Zwischen:

• [●], (der "Verantwortliche"); und

• Leat Netherlands B.V., eine Gesellschaft mit beschränkter Haftung, die nach den Gesetzen der Niederlande gegründet wurde, mit Sitz in Utrecht, having its principal place of business at Bisonspoor 3002 B 901, 3605 LT in Maarssen, und im Handelsregister unter der Nummer 58334904 registriert (der "Auftragsverarbeiter").

Die Parteien zu diesem DPA werden nachfolgend auch zusammenfassend als die Parteien und jeweils als eine Partei bezeichnet.

In Anbetracht dessen, dass:

• Der Verantwortliche verarbeitet personenbezogene Daten im Sinne der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten sowie zur Aufhebung der Richtlinie 95/46/EG (Allgemeine Datenschutzverordnung) (die "DSGVO"), einschließlich, aber nicht beschränkt auf personenbezogene Daten hinsichtlich seines [●], für die er die Zwecke und Mittel der Verarbeitung bestimmt und sich dadurch als Verantwortlicher im Sinne von Artikel 4 Absatz 7 DSGVO qualifiziert;

• Die Parteien haben den Vertrag [●] mit dem Wirksamkeitsdatum [●] abgeschlossen (der "Vertrag"). Der Vertrag betrifft die Online-Kundenbindungsplattform, die vom Auftragsverarbeiter angeboten wird;

• Im Rahmen der Ausführung des Vertrags wird der Verantwortliche personenbezogene Daten direkt und/oder indirekt an den Auftragsverarbeiter übermitteln und/oder der Auftragsverarbeiter wird Zugang zu den personenbezogenen Daten des Verantwortlichen erhalten;

• Im Rahmen der Ausführung des Vertrags wird der Auftragsverarbeiter personenbezogene Daten gemäß den Anweisungen des Verantwortlichen verarbeiten, ohne deren unmittelbarer Autorität unterworfen zu sein und sich dadurch als Auftragsverarbeiter im Sinne von Artikel 4 Absatz 8 DSGVO zu qualifizieren; und

• Die Parteien möchten, zusätzlich zu dem Vertrag, ihre Rechte und Pflichten in diesem DPA gemäß der DSGVO, dem niederländischen DSGVO-Umsetzungsgesetz (Uitvoeringswet Algemene verordening gegevensbescherming) und allen anderen anwendbaren europäischen und nationalen Datenschutzgesetzen und -vorschriften ("Anwendbare Datenschutzgesetze") festlegen.

Die Parteien vereinbaren Folgendes:

1. Definitionen

Die Parteien verwenden die folgenden (großgeschriebenen) Begriffe in diesem DPA:

Behörde: Die Aufsichtsbehörde im Sinne von Artikel 51 DSGVO;

Betroffene Person: Die identifizierte oder identifizierbare natürliche Person, auf die sich die personenbezogenen Daten beziehen;

Sicherheitsprotokolle: Die Sicherheitsmaßnahmen, die vom Auftragsverarbeiter wie im Anhang 1 beschrieben, zu ergreifen sind;

Datenpanne: Ein Sicherheitsvorfall von personenbezogenen Daten im Sinne von Artikel 4 Absatz 12 DSGVO;

Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person im Sinne von Artikel 4 Absatz 1 DSGVO beziehen, die der Auftragsverarbeiter direkt und/oder indirekt vom Verantwortlichen erhalten hat und/oder auf die der Auftragsverarbeiter vom Verantwortlichen Zugriff erhalten hat.

2. Zweck der Verarbeitung

2.1 - Der Auftragsverarbeiter wird personenbezogene Daten ausschließlich zugunsten des Verantwortlichen verarbeiten, gemäß den Anweisungen und unter der Verantwortung des Verantwortlichen, in Übereinstimmung mit dem, was in Anhang 2 zu diesem DPA beschrieben ist. Der Auftragsverarbeiter bestimmt nicht die Zwecke und Mittel der Verarbeitung personenbezogener Daten.

