Onlineangebotes enthalten als auch mit solchen Informationen aus anderen Quellen verbunden werden.

Hinweise zu Rechtsgrundlagen: Sofern wir die Nutzer um deren Einwilligung in den Einsatz der Drittanbieter bitten, ist die Rechtsgrundlage der Verarbeitung von Daten die Einwilligung. Ansonsten werden die Daten der Nutzer auf Grundlage unserer berechtigten Interessen (d.h. Interesse an effizienten, wirtschaftlichen und empfängerfreundlichen Leistungen) verarbeitet. In diesem Zusammenhang möchten wir Sie auch auf die Informationen zur Verwendung von Cookies in dieser Datenschutzerklärung hinweisen.

  • Verarbeitete Datenarten: Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos), Bestandsdaten (z.B. Namen, Adressen).

  • Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten), Kommunikationspartner.

  • Zwecke der Verarbeitung: Bereitstellung unseres Onlineangebotes und Nutzerfreundlichkeit, Vertragliche Leistungen und Service, Kontaktanfragen und Kommunikation, Direktmarketing (z.B. per E-Mail oder postalisch), Tracking (z.B. interessens-/verhaltensbezogenes Profiling, Nutzung von Cookies), Interessenbasiertes und verhaltensbezogenes Marketing, Profiling (Erstellen von Nutzerprofilen), Sicherheitsmaßnahmen, Verwaltung und Beantwortung von Anfragen.

  • Rechtsgrundlagen: Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO), Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO).

Eingesetzte Dienste und Diensteanbieter:

Planung, Organisation und Hilfswerkzeuge

Wir setzen Dienstleistungen, Plattformen und Software anderer Anbieter (nachfolgend bezeichnet als "Drittanbieter”) zu Zwecken der Organisation, Verwaltung, Planung sowie Erbringung unserer Leistungen ein. Bei der Auswahl der Drittanbieter und ihrer Leistungen beachten wir die gesetzlichen Vorgaben.

In diesem Rahmen können personenbezogenen Daten verarbeitet und auf den Servern der Drittanbieter gespeichert werden. Hiervon können diverse Daten betroffen sein, die wir entsprechend dieser Datenschutzerklärung verarbeiten. Zu diesen Daten können insbesondere Stammdaten und Kontaktdaten der Nutzer, Daten zu Vorgängen, Verträgen, sonstigen Prozessen und deren Inhalte gehören.

Sofern Nutzer im Rahmen der Kommunikation, von Geschäfts- oder anderen Beziehungen mit uns auf die Drittanbieter bzw. deren Software oder Plattformen verwiesen werden, können die Drittanbieter Nutzungsdaten und Metadaten zu Sicherheitszwecken, zur Serviceoptimierung oder zu Marketingzwecken verarbeiten. Wir bitten daher darum, die Datenschutzhinweise der jeweiligen Drittanbieter zu beachten.

Hinweise zu Rechtsgrundlagen: Sofern wir die Nutzer um deren Einwilligung in den Einsatz der Drittanbieter bitten, ist die Rechtsgrundlage der Verarbeitung von Daten die Einwilligung. Ferner kann deren Einsatz ein Bestandteil unserer (vor)vertraglichen Leistungen sein, sofern der Einsatz der Drittanbieter in diesem Rahmen vereinbart wurde. Ansonsten werden die Daten der Nutzer auf Grundlage unserer berechtigten Interessen (d.h. Interesse an effizienten, wirtschaftlichen und empfängerfreundlichen Leistungen) verarbeitet. In diesem Zusammenhang möchten wir Sie auch auf die Informationen zur Verwendung von Cookies in dieser Datenschutzerklärung hinweisen.

  • Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern), Inhaltsdaten (z.B. Texteingaben, Fotografien, Videos), Nutzungsdaten (z.B. besuchte Webseiten, Interesse an Inhalten, Zugriffszeiten), Meta-/Kommunikationsdaten (z.B. Geräte-Informationen, IP-Adressen).

  • Betroffene Personen: Kommunikationspartner, Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).

  • Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art. 6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).

Löschung von Daten

Die von uns verarbeiteten Daten werden nach Maßgabe der gesetzlichen Vorgaben gelöscht, sobald deren zur Verarbeitung erlaubten Einwilligungen widerrufen werden oder sonstige Erlaubnisse entfallen (z.B., wenn der Zweck der Verarbeitung dieser Daten entfallen ist oder sie für den Zweck nicht erforderlich sind).

Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung auf diese Zwecke beschränkt. D.h., die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen oder deren Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person erforderlich ist.

