Diese Vereinbarung über Auftragsverarbeitung (das „DPA“) ist zusammen mit den Nutzungsbedingungen, der Datenschutzerklärung und der Richtlinie über zulässige Nutzung Bestandteil der vertraglichen Beziehungen (der „Hauptvertrag“), die zwischen Hotjar („wir“, „unsere“ oder „uns“) und der zustimmenden natürlichen oder juristischen Person bestehen (zusammen mit deren verbundenen Unternehmen, die die Plattformen für das jeweilige verbundene Unternehmen nach den Bestimmungen dieses Hauptvertrags bestellt haben, jeweils der „Kunde“, „Sie“ oder „Ihre“), und gibt die Bedingungen wieder, zu denen Hotjar im Rahmen Ihrer Nutzung unserer Plattform und gemäß dem Hauptvertrag personenbezogene Daten verarbeitet. Hotjar und Sie können jeweils als eine „Partei“ oder gemeinsam als die „Parteien“ bezeichnet werden.
Alle im englischen Text groß geschriebenen Begriffe in diesem DPA haben dieselbe Bedeutung wie die definierten Begriffe im Hauptvertrag und im anwendbaren Recht.
1. Definitionen Und Auslegung
Die nachstehend aufgeführten Begriffe haben folgende Bedeutung:
1.1 anwendbare Datenschutzgesetze bezeichnet, soweit anwendbar (i) die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („DSGVO“), die Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation („Datenschutzrichtlinie für elektronische Kommunikation“), das britische Datenschutzgesetz 2018 („UK-DSGVO“) sowie alle weiteren Gesetze und Verordnungen der Europäischen Union, des Europäischen Wirtschaftsraums und seiner Vertragsstaaten, der Schweiz, des Vereinigten Königreichs und (ii) alle (nationalen oder in einem Bundesstaat, einer Provinz, örtlich oder ansonsten geltenden) Datenschutzgesetze und -verordnungen weltweit, die für die Verarbeitung personenbezogener Daten im Rahmen des Hauptvertrags in seiner von Zeit zu Zeit jeweils geänderten, erweiterten, neu gefassten oder neu ausgelegten Fassung gelten einschließlich, ohne darauf beschränkt zu sein, der in Anlage 3 genannten anwendbaren rechtsordnungsspezifischen Begriffe.
1.2 betroffene Person bezeichnet die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen;
1.3 personenbezogene Daten bezeichnet „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann“, wie in der Datenschutz-Grundverordnung 2016/679 definiert, und schließt entsprechende Definitionen im anwendbaren Datenschutzrecht mit ein;
1.4 Verarbeitung oder verarbeitet bezeichnet „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“, wie in der Datenschutz-Grundverordnung 2016/679 definiert, und schließt entsprechende Definitionen im anwendbaren Datenschutzrecht mit ein;
1.5 Zweck bezeichnet die Dienste und die damit verbundene Verarbeitung von personenbezogenen Daten, wie in Anlage 1 zu diesem DPA definiert;
1.6 Standardvertragsklauseln bezeichnet die „Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer gemäß Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates“, wie von der Europäischen Kommission am 4. Juni 2021 beschlossen (Durchführungsbeschluss der Kommission (EU)2021/914);
1.7 Nutzungsbedingungen bezeichnet die rechtliche Vereinbarung zwischen dem Verantwortlichen als Nutzer und dem Auftragsverarbeiter, die das eingeschränkte, nicht exklusive und kündbare Recht zur Nutzung der Hotjar-Website und der Plattform, wie in den Nutzungsbedingungen definiert, regelt.
1.8 UK Addendum zu den Standardvertragsklauseln (SCCs) bezeichnet das vom britischen Information Commissioner's Office (ICO) erlassene UK Addendum B.1.0 zu den Standardvertragsklauseln;
2. Bestellung
2.1 Hotjar ist der Auftragsverarbeiter und Sie sind der Verantwortliche (jeweils wie in der DSGVO definiert).
2.2 Die Parteien stimmen überein, dass allein der Verantwortliche im Hinblick auf die personenbezogenen Daten alleiniger Verantwortlicher ist und der Auftragsverarbeiter auf alle ihm möglicherweise zustehenden Rechte, hinsichtlich der personenbezogenen Daten im Besitz des Verantwortlichen als Verantwortlicher zu agieren, verzichtet.
2.3. Die Parteien stimmen überein, dass es erforderlich sein kann, dass der Auftragsverarbeiter bestimmte personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; die Parteien haben sich im Hinblick auf diese Verarbeitung auf den Abschluss dieses DPA geeinigt, um den Compliance-Pflichten gerecht zu werden, die dem Verantwortlichen nach anwendbarem Datenschutzrecht obliegen.
2.4 Die Parteien stimmen überein, dass die Erbringung der Dienste nach den Nutzungsbedingungen von Hotjar möglicherweise als Auftragsdatenverarbeitung i.S.v. von Art. 28 der Datenschutz-Grundverordnung 2016/679 gilt.