2.2 - In Anbetracht der Bestimmungen des vorhergehenden Absatzes wird die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter nur im Rahmen von:

• der Ausführung des Vertrags und dieses DPA; und

• einer gesetzlichen Verpflichtung, die den Auftragsverarbeiter zur Verarbeitung personenbezogener Daten verpflichtet; in diesem Fall, wenn nach dem Gesetz zulässig, wird der Auftragsverarbeiter den Verantwortlichen vor der Verarbeitung über diese gesetzliche Verpflichtung informieren.

2.3 - Die personenbezogenen Daten bleiben im Eigentum des Verantwortlichen und/oder der betreffenden betroffenen Person. Der Verantwortliche garantiert, dass die personenbezogenen Daten keine besonderen Kategorien personenbezogener Daten im Sinne der Artikel 9 und 10 DSGVO, nationale Identifikationsnummern im Sinne von Artikel 87 DSGVO oder sensible personenbezogene Daten gemäß den Vorgaben der niederländischen Datenschutzbehörde (Autoriteit Persoonsgegevens) enthalten.

3. Verpflichtungen des Auftragsverarbeiters

3.1 - Der Auftragsverarbeiter ist verpflichtet, auf die erste Anfrage des Verantwortlichen hin die notwendige Zusammenarbeit zu leisten, um Zugang zu, Übertragung, Löschung und/oder Zerstörung personenbezogener Daten zu ermöglichen.

3.2 - Der Auftragsverarbeiter ist verpflichtet, seine Verpflichtungen aus dem DPA schriftlich denjenigen aufzuerlegen, die im Auftrag des Auftragsverarbeiters handeln, einschließlich, aber nicht beschränkt auf Mitarbeiter des Auftragsverarbeiters und (Unter-)Auftragsverarbeiter, die vom Auftragsverarbeiter beauftragt wurden. Der Auftragsverarbeiter haftet dem Verantwortlichen vollständig für (Schäden, die aus) der Verarbeitung personenbezogener Daten durch (Unter-)Auftragsverarbeiter, die er gemäß Artikel 13 dieses DPA beauftragt hat.

3.3 - Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen die angemessene Zusammenarbeit zu leisten, die für die Wahrnehmung der Rechte der betroffenen Person gemäß Artikel 12 bis 22 der DSGVO erforderlich ist, Datenschutz-Folgenabschätzungen gemäß Artikel 35 der DSGVO durchzuführen und die gesetzlichen Verpflichtungen des Verantwortlichen in diesem Zusammenhang zu erfüllen.

3.4 - Der Auftragsverarbeiter ist verpflichtet, Aufzeichnungen zu führen, die im Detail zeigen, wie er seinen Verpflichtungen aus diesem DPA und den anwendbaren Datenschutzgesetzen nachkommt. Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen auf dessen erste Anfrage diese Aufzeichnungen zur Einsichtnahme zur Verfügung zu stellen und den Verantwortlichen schriftlich über die Maßnahmen zu informieren, die er in Bezug auf seine Verpflichtungen aus diesem DPA und den anwendbaren Datenschutzgesetzen ergriffen hat.

4. Sicherheitsmaßnahmen

4.1 - Der Auftragsverarbeiter wird angemessene technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten gegen Verlust und/oder jede Form von unrechtmäßiger Verarbeitung zu sichern. Zu diesem Zweck wird der Auftragsverarbeiter mindestens, jedoch nicht ausschließlich, das Sicherheitsniveau gemäß den Sicherheitsprotokollen einhalten.

4.2 - Der Auftragsverarbeiter ist sich der Wichtigkeit von Sicherheitsmaßnahmen bewusst und wird auf Anfrage jährlich in einer vom Auftragsverarbeiter zu bestimmenden Weise offenlegen, welche angemessenen technischen und organisatorischen Maßnahmen der Auftragsverarbeiter ergriffen hat, um die personenbezogenen Daten zu sichern.

