Datenverarbeitungsvertrag & Cookie-Informationen

Visitor Analytics DPA - Verweis auf Dienstleistungen

Um unseren Service anbieten zu können, können wir die personenbezogenen Daten Ihrer und der Besucher Ihrer Website verarbeiten. Daher haben wir einen Datenverarbeitungsvertrag (DPA) erstellt, der beschreibt, wie wir diese Verarbeitung durchführen, was unsere Verpflichtungen sind, wie wir Ihre und die Besucherdaten Ihrer Website sicherhalten und was Ihre Verpflichtungen als Kunde sind. Visitor Analytics ist ein Datenverarbeiter für alle Kunden (Controller) und der Datenverarbeitungsvertrag stellt die Vereinbarung der Parteien in Bezug auf die Verarbeitung personenbezogener Daten dar, die über unseren Service durchgeführt werden. Als Controller müssen Sie, um diese Vereinbarung zu unterzeichnen, eine Kopie der Datenverarbeitungsvereinbarung überprüfen und digital unterschreiben. Sie können es jederzeit in Ihrem Konto finden, indem Sie sich bei Visitor Analytics anmelden und zu Einstellungen gehen. Sie können auch den DPA-Inhalt unten sehen. Wenn Sie weitere Fragen zu diesem Thema haben, zögern Sie nicht, uns eine E-Mail an support@visitor-analytics.io zu schreiben.

Auftragsverarbeitungsvertrag

(AVV)

 

zwischen

 

 

 

und

 

Visitor Analytics GmbH

Stefan-George-Ring 19, 81929 München, Deutschland

(Visitor Analytics)

 

(jeweils eine "Partei" und gemeinsam die "Parteien") 


PRÄAMBEL

(A) Visitor Analytics bietet dem Kunden die in Abschnitt 4.1. der Servicebedingungen beschriebenen Services an. Um dem Kunden die Nutzung der Services zu ermöglichen, haben die Parteien den in den Abschnitten 1.1. und 3. der Servicebedingungen beschriebenen Vertrag geschlossen. Dieser AVV bildet einen wesentlichen Bestandteil des Vertrages.

(B) Die Bereitstellung der Services beinhaltet die Verarbeitung Personenbezogener Daten. Im Rahmen des Vertrags bleibt der Kunde die verantwortliche Stelle für die Verarbeitung Personenbezogener Daten, für die Beurteilung der rechtlichen Zulässigkeit der Verarbeitung der Personenbezogenen Daten und für die Berücksichtigung der Rechte der betroffenen Personen (wie unten definiert).

(C) Die Parteien möchten diese Auftragsverarbeitungsvereinbarung in Übereinstimmung mit den Bestimmungen der Allgemeinen Datenschutzverordnung der EU (Verordnung (EU) 2016/679) und den anwendbaren nationalen Datenschutzgesetzen abschließen.

Unter Berücksichtigung der hierin erklärten gegenseitigen Vereinbarungen und Verpflichtungen VEREINBAREN DIE PARTEIEN:

  1. Definitionen und Auslegung
    Die folgenden Definitionen gelten zusätzlich zu den in Abschnitt 2. der Servicebedingungen angeführten.
    1. Definitionen
      "Datenschutzgesetze"
      bedeutet alle anwendbaren Datenschutzgesetze und -vorschriften in der Jurisdiktion, in der der Kunde ansässig ist, einschließlich der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ("Datenschutz-Grundverordnung, DSGVO"), der Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation) sowie der anwendbaren lokalen Datenschutzgesetze.


      "Anweisung" ist eine Anweisung, die der Kunde Visitor Analytics erteilt und diese anweist, eine bestimmte Aktion in Bezug auf personenbezogene Daten durchzuführen, wie in Abschnitt 3.2 dieser AVV näher ausgeführt.

      "Personal" bezeichnet alle Personen, die gemäß dem Vertrag zur Verarbeitung personenbezogener Daten berechtigt sind.

      "Zwecke" bezeichnet die Zwecke, für die Visitor Analytics personenbezogene Daten verarbeitet, wie in Abschnitt 2 und Anlage 1 dieses AVV aufgeführt.

      "Sicherheitsverletzung" bedeutet eine Sicherheitsverletzung, die zur versehentlichen, oder unrechtmäßigen Zerstörung, zum Verlust, zur Änderung, zur unbefugten Offenlegung, oder zum unbefugten Zugriff auf übermittelte, gespeicherte, oder anderweitig verarbeitete personenbezogene Daten führt.