2.5 Der Auftragsverarbeiter wird vom Verantwortlichen dazu bestellt, die personenbezogenen Daten für und im Auftrag des Verantwortlichen zu verarbeiten, soweit dies zur Erbringung der Verarbeitungsdienste notwendig ist und wie nachträglich von den Parteien schriftlich vereinbart werden kann. Jede nachträgliche Vereinbarung unterliegt den Bestimmungen dieses DPA.
2.6 Der Verantwortliche verarbeitet die personenbezogenen Daten gemäß den Anforderungen des anwendbaren Datenschutzrechts. Zur Klarstellung: Die Weisungen, die der Verantwortliche zur Verarbeitung personenbezogener Daten erteilt, müssen dem anwendbaren Datenschutzrecht entsprechen, und der Auftragsverarbeiter behält sich vor, dem anwendbaren Datenschutzrecht zuwiderlaufende Weisungen nicht auszuführen. Der Verantwortliche haftet allein für Richtigkeit, Qualität und Rechtmäßigkeit der personenbezogenen Daten und für die Art, wie er die personenbezogenen Daten erlangt.
2.7 Der Verantwortliche hat alle erforderlichen rechtlichen Grundlagen für die Erhebung und Verarbeitung personenbezogener Daten, deren Übermittlung an Hotjar und für die Genehmigung der Auftragsverarbeitung durch Hotjar zu schaffen und aufrechtzuerhalten.
3. Dauer Der Verarbeitung
3.1 Vorbehaltlich der Ziffern über die Dauer der Verarbeitung und die Folgen ihres Ablaufs oder ihrer Kündigung in diesem DPA und/oder im Hauptvertrag verarbeitet Hotjar personenbezogene Daten gemäß diesem DPA und dem Hauptvertrag für die Laufzeit des Hauptvertrags, sofern die Parteien nichts anderes schriftlich vereinbart haben.
4. Datenverarbeitung
4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen für den in den von den Parteien vereinbarten Nutzungsbedingungen beschriebenen Zweck und wie in hier beiliegender Anlage 1 zusammengefasst.
4.2 Die physische Speicherung der personenbezogenen Daten erfolgt ausschließlich in einem Mitgliedstaat der Europäischen Union (EU) oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR). Für Hotjar kann es erforderlich sein, personenbezogene Daten auf weltweiter Basis zu verarbeiten, wenn autorisierten Mitarbeitern von Hotjar, ihrer verbundenen Unternehmen oder autorisierten Unterauftragsverarbeitern Zugang gewährt werden muss, soweit dies für die Leistung der Plattform notwendig ist, einschließlich in Ländern außerhalb des Europäischen Wirtschaftsraums (EWR) und/oder des Vereinigten Königreichs („Drittländer“). Der Kunde genehmigt hiermit die Übermittlung von personenbezogenen Daten an die in der Liste der Unterauftragsverarbeiter angegebenen Standorte und erkennt an, dass die Grundlage dieser Übermittlung zwischen Jurisdiktionen akzeptabel ist. Jede solche Übermittlung unterliegt der Einhaltung der in diesem Hauptvertrag festgelegten technischen und organisatorischen Maßnahmen.
4.2 Haben Sie als Verantwortlicher Ihren Sitz in einem Land außerhalb der EU oder des EWR und unterliegen Sie bei der Verarbeitung personenbezogener Daten nicht den Vorschriften der DSGVO, sind die Standardvertragsklauseln (SCCs) Bestandteil dieses DPA.
4.3 Haben Sie als Verantwortlicher Ihren Sitz im Vereinigten Königreich, gelten in Bezug auf die Übermittlung von personenbezogenen Daten aus dem Vereinigten Königreich die Standardvertragsklauseln zusammen mit dem UK Addendum und sind Bestandteil dieses DPA.
4.4 Je nachdem, für welche Nutzung der Hotjar-Plattform sich der Verantwortlicher entscheidet, sind unterschiedliche Datenarten Gegenstand der Verarbeitung personenbezogener Daten. Die Kategorien können je nach spezifischem Produkt und der von Ihnen gewählten Konfiguration variieren und Folgendes umfassen:
Observe und Ask:
Hotjars eindeutige Nutzer-ID;
Auflösung des Endgerätebildschirms;
Endgerätetyp (individuelle Endgeräteidentifizierungsmerkmale), Betriebssystem und Browsertyp;
Konsolenprotokolle und -fehler;
geografischer Standort (nur Land);
bei der Anzeige der Hotjar-basierten Website bevorzugte Sprache;
Mausereignisse (Bewegungen, Standort und Klicks);
Tastenbetätigungen (standardmäßig unterdrückt);
verweisende URL und Domain;
besuchte Seiten;
Datum und Uhrzeit des Zugriffs auf Ihre Website und eines bestimmten Ereignisses auf Ihrer Website;
Nutzerattribute, die Sie über Identify API mit uns teilen möchten
personenbezogene Daten, die in den Antworten auf Feedback, in Umfragen oder Abstimmungen enthalten sind.
