Skip to main content

Vereinbarung über eine gemeinsame Verantwortlichkeit

zwischen

SMK Versicherungsmakler AG
Kerkrader Straße 10
35394 Gießen
– Verantwortlicher (A) –

und

in:now AG
Kerkrader Str. 10
35394 Gießen
– Verantwortlicher (B) –

und

in:privat Versicherungsmakler GmbH
Kerkrader Str. 10
35394 Gießen
– Verantwortlicher (C) –

und

in:solutions GmbH
Kerkrader Str. 10
35394 Gießen
– Verantwortlicher (D) –

und

in:finity systems GmbH
Kerkrader Str. 10
35394 Gießen
– Verantwortlicher (F) –

1. Gegenstand der Vereinbarung

(1) Zwischen den Parteien besteht eine Vereinbarung, das den gemeinsamen Internetauftritt und oder Socialmedia-Auftritt der Unternehmen der SMK Group durch die Verantwortlichen (A) bis (F) beinhaltet. Die Parteien sind sich darüber einig, dass sie im Hinblick auf dieses Zusammenwirken gemeinsam über Zwecke und Mittel der Verarbeitung i.S.d. Art. 4 Nr. 7 DSGVO bestimmen und insoweit eine gemeinsame Verantwortlichkeit besteht.

(2) Dieser Vertrag stellt die Vereinbarung zwischen gemeinsam Verantwortlichen i.S.d. Art. 26 DSGVO zwischen den Parteien dar. In diesem Vertrag werden Regelungen dazu getroffen, wer welchen Verpflichtungen der DSGVO im Zusammenhang mit gemeinsam Verarbeitung personenbezogener Daten nachkommt.

2. Beschreibung der Datenverarbeitung

(1) Zweck, Art und Umfang der Verarbeitung personenbezogener Daten auf der gemeinsam betriebenen Webseite smk-group.de richten sich nach der dortigen aktuellen Datenschutzerklärung. Komplettierend gelten die gemeinsamen Verarbeitungen personenbezogener Daten, die in Anlage 1 und 2 dieser Vereinbarung definiert sind.

3. Verantwortlichkeit und Zuständigkeiten für Verarbeitungsschritte/-phasen

(1) Die Parteien haben die Verarbeitungsschritte, die der gemeinsamen Verantwortlichkeit unterliegen, beschrieben und die jeweiligen Verantwortlichkeiten zugewiesen. Wenn keine Angaben erfolgen und der Vertrag auch ansonsten keine Verantwortlichkeiten zuweist, ist davon auszugehen, dass die Parteien gleichermaßen für die Verarbeitung der jeweiligen Datenart(en) verantwortlich sind.

(2) Die Parteien haben ferner Verantwortlichkeiten für die Bearbeitung und Umsetzung von Maßnahmen festgelegt, die anlässlich der Wahrnehmung der Rechte von Betroffenen aus den Art. 15-21 DSGVO zu treffen sind. Wenn keine Angaben erfolgen und der Vertrag auch ansonsten keine Verantwortlichkeiten zuweist, ist davon auszugehen, dass beide Parteien gleichermaßen für die Bearbeitung von vorgenannten Betroffenenanfragen verantwortlich sind.

(3) Ungeachtet der Regelungen in Absatz 1 und 2 stimmen die Parteien überein, dass sich betroffene Personen an beide Parteien zwecks Wahrnehmung der ihnen jeweils zustehenden Betroffenenrechte wenden können. In einem solchen Fall ist die jeweils andere Partei dazu verpflichtet, das Ersuchen eines Betroffenen an die zuständige Partei unverzüglich weiterzuleiten. Die Parteien werden sich hierfür gegenseitig Kontaktadressen benennen und jede Änderung unverzüglich in Textform mitteilen.

4. Umsetzung von Betroffenenrechten

(1) Jede Partei ist verpflichtet, die Informationspflichten aus Art. 12-14 DSGVO und Art. 26 Abs. 2 S. 2 DSGVO gegenüber den Betroffenen umzusetzen, soweit die jeweilige Partei für den/die Verarbeitung-schritt(e)/-phase(n) im Sinne der Ziff. 3 dieses Vertrages zuständig ist. Die Parteien tragen Sorge dafür, dass diese Informationen über das Internet zugänglich sind und stellen sich gegenseitig die Internetadressen zur Verfügung, unter denen die jeweiligen Informationen abrufbar sind.

(2) Betroffenen Personen sind die erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zur Verfügung zu stellen.