Weitere Hinweise zu der Löschung von personenbezogenen Daten können ferner im Rahmen der einzelnen Datenschutzhinweise dieser Datenschutzerklärung erfolgen.

Änderung und Aktualisierung der Datenschutzerklärung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald die Änderungen der von uns durchgeführten Datenverarbeitungen dies erforderlich machen. Wir informieren Sie, sobald durch die Änderungen eine Mitwirkungshandlung Ihrerseits (z.B. Einwilligung) oder eine sonstige individuelle Benachrichtigung erforderlich wird.

Sofern wir in dieser Datenschutzerklärung Adressen und Kontaktinformationen von Unternehmen und Organisationen angeben, bitten wir zu beachten, dass die Adressen sich über die Zeit ändern können und bitten die Angaben vor Kontaktaufnahme zu prüfen.

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu, die sich insbesondere aus Art. 15 bis 18 und 21 DSGVO ergeben:

  • Widerspruchsrecht: Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
  • Widerrufsrecht bei Einwilligungen: Sie haben das Recht, erteilte Einwilligungen jederzeit zu widerrufen.
  • Auskunftsrecht: Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob betreffende Daten verarbeitet werden und auf Auskunft über diese Daten sowie auf weitere Informationen und Kopie der Daten entsprechend den gesetzlichen Vorgaben.
  • Recht auf Berichtigung: Sie haben entsprechend den gesetzlichen Vorgaben das Recht, die Vervollständigung der Sie betreffenden Daten oder die Berichtigung der Sie betreffenden unrichtigen Daten zu verlangen.
  • Recht auf Löschung und Einschränkung der Verarbeitung: Sie haben nach Maßgabe der gesetzlichen Vorgaben das Recht, zu verlangen, dass Sie betreffende Daten unverzüglich gelöscht werden, bzw. alternativ nach Maßgabe der gesetzlichen Vorgaben eine Einschränkung der Verarbeitung der Daten zu verlangen.
  • Recht auf Datenübertragbarkeit: Sie haben das Recht, Sie betreffende Daten, die Sie uns bereitgestellt haben, nach Maßgabe der gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu fordern.
  • Beschwerde bei Aufsichtsbehörde: Sie haben ferner nach Maßgabe der gesetzlichen Vorgaben das Recht, bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes Beschwerde einzulegen, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Begriffsdefinitionen

In diesem Abschnitt erhalten Sie eine Übersicht über die in dieser Datenschutzerklärung verwendeten Begrifflichkeiten. Viele der Begriffe sind dem Gesetz entnommen und vor allem im Art. 4 DSGVO definiert. Die gesetzlichen Definitionen sind verbindlich. Die nachfolgenden Erläuterungen sollen dagegen vor allem dem Verständnis dienen. Die Begriffe sind alphabetisch sortiert.