Engage:
personenbezogene Daten, die in den Research-Screener-Antworten ausgetauscht werden;
personenbezogene Daten, die der Tester zur Erstellung seines Profils bei uns eingibt sowie demografische Angaben des Testers; diese umfassen unter anderem Name, Land, Telefonnummer, Alter, Geschlecht, Nationalität, Ausbildung, Berufsbezeichnung, Familienstand, öffentliches Facebook- oder Linked-in-Profil (die freiwillig geteilt werden);
personenbezogene Daten, die im Inhalt der Sitzung enthalten sind (Audio-, Video- oder Textformat);
Daten zu Bildung und Beruf;
Dateianhänge, die personenbezogene Daten enthalten können;
Umfrage-, Feedback- und Bewertungsmitteilungen;
weitere personenbezogene Daten, die der Verantwortliche von Zeit zu Zeit hinzufügt.
4.5 Der Kreis der von der Verarbeitung personenbezogener Daten im Rahmen dieses DPAs betroffenen Personen umfasst:
Observe und Ask:
Endnutzer der Websites des Verantwortlichen, welche die vom Auftragsverarbeiter zur Verfügung gestellte Plattform nutzen.
Engage:
autorisierte Nutzer wie Tester, verbundene Unternehmen und andere Teilnehmer (einschließlich, aber nicht beschränkt auf Ihre Mitarbeiter, freie Mitarbeiter oder Auftragnehmer), denen der Verantwortliche gemäß den Bedingungen des Hauptvertrags von Zeit zu Zeit ein Zugriffrecht auf die Plattform gewährt hat;
alle anderen Kategorien betroffener Personen, die der Verantwortliche von Zeit zu Zeit hinzufügt.
4.6 Der Verkauf personenbezogener Daten ist streng untersagt. Der Auftragsverarbeiter darf keine personenbezogenen Daten verkaufen. Der Auftragsverarbeiter darf personenbezogene Daten keinen Dritten oder anderen Parteien gegenüber auf eine Weise offenlegen oder an diese übermitteln, die einen „Verkauf“ im Sinne des anwendbaren Datenschutzrechts (z.B. des CCPA) darstellen würde.
5. Technische Und Organisatorische Massnahmen
5.1 Der Auftragsverarbeiter stellt die Datensicherheit nach Maßgabe des anwendbaren Datenschutzrechts her. Durch die zu ergreifenden Maßnahmen muss ein den Risiken für Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit der Systeme angemessenes Schutzniveau gewährleistet werden. Stand der Technik, Umsetzungskosten, Art, Umfang und Zweck der Verarbeitung sowie Eintrittswahrscheinlichkeit und Erheblichkeit eines Risikos für die Rechte und Freiheiten natürlicher Personen sind zu berücksichtigen.
5.2 Der Auftragsverarbeiter hat in Anlage 2 zu diesem DPA technische und organisatorische Maßnahmen definiert.
5.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der weiteren technischen Entwicklung. Diesbezüglich ist dem Auftragsverarbeiter gestattet, von Zeit zu Zeit angemessene alternative Maßnahmen durchzuführen. Dabei darf das Sicherheitsniveau der definierten Maßnahmen nicht herabgesetzt werden.
6. Anfragen Betroffener Personen Und Unterstützung Durch Hotjar
6.1 Der Auftragsverarbeiter darf von sich aus die personenbezogenen Daten, die er im Auftrag des Verantwortlichen verarbeitet, weder berichtigen, löschen noch beschränken (sofern dies nicht gesetzlich oder nach den Nutzungsbedingungen des Auftragsverarbeiters erforderlich ist), sondern darf dies nur auf dokumentierte Anweisung des Verantwortlichen und im Einklang mit den zum https://www.hotjar.com/pricing/Abonnement des Verantwortlichen gehörenden Datenspeicherungsregeln tun.
6.2 Wendet sich eine betroffene Person mit dem Ersuchen um Ausübung ihrer Rechte gemäß dem anwendbaren Datenschutzrecht unmittelbar an den Auftragsverarbeiter, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten. Hotjar wird den Verantwortlichen in angemessener Weise bei der Erfüllung der Pflicht des Verantwortlichen, einer solchen Anfrage nachzukommen, unterstützen.
6.3 Der Auftragsverarbeiter hat dem Verantwortlichen auf dessen Anfrage die Zusammenarbeit und Unterstützung zu gewähren, die zur Erfüllung der Pflicht des Verantwortlichen aus der DSGVO zur Durchführung einer Datenschutzfolgenabschätzung und, falls erforderlich, einer vorherigen Konsultation in Bezug auf die Nutzung der Plattform des Auftragsverarbeiters durch den Verantwortlichen erforderlich ist, soweit der Verantwortliche anderenfalls keinen Zugang zu den betreffenden Informationen hat und soweit dem Auftragsverarbeiter die betreffenden Informationen zur Verfügung stehen.
