Vereinbarung über eine gemeinsame Verantwortlichkeit

SMK Versicherungsmakler AG
Kerkrader Straße 10
35394 Gießen
– Verantwortlicher (A) –

in:now AG
Kerkrader Str. 10
35394 Gießen
– Verantwortlicher (B) –

in:privat Versicherungsmakler GmbH
Kerkrader Str. 10
35394 Gießen
– Verantwortlicher (C) –

in:solutions GmbH
Kerkrader Str. 10
35394 Gießen
– Verantwortlicher (D) –

coliex systems GmbH
Kerkrader Str. 10
35394 Gießen
– Verantwortlicher (F) –

(1) Zwischen den Parteien besteht eine Vereinbarung, das den gemeinsamen Internetauftritt und oder Socialmedia-Auftritt der Unternehmen der SMK Group durch die Verantwortlichen (A) bis (F) beinhaltet. Die Parteien sind sich darüber einig, dass sie im Hinblick auf dieses Zusammenwirken gemeinsam über Zwecke und Mittel der Verarbeitung i.S.d. Art. 4 Nr. 7 DSGVO bestimmen und insoweit eine gemeinsame Verantwortlichkeit besteht.

(2) Dieser Vertrag stellt die Vereinbarung zwischen gemeinsam Verantwortlichen i.S.d. Art. 26 DSGVO zwischen den Parteien dar. In diesem Vertrag werden Regelungen dazu getroffen, wer welchen Verpflichtungen der DSGVO im Zusammenhang mit gemeinsam Verarbeitung personenbezogener Daten nachkommt.

(1) Zweck, Art und Umfang der Verarbeitung personenbezogener Daten auf der gemeinsam betriebenen Webseite smk-group.de richten sich nach der dortigen aktuellen Datenschutzerklärung. Komplettierend gelten die gemeinsamen Verarbeitungen personenbezogener Daten, die in Anlage 1 und 2 dieser Vereinbarung definiert sind.

(1) Die Parteien haben die Verarbeitungsschritte, die der gemeinsamen Verantwortlichkeit unterliegen, beschrieben und die jeweiligen Verantwortlichkeiten zugewiesen. Wenn keine Angaben erfolgen und der Vertrag auch ansonsten keine Verantwortlichkeiten zuweist, ist davon auszugehen, dass die Parteien gleichermaßen für die Verarbeitung der jeweiligen Datenart(en) verantwortlich sind.

(2) Die Parteien haben ferner Verantwortlichkeiten für die Bearbeitung und Umsetzung von Maßnahmen festgelegt, die anlässlich der Wahrnehmung der Rechte von Betroffenen aus den Art. 15-21 DSGVO zu treffen sind. Wenn keine Angaben erfolgen und der Vertrag auch ansonsten keine Verantwortlichkeiten zuweist, ist davon auszugehen, dass beide Parteien gleichermaßen für die Bearbeitung von vorgenannten Betroffenenanfragen verantwortlich sind.

(3) Ungeachtet der Regelungen in Absatz 1 und 2 stimmen die Parteien überein, dass sich betroffene Personen an beide Parteien zwecks Wahrnehmung der ihnen jeweils zustehenden Betroffenenrechte wenden können. In einem solchen Fall ist die jeweils andere Partei dazu verpflichtet, das Ersuchen eines Betroffenen an die zuständige Partei unverzüglich weiterzuleiten. Die Parteien werden sich hierfür gegenseitig Kontaktadressen benennen und jede Änderung unverzüglich in Textform mitteilen.

(1) Jede Partei ist verpflichtet, die Informationspflichten aus Art. 12-14 DSGVO und Art. 26 Abs. 2 S. 2 DSGVO gegenüber den Betroffenen umzusetzen, soweit die jeweilige Partei für den/die Verarbeitung-schritt(e)/-phase(n) im Sinne der Ziff. 3 dieses Vertrages zuständig ist. Die Parteien tragen Sorge dafür, dass diese Informationen über das Internet zugänglich sind und stellen sich gegenseitig die Internetadressen zur Verfügung, unter denen die jeweiligen Informationen abrufbar sind.

(2) Betroffenen Personen sind die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen.