    2. Alle großgeschriebenen Begriffe, die in diesem AVV verwendet, aber nicht definiert werden, müssen die Bedeutung haben, die diesen Begriffen in den Servicebedingungen zugeschrieben wird. Im Falle eines Konflikts, oder einer Zweideutigkeit zwischen einer Bestimmung in diesem AVV und einer Bestimmung in den Servicebedingungen hat die Bestimmung in den Servicebedingungen Vorrang.
    3. Verweise auf die Begriffe "Personenbezogene Daten", "Verarbeitung", "Verarbeitet" und "Betroffener" in diesem AVV sind in Übereinstimmung mit den ihnen in der DSGVO zugeschriebenen Bedeutungen auszulegen.
    4. Alle Wörter, die den Begriffen "einschließlich", "einschließen", oder "insbesondere", oder einem ähnlichen Satz folgen, sind illustrativ und dürfen die Allgemeinheit der damit verbundenen Wörter nicht einschränken.
    5. Sofern der Kontext nichts anderes erfordert, schließen Wörter im Singular den Plural und im Plural den Singular ein.
    6. Eine Bezugnahme auf ein Gesetz, oder eine Rechtsvorschrift ist eine Bezugnahme auf das Gesetz, oder die Rechtsvorschrift in der zum Zeitpunkt des Vertragsschlusses geltenden Fassung. Eine solche Bezugnahme schließt alle nachgeordneten Rechtsvorschriften ein, die zum Zeitpunkt des Vertragsabschlusses nach diesem Gesetz oder dieser Rechtsvorschrift in Kraft sind.
       
  2. Gegenstand des AVV

    Gegenstand dieses AVV ist die Verarbeitung personenbezogener Daten gemäß Anlage 1 im Zusammenhang mit den folgenden Services:

    Als einfaches und unkompliziertes Analysewerkzeug für nicht-technische Personen bietet Visitor Analytics eine leicht verständliche Webanalyse und eine anwenderfreundliche Benutzererfahrung für Personen, die nicht sehr technisch begabt sind. Einmal in eine Webseite integriert, bietet die Visitor Analytics App Echtzeiteinblicke über jeden Besucher und sein Verhalten. Diese Informationen können verwendet werden, um mit den Besuchern zu interagieren und die Verkaufsprozesse des Kunden erheblich zu verbessern. Grundsätzlich kann der Kunde seine Besucher, neue Besucher, IP-Adressen (wenn die IP-Anonymisierung nicht aktiviert ist), Seitenbesuche, Absprungraten, Konversionen und sogar Live-Besucher ab dem Moment ihres Besuchs auf der Webseite beobachten.
     
  3. Rechte und Pflichten des Kunden
    1. Der Kunde nimmt zur Kenntnis und ist damit einverstanden:
      1. Es liegt in der Verantwortung des Kunden als Kunde sicherzustellen, dass seine Nutzung der Services mit allen auf ihn anwendbaren Datenschutzgesetzen übereinstimmt (einschließlich insbesondere in Bezug auf die Einholung aller erforderlichen Zustimmungen, die von den Betroffenen eingeholt werden müssen);
      2. Wenn der Kunde Visitor Analytics auffordert, personenbezogene Nutzungsdaten (einschließlich personenbezogene Daten) an einen Dritten zu übertragen, ist der Kunde allein für diese Übertragung verantwortlich und haftbar und der Kunde darf auf keinen Fall in einer Weise handeln, oder unterlassen, wodurch Visitor Analytics gegen geltende Datenschutzgesetze verstößt;
      3. Visitor Analytics ist nicht verpflichtet, die Vollständigkeit, Genauigkeit, oder Hinlänglichkeit der Personenbezogenen Nutzungsdaten, einschließlich der Personenbezogenen Daten, zu untersuchen.
    2. Visitor Analytics verarbeitet personenbezogene Nutzungsdaten nur auf Anweisung des Kunden.  Der Kunde weist Visitor Analytics an, die Arten von Personenbezogenen Daten zu verarbeiten, die in unseren Nutzungsbedingungen unter Anlage 1 und Anlage 1 - Beschreibung der Services und Gebühren für die Zwecke - aufgeführt sind. Dies ist die letzte Anweisung des Kunden an Visitor Analytics in Bezug auf die Verarbeitung von Personenbezogenen Nutzungsdaten. Wenn der Kunde Visitor Analytics auffordert, personenbezogene (Nutzungs-)Daten außerhalb des Vertragsumfangs zu verarbeiten, ist der Kunde verpflichtet, einen zusätzlichen Vertrag mit Visitor Analytics abzuschließen, und der Kunde hat die Kosten für diese zusätzliche Verarbeitung zu tragen.
    3. Im Falle eines Anspruchs eines Betroffenen gegen Visitor Analytics verpflichtet sich der Kunde, Visitor Analytics bei der Überprüfung der aktiven Legitimation und des Gegenstands bei der Verteidigung des Anspruchs zu unterstützen.
       