7. Qalitätssicherung Und Weitere Pflichten Des Auftragsverarbeiters
7.1 Der Auftragsverarbeiter hat alle bei der Erfüllung dieses DPA geltenden gesetzlichen Vorgaben einzuhalten. Insbesondere gewährleistet der Auftragsverarbeiter die Einhaltung der folgenden Vorgaben:
a. Der Auftragsverarbeiter hat einen Datenschutzbeauftragten bestellt, der diese Pflichten gemäß anwendbarem Datenschutzrecht erfüllt. Der Datenschutzbeauftragte ist per E-Mail unter dpo@hotjar.com erreichbar;
b. der Auftragsverarbeiter gewährleistet eine logische Trennung der personenbezogenen Daten von im Auftrag eines Dritten verarbeiteten Daten;
c. der Auftragsverarbeiter und jede unter seiner Aufsicht handelnde Person verarbeitet die personenbezogenen Daten nach den Nutzungsbedingungen des Auftragsverarbeiters und den dokumentierten Weisungen des Verantwortlichen, was auch für die Übertragung personenbezogener Daten in ein Drittland oder an eine internationale Organisation gilt, es sei denn, ein Transfer ist nach für den Auftragsverarbeiter geltendem Unionsrecht oder Recht eines Mitgliedstaats erforderlich; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese gesetzliche Verpflichtung vor der Datenverarbeitung mit, es sei denn, das Gesetz verbietet eine solche Mitteilung aus wichtigen Gründen des öffentlichen Interesses;
d. der Auftragsverarbeiter gewährleistet, dass die von ihm mit der Verarbeitung personenbezogener Daten betrauten (juristischen oder natürlichen) Personen zur Geheimhaltung der personenbezogenen Daten verpflichtet worden sind;
e. der Auftragsverarbeiter und der Verantwortliche kooperieren, wenn die Aufsichtsbehörde dies bei der Erfüllung ihrer Aufgaben verlangt;
f. Hotjar informiert Sie unverzüglich im Falle des Erhalts von Beschwerden, Hinweise oder Mitteilungen, die sich direkt auf die Verarbeitung personenbezogener Daten oder auf die Einhaltung der Datenschutzgesetze durch eine der Parteien beziehen, sofern eine solche Mitteilung nicht gesetzlich untersagt ist;
g. der Auftragsverarbeiter unterstützt den Verantwortlichen in angemessener Weise, wenn gegen diesen eine Untersuchung einer Aufsichtsbehörde, ein Verwaltungs-, Ordnungswidrigkeits- oder Strafverfahren läuft oder eine betroffene Person oder ein Dritter einen Haftungsanspruch oder einen anderen Anspruch im Zusammenhang mit diesem Hauptvertrag geltend macht;
h. der Auftragsverarbeiter überwacht die internen Prozesse und technischen und organisatorischen Maßnahmen in regelmäßigen Abständen, um zu gewährleisten, dass die Verarbeitung gemäß den geltenden Datenschutzgesetzen erfolgt und die Rechte betroffener Personen geschützt sind; und
i. der Auftragsverarbeiter weist die in Anlage 2 genannten technischen und organisatorischen Maßnahmen im Rahmen der in diesem DPA genannten Kontrollbefugnisse des Verantwortlichen nach.
8. Überwachungrechte Des Verantwortlichen
8.1 Nach angemessener schriftlicher Vorankündigung von mindestens dreißig (30) Tagen und nicht öfter als einmal in zwölf (12) aufeinanderfolgenden Monaten ist der Verantwortliche nach Absprache mit dem Auftragsverarbeiter berechtigt, selbst oder durch einen für jeden Einzelfall zu benennenden Prüfer Überprüfungen durchzuführen. Diese Rechte des Verantwortlichen erstrecken sich nicht auf Einrichtungen, die von Unterauftragsverarbeitern, Subunternehmern oder Dritten betrieben werden, die der Auftragsverarbeiter zur Erreichung des Zwecks und zur Bereitstellung seiner Plattform einsetzen darf. Der Auftragsverarbeiter gewährleistet, dass die von Unterauftragsverarbeitern, Subunternehmern oder Dritten, die der Auftragsverarbeiter zur Erreichung des Zwecks und zur Bereitstellung seiner Plattform einsetzen darf, ausgeführten Datenverarbeitungstätigkeiten die in diesem DPA und im anwendbaren Datenschutzrecht niedergelegten Anforderungen erfüllen.
8.2 Der Auftragsverarbeiter gewährleistet, dass der Verantwortliche überprüfen kann, ob der Auftragsverarbeiter seine Pflichten im Einklang mit dem anwendbaren Datenschutzrecht erfüllt. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anfrage alle angemessen notwendigen Informationen zu übergeben und insbesondere die Vornahme der in Anlage 2 genannten technischen und organisatorischen Maßnahmen innerhalb eines angemessenen Zeitraums nachzuweisen.
8.3 Als Nachweis der Durchführung der entsprechenden Maßnahmen können auch aktuelle Bestätigungen, Prüfberichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung oder Qualitätsauditoren) oder eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit oder durch andere gesetzlich vorgesehene Maßnahmen vorgelegt werden.