4.3 - Wenn der Auftragsverarbeiter die im Sicherheitsprotokoll festgelegten Maßnahmen ändert und wenn diese Änderungen das Sicherheitsniveau der personenbezogenen Daten negativ beeinflussen, wird der Auftragsverarbeiter den Verantwortlichen vor den Änderungen informieren und diesem die Möglichkeit geben, gegen diese Änderungen Einspruch zu erheben. Der Auftragsverarbeiter wird dem Einspruch des Verantwortlichen nachkommen, wenn die Änderungen es dem Auftragsverarbeiter und/oder dem Verantwortlichen unmöglich machen, die Anforderungen des Artikels 32 DSGVO zu erfüllen.

5. Benachrichtigung im Falle einer Datenpanne

5.1 - Im Falle einer Datenpanne hat der Auftragsverarbeiter den Verantwortlichen ohne unangemessene Verzögerung, jedoch in jedem Fall innerhalb von 48 Stunden nach Entdeckung der Datenpanne, schriftlich an die folgende E-Mail-Adresse zu benachrichtigen: [●].

5.2 - Innerhalb von 48 Stunden nach Entdeckung der Datenpanne, sofern zu diesem Zeitpunkt verfügbar, wird der Auftragsverarbeiter dem Verantwortlichen die Informationen bereitstellen, die erforderlich sind, um die in den Artikeln 33 und 34 der DSGVO genannten Benachrichtigungen vorzunehmen, die mindestens Folgendes umfassen:

• die Kategorien und ein Hinweis auf die Anzahl der betroffenen personenbezogenen Daten;

• die Kategorien und ein Hinweis auf die Anzahl der betroffenen betroffenen Personen;

• die Art der Datenpanne;

• den Zeitraum, in dem die Datenpanne aufgetreten ist;

• die Maßnahmen, die ergriffen wurden, um die negativen Folgen der Datenpanne zu mildern;

• eine Beschreibung der festgestellten und vermuteten Folgen der Datenpanne;

• die Maßnahmen, die vom Auftragsverarbeiter und/oder den (Unter-)Auftragsverarbeitern ergriffen wurden oder vorgeschlagen werden, um diese Folgen zu beheben.

5.3 - Der Verantwortliche hat selbst die Benachrichtigungen gemäß Artikel 33 DSGVO an die Behörde und, falls erforderlich, an die betroffene Person gemäß Artikel 34 DSGVO vorzunehmen. Ohne die vorherige schriftliche Zustimmung des Verantwortlichen ist der Auftragsverarbeiter nicht berechtigt, Datenpannen an die Behörde und/oder die betroffene Person zu melden.

5.4 - Die Parteien können schriftlich vereinbaren, dass der Auftragsverarbeiter unter welchen Bedingungen auch immer Benachrichtigungen im Sinne der Artikel 33 und 34 DSGVO vornimmt.

6. Internationale Datenübertragungen

6.1 - Der Auftragsverarbeiter ist berechtigt, personenbezogene Daten in Drittländer oder internationale Organisationen außerhalb des Europäischen Wirtschaftsraums zu verarbeiten und/oder zu übertragen, sofern eine oder mehrere der im Artikel 44 bis 49 DSGVO genannten Schutzmaßnahmen anwendbar sind. Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen schriftlich über die beabsichtigte Übertragung personenbezogener Daten in Drittländer oder internationale Organisationen außerhalb des Europäischen Wirtschaftsraums und die in dieser Hinsicht ergriffenen Maßnahmen zu informieren.

7. Kontrolle und Prüfung

7.1 - Der Auftragsverarbeiter wird dem Verantwortlichen die erforderlichen Informationen bereitstellen und mit Prüfungen durch den Verantwortlichen oder durch einen dritten, vom Verantwortlichen bestimmten Dritten, die angemessen angefordert werden, zusammenarbeiten, um zu demonstrieren, dass der Auftragsverarbeiter seinen Verpflichtungen aus diesem DPA nachkommt.

7.2 - Der Zeitpunkt einer jeden Prüfung wird einvernehmlich vereinbart.