  4. Rechte und Pflichten von Visitor Analytics
    1. Visitor Analytics verarbeitet personenbezogene Daten nur in dem Umfang und in der Weise, wie es für die Zwecke und in Übereinstimmung mit dem Vertrag und den schriftlichen Anweisungen des Kunden von Zeit zu Zeit vernünftigerweise erforderlich ist, es sei denn, die Ausnahme in Art. 28 (3) (a) DSGVO findet Anwendung. 
    2. Visitor Analytics darf personenbezogene Daten nur dann außerhalb des Europäischen Wirtschaftsraums, oder des Landes, in dem der Kunde ansässig ist, übertragen, speichern, oder verarbeiten, wenn ein angemessenes Datenschutzniveau gewährleistet ist, es sei denn, Visitor Analytics ist nach geltendem Recht dazu verpflichtet. In einem solchen Fall muss Visitor Analytics den Kunden vor der Verarbeitung über diese gesetzliche Anforderung informieren, es sei denn, dieses Gesetz verbietet solche Informationen aus wichtigen Gründen des öffentlichen Interesses. Abschnitt 8 dieses AVVs bleibt davon unberührt.
    3. Visitor Analytics führt Aufzeichnungen über jede Verarbeitung Personenbezogener Daten, die sie im Auftrag des Kunden durchführt, und gibt solche Aufzeichnungen nur mit vorheriger schriftlicher Zustimmung des Kunden an Dritte weiter, sofern das geltende Recht nichts anderes vorsieht. 
    4. Auf Wunsch des Kunden und dessen alleinige Kosten stellt Visitor Analytics dem Kunden eine Kopie aller Personenbezogenen Daten, die sich im Rahmen des Vertrags in Ihrem Besitz befinden, in einem allgemein verwendeten und maschinenlesbaren Format zur Verfügung.
    5. Visitor Analytics benachrichtigt den Kunden unverzüglich (und in jedem Fall innerhalb von fünf (5) Arbeitstagen nach Erhalt) schriftlich über jede von einem Betroffenen erhaltene Mitteilung bezüglich seiner Rechte auf Auskunft, Änderung, Berichtigung, Löschung oder Sperrung seiner Personenbezogenen Daten.  
    6. Soweit nicht durch anwendbare Datenschutzgesetze und anwendbare nationale Gesetze verboten, hat Visitor Analytics den Kunden so schnell wie vernünftigerweise praktikabel schriftlich über Vorladungen oder andere gerichtliche oder administrative Anordnungen, oder Verfahren zu informieren, die den Zugriff auf, oder die Offenlegung von Personenbezogenen Daten zum Gegenstand haben. Visitor Analytics erkennt an, dass der Kunde auf eigene Kosten versuchen kann, eine solche Klage anstelle von und im Namen von Visitor Analytics abzuwehren oder anzufechten.
    7. Visitor Analytics unterstützt den Kunden im Rahmen seiner Möglichkeiten, die in Kapitel III der DSGVO festgelegten Anfragen und Ansprüche von Betroffenen zu erfüllen und den Verpflichtungen gemäß Artikel 32 bis 36 der DSGVO nachzukommen. Soweit der Kunde Melde-, oder Benachrichtigungspflichten im Falle eines Sicherheitsvorfalles hat, verpflichtet sich Visitor Analytics, dem Kunden auf dessen alleinige Kosten Mitarbeit und Unterstützung zu gewähren.
    8. Visitor Analytics wird den Kunden unverzüglich benachrichtigen, wenn eine Anweisung seiner Meinung nach gegen Datenschutzgesetze verstößt. Visitor Analytics ist nicht verpflichtet, Instruktionen aktiv auf Verstöße gegen Datenschutzgesetze zu überwachen.
    9. Visitor Analytics kommt seiner Verpflichtung nach, ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 Absatz (1) (d) DSGVO zu implementieren.
       