9. Benachrichtigung Über Sicherheitsverletzungen Durch Den Augtragsverarbeiter
9.1 Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Einhaltung der Rechtspflichten hinsichtlich Sicherheit und Schutz personenbezogener Daten und führt diesbezüglich eine entsprechende Dokumentation. Hierzu zählen insbesondere die folgenden Pflichten:
9.2 Gewährleistung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die voraussichtliche Wahrscheinlichkeit und Schwere eines möglichen Gesetzesverstoßes infolge von Sicherheitsschwachstellen berücksichtigen und eine sofortige Entdeckung der entsprechenden Verletzungsereignisse ermöglichen;
9.3 Benachrichtigung des Verantwortlichen unverzüglich nach Bekanntwerden von Vernichtung, Verlust, Veränderung, Offenlegung oder Zugriff auf personenbezogene Daten zufälliger, nicht beabsichtigter oder unrechtmäßiger Natur („Sicherheitsverletzung“). In Absprache mit dem Verantwortlichen ergreift der Auftragsverarbeiter angemessene Schritte zur Sicherung der Daten und Begrenzung möglicher negativer Auswirkungen auf die betroffenen Personen;
9.4 Kooperation mit dem Verantwortlichen und Erteilung der Auskünfte gegenüber dem Verantwortlichen, die dieser vernünftigerweise in Bezug auf eine Sicherheitsverletzung verlangen kann. Der Auftragsverarbeiter hat die Sicherheitsverletzung zu untersuchen und deren Auswirkungen zu identifizieren, ihre Entstehung zu verhindern und angemessene Anstrengungen zur Minderung der Auswirkungen der Sicherheitsverletzung zu unternehmen und mit der vorherigen Zustimmung des Verantwortlichen Wiederherstellungs- oder andere zur Beseitigung der Sicherheitsverletzung erforderliche Maßnahmen zu ergreifen;
a. im Fall einer Sicherheitsverletzung Unterstützung des Verantwortlichen bei der Informationspflicht des Verantwortlichen gegenüber betroffenen Personen und zuständigen Behörden durch angemessene Maßnahmen; und
b. Unterstützung des Verantwortlichen bei der Informationspflicht des Verantwortlichen gegenüber der jeweils betroffenen Person und unverzügliche Bereitstellung aller diesbezüglichen Informationen für den Verantwortlichen.
10. Weisungsbefugnis Des Verantwortlichen
10.1 Personenbezogene Daten dürfen nur in Übereinstimmung mit diesem DPA und den Nutzungsbedingungen des Auftragsverarbeiters sowie unter Befolgung der Weisungen des Verantwortlichen verarbeitet werden. Der Verantwortliche hat gemäß diesem DPA ein allgemeines Weisungsrecht hinsichtlich Art, Umfang und Methode der Datenverarbeitung, das durch individuelle Weisungen ergänzt werden kann. Die Auswahl des gewünschten Produkts und/oder der gewünschten Konfiguration der Plattformeinstellungen oder elektronisch übermittelte Weisungen in Schrift- oder in Textform gelten als vom Verantwortlichen erteilte Weisungen.
10.2 Der Auftragsverarbeiter darf die Daten nicht für einen anderen Zweck verwenden und darf sie insbesondere nicht gegenüber Dritten offenlegen. Ohne Wissen des Verantwortlichen dürfen keine Kopien oder Duplikate angefertigt werden. Dies gilt jedoch nicht für Sicherungskopien, die für die ordnungsgemäße Datenverarbeitung erforderlich sind, sowie auch nicht für Daten, die zur Einhaltung der gesetzlichen Bestimmungen zur Datenspeicherung erforderlich sind.
10.3 Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu unterrichten, wenn er Anlass zu der Annahme hat, dass die Anweisungen einen Verstoß gegen das anwendbare Datenschutzrecht herbeiführen können. Der Auftragsverarbeiter kann die Ausführung der betreffenden Weisung dann bis zu deren Bestätigung bzw. Änderung durch den Vertreter des Verantwortlichen aufschieben.
11. Löschung Und Rüchgabe Personenbezogener Daten
11.1 Nach Abschluss der im Hauptvertrag vorgesehenen vertraglichen Arbeiten oder auf Wunsch des Verantwortlichen hat der Auftragsverarbeiter alle sich in seinem Besitz befindlichen Unterlagen sowie auch alle Arbeitsergebnisse und angefallenen Daten innerhalb eines angemessenen Zeitrahmens von maximal dreißig (30) Kalendertagen oder innerhalb einer anderen, in der Produktbeschreibung angegebenen Frist zu löschen, zu anonymisieren oder an den Verantwortlichen zurückzugeben. Gleiches gilt für Testdaten.
11.2 Der Auftragsverarbeiter hat den Verantwortlichen, soweit gesetzlich zulässig, unverzüglich zu unterrichten, wenn eine betroffene Person ihm gegenüber ihr Recht auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung („Recht auf Vergessenwerden“), Datenübertragbarkeit, Widerspruchsrecht gegen die Verarbeitung oder ihr Recht, keiner automatisierten Entscheidungsfindung zu unterliegen, ausübt.
11.3 Soweit dies möglich ist, hat der Auftragsverarbeiter je nach Art der Verarbeitung den Verantwortlichen mittels geeigneter technischer und organisatorischer Maßnahmen bei der Erfüllung der Pflicht des Verantwortlichen nach anwendbarem Datenschutzrecht, der Anfrage einer betroffenen Person nachzukommen, zu unterstützen. Die Pflicht zur Löschung der personenbezogenen Daten der betroffenen Person obliegt stets dem Verantwortlichen. Zur Klarstellung: Der Auftragsverarbeiter wird keine Löschung von Daten für und im Namen des Verantwortlichen vornehmen, ausgenommen wie in den Nutzungsbedingungen beschrieben.