7.3 - Der Verantwortliche wird dem Auftragsverarbeiter rechtzeitig schriftlich über eine Prüfung informieren, die der Verantwortliche gemäß Abschnitt 7.1 durchführen möchte, einschließlich einer Erläuterung der Gründe für die Inspektion. Der Verantwortliche wird die Anzahl der Prüfungen begrenzen und sicherstellen, dass der Verantwortliche oder der vom Verantwortlichen bestimmte Dritte an Vertraulichkeitsverpflichtungen gebunden ist, die angemessenen Anweisungen und Richtungen des Auftragsverarbeiters einhält, die Sicherheits- und anderen Vorschriften beachtet, die am Prüfungsort gelten, und keine Schäden verursacht oder die Geschäftstätigkeit anderweitig stört. Der Auftragsverarbeiter ist nicht verpflichtet, den Zugang zu seinen Räumlichkeiten für die Zwecke einer Inspektion zu gewähren:

• an Personen, die sich nicht ausweisen können und keinen Nachweis über ihre Befugnis vorlegen können; oder

• außerhalb der normalen Geschäftsstunden und/oder an Wochenenden.

7.4 - Die im Zusammenhang mit einer Prüfung anfallenden Kosten trägt vollständig der Verantwortliche. Die Arbeitsstunden, die vom Auftragsverarbeiter für die oben genannten Zwecke benötigt werden, werden dem Verantwortlichen zu einem Stundensatz von 175 EUR nachträglich in Rechnung gestellt.

7.5 - Der Verantwortliche wird dem Auftragsverarbeiter so schnell wie möglich nach Abschluss einer Prüfung eine Kopie des Prüfungsberichts zur Verfügung stellen und dem Auftragsverarbeiter die angemessene Möglichkeit geben, schriftlich auf den Prüfungsbericht zu reagieren.

8. Rechte der betroffenen Personen

8.1 - Der Auftragsverarbeiter ist verpflichtet, den Verantwortlichen innerhalb einer Kalenderwoche zu informieren, wenn eine betroffene Person eine Anfrage zur Ausübung ihrer Rechte gemäß Artikel 12 bis 22 der DSGVO gestellt hat.

8.2 - Der Auftragsverarbeiter ist verpflichtet, dem Verantwortlichen die angemessene Zusammenarbeit zu leisten, die für die Ausübung der Rechte der betroffenen Person gemäß der DSGVO vernünftigerweise erforderlich sein kann.

9. Vertraulichkeit

9.1 - Der Auftragsverarbeiter ist verpflichtet, die Vertraulichkeit der personenbezogenen Daten zu wahren. Der Auftragsverarbeiter wird diese Vertraulichkeitsverpflichtung seinen Mitarbeitern und Dritten, die vom Auftragsverarbeiter beauftragt werden, auferlegen.

9.2 - Ohne die vorherige schriftliche Zustimmung des Verantwortlichen ist der Auftragsverarbeiter nicht berechtigt, Informationen, die vernünftigerweise diesem DPA und/oder einer betroffenen Person und/oder einer Datenpanne zuzuordnen sind, an Dritte, einschließlich, aber nicht beschränkt auf betroffene Personen, Behörden und die Medien, weiterzugeben.

10. Laufzeit und Kündigung

10.1 - Dieses DPA tritt mit der gültigen Unterzeichnung durch die Parteien in Kraft und wird für die Dauer des Vertrags geschlossen. Vorbehaltlich der Bestimmungen von Abschnitt 12 dieses DPA endet dieses DPA automatisch mit der Kündigung (beëindiging) oder Auflösung (ontbinding) des Vertrags.

10.2 - Artikel 10 (Vertraulichkeit) und Artikel 15 (Anwendbares Recht und Gerichtsstand) bleiben zwischen den Parteien unbegrenzt bestehen, auch nach der Kündigung (beëindiging) oder Auflösung (ontbinding) dieses DPA.

11. Folgen der Kündigung

11.1 - Soweit der Auftragsverarbeiter nach der Kündigung oder Auflösung dieses DPA noch personenbezogene Daten im Besitz hat, wird er diese so schnell wie möglich oder – nach Ermessen des Verantwortlichen – an den Verantwortlichen zurückgeben, es sei denn, der Auftragsverarbeiter ist verpflichtet, die personenbezogenen Daten aufgrund geltender Gesetze oder Vorschriften aufzubewahren. In diesem letzteren Fall hat der Auftragsverarbeiter alle seine Verpflichtungen aus diesem DPA für den gesamten Zeitraum zu erfüllen, in dem er verpflichtet ist, die personenbezogenen Daten aufgrund geltender Gesetze oder Vorschriften aufzubewahren. Der Auftragsverarbeiter wird den Verantwortlichen ohne unangemessene Verzögerung über das Vorliegen solcher Verpflichtungen informieren, es sei denn, dies ist nach geltendem Recht oder Vorschriften nicht zulässig.

