Einsatz von Cookies auf unserer Website
Google Analytics
Diese Website benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet sog. „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch das Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP-Anonymisierung auf dieser Website, wird Ihre IP-Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP-Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag des Betreibers dieser Website wird Google diese Informationen benutzen, um Ihre Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Websitebetreiber zu erbringen. Die im Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von Google zusammengeführt. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie das unter dem folgenden Link (http://tools.google.com/dlpage/gaoptout?hl=de) verfügbare Browser-Plugin herunterladen und installieren.
Sie können die Erfassung durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer Daten beim Besuch dieser Website verhindert: Click here to opt-out of Google Analytics
Nähere Informationen zu Nutzungsbedingungen und Datenschutz finden Sie unter http://www.google.com/analytics/terms/de.html bzw. unter https://www.google.de/intl/de/policies/. Wir weisen Sie darauf hin, dass auf dieser Website Google Analytics um den Code „anonymizeIp“ erweitert wurde, um eine anonymisierte Erfassung von IP-Adressen (sog. IP-Masking) zu gewährleisten. Wir weisen Sie zusätzlich darauf hin, dass auf unserer Internetseite Google Analytics um den Code ” anonymizeIp();” erweitert wurde, um die IP-Adressen zu anonymisieren, wobei das letzte Oktett gelöscht wird.
Adform
Adform sammelt mittels besuchter Website keinerlei personenbezogene Daten, abgesehen von Informationen, die Sie auf freiwilliger Basis zur Verfügung stellen. Adform legt den Hauptaugenmerk auf Onlinedatenschutz und unterstützt fortwährend Initiativen zur Selbstregulierung und Gesetze für die Märkte, in denen das Unternehmen tätig ist, wie z. B. die Bestimmungen der World Wide Web (W3) Gruppe, Privacy Preferences Projects (P3P), Internet Advertising Bureau (IAB) Good Practice Principles for Online Behavioural Advertising (OBA) oder die Datenschutzrichtlinie der Europäischen Union. Sie haben die Möglichkeit, der Speicherung von Cookies auf Ihrem PC zu widersprechen, wenn Anzeigen vom Adform Ad Serving System gezeigt werden.
Um zu entscheiden, welche Anzeigen geschaltet werden, wie beispielsweise Werbung zu ähnlichen Produkten, die ein Besucher vorher schon einmal gesehen hat, nutzt Adform einen Cookie-Mechanismus, doch ausschließlich auf anonymer Basis. Dies bedeutet, dass Adform keinerlei persönliche Informationen wie E-Mail-Adressen, Namen oder Adressen im Cookie oder im Cookie-basierten Profil speichert. Ein Cookie ist eine kleine Textdatei, die auf einem Computer gespeichert werden kann, wenn ein Nutzer mithilfe eines Browsers Werbung oder Webseiten eines Kunden von Adform betrachtet. Das Cookie sammelt keine Namen, Adressen, Telefonnummern, E-Mail-Adressen oder andere Daten, die den Benutzer persönlich identifizieren. Stattdessen enthält der Cookie: eine zufällige Identifikationsnummer, Möglichkeiten, ihn zu akzeptieren oder abzulehnen, oder Informationen über Kampagnen / Werbeaktivitäten auf der Website eines Werbetreibenden. Mit zufälligen Identifikationsnummern der Cookies sammelt und speichert Adform in den Cookie-basierten Profilen anonyme Informationen wie z. B.: Betriebssystem, Browserversion, geographische Lage, URLs, auf denen Adform Werbung zeigt, oder Fakten über Wechselwirkungen mit Werbung (z. B. Anzahl der Klicks oder Views). Während der Webanfragen auf den Web-Servern von Adform sind IP-Adressen von Internetnutzern unserem System zugänglich. Adform handelt in voller Übereinstimmung mit den lokalen Datenschutzgesetzen und anonymisiert Daten nach den örtlichen Bestimmungen. Adform gibt diese Daten nicht an Dritte weiter und nutzt die Daten ausschließlich zu Zwecken der Analyse im Auftrag der Website-Eigentümer.