12. Freistellung
12.1 Der Verantwortliche stellt den Auftragsverarbeiter in Bezug auf alle Verbindlichkeiten, Kosten und Aufwendungen frei, die dem Auftragsverarbeiter in seiner Eigenschaft als Auftragsverarbeiter des Verantwortlichen aufgrund (i) einer Sicherheitsverletzung im Sinne dieses DPA, wenn diese Sicherheitsverletzung vom Verantwortlichen verursacht worden ist, oder (ii) einer Fahrlässigkeit oder Unterlassung seitens des Verantwortlichen bei der Ausübung der ihm nach anwendbarem Recht zustehenden Rechte entstehen. Dies gilt mit der Maßgabe, dass:
a. der Auftragsverarbeiter den Verantwortlichen innerhalb eines angemessenen Zeitrahmens über gegen ihn erhobene Klagen oder geltend gemachte Ansprüche oder Forderungen unterrichtet;
b. der Auftragsverarbeiter keine Klagen, Ansprüche oder Forderungen ohne die Zustimmung des Verantwortlichen vergleichsweise befriedigen, begleichen oder anerkennen wird, es sei denn, er ist dazu aufgrund der Anordnung eines zuständigen Gerichts verpflichtet;
c. der Verantwortliche berechtigt ist, Klagen, Ansprüche oder Forderungen auf eigene Kosten zu bestreiten oder beizulegen;
d. je nachdem, welcher der höhere Betrag ist, die Gesamthaftung des Verantwortlichen aus diesem DPA in jedem Fall auf maximal die drei- (3-)fache Höhe des Jahres-Tarifs des Kunden bzw. auf zehntausend Euro (EUR 10.000) beschränkt ist, sofern die Gesetze der betreffenden Jurisdiktion nicht andere Beschränkungen oder Haftungsgrenzen vorsehen; und
e. nichts in diesem DPA die Rechte des Verantwortlichen gegen den Auftragsverarbeiter oder eine andere Person im Fall eines Mitverschuldens beschränken oder beeinträchtigen soll.
f. Der Auftragsverarbeiter verwirkt sein Recht auf Schadensersatz, wenn er wie vorstehend beschrieben entstandene Schäden nicht innerhalb von zehn (10) Werktagen nach deren Eintritt und seiner Kenntnis davon schriftlich meldet oder ohne eine solche schriftliche Meldung beginnt, die Schäden wiedergutzumachen.
g. Nichts in dieser Klausel 12.1. soll zu einer Haftung des Verantwortlichen für Handlungen oder Unterlassungen des Auftragsverarbeiters führen, die dieser unaufgefordert und unabhängig von den ihm vom Verantwortlichen erteilten Weisungen vorgenommen hat. Klausel 12.1 gilt daher nicht für etwaige Haftung, Kosten oder Aufwendungen, die allein auf Fahrlässigkeit, Vorsatz, Verzug oder Unterlassung des Auftragsverarbeiters, seiner Mitarbeiter, Vertragspartner, Unterauftragnehmer oder einer anderen außerhalb der Kontrolle des Verantwortlichen stehenden Person zurückzuführen sind.
12.1 Der Auftragsverarbeiter stellt den Verantwortlichen in Bezug auf alle Verbindlichkeiten, Kosten und Aufwendungen frei, die dem Verantwortlichen in seiner Eigenschaft als Verantwortlicher der Daten des Auftragsverarbeiters aufgrund (i) einer Sicherheitsverletzung im Sinne dieses DPA, wenn diese Sicherheitsverletzung vom Auftragsverarbeiter verursacht worden ist, oder (ii) einer Fahrlässigkeit oder Unterlassung seitens des Auftragsverarbeiters bei der Ausübung der ihm nach anwendbarem Recht zustehenden Rechte entstehen. Dies gilt mit der Maßgabe, dass:
a. der Verantwortliche den Auftragsverarbeiter innerhalb eines angemessenen Zeitrahmens über gegen ihn in Bezug auf eine angebliche Sicherheitsverletzung erhobene Klagen oder geltend gemachte Ansprüche oder Forderungen unterrichtet;
b. der Auftragsverarbeiter berechtigt ist, Klagen, Ansprüche oder Forderungen auf eigene Kosten zu bestreiten oder beizulegen;
c. je nachdem, welcher der höhere Betrag ist, die Gesamthaftung des Auftragsverarbeiters aus diesem DPA in jedem Fall auf maximal die drei- (3-)fache Höhe des Jahres-Tarifs des Kunden bzw. auf zehntausend Euro (EUR 10.000) beschränkt ist, sofern die Gesetze der betreffenden Jurisdiktion nicht andere Beschränkungen oder Haftungsgrenzen vorsehen; und
d. nichts in diesem DPA die Rechte des Auftragsverarbeiters gegen den Verantwortlichen oder eine andere Person im Fall eines Mitverschuldens beschränken oder beeinträchtigen soll.