11.2 - Nach der Kündigung oder Auflösung dieses DPA wird der Auftragsverarbeiter den Verantwortlichen schriftlich über das Datum der Löschung der personenbezogenen Daten informieren. Der Verantwortliche kann bis zu 48 Stunden vor dem Löschdatum wählen, dass die personenbezogenen Daten zurückgegeben werden, anstatt gelöscht zu werden, durch schriftliche Mitteilung an den Auftragsverarbeiter. Wenn der Verantwortliche die Rückgabe wählt, wird der Auftragsverarbeiter die personenbezogenen Daten an den Verantwortlichen zurückgeben und vorhandene Kopien am Löschdatum löschen. Anfragen des Verantwortlichen zur Löschung oder Rückgabe personenbezogener Daten können an die folgende E-Mail-Adresse gerichtet werden: contracts@leat.com.

12. Beauftragung von (Unter-)Auftragsverarbeitern

12.1 - Der Verantwortliche erteilt dem Auftragsverarbeiter die allgemeine Zustimmung, (Unter-)Auftragsverarbeiter zu beauftragen. Vor der Beauftragung eines (Unter-)Auftragsverarbeiters wird der Auftragsverarbeiter den Verantwortlichen über die beabsichtigten Änderungen bezüglich der Hinzufügung oder Ersetzung anderer (Unter-)Auftragsverarbeiter informieren, um dem Verantwortlichen die Möglichkeit zu geben, gegen diese Änderungen Einspruch zu erheben.

12.2 - Auf die erste Anfrage des Verantwortlichen wird der Auftragsverarbeiter dem Verantwortlichen einen Überblick über die von ihm beauftragten (Unter-)Auftragsverarbeiter zur Verfügung stellen. Ein Überblick über bereits zum Zeitpunkt der Unterzeichnung dieses DPA beauftragte (Unter-)Auftragsverarbeiter ist in Anhang 3 zu diesem DPA enthalten.

13. Kosten

13.1 - Kosten, die aus den Rechten der betroffenen Person gemäß den Artikeln 14 bis 22 der DSGVO, aus Datenschutz-Folgenabschätzungen gemäß Artikel 35 der DSGVO und/oder aus Untersuchungen oder Prüfungen durch die Behörde hinsichtlich der personenbezogenen Daten entstehen, werden vom Verantwortlichen getragen. Die Arbeitsstunden, die vom Auftragsverarbeiter erforderlich sind, werden dem Verantwortlichen zu einem Stundensatz von 175 EUR nachträglich in Rechnung gestellt. Kosten, die dem Auftragsverarbeiter auf Anfrage des Verantwortlichen oder der Behörden entstehen, werden vom Verantwortlichen getragen.

14. Änderungen der Gesetzgebung

14.1 - Bei Änderungen bestehender Gesetze und/oder Vorschriften und bei der Einführung neuer Gesetze und/oder Vorschriften wird der Auftragsverarbeiter auf erste Anfrage des Verantwortlichen alle Kooperation leisten, die ihm vernünftigerweise zugemutet werden kann, wie z. B. aber nicht beschränkt auf die Änderung dieses DPA.

15. Anwendbares Recht und Gerichtsstand

15.1 - Die rechtliche Beziehung zwischen den Parteien, die durch dieses DPA geregelt wird, unterliegt dem niederländischen Recht.

15.2 - Alle Streitigkeiten zwischen den Parteien, die sich auf dieses DPA beziehen oder aus ihm entstehen, werden vor dem zuständigen Gericht im Gerichtsbezirk Midden-Nederland entschieden.