  5. Sicherheitsverpflichtungen von Visitor Analytics
    1. Visitor Analytics muss angemessene technische und organisatorische Maßnahmen zum Schutz der Personenbezogenen Nutzungsdaten ergreifen, die den Anforderungen von Art. 32 DSGVO entsprechen. Insbesondere ergreift Visitor Analytics technische und organisatorische Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -Services kontinuierlich zu gewährleisten. Die technischen und organisatorischen Maßnahmen sind in Anlage 2 beschrieben. Der Kunde hat Kenntnis von diesen technischen und organisatorischen Maßnahmen und ist dafür verantwortlich, dass diese ein angemessenes Schutzniveau für die Risiken der verarbeiteten Personenbezogenen Nutzungsdaten bieten.  Visitor Analytics kann die in Anlage 2 aufgeführten Maßnahmen von Zeit zu Zeit aktualisieren, oder anpassen, vorausgesetzt, dass solche Aktualisierungen, oder Anpassungen nicht zu einer wesentlichen Beeinträchtigung der Sicherheit der Personenbezogenen Nutzungsdaten führen.
    2. Visitor Analytics benachrichtigt den Kunden unverzüglich nach Bekanntwerden eines Sicherheitsvorfalls und unterstützt den Kunden bei seinen Benachrichtigungs- und Mitteilungspflichten gegenüber Dritten unter Berücksichtigung der Art der Verarbeitung und der für Visitor Analytics verfügbaren Informationen. Der Kunde ist jedoch allein für die Erfüllung der Melde- und Mitteilungspflichten gegenüber Dritten verantwortlich. Visitor Analytics wird gegebenenfalls Maßnahmen ergreifen, um die möglichen nachteiligen Auswirkungen des Sicherheitsvorfalls zu mildern.
    3. Im Falle eines Verlusts oder einer Beschädigung von Personenbezogenen Nutzungsdaten wird Visitor Analytics wirtschaftlich vertretbare Anstrengungen unternehmen, um die verlorenen, oder beschädigten Personenbezogenen Nutzungsdaten aus der letzten Sicherung dieser Personenbezogenen Nutzungsdaten wiederherzustellen, die von Visitor Analytics in Übereinstimmung mit seinen Standard-Archivierungsverfahren aufbewahrt wurden.
    4. Visitor Analytics ist nicht verantwortlich für die Zerstörung, den Verlust, die Änderung, oder die Offenlegung von Personenbezogenen Nutzungsdaten, die durch Dritte verursacht wurden (mit Ausnahme von Dritten, die von Visitor Analytics mit der Durchführung von Services im Zusammenhang mit der Pflege und Sicherung Personenbezogener Nutzungsdaten beauftragt wurden).
       
  6. Personal
    1. ​​​​​​​Visitor Analytics stellt sicher, dass der Zugang zu den Personenbezogenen Nutzungsdaten auf diejenigen Mitarbeiter beschränkt ist, die Zugang zu den Personenbezogenen Nutzungsdaten benötigen, um die Verpflichtungen von Visitor Analytics im Rahmen dieses AVV und/oder anderer Teile des Vertrags zu erfüllen.
    2. Visitor Analytics muss sicherstellen, dass alle zur Verarbeitung von Personenbezogener Nutzungsdaten befugten Mitarbeiter sich zur Vertraulichkeit verpflichtet haben, oder einer entsprechenden gesetzlichen Verpflichtung zur Vertraulichkeit unterliegen.
       