12.2 Im Fall eines durch die Handlungen eines Unterauftragsverarbeiters verursachten Verstoßes gegen dieses DPA tritt der Auftragsverarbeiter das ihm nach dem Unterauftragsverarbeiter-Vertrag zustehende Recht auf Ergreifung von Maßnahmen insoweit an den Verantwortlichen ab, als er dies für den Schutz und die Sicherheit personenbezogener Daten für erforderlich erachtet. Der Auftragsverarbeiter erkennt an und erklärt sich damit einverstanden, dass er gegenüber dem Verantwortlichen für jeden Verstoß gegen dieses DPA oder für jeden Verstoß eines Unterauftragsverarbeiters oder eines von diesem beauftragten weiteren Auftragsverarbeiters gegen den Unterauftragsverarbeiter-Vertrag haftet.
13. Unterauftragsverarbeitung
13.1 Für die Zwecke dieses Hauptvertrags umfasst der Begriff „Unterauftragsverarbeitung“ keine Zusatzleistungen wie Telekommunikationsleistungen, Post-/Transportleistungen. Der Auftragsverarbeiter ist jedoch verpflichtet, angemessene und rechtlich bindende vertragliche Vereinbarungen zu treffen und geeignete Kontrollmaßnahmen zu ergreifen, um den Schutz und die Sicherheit der Daten des Verantwortlichen auch im Fall der Vergabe von Zusatzleistungen an Unterauftragsverarbeiter sicherzustellen.
13.2 Der Verantwortliche stimmt der Beauftragung der folgenden Unterauftragsverarbeiter vorbehaltlich einer vertraglichen Vereinbarung in Übereinstimmung mit den anwendbaren Datenschutzgesetzen zu:
Im Hinblick auf die Hinzuziehung von Unterauftragsverarbeitern, die ihren Sitz außerhalb des Europäischen Wirtschaftsraums haben oder u.U. dort personenbezogene Daten verarbeiten, bevollmächtigt der Verantwortliche den Auftragsverarbeiter, in seinem Namen mit den Unterauftragsverarbeitern von der EU-Kommission genehmigte Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten in Drittstaaten abzuschließen.
13.3 Die Hinzuziehung weiterer Unterauftragsverarbeiter oder die Ersetzung bestehender Unterauftragsverarbeiter ist zulässig, wenn der Auftragsverarbeiter dem Verantwortlichen die Identität des Unterauftragsverarbeiters und den Umfang der geplanten Unterauftragsverarbeitung schriftlich oder in Textform mitteilt und der Verantwortliche nicht innerhalb von zehn (10) Werktagen ab Unterrichtung durch den Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Unterauftragsverarbeitung erhebt. Der Verantwortliche darf der geplanten Unterauftragsverarbeitung nicht unbillig widersprechen. Darüber hinaus gelten die folgenden Bestimmungen:
a. Die Übermittlung personenbezogener Daten an den Unterauftragsverarbeiter und die Datenverarbeitung durch den Unterauftragsverarbeiter dürfen erst nach Erfüllung aller maßgeblichen Erfordernisse erfolgen;
b. bietet der Unterauftragsverarbeiter den vereinbarten Dienst außerhalb der EU / des EWR an, hat der Auftragsverarbeiter die Einhaltung des anwendbaren Datenschutzrechts sicherzustellen; und
c. der Auftragsverarbeiter hat dem Unterauftragsverarbeiter die gleichen oder wesentlich gleichen Datenschutzpflichten aufzuerlegen, wie sie in diesem DPA vorgesehen sind, insbesondere hinsichtlich der Leistung hinreichender Garantien, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit anwendbarem Datenschutzrecht erfolgt.
13.4 Vor Aufnahme der Verarbeitung von Daten des Verantwortlichen durch einen Unterauftragsverarbeiter wird der Auftragsverarbeiter eine hinreichende Due Diligence in Bezug auf den Unterauftragsverarbeiter durchführen, um sicherzustellen, dass der Unterauftragsverarbeiter in der Lage ist, das durch dieses DPA vorgesehene Schutzniveau zu bieten. Der Auftragsverarbeiter hat zudem sicherzustellen, dass die Vereinbarung zwischen dem Auftragsverarbeiter und dem betreffenden Unterauftragsverarbeiter einem schriftlichen Vertrag unterliegt, der dem Verantwortlichen mindestens das gleiche Schutzniveau bietet wie das vorliegende DPA und der die Anforderungen aus Artikel 28 Absatz 3 DSGVO erfüllt.
ANLAGE 1: Beschreibung der Verarbeitungsprozesse
Zweck
Hotjar ist eine Digital-Experience-Plattform und bietet als All-in-one-Tool visuelle Einblicke in das Online-Verhalten, Echtzeit-Feedback und 1:1-Interviews. Durch die Kombination von A) Analyse- und B) Feedback-Tools und C) Nutzer-Interviews bietet Hotjar ihren Kunden ein „Gesamtbild“ davon, wie sie Benutzererfahrung und Leistung ihrer Websites verbessern können, und hilft ihnen bei ihrem Produktentwicklungsverfahren. Mit den Analyse-Tools (Observe) können Sie das Nutzerverhalten (was die Nutzer tun) messen und beobachten, während Sie mit den Feedback-Tools (Ask) die Meinung Ihrer Nutzer erfahren (Stimme der Nutzer / Kunden). Mit Engage können Sie ganz leicht Nutzer-Interviews planen, durchführen, aufzeichnen und teilen.
