§ 1 Gegenstand & Dauer
(1) Gegenstand dieser Vereinbarung ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen im Rahmen der Nutzung des Dienstes „CreativeRadar“.
(2) Die Dauer entspricht der Laufzeit des Hauptvertrags.
§ 2 Art, Zweck & betroffene Personen
Art der Verarbeitung: Erfassung, Speicherung, Auswertung und Bereitstellung von Werbeplatzierungen und zugehörigen Metadaten.
Zweck: Nachweis realer Kampagnensichtbarkeit und Qualitätssicherung von Werbemitteln.
Betroffene Personen: Nutzer:innen des Dienstes auf Seiten des Verantwortlichen (z. B. Mitarbeitende, Agenturkontakte).
Datenkategorien: Account-/Kontaktdaten der Nutzer, technische Nutzungs- und Protokolldaten, erfasste Werbemittel und deren Metadaten.
§ 3 Weisungsrecht
Der Auftragsverarbeiter verarbeitet die Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen, sofern er nicht durch das Recht der EU oder der Mitgliedstaaten zur Verarbeitung verpflichtet ist.
§ 4 Vertraulichkeit
Der Auftragsverarbeiter setzt zur Verarbeitung nur Personen ein, die zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
§ 5 Technische & organisatorische Maßnahmen (TOM)
Der Auftragsverarbeiter trifft die nach Art. 32 DSGVO erforderlichen Maßnahmen, insbesondere Verschlüsselung (TLS, Verschlüsselung at-rest), rollenbasierte Zugriffskontrolle, Protokollierung, Datensparsamkeit sowie Verfügbarkeits- und Wiederherstellbarkeitskonzepte. Die im Einzelnen umgesetzten Maßnahmen werden dem Verantwortlichen auf Anfrage zur Verfügung gestellt.
§ 6 Unterauftragsverarbeiter
(1) Der Verantwortliche genehmigt den Einsatz von Unterauftragsverarbeitern für den technischen Betrieb, derzeit für das EU-Hosting (Host Europe GmbH, Hürth).
(2) Der Auftragsverarbeiter informiert über beabsichtigte Änderungen und räumt dem Verantwortlichen ein Widerspruchsrecht ein. Mit Unterauftragsverarbeitern werden gleichwertige Datenschutzpflichten vereinbart.
§ 7 Unterstützung des Verantwortlichen
Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Art. 12–23 DSGVO) sowie bei Datenschutz-Folgenabschätzungen und Meldepflichten (Art. 32–36 DSGVO).
§ 8 Drittlandübermittlung
Eine Übermittlung in ein Drittland erfolgt nur, wenn ein Angemessenheitsbeschluss vorliegt oder geeignete Garantien (z. B. EU-Standardvertragsklauseln) bestehen.
§ 9 Löschung & Rückgabe
Nach Abschluss der Verarbeitung löscht oder gibt der Auftragsverarbeiter – nach Wahl des Verantwortlichen – alle personenbezogenen Daten zurück, sofern keine gesetzliche Aufbewahrungspflicht besteht.
§ 10 Nachweise & Kontrollen
Der Auftragsverarbeiter stellt dem Verantwortlichen die zum Nachweis der Einhaltung erforderlichen Informationen zur Verfügung und ermöglicht Überprüfungen in angemessenem Rahmen.