Weitere Informationen zum Adform Datenschutz und die Möglichkeit zum Opt-Out finden Sie unter https://site.adform.com/datenschutz-opt-out
Facebook Besucheraktions-Pixel
Das “Besucheraktions-Pixel” ist ein Dienst der Facebook Inc., 1601 Willow Road, Menlo Park, CA 94025, USA. Falls Sie in der EU ansässig sind, ist es die Facebook Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland. Der Pixel ermöglicht MINT Square, auf Basis von Webseitenbesuchen unsere Website und dem dortigen Surfverhalten Zielgruppen für Werbeanzeigen auf Facebook, sog. “Facebook-Ads”, zu bestimmen. Auch nutzen wir diesen Pixel, zur Messung der Werbe-Wirksamkeit von Online-Marketing-Maßnahmen. So können wir die Aktionen von Nutzern nachverfolgen, nachdem diese eine Facebook-Ad gesehen und/oder angeklickt und daraufhin auf unsere Seite kommen sind, um eine Aktion durchzuführen.
Beim Aufruf der Webseite wird der Pixel unmittelbar durch Facebook eingebunden und kann auf Ihrem Endgerät (bspw. Desktop, Mobiles Telefon oder Tablet) ein Cookie abspeichern. Wenn Sie sich im Nachgang bei Facebook einloggen oder bereits in Facebook eingeloggt sind, wird Ihr Webseitenbesuch in Ihrem Facebook Profil vermerkt. Die erhobenen Nutzerdaten sind für MINT Square selbstverständlich anonym und ermöglichen uns damit keine Rückschlüsse auf die Nutzeridentität. Diese Daten werden jedoch von Facebook gespeichert und verarbeitet, sodass ein Rückschluss auf das jeweilige Nutzerprofil möglich ist. Die Datenverarbeitung durch Facebook erfolgt entsprechend der Datenverwendungsrichtlinie von Facebook. Sollten Sie kein Mitglied bei Facebook sein, so sind Sie von dieser Datenverarbeitung nicht betroffen.
Sie können den Facebook-Pixel über folgenden Link abschalten: https://www.facebook.com/settings?tab=ads
Vertrag für die Auftragsverarbeitung
1. EINLEITUNG, GELTUNGSBEREICH, DEFINITIONEN
(1) Dieser Vertrag auf https://mint-square.com regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag sofern dazu keine gesonderte Vereinbarung zwischen den Parteien geschlossen wurde.
(2) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
(3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.
(4) Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum gem. Standard Vertragsklausel erbracht. Jede sonstige Erbringung von Dienstleistungen bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).
2. GEGENSTAND, DAUER UND SPEZIFIZIERUNG DES AUFTRAGS
2.1 Gegenstand
Der Auftraggeber beauftrag den Auftragnehmer mit der Durchführung von Online-Werbedienstleistungen. Zusätzlich hat der Auftraggeber die Möglichkeit über den Auftragnehmer Unteraccounts verschiedener Demand Side Platform (DSPs) zu beziehen. Über die DSPs kann der Auftraggeber digitale Media einkaufen.
Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Vertrag (im Folgenden „Hauptvertrag“), der auf diese Vereinbarung verweist.
Um die Online-Werbedienstleistung durchführen zu können, beauftragt der Auftragnehmer unterschiedliche Technologieplattformen als Subdienstleistungsunternehmen, welche im Hauptvertrag genannt und unter Pkt. 6 aufgelistet werden.