  7. Informationen zum Nachweis der Einhaltung
    1. ​​​​​​​Auf Wunsch des Kunden stellt Visitor Analytics dem Kunden die Informationen, die zum Nachweis der Einhaltung der gesetzlichen Verpflichtungen erforderlich sind, in einem allgemein üblichen und maschinenlesbaren Format zur Verfügung.
    2. Zum Zeitpunkt des Wirksamwerdens dieses Vertrags ist Visitor Analytics nach ISO 27001 zertifiziert. Wenn der Kunde die Durchführung von Audits, einschließlich Inspektionen, verlangt, wird Visitor Analytics externe Auditoren einsetzen, um die Einhaltung der in diesem AVV festgelegten Verpflichtungen nachzuweisen. Dieses Audit wird jährlich von einem externen Auditor nach den ISO 27001-Normen oder anderen Normen, die ISO 27001 im Wesentlichen gleichwertig sind, nach Wahl und auf Kosten von Visitor Analytics durchgeführt. Auf schriftliche Anfrage des Kunden stellt Visitor Analytics dem Kunden den Audit-Bericht zur Verfügung.
    3. Im Falle offizieller Anfragen von Datenschutzbehörden, die für die Verarbeitung gemäß diesem Vertrag zuständig sind oder falls der Kunde berechtigten Grund zu der Annahme hat, dass ein Sicherheitsvorfall stattgefunden hat, kann der Kunde, sofern er Visitor Analytics mindestens vierzehn (14) Tage vorab schriftlich benachrichtigt hat, auf seine Kosten, durch einen Vertreter des Kunden, oder einen unabhängigen Dritten einen Besuch vor Ort bei Visitor Analytics durchführen. Solche Audits werden zu normalen Geschäftszeiten durchgeführt, ohne den laufenden Geschäftsbetrieb von Visitor Analytics zu stören. Visitor Analytics kann die Audits von der Unterzeichnung einer Geheimhaltungsvereinbarung mit Visitor Analytics abhängig machen. Wenn der vom Kunden beauftragte Prüfer in einem Wettbewerbsverhältnis zu Visitor Analytics steht, hat Visitor Analytics das Recht, Einwände gegen die Durchführung des Audits zu erheben.
       
  8. Subunternehmer
    1. ​​​​​​​Der Kunde stimmt zu, dass Visitor Analytics berechtigt ist, die in diesem AVV festgelegten Verpflichtungen von Visitor Analytics an Subunternehmer zu vergeben. Der Kunde stimmt den in Anlage 3 aufgeführten Subunternehmern zu, die derzeit von Visitor Analytics eingesetzt werden.
    2. Vor dem Hinzufügen eines neuen Subunternehmers oder dem Ersetzen eines bestehenden Subunternehmers muss Visitor Analytics den Kunden darüber informieren und ihm eine angemessene Frist zum Widerspruch aus wichtigen Gründen einräumen. Widerspricht der Kunde nicht innerhalb der Frist, gilt die Zustimmung zur Änderung des Subunternehmers als erteilt. Liegt ein wichtiger Grund vor und ist eine einvernehmliche Lösung zwischen den Parteien nicht möglich, wird den Parteien ein Sonderkündigungsrecht eingeräumt.
    3. Visitor Analytics verpflichtet sich in der Vereinbarung mit dem Subunternehmer, für Personenbezogene Nutzungsdaten das gleiche Schutzniveau zu vereinbaren, wie es in diesem Vertrag festgelegt ist.
       
  9. Laufzeit und Beendigung
    Die Laufzeit dieses AVV beginnt zusammen mit der Laufzeit des Vertrages und endet mit der Beendigung des Vertrags. Sofern die Parteien nichts anderes vereinbaren, endet mit der Beendigung dieses AVV automatisch der gesamte Vertrag.
     
  10. Haftungsbeschränkung
    Die zwischen den Parteien auf der Grundlage der Servicebedingungen vereinbarte Haftungsbeschränkung gilt auch für diesen AVV, sofern nicht ausdrücklich etwas anderes vereinbart wurde.
     
  11. Haftungsausschluss
    Der Kunde verteidigt Visitor Analytics gegen jegliche Schadenersatzforderungen aufgrund eines Verstoßes gegen die Datenschutzgesetze, es sei denn, der Schaden wurde verursacht, weil Visitor Analytics die Verpflichtungen der Datenschutzgesetze, die speziell an die Verarbeiter gerichtet sind, nicht eingehalten hat oder wenn außerhalb oder entgegen den rechtmäßigen Anweisungen des Kunden oder des Vertrages gehandelt hat.
     