(1) Jede Partei wird die jeweils andere Partei unverzüglich über jede Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO in Textform unterrichten. Die Parteien werden sich gegenseitig unverzüglich alle Informationen im Zusammenhang mit der Datenschutzverletzung zur Verfügung stellen, die zur Prüfung der Datenschutzverletzung und ihrer Folgen sowie für die Erfüllung etwaiger Meldepflichten nach den Art. 33, 34 DSGVO erforderlich sind.

(2) Für den Fall, dass eine Meldepflicht nach Art. 33 DSGVO besteht, werden die Parteien im Rahmen der Zumutbarkeit das weitere Vorgehen abstimmen und sich bei der Erfüllung der Meldepflichten gegenseitig unterstützen.

(3) Sofern eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich ist, werden die Parteien im Rahmen der Zumutbarkeit zusammenwirken und eine gemeinsame Benachrichtigung der Betroffenen durchführen, soweit die Parteien dies für sinnvoll halten.

Die Vertragsparteien haben sich gegenseitig unverzüglich und vollständig zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung oder Verletzungen von Bestimmungen dieses Vertrags oder anwendbaren Datenschutzrechts (insbesondere der DSGVO) festgestellt werden.

(1) Die Beauftragung von Auftragsverarbeitern i.S.d. Art. 4 Nr. 8 DSGVO durch eine Partei bedarf der vorherigen Zustimmung der jeweils anderen Parteien in Textform.

(2) Die jeweils anderen Partein können vor Erteilung der Zustimmung die Vorlage des Auftragsverarbeitungsvertrages verlangen, der mit dem jeweiligen Auftragsverarbeiter geschlossen wurde, um die Einhaltung der Vorgaben des Art. 28 DSGVO zu überprüfen.

(3) Sofern die Verarbeitung von personenbezogenen Daten in einem Drittland erfolgt, wird der Auftraggeber gegenüber den jeweils anderen Partei dieses Vertrages das Vorliegen der Garantien für ein angemessenes Datenschutzniveau im Drittland darlegen.

(4) Für den Fall, dass ein bestehender Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter geändert wird, besteht eine Informationspflicht des Auftraggebers gegenüber den jeweils anderen Parteien dieses Vertrages. Für den Fall, dass die Änderung des Auftragsverarbeitungsvertrages zu einer Verletzung der Vorgaben aus Art. 28 DSGVO führt, kann die jeweils andere Vertragspartei von dem Auftraggeber eine unverzügliche Nachbesserung des Vertrages verlangen, damit die Voraussetzungen von Art. 28 DSGVO eingehalten werden.

(1) Jede Partei ist verpflichtet, die jeweils anderen Parteien unverzüglich zu informieren, wenn eine Datenschutzaufsichtsbehörde sich an sie wendet und dies eine Verarbeitung betrifft, die von diesem Vertrag umfasst ist.

(2) Die Parteien werden die Beantwortung von Anfragen von Aufsichtsbehörden zu der vertragsgegenständlichen Verarbeitung miteinander abstimmen, soweit dies rechtlich zulässig und/oder zumutbar ist.

(3) Die Parteien sind sich darüber einig, dass aufsichtsbehördlichen Maßnahmen grundsätzlich Folge zu leisten ist. Gleichwohl werden die Parteien sich darüber ins Benehmen setzen, ob und inwieweit Rechtsbehelfe gegen Anordnungen der Behörde eingelegt werden.

(1) Die Parteien haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften.

(2) Die Parteien stellen einander im Innenverhältnis von jeglicher Haftung frei, wenn die haftungsauslösende Ursache im Rahmen der Verantwortlichkeit nach Ziff. 3 dieses Vertrages allein von einer Partei zu vertreten ist. Das gilt auch im Hinblick auf eine gegen eine Partei etwa verhängte Geldbuße wegen eines Verstoßes gegen Datenschutzvorschriften.

(1) Für die Laufzeit und Beendigung des Vertrages gelten die Regelungen des Hauptvertrages. Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 26 DSGVO am besten gerecht wird.

(3) Es gilt deutsches Recht einschließlich der DSGVO.

gez. Mike Kersting, Verantwortlicher (A), gez. Mike Kersting, Verantwortlicher (B), gez. Mike Kersting, Verantwortlicher (C), gez. Marco Gerth, Verantwortlicher (D), gez. Andre Befort, Verantwortlicher (E)