Anhang 1: Sicherheitsprotokolle

Die Maßnahmen, die der Auftragsverarbeiter gemäß Abschnitt 4 des DPA zu ergreifen hat, bestehen aus mindestens, jedoch nicht ausschließlich:

• A. - Die Einhaltung der in Klausel 5 (Benachrichtigung bei Datenpanne) und Klausel 9 (Vertraulichkeit) des DPA genannten Verpflichtungen;

• B. - Installation und Aktualisierung eines Systems, durch das der Zugriff auf personenbezogene Daten durch ein Authentifizierungsmittel, wie ein Passwort, oder ähnliche Maßnahmen, die mindestens ebenso zuverlässig sind, gesichert wird. Der Auftragsverarbeiter wird sicherstellen, dass seine Mitarbeiter 'Best Practices' bezüglich der vorgenannten Authentifizierungsmethoden befolgen, einschließlich mindestens der Gewährleistung, dass das Passwort als vertrauliche Information behandelt wird;

• C. - Sicherung des Systems, durch das der Auftragsverarbeiter personenbezogene Daten verarbeitet, durch präventive, detektive und korrigierende Maßnahmen (einschließlich, aber nicht beschränkt auf die rechtzeitige Implementierung von Sicherheits-Patches und Virus-Scanning) und den Schutz von Informationssystemen und -technologien gegen Malware (einschließlich, aber nicht beschränkt auf Viren, Spyware und Ransomware);

• D. - Verschlüsselung und 'Salting' gespeicherter Passwörter, durch die der Verantwortliche auf die personenbezogenen Daten zugreifen kann;

• E. - Angemessener physischer Schutz der Räume, in denen und der Geräte, auf denen personenbezogene Daten gespeichert sind, gegen unbefugten Zugriff;

• F. - Durchführung von Penetrationstests, um Lücken in Sicherheitsmaßnahmen zu identifizieren und Maßnahmen zu ergreifen, um die Ergebnisse solcher Tests umzusetzen.

Anhang 2: Beschreibung der Verarbeitung

Der Auftragsverarbeiter wird personenbezogene Daten nur gemäß den Anweisungen des Verantwortlichen, wie unten dargestellt, verarbeiten.

• Thema, Art, geschätzte Dauer und Zwecke der Verarbeitung:

  • Thema der Verarbeitung: die personenbezogenen Daten (siehe unten), die von Kunden und/oder Mitarbeitern des Verantwortlichen dem Verantwortlichen und/oder dem Auftragsverarbeiter für Zwecke eines Treueprogramms bereitgestellt wurden;

  • Art der Verarbeitung: unter anderem Partitionierung und Segmentierung von Kundendaten, Verfolgung von Kundenbeziehungen und Durchführung von Direktmarketing;

  • Geschätzte Dauer: die Verarbeitung dauert bis zur Beendigung des Vertrags oder bis der Verantwortliche anfordert, dass bestimmte Daten gelöscht werden;

  • Zweck: Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Verwaltung von Kundenbeziehungen und Direktmarketing durch die Nutzung von Treueprogrammen auf der Leat-Plattform.

• Kategorien personenbezogener Daten

  • Kategorien personenbezogener Daten können unter anderem Folgendes umfassen:

    • Vorname;

    • Nachname;

    • E-Mail-Adresse;

    • Telefonnummer;

    • Geburtsdatum;

    • Wohnadresse; und/oder

    • Postleitzahl

Der Verantwortliche kann durch weitere Anweisungen auf der Leat-Plattform festlegen, welche personenbezogenen Daten vom Auftragsverarbeiter verarbeitet werden dürfen.

• Kategorien von Betroffenen

  • Betroffene Personen sind Kunden und/oder Mitarbeiter des Verantwortlichen.

Anhang 3: (Unter-)Auftragsverarbeiter

Der Auftragsverarbeiter wird gemäß Abschnitt 12.1 des DPA (Unter-)Auftragsverarbeiter beauftragen, um die Bereitstellung von Dienstleistungen zu unterstützen. Der Auftragsverarbeiter verwendet mindestens die nachstehend aufgeführten (Unter-)Auftragsverarbeiter.