  12. Allgemein
    1. ​​​​​​​Nach Ablauf oder Kündigung des gesamten Vertrags oder dieses AVV, oder auf frühere Anforderung des Kunden wird Visitor Analytics - nach Wahl des Kunden - alle Personenbezogenen Nutzungsdaten und vorhandenen Kopien (einschließlich der Personenbezogenen Daten) in einer der Sensibilität der Daten angemessenen Weise an den Kunden zurückgeben, oder sicher löschen oder vernichten, es sei denn, die geltenden Datenschutzgesetze schreiben die Speicherung der Personenbezogenen Nutzungsdaten vor. Visitor Analytics bestätigt dem Kunden schriftlich, dass der Löschvorgang abgeschlossen ist.
    2. Ein Verzicht auf ein Recht nach diesem AVV ist nur wirksam, wenn er schriftlich erfolgt und gilt nur für die Umstände, für die er gewährt wird. Kein Versäumnis, oder Verzug einer Partei bei der Ausübung eines Rechts oder Rechtsbehelfs im Rahmen dieses AVVs, oder per Gesetz stellt einen Verzicht auf dieses (oder ein anderes) Recht, oder Rechtsbehelf dar und schließt seine weitere Ausübung weder aus noch schränkt sie diese ein. Keine einzelne oder teilweise Ausübung eines solchen Rechts oder Rechtsmittels darf die weitere Ausübung dieses (oder eines anderen) Rechts, oder Rechtsmittels ausschließen, oder einschränken. Sofern nicht ausdrücklich etwas anderes vorgesehen ist, sind Rechte, die sich aus diesem AVV ergeben, kumulativ und schließen gesetzlich vorgesehene Rechte nicht aus.
    3. Wenn und soweit eine der Bestimmungen dieses AVV für rechtswidrig, nichtig, oder nicht durchsetzbar befunden wird, wird die Gültigkeit der übrigen Bestimmungen dieses AVV nicht berührt. Die Parteien vereinbaren, eine solche ungültige Bestimmung durch eine gültige zu ersetzen, die dem ursprünglichen Ziel der Parteien, in Bezug auf diesen AVV, so nahe wie möglich kommt.
    4. Keine Vertragspartei darf ihre Rechte und Pflichten aus diesem AVV ohne die vorherige schriftliche Zustimmung der anderen Vertragspartei abtreten, mit der Ausnahme, dass jede Vertragspartei diesen AVV als Ganzes ohne eine solche Zustimmung an eine Einrichtung guten Rufes (außer direkte Konkurrenten der anderen Vertragspartei) abtreten kann, die in der Lage ist, die Rechte und Pflichten aus diesem AVV zu erfüllen, und zwar mit der Folge, dass das Vermögen, oder Geschäft der abtretenden Vertragspartei ganz, oder im Wesentlichen vollständig an die andere Vertragspartei übergeht. Eine Person, die nicht Vertragspartei dieses AVV ist, hat keine Rechte aus, oder in Verbindung mit diesem AVV.
    5. Dieser AVV unterliegt den örtlichen Gesetzen bei Visitor Analytics und ist entsprechend auszulegen, ungeachtet der Gesetze, die ansonsten in Übereinstimmung mit den Grundsätzen des internationalen Privatrechts gelten könnten. Die Parteien unterwerfen sich hiermit ausschließlich und unwiderruflich dem Gerichtsstand des Hauptgeschäftssitzes von Visitor Analytics bezüglich aller Rechtsstreitigkeiten, die sich aus diesem AVV ergeben. Es gelten die Servicebedingungen von Visitor Analytics. Allgemeine Geschäftsbedingungen des Kunden finden keine Anwendung.
    6. Der AVV ist eine Anlage zu den Servicebedingungen und integraler Bestandteil des Vertrags. Ungeachtet des Abschnitts 1.2. dieses AVV haben im Falle von Widersprüchen zwischen den Klauseln der Servicebedingungen und diesem AVV die Klauseln dieses AVVs Vorrang.

 

​​​​​​​

Anlagen

 

Unterschriften

 

 

Anlage 1 - Datenkategorien und Betroffene

Erlaubter Zweck:
Sammeln von Informationen über die Nutzung der Kundenwebseite durch Besucher über die App. Analyse dieser Informationen über die App und Bereitstellung dieser Informationen für den Kunden auf einer webbasierten Plattform in Statistik-Dashboards mit Diagrammen, Grafiken und Karten. Kunden können Teile der Statistikdaten exportieren. Kunden können die Services über ihr eigenes Standalone-Konto nutzen, oder den Mitarbeitern des Kunden die Nutzung der Services ermöglichen, indem sie einen Mitarbeiter hinzufügen.

Kategorien von Betroffenen
Die Kategorien von Betroffenen sind der Kunde, Dritte, die mit dem Kunden in Verbindung stehen, wie z.B. Mitarbeiter oder andere befugte Personen, Besucher, und Personen, die von Visitor Analytics befugt sind, wie z.B. Mitarbeiter oder andere befugte Personen.