Mithilfe dieser Tools ermöglicht Hotjar ihren Nutzern, die Verhaltensmuster von deren Besuchern und Kunden auf deren gesamter Webpräsenz mithilfe der Analyse- und Feedback-Tools zu analysieren und zu verstehen. Diese Daten werden ausschließlich zur Verbesserung der Funktionalität ihrer Website und/oder Apps und des gesamten Nutzer- und/oder Kundenerlebnisses erhoben.
Für weitere Informationen darüber, welche Daten erhoben und welche Sicherheitsvorkehrungen zum Schutz dieser Daten ergriffen werden, verweisen wir auf die Hotjar-Nutzungsbedingungen und die -Datenschutzerklärung.
ANLAGE 2: Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter gewährleistet und sichert in Bezug auf alle personenbezogenen Daten, die er für den Verantwortlichen verarbeitet, zu, dass er jederzeit, jetzt und in Zukunft angemessene und ausreichende technische und organisatorische Sicherheitsvorkehrungen trifft zum Schutz der personenbezogenen Daten oder Informationen vor unbeabsichtigter oder unrechtmäßiger Vernichtung oder unbeabsichtigtem Verlust oder unbeabsichtigter Beschädigung oder Änderung, unbefugter Offenlegung oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übermittlung von Daten über ein Netzwerk beinhaltet, sowie vor jeglichen anderen unrechtmäßigen Formen der Verarbeitung.
Die Vorkehrungen umfassen u.a. physische Zugangskontrolle und logische Zugangskontrolle (d.h. nicht-physische Zugangskontrollvorkehrungen wie Passwörter), Datenzugriffskontrolle, Datenübertragungskontrolle, Eingabekontrolle, Verfügbarkeitsmaßnahmen und Datentrennung sowie insbesondere und auf jeden Fall die in der Datenschutzerklärung von Hotjar Privacy & Security Help Center aufgeführten Maßnahmen.
Der Auftragsverarbeiter hat dem Verantwortlichen auf dessen Wunsch einen ausreichenden Nachweis der Einhaltung der einschlägigen Bestimmungen (z.B. der maßgeblichen Teile der Verträge des Auftragsverarbeiters mit seinem Rechenzentrum-Anbietern) vorzulegen.
Für nähere Angaben zu den von unserem Hosting-Anbieter angewandten, dem neuesten Stand der Technik entsprechenden Vorkehrungen verweisen wir auf den folgenden Link: https://aws.amazon.com/security/.
ANLAGE 3 – Jurisdiktionsspezifische Begriffe
Kalifornien (USA)
Die Definition von „anwendbares Datenschutzrecht“ umfasst den California Consumer Privacy Act von 2018, Cal. Civ. Code § 1798.100 et. seq. und den California Privacy Rights Act von 2020 (zusammen „CCPA“).
Sofern nicht anders beschrieben, umfassen die Definitionen von „Verantwortlicher“ auch „Unternehmen“, von „Auftragsverarbeiter“ auch „Dienstleister“, von „betroffene Person“ auch „Verbraucher“, von „personenbezogene Daten“ auch „personenbezogene Informationen“, wie jeweils im CCPA definiert.
Hotjar erkennt an und bestätigt, dass Hotjar keine personenbezogenen Daten als Gegenleistung für Dienste oder andere Leistungen, die Hotjar dem Kunden im Rahmen des Hauptvertrags zur Verfügung stellt, erhält oder verarbeitet. In Bezug auf personenbezogene Daten, die im Namen des Kunden verarbeitet werden, darf Hotjar weder Rechte noch Vorteile haben, ableiten oder ausüben und wird personenbezogene Daten nur für die Zwecke speichern, verwenden und offenlegen, für die diese gemäß dem Hauptvertrag und diesem DPA zur Verfügung gestellt wurden. Hotjar sichert zu und gewährleistet die Kenntnis der Regeln, Anforderungen und Definitionen des CCPA und verpflichtet sich, ohne vorherige schriftliche Zustimmung des Kunden keine personenbezogenen Daten, die im Rahmen dieses DPA verarbeitet werden, gemäß der Definition von „Verkaufen“ im CCPA zu verkaufen und keine Maßnahmen zu ergreifen, die dazu führen würden, dass eine Übermittlung personenbezogener Daten an oder durch Hotjar im Rahmen des Hauptvertrags oder dieses DPA als „Verkaufen“ dieser personenbezogenen Daten im Sinne des CCPA angesehen werden könnte.
Hotjar bestätigt, dass es sich bei ihren Unterauftragsverarbeitern um Dienstanbieter gemäß CCPA handelt, mit denen Hotjar einen schriftlichen Vertrag abgeschlossen hat, der im Wesentlichen ähnliche Bedingungen wie dieses DPA enthält. Hotjar führt bei seinen Unterauftragsverarbeitern eine Due Diligence durch.
Hotjar wird für die Art der von ihr verarbeiteten personenbezogenen Daten angemessene Sicherheitsvorkehrungen treffen und beibehalten, wie in Anlage 2 (Sicherheit) zu diesem DPA dargelegt.
Die Verpflichtungen von Hotjar in Bezug auf Anfragen von betroffene Personen gelten auch für die Verbraucherrechte nach dem CCPA.