  • Besuchsaktionsauswertung: "Besuchsaktionsauswertung" (englisch "Conversion Tracking") bezeichnet ein Verfahren, mit dem die Wirksamkeit von Marketingmaßnahmen festgestellt werden kann. Dazu wird im Regelfall ein Cookie auf den Geräten der Nutzer innerhalb der Webseiten, auf denen die Marketingmaßnahmen erfolgen, gespeichert und dann erneut auf der Zielwebseite abgerufen. Beispielsweise können wir so nachvollziehen, ob die von uns auf anderen Webseiten geschalteten Anzeigen erfolgreich waren).
  • Content Delivery Network (CDN): Ein "Content Delivery Network" (CDN) ist ein Dienst, mit dessen Hilfe Inhalte eines Onlineangebotes, insbesondere große Mediendateien, wie Grafiken oder Programm-Skripte mit Hilfe regional verteilter und über das Internet verbundener Server, schneller und sicherer ausgeliefert werden können.
  • IP-Masking: Als "IP-Masking” wird eine Methode bezeichnet, bei der das letzte Oktett, d.h., die letzten beiden Zahlen einer IP-Adresse, gelöscht wird, damit die IP-Adresse nicht mehr der eindeutigen Identifizierung einer Person dienen kann. Daher ist das IP-Masking ein Mittel zur Pseudonymisierung von Verarbeitungsverfahren, insbesondere im Onlinemarketing
  • Interessenbasiertes und verhaltensbezogenes Marketing: Von interessens- und/oder verhaltensbezogenem Marketing spricht man, wenn potentielle Interessen von Nutzern an Anzeigen und sonstigen Inhalten möglichst genau vorbestimmt werden. Dies geschieht anhand von Angaben zu deren Vorverhalten (z.B. Aufsuchen von bestimmten Webseiten und Verweilen auf diesen, Kaufverhaltens oder Interaktion mit anderen Nutzern), die in einem sogenannten Profil gespeichert werden. Zu diesen Zwecken werden im Regelfall Cookies eingesetzt.
  • Personenbezogene Daten: "Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (z.B. Cookie) oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
  • Profiling: Als "Profiling“ wird jede Art der automatisierten Verarbeitung personenbezogener Daten bezeichnet, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen (je nach Art des Profilings gehören dazu Informationen betreffend das Alter, das Geschlecht, Standortdaten und Bewegungsdaten, Interaktion mit Webseiten und deren Inhalten, Einkaufsverhalten, soziale Interaktionen mit anderen Menschen) zu analysieren, zu bewerten oder, um sie vorherzusagen (z.B. die Interessen an bestimmten Inhalten oder Produkten, das Klickverhalten auf einer Webseite oder den Aufenthaltsort). Zu Zwecken des Profilings werden häufig Cookies und Web-Beacons eingesetzt.
  • Reichweitenmessung: Die Reichweitenmessung (auch als Web Analytics bezeichnet) dient der Auswertung der Besucherströme eines Onlineangebotes und kann das Verhalten oder Interessen der Besucher an bestimmten Informationen, wie z.B. Inhalten von Webseiten, umfassen. Mit Hilfe der Reichweitenanalyse können Webseiteninhaber z.B. erkennen, zu welcher Zeit Besucher ihre Webseite besuchen und für welche Inhalte sie sich interessieren. Dadurch können sie z.B. die Inhalte der Webseite besser an die Bedürfnisse ihrer Besucher anpassen. Zu Zwecken der Reichweitenanalyse werden häufig pseudonyme Cookies und Web-Beacons eingesetzt, um wiederkehrende Besucher zu erkennen und so genauere Analysen zur Nutzung eines Onlineangebotes zu erhalten.
  • Remarketing: Vom "Remarketing“ bzw. "Retargeting“ spricht man, wenn z.B. zu Werbezwecken vermerkt wird, für welche Produkte sich ein Nutzer auf einer Webseite interessiert hat, um den Nutzer auf anderen Webseiten an diese Produkte, z.B. in Werbeanzeigen, zu erinnern.
  • Tracking: Vom "Tracking“ spricht man, wenn das Verhalten von Nutzern über mehrere Onlineangebote hinweg nachvollzogen werden kann. Im Regelfall werden im Hinblick auf die genutzten Onlineangebote Verhaltens- und Interessensinformationen in Cookies oder auf Servern der Anbieter der Trackingtechnologien gespeichert (sogenanntes Profiling). Diese Informationen können anschließend z.B. eingesetzt werden, um den Nutzern Werbeanzeigen anzuzeigen, die voraussichtlich deren Interessen entsprechen.
  • Verantwortlicher: Als "Verantwortlicher“ wird die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet, bezeichnet.
  • Verarbeitung: "Verarbeitung" ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Der Begriff reicht weit und umfasst praktisch jeden Umgang mit Daten, sei es das Erheben, das Auswerten, das Speichern, das Übermitteln oder das Löschen.

Erstellt mit kostenlosem Datenschutz-Generator.de von Dr. Thomas Schwenke


Besucherzähler von besucherzaehler-kostenlos.de

Diese Webseite verwendet einen externen Zähler, um die Anzahl der Webseitenaufrufe zu erfassen. Dafür wird ein Java-Script von einer externe Webseite geladen. Der Server von besucherzaehler-kostenlos.de speichert die IP-Adresse des Zugriffs üblicherweise anonymisiert und zeitlich begrenzt in einer LOG-Datei ab. Diese wird regelmäßig unwiderruflich gelöscht.

Um die korrekte Funktionsweise des Zählers zu gewährleisten, speichert der Besucherzähler zudem einen sogenannten Session-Cookie auf dem Computer des Besuchers ab. Dieser wird üblicherweise vom Browser gelöscht, sobald er geschlossen wird. In diesem Cookie werden keine persönlichen Informationen gespeichert. Er enthält lediglich die Information der aufgerufenen Domain, sowie einen boolschen Tag (true/false), um den Besucher als bereits gezählt zu markieren.

Es werden auch darüberhinaus keine persönlichen oder personenbezogenen Daten vom Besucherzähler erhoben. Eine Nachverfolgung oder Zuordnung der Zugriffe ist zu keiner Zeit möglich.



© Thorsten Trautmann 2012
besucherzaehler-kostenlos.de