Im Einzelnen werden bei Bedarf folgende Verarbeitungsaktivitäten für den Auftraggeber durchgeführt:
(1) Cookie-ID: Um jede einzelne Interaktion mit einem einzelnen Gerät zu verknüpfen, werden für jedes neue Gerät eine eindeutige Geräte-ID generiert, die mit jeder Form von DSP Werbung oder Website Analytics-Tools wie z.B. Google Analytics interagiert. Die eindeutige Geräte-ID wird lokal über ein Cookie im Browser des Benutzers gespeichert. Das Cookie verfällt je nach Technologie frühestens nach 60 Tagen bis spätestens einem Jahr (365 Tagen) nach der letzten Interaktion. Die Geräte-ID wird entweder als echte Zufallszahl generiert oder in einigen Fällen mit einer ID kombiniert, die durch statische und dynamische Variablen aus dem Browser und der Gerätekonfiguration generiert wird.
a. Im Zusammenhang mit der Interaktion der Nutzer mit Werbeeinschaltungen und digitalen Medien, wie Webseiten oder mobilen Anwendungen, werden für den Auftraggeber bestimmte Informationen gesammelt und gespeichert:
i. Von Nutzer verwendete Browser und die entsprechenden Einstellungen.
ii. Informationen über das Betriebssystem des Geräts.
iii. Informationen über Cookie-IDs und andere IDs, die einem Gerät zugeordnet sind.
iv. IP-Adressen, von denen ein Gerät mit der Auftraggeber-Website oder einer mobilen Anwendung interagiert; IP-Adressen können abgeschnitten oder verschlüsselt werden oder beides, basierend auf lokalen Gesetzen oder anderen Anforderungen.
v. Informationen über die Interaktion und Aktivität eines Benutzers auf Webseiten und mobilen Anwendungen, einschließlich der Zeit der Interaktion oder Aktivität, der beteiligten Internetadressen und der in eine Suchmaschine eingegebenen Suchbegriffe.
vi. Informationen über den ungefähren geografischen Standort (Stadt, Region, Postleitzahl) des Geräts, wenn das Gerät auf eine Website oder eine mobile Anwendung zugreift, die aus abgeschnittenen IP-Adressinformationen oder abgeschnittenen GPS-Daten abgeleitet wird.
vii. Das Subunternehmen kann auch Listen von Cookie IDs erhalten, um gezielte und maßgeschneiderte Werbung auf Websites und mobilen Anwendungen zu ermöglichen. Das Subunternehmen kann diese Cookie IDs für die Nutzung durch seine Kunden über den Dienst bereitstellen, wird dies jedoch stets in Übereinstimmung mit den von dem Dritten, der diese Daten bereitstellt, auferlegten Genehmigungen und Beschränkungen tun.
(2) Mobile Werbung ID: Mobile Advertising IDs sind technische IDs in mobilen Anwendungsumgebungen, z.B. auf Smartphone-Betriebssystemen wie Google Android und Apple IOS, die unter voller Kontrolle des Benutzers und Eigentümers des jeweiligen Gerätes steht und vom Benutzer nach Belieben zurückgesetzt werden kann.
Mobile Advertising IDs können vom Benutzer zurückgesetzt werden; weder MINT Square noch der Subunternehmer haben Kontrolle über eine Mobile Advertising ID, da diese von der Gerätesoftware des benutzten Endgeräts vergeben, geändert und aktualisiert wird.
(3) Geräteübergreifende IDs: Diese ID ist eine Benutzer-ID, die unter Verwendung statistischer und probabilistischer Algorithmen generiert wird, um Geräte und Identifikatoren desselben Benutzers zu verknüpfen. Es werden auch Cross-Device-IDs von Drittanbietern hinzugezogen, die im Folgenden näher beschriebenen werden:
a. Partner-IDs: Die DSP Technologien sind mit einer Vielzahl von Partnern wie Google, Adobe, Oracle, Amazon und vielen anderen Partner verbunden. Um die Bereitstellung der DSP Dienste im Cookie-basierten Werbe-Ökosystem zu ermöglichen, tauschen die DSPs automatisch pseudonyme IDs mit solchen Partnern aus. Die Partner ID verfällt je nach Technologie frühestens nach 60 Tagen jedoch spätestens nach einem Jahr (365 Tagen) nach der letzten Interaktion. Diese IDs sind auf beiden Seiten streng pseudonymisiert. Die ID-Synchronisation ist eine wesentliche unumgängliche Voraussetzung für die Bereitstellung des Services.