5. Datensicherheit
Die Parteien verpflichten sich gegenseitig zur Einhaltung der jeweils nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen, soweit dies die Verarbeitung personenbezogener Daten betrifft, für die eine gemeinsame Verantwortlichkeit i.S.d. Art. 26 DSGVO besteht.
6. Meldepflichten bei Datenschutzverletzungen

(1) Jede Partei wird die jeweils andere Partei unverzüglich über jede Verletzung des Schutzes personenbezogener Daten i.S.d. Art. 4 Nr. 12 DSGVO in Textform unterrichten. Die Parteien werden sich gegenseitig unverzüglich alle Informationen im Zusammenhang mit der Datenschutzverletzung zur Verfügung stellen, die zur Prüfung der Datenschutzverletzung und ihrer Folgen sowie für die Erfüllung etwaiger Meldepflichten nach den Art. 33, 34 DSGVO erforderlich sind.

(2) Für den Fall, dass eine Meldepflicht nach Art. 33 DSGVO besteht, werden die Parteien im Rahmen der Zumutbarkeit das weitere Vorgehen abstimmen und sich bei der Erfüllung der Meldepflichten gegenseitig unterstützen.

(3) Sofern eine Benachrichtigung der Betroffenen nach Art. 34 DSGVO erforderlich ist, werden die Parteien im Rahmen der Zumutbarkeit zusammenwirken und eine gemeinsame Benachrichtigung der Betroffenen durchführen, soweit die Parteien dies für sinnvoll halten.

7. Gemeinsame Pflichten

Die Vertragsparteien haben sich gegenseitig unverzüglich und vollständig zu informieren, wenn Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung oder Verletzungen von Bestimmungen dieses Vertrags oder anwendbaren Datenschutzrechts (insbesondere der DSGVO) festgestellt werden.

8. Auftragsverarbeiter zur Betreibung der Webseite und deren Services

(1) Die Beauftragung von Auftragsverarbeitern i.S.d. Art. 4 Nr. 8 DSGVO durch eine Partei bedarf der vorherigen Zustimmung der jeweils anderen Parteien in Textform.

(2) Die jeweils anderen Partein können vor Erteilung der Zustimmung die Vorlage des Auftragsverarbeitungsvertrages verlangen, der mit dem jeweiligen Auftragsverarbeiter geschlossen wurde, um die Einhaltung der Vorgaben des Art. 28 DSGVO zu überprüfen.

(3) Sofern die Verarbeitung von personenbezogenen Daten in einem Drittland erfolgt, wird der Auftraggeber gegenüber den jeweils anderen Partei dieses Vertrages das Vorliegen der Garantien für ein angemessenes Datenschutzniveau im Drittland darlegen.

(4) Für den Fall, dass ein bestehender Auftragsverarbeitungsvertrag mit einem Auftragsverarbeiter geändert wird, besteht eine Informationspflicht des Auftraggebers gegenüber den jeweils anderen Parteien dieses Vertrages. Für den Fall, dass die Änderung des Auftragsverarbeitungsvertrages zu einer Verletzung der Vorgaben aus Art. 28 DSGVO führt, kann die jeweils andere Vertragspartei von dem Auftraggeber eine unverzügliche Nachbesserung des Vertrages verlangen, damit die Voraussetzungen von Art. 28 DSGVO eingehalten werden.

9. Zusammenarbeit mit Aufsichtsbehörden

(1) Jede Partei ist verpflichtet, die jeweils anderen Parteien unverzüglich zu informieren, wenn eine Datenschutzaufsichtsbehörde sich an sie wendet und dies eine Verarbeitung betrifft, die von diesem Vertrag umfasst ist.

(2) Die Parteien werden die Beantwortung von Anfragen von Aufsichtsbehörden zu der vertragsgegenständlichen Verarbeitung miteinander abstimmen, soweit dies rechtlich zulässig und/oder zumutbar ist.

(3) Die Parteien sind sich darüber einig, dass aufsichtsbehördlichen Maßnahmen grundsätzlich Folge zu leisten ist. Gleichwohl werden die Parteien sich darüber ins Benehmen setzen, ob und inwieweit Rechtsbehelfe gegen Anordnungen der Behörde eingelegt werden.

10. Haftung

(1) Die Parteien haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften.

(2) Die Parteien stellen einander im Innenverhältnis von jeglicher Haftung frei, wenn die haftungsauslösende Ursache im Rahmen der Verantwortlichkeit nach Ziff. 3 dieses Vertrages allein von einer Partei zu vertreten ist. Das gilt auch im Hinblick auf eine gegen eine Partei etwa verhängte Geldbuße wegen eines Verstoßes gegen Datenschutzvorschriften.