Verarbeitungsvorgänge
Abhängig von der Person der Betroffenen unterliegen die eingegebenen Personenbezogenen Daten grundlegenden Aktivitäten wie der Registrierung des Kunden zur Implementierung der App, der Bereitstellung von bearbeiteten Informationen (Visitor Analytics) und Statistiken für den Kunden, dem Export von Statistiken, dem Ausschluss von Kundenbesuchen auf der Kundenwebseite und der Verwaltung des Kundenkontos.

Kategorien von Daten
Abhängig von den Betroffenen, betreffen die eingegebenen Personenbezogenen Daten folgende Datenkategorien: Name; Firmenname; E-Mail-Adresse, Webseite, Daten über die Verbindung eines Besuchers mit der Kundenwebseite (Zeitstempel, Anzahl der aufgerufenen Seiten, IP-Adresse - wenn die IP-Anonymisierung nicht aktiviert ist), Informationen über das Gerät des Besuchers (z.B. Mobiltelefon, oder Computer, Betriebssystem und Version, Browser, Bildschirmgröße), ungefähre Geolokalisierungsdaten, die aus dem Standort der IP-Adresse des Besuchers abgeleitet werden.

Sensible Daten (falls zutreffend)
Die Parteien gehen nicht davon aus, dass sensible Daten verarbeitet werden.

Durch Cookies gesammelte Daten
Zusätzlich werden die folgenden Cookies von Visitor Analytics auf den Geräten der Besucher gesetzt, um die Services bereitzustellen:

 

Anlage 2 - Technische und organisatorische Maßnahmen

gemäß Art. 32 DSGVO

Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, die von Visitor Analytics ergriffen werden.
 

Visitor Analytics hat die folgenden technischen und organisatorischen Sicherheitsmaßnahmen ergriffen, um die fortlaufende Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste zu gewährleisten:
 

  1. Vertraulichkeit
    Visitor Analytics hat die folgenden technischen und organisatorischen Sicherheitsvorkehrungen getroffen, um insbesondere die Vertraulichkeit der Verarbeitungssysteme und -dienste zu gewährleisten, im Einzelnen:
    1. Visitor Analytics verarbeitet alle Personenbezogenen Nutzungsdaten auf Servern innerhalb der Bundesrepublik Deutschland entfernten Serverstandorten, die sich im Besitz von branchenführenden Cloud-Service-Anbietern befinden und von diesen betrieben werden, die hoch entwickelte Maßnahmen zum Schutz vor dem Zugriff Unbefugter auf Datenverarbeitungsgeräte (nämlich Telefone, Datenbank- und Anwendungsserver und die zugehörige Hardware) anbieten. Solche Maßnahmen umfassen:
      1. Rechenzentren werden rund um die Uhr von hochauflösenden Innen- und Außenkameras überwacht, die Eindringlinge erkennen und verfolgen können;
      2. Zugangsprotokolle, Aktivitätsaufzeichnungen und Kameraaufnahmen sind für den Fall eines Vorfalls verfügbar;
      3. Rechenzentren werden außerdem routinemäßig von erfahrenen Sicherheitsbeamten patrouilliert, die sich strengen Hintergrundprüfungen und Schulungen unterzogen haben;
      4. Dokumentierte Verteilung von Schlüsseln an Mitarbeiter und Colocation-Kunden für Coocation-Racks;
      5. Nur autorisierte Mitarbeiter mit bestimmten Rollen dürfen auf die Server zugreifen.
         