(4) Die DSPs sammeln, verwenden oder erlauben dem Auftragnehmer nicht, Daten auf die Plattform zu übertragen oder auf der Plattform zu verwenden, die selbst eine Person direkt identifizieren, wie Name, Adresse, Telefonnummer, E-Mail-Adresse oder Regierungskennung. Außerdem verbieten die DSP Plattformen die Erfassung, Nutzung oder Übertragung bestimmter Kategorien sensibler Daten auf der Plattform und verwenden technische Lösungen, um direkt identifizierbare Daten im Service zu erkennen und geeignete Maßnahmen zu ergreifen. Um dieses Prinzip durchzusetzen, scannen die DSP Technologien die Daten aktiv auf Verstöße.
2.2 Dauer
Die Laufzeit dieses Vertrages richtet sich nach der Laufzeit des Hauptvertrags. Ein außerordentliches Kündigungsrecht aus wichtigem Grund bleibt unberührt.
2.3 Spezifizierung des Auftrags
Dieser Vertrag bezieht sich ausschließlich auf die Online-Werbedienstleistungen.
Im Einzelnen können die unter Ziffer 2.1 angeführten Verarbeitungsvorgänge über die DSP-Plattformen durchgeführt werden
3. PFLICHTEN DES AUFTRAGNEHMERS
(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor. Die Weisungen werden anfänglich durch diesen Vertrag sowie den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
(2) Ist der Auftragnehmer gesetzlich zu einer bestimmten Verarbeitung verpflichtet, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Durchführung der Online-Werbedienstleistungen überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
(3) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
(4) Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DSGVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusam¬menhang mit der Verarbeitung auf Dauer sicherstellen. Die technischen und organisatorischen Maßnahmen des Auftragnehmers sind im Anschluss des Vertrag spezifiziert. Der Auftraggeber trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
(5) Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit.
(6) Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.
(7) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
(8) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.
(9) Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustim-mung durch den Auftraggeber erteilen. Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Artt. 33 bis 36 DSGVO genannten Pflichten. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person umgehend an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist (siehe Kapitel 7).
(10) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an den Datenschutzbeauftragten des Auftraggebers zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
d. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
(11) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutz-rechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
(12) Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.
(13) Die Auftragsverarbeitung erfolgt ausschließlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.
(14) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen. Nutzt der Auftragnehmer Dienstleister Services mit Sitz außerhalb des Geltungsbereiches der DSGVO erklärt der Auftragnehmer vollumfänglich wie die Einhaltung der DSGVO sichergestellt wird, es sei denn, die Dienstleistung wird von einem Unternehmen im Rahmen der Standard Vertragsklausel erbracht.
(15) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen (siehe Kapitel 2.3) umfasst ist. Weitere Regelungen zur Löschung enthält Kapitel 7.
4. PFLICHTEN DES AUFTRAGGEBERS
(1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
(2) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt §3 Abs. 10 entsprechend.
(3) Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallenden Datenschutzfragen. Der Auftragnehmer nennt dem Auftraggeber den Datenschutzbeauftragten (DSB) mit seinen Kontaktdaten für die Bearbeitung der im Rahmen des Vertrages anfallenden Datenschutzfragen und –belange mit.
5. NACHWEISMÖGLICHKEITEN
Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach. Auftraggeber und Auftragnehmer verständigen sich darauf, dass der Nachweis durch die Durchführung eines Selbstaudits / Inspektion über einen Fragenkatalog erbracht wird.
6. SUBUNTERNEHMER (UNTER- AUFTRAGSVERARBEITUNGSVERHÄLTNISSE)
(1) Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung folgender Subunternehmer durchgeführt:
ADFORM A/S
Anschrift:
Silkegade 3B , DK-1113 Kopenhagen, Dänemark
URL:
www.adform.com
Leistung:
Technischer Advertising Dienstleister
Ort der Datenverarbeitung:
Dänemark
ADITION TECHNOLOGIES GMBH
Anschrift:
Oststraße 55, 40211 Düsseldorf, Deutschland
URL:
www.adition.com
Leistung:
Technischer Advertising Dienstleister
Ort der Datenverarbeitung:
Deutschland
THE UK TRADE DESK LTD.