11. Schlussbestimmungen

(1) Für die Laufzeit und Beendigung des Vertrages gelten die Regelungen des Hauptvertrages. Im Fall von Widersprüchen zwischen diesem Vertrag und sonstigen Vereinbarungen zwischen den Parteien, insbesondere dem Hauptvertrag, gehen die Regelungen dieses Vertrags vor.

(2) Sollten einzelne Bestimmungen dieses Vertrags unwirksam sein oder werden oder eine Lücke enthalten, so bleiben die übrigen Bestimmungen hiervon unberührt. Die Parteien verpflichten sich, anstelle der unwirksamen Regelung eine solche gesetzlich zulässige Regelung zu treffen, die dem Zweck der unwirksamen Regelung am nächsten kommt und den Anforderungen des Art. 26 DSGVO am besten gerecht wird.

(3) Es gilt deutsches Recht einschließlich der DSGVO.

gez. Mike Kersting, Verantwortlicher (A), gez. Mike Kersting, Verantwortlicher (B), gez. Mike Kersting, Verantwortlicher (C), gez. Marco Gerth, Verantwortlicher (D), gez. Andre Befort, Verantwortlicher (E)

Anlage 1 – Nähere Informationen zur gemeinsamen Verantwortlichkeit

1. Art(en) der personenbezogenen Daten
Folgende Datenarten sind regelmäßig Gegenstand der (gemeinsamen) Verarbeitung:
  • Vorname
  • Nachname
  • Anschrift
  • Email-Adresse
  • Passwort
  • Telefonnummer
  • Chatnachrichten, inkl. Inhaltsdaten zur Kommunikation mit den jeweiligen Akteuren
  • Metadaten und Nutzungsdaten (im Einzelfall) – je nach genutztem Service/Tool/Feature auf der Webseite

2. Kategorien betroffener Person
Kreis der von der Datenverarbeitung betroffenen Personen:
  • Kunden der Verantwortlichen
  • Mögliche Interessenten der Verantwortlichen, inkl. Webseitenbesucher
  • Zulieferer und Netzwerkpartner der Verantwortlichen
  • Beschäftigte der Verantwortlichen

Anlage 2 – Beschreibung der Datenverarbeitung und der einzelnen Verantwortlichkeiten

Wesentliche Verarbeitungschritte

Verantwortlich

Primär verantwortlich für Betroffenenrechte (u.a. Informationspflichten, Auskunftsrechte)

Erhebung von Daten aus dem Kreis der betroffenen Personen – siehe Anlage 1.
Initiale Erhebung und Verwaltung der (Kontakt-)Daten von Webseitennutzern, Interessenten und Partnern (im Rahmen der Kontaktaufnahme, unabhängig vom Medium, inkl. E-Mail und Chat), einschließlich Distribution/Weiterleitung der Anfragen/Nachrichten zur Bearbeitung der jeweiligen Anfragen an die beteiligten Parteien dieser Vereinbarung (Gesellschaften der SMK Group)

SMK Versicherungsmakler AG

SMK Versicherungsmakler AG

Hosting der Webseite

SMK Versicherungsmakler AG

SMK Versicherungsmakler AG

Redaktionelle Verwaltung und Administration der Webseite, inkl. Auswahl und Verwaltung der eingesetzten Systeme/Features auf der Webseite

Alle genannten Vertragsparteien dieser Vereinbarung

SMK Versicherungsmakler AG

Nutzung der erhobenen (Kontakt-) Daten zu entsprechend eigenen Zwecken (z.B. Bearbeitung Anfrage, Vertriebsgespräch o.Ä.).

Alle genannten Vertragsparteien dieser Vereinbarung

Alle genannten Vertragsparteien dieser Vereinbarung zu den jeweiligen Zwecken

Datenschutzrechte können bei allen genannten Parteien geltend gemacht werden. Betroffene erhalten die Auskunft grundsätzlich von der Stelle, bei der Rechte geltend gemacht wurden. Bei Fragen rund um die gemeinsamen Verantwortlichkeiten können sich die Betroffenen jederzeit auch an unseren betrieblichen Datenschutzbeauftragten wenden. Diesen erreichen Sie telefonisch unter der Rufnummer +49 (0) 561 830 99 165, per Post unter der o.g. Adresse mit dem Zusatz – Datenschutzbeauftragter – sowie per E-Mail unter datenschutz@smk.ag.

Redaktionsstand 01.2024