    2. Visitor Analytics setzt geeignete Maßnahmen ein, um zu verhindern, dass seine Datenverarbeitungssysteme von Unbefugten benutzt werden. Dies wird erreicht durch:
      1. Automatische Erkennung von wiederholtem oder massenhaftem unberechtigtem Zugriff; Zulassung des Zugriffs auf die Visitor Analytics App ausschließlich auf der Grundlage eines verschlüsselten Schlüssels, der nur von Visitor Analytics  mit Hilfe eines Geheimnisses entschlüsselt werden kann;
      2. SSL-Verschlüsselung auf allen öffentlichen Kunden-Endpunkten
      3. Alle Zugriffe auf Dateninhalte werden protokolliert, überwacht und nachverfolgt.
    3. Mitarbeiter von Visitor Analytics, die zur Nutzung der Datenverarbeitungssysteme von Visitor Analytics berechtigt sind, können nur im Rahmen und im Umfang ihrer jeweiligen Zugriffsberechtigung (Berechtigung) auf Personenbezogene Daten zugreifen. Insbesondere basieren die Zugriffsrechte und -ebenen auf der Funktion und der Rolle der Mitarbeiter, wobei die Konzepte der geringsten Privilegien und des Wissensbedarfsverwendet werden, um die Zugriffsrechte an definierten Verantwortlichkeiten anzupassen. Dies wird erreicht durch:
      1. Mitarbeiterrichtlinien und -schulungen;
      2. Wirksame und maßvolle Disziplinarmaßnahmen gegen Personen, die unbefugt auf Personenbezogene Daten zugreifen;
      3. Beschränkter Zugriff auf Personenbezogene Daten nur für autorisierte Personen;
      4. Verschlüsselung nach Industriestandard; und
      5. Richtlinien zur Kontrolle der Aufbewahrung von Sicherungskopien.
         
  2. Integrität
    Visitor Analytics hat die folgenden technischen und organisatorischen Sicherheitsvorkehrungen getroffen, um insbesondere die Integrität der Verarbeitungssysteme und -dienste zu gewährleisten:
    1. Visitor Analytics trifft geeignete Maßnahmen, um zu verhindern, dass Personendaten bei der Übermittlung, oder beim Transport der Datenträger von Unbefugten gelesen, kopiert, verändert, oder gelöscht werden können. Dies wird erreicht durch:
      1. Einsatz modernster Firewall- und Verschlüsselungstechnologien zum Schutz der Gateways und Pipelines, durch die die Daten transportiert werden;
      2. Verschlüsselung nach Industriestandard; und
      3. Vermeidung der Speicherung Personenbezogener Daten auf tragbaren Speichermedien für Transportzwecke und auf firmeneigenen Laptops, oder anderen mobilen Geräten.
    2. Visitor Analytics greift nicht auf Kundeninhalte zu, es sei denn, dies ist notwendig, um dem Kunden die vom Kunden ausgewählten Visitor Analytics Services zur Verfügung zu stellen, oder um Systemfehler zu beheben. Visitor Analytics greift für keine anderen Zwecke auf die Inhalte des Kunden zu. Dementsprechend weiß Visitor Analytics nicht, welche Inhalte der Kunde zum Speichern auf seinen Systemen auswählt, und kann nicht zwischen Personenbezogenen Daten und anderen Inhalten unterscheiden, so dass Visitor Analytics alle Kundeninhalte gleich behandelt. Auf diese Weise profitieren alle Kundeninhalte von den gleichen robusten Sicherheitsmaßnahmen von Visitor Analytics, unabhängig davon, ob diese Inhalte Personenbezogenen Daten enthalten, oder nicht.
       
  3. Verfügbarkeit
    Visitor Analytics hat insbesondere die folgende technische und organisatorische Sicherheitsmaßnahmen umgesetzt, um die Verfügbarkeit von Verarbeitungssystemen und -diensten zu gewährleisten:
    1. Visitor Analytics führt geeignete Maßnahmen durch, um sicherzustellen, dass personenbezogene Daten vor unbeabsichtigter Zerstörung, oder Verlust geschützt sind. Dies wird erreicht durch:
      1. Redundanz der Infrastruktur;
      2. Richtlinien, die eine permanente lokale (Arbeitsplatz-)Speicherung von Personenbezogenen Daten verbieten; und
      3. Durchführung regelmäßige Datensicherungen.
         
  4. Belastbarkeit
    Visitors Analytics verwendet einen Webserver mit Thread-Pooling für eine bessere Leistung, um sicherzustellen, dass wir eine große Anzahl von Verbindungen unterstützen können. Der größte Teil unseres Projekts basiert auf einem Produzenten/Konsumenten-Muster, um sicherzustellen, dass die Verbindungen so schnell wie möglich geschlossen werden, damit Ressourcen für anstehende Verbindungen verfügbar sind. Außerdem werden unsere Datenbanken gesichert, um sicherzustellen, dass wir im Falle unvorhergesehener Umstände auf eine ältere Version zurückgreifen können.

    Auch die Einrichtungsprozesse der Server sind automatisiert (und mit Ausnahme der Datenbanken zustandsfrei), um sicherzustellen, dass wir einen neuen Server neu erstellen und starten können, falls mit der alten Instanz etwas passiert.

 

Anlage 3 – Subunternehmer