Anschrift:
10th Floor, 1 Bartholomew Close London EC1A 7BL United Kingdom
URL:
www.thetradedesk.com
Leistung:
Technischer Advertising Dienstleister
Ort der Datenverarbeitung:
USA gem. Standard Vertragsklausel
(2) Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers im Einzelfall zugelassen.
(3) Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Vertrag vereinbarten Leistung beauftragt. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheits¬maßnahmen zu gewährleisten.
(4) Über die Hinzuziehung weiterer oder die Ersetzung aufgeführter Subunternehmer informiert der Auftragnehmer den Auftraggeber schriftlich. Der Auftraggeber kann nicht ohne wichtigen datenschutzrechtlichen Grund diesem Ansinnen widersprechen.
(5) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
(6) Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 3 (13) und (14) dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist.
(7) Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.
7. REGELUNGEN ZUR BERICHTIGUNG, LÖSCHUNG UND SPERRUNG VON DATEN
(1) Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der getroffenen vertraglichen Vereinbarung und nach Weisung des Auftraggebers (siehe Kapitel 2.3) berichtigen, löschen oder sperren.
(2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.
(3) Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart.
(4) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
(5) Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein. Ein- und Ausgänge werden dokumentiert.
(6) Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten, Datenträger sowie sämtliche sonstige Materialien nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist.
(7) Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.
(8) Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auftraggeber unverzüglich vorzulegen.
(9) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.
Beschreibung der technischen und organisatorischen Maßnahmen von MINT Square
PSEUDONYMISIERUNG (ART. 32 ABS. 1 LIT. A DSGVO; ART. 25 ABS. 1 DSGVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
1. PSEUDONYMISIERUNG / TECHNISCH-ORGANISATORISCHE MASSNAHMEN – PROJEKTBEZOGE
Details/Bemerkung:
Die Cookie-Daten können keiner spezifischen Person zugeordnet werden. Die Verarbeitung Pseudonymisierung der Daten erfolgt über die Subdienstleister. Durch die Subdienstleister wird somit sichergestellt, dass die Cookies keiner spezifischen Person zugeordnet werden.
2. VERTRAULICHKEIT (ART. 32 ABS. 1 LIT. B DSGVO)
Die Fähigkeit, die Vertraulichkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
2.1 Zutrittskontrolle – Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.:
Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
2.1.Zutrittskontrolle
MINT Square hat keine eigene Datenverarbeitungsanlagen sondern nutzt die Rechenzentren der Subdienstleister, welche folgende Maßnahmen gesetzt haben:
- Zutrittskontrollsysteme (Chipkarten, biometrische Steuerung, persönliche Codes)
- Zugriff beschränkt auf autorisiertes IT-Personal
- Liste der berechtigten Personen (Managergenehmigung erforderlich)
- Überwachungssysteme (Alarmanlage, Stützenalarm, Bewegungsmelder, 24×7 CCTV)
- Abschließbare Schränke (Server, Speichermedien)
- Glasbruchsensoren
- Besucherlogbuch (Zeitpunkt und Zweck der Einreise, Zeitpunkt der Ausfahrt)
2.2 Zugangskontrolle – Keine unbefugte Systembenutzung, z.B.:
Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
2.2. Zugangskontrolle / Technische Systeme – grundsätzliche Maßnahmen
- Zugriff auf EDV-Systeme nur mit Passwort möglich
- Automatische Sperrmechanismen der EDV-Systeme sind durch die Microsoft Cloud 365 möglich
- System Updates werden automatisch durchgeführt
- Virenscanner / Firewall Software haben alle EDV Systeme installiert
- Auftraggeber vergeben selbst Passwörter, die nach erstmaliger Inbetriebnahme erneut geändert werden können und die dem Auftragnehmer nicht bekannt sind
- Alle 91 Tage erfolgt der automatische Hinweis, dass die Passwörter vom Benutzer geändert werden müssen
2.3 Zugriffskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
- Einrichtung eines Berechtigungskonzepts, bei dem einzelnen Auftraggebern ausschließlich der Zugriff auf eigene Kampagnen-Login-Bereich und Daten zugewiesen wird;
- Protokollierung der Änderungen in den Logfiles;
- Ausschließlich Funktionspersonal hat Zugriff auf alle Kunden und Kampagnendaten.
- Mitarbeiter haben je nach Bedarf individuelle Zugangsrechte.
Trennungskontrolle
- Mandantenfähigkeit ist gewährleistet
- Daten der Auftraggeber werden logisch von anderen Daten getrennt gespeichert.
3. INTEGRITÄT (ART. 32 ABS. 1 LIT. B DSGVO)
Die Fähigkeit, die Integrität der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. (Kein unbefugtes Verändern oder Entfernen bei elektronischer Speicherung, Übertragung oder Transport) z.B.:
- Die Daten können vom Auftraggeber und je nach Auftrag auch vom Auftragnehmer eingegeben und verarbeitet werden.
- Der Zugriff durch den Auftraggeber wird protokolliert.
- Verschlüsselter Email Accounts
4. VERFÜGBARKEIT UND BELASTBARKEIT (ART. 32 ABS. 1 LIT. B DSGVO)
Die Fähigkeit, die Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen. (Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust) z.B.:
- Die Kampagnendaten sind auch von unseren Subdienstleistern gesichert.
5. RASCHE WIEDERHERSTELLBARKEIT (ART. 32 ABS. 1 LIT. C DSGVO)
Die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, z.B.:
- Sollte ein Datenverlust stattgefunden haben bzw. festgestellt worden sein, wird die Geschäftsführung darüber informiert. Bei Kampagnendaten wird der Subdienstleister darüber informiert, welche die Daten über die Backup System wiederherstellen lässt.
6. VERFAHREN ZUR REGELMÄSSIGEN ÜBERPRÜFUNG, BEWERTUNG UND EVALUIERUNG (ART. 32 ABS. 1 LIT. D DSGVO; ART. 25 ABS. 1 DSGVO
Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung muss vorhanden sein. z.B.:
- Die Mitarbeiter von MINT Square werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag., auch im Hinblick auf das Weisungsrecht des Auftraggebers.
- Jeder Mitarbeiter wird spätestens am ersten Tag zu Beginn seiner Tätigkeit zur Einhaltung der datenschutzrechtlichen Anforderungen nach der DSGVO verpflichtet.
- Es existiert ein Verarbeitungsverzeichnis i. S. d. Art. 30 Abs. 1, 2 DSGVO und ein Prozess zur Folgeabschätzung (DSFA), der regelmäßig durchgeführt wird.
7. DATENSCHUTZFREUNDLICHE VOREINSTELLUNGEN (ART. 25 ABS. 2 DSGVO)
Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
- Es werden Cookie Informationen erhoben
- MINT Square verwendet über den Subdienstleister Browser-Cookies, um Informationen über die Vorlieben der Website-Besucher zu speichern, wie z.B. Opt-out und eindeutige Browser-ID des Besuchers, und um Informationen über die Funktionalität des Subdienstleister-Anzeigenservers zu speichern – Frequency Capping, Ad Rotation, Post-Click Media Attribution.
- Der Subdienstleister liest Browser-Cookies bei jeder HTTP-GET-Anfrage an den Server und übergibt entweder die Browser-ID des Besuchers oder Informationen, dass Cookies deaktiviert sind oder der Besucher bei jeder Transaktion – Impression, Klick, Website-Besuch, anderes Ereignis – vom Dienstleister ausgeschlossen hat.
- Die Subdienstleister setzen Cookies nur dann auf den Browser des Besuchers, wenn es sinnvoll ist – einige Funktionen des Anzeigenservers wurden verwendet oder um die Lebensdauer von Cookies zu verlängern.
- Die Subdienstleister verwenden keine anderen Cookies (z.B. Flash-Cookies) oder ähnliche Funktionen, um den Besucher oder den Browser des Besuchers zu verfolgen. Die Subdienstleister speichern keine privaten oder sensiblen Informationen in Browser-Cookies.