PRIVACY POLICY / JOINT CONTOLLER AGREEMENT

Last updated: 18.04.2023

zwischen E.M.P. Merchandising Handelsgesellschaft GmbH, Darmer Esch 70 a, 49811 Lingen, Deutschland
- nachfolgend "E.M.P. HGmbH" genannt -
und
EMP Mail Order UK Ltd., North Quay House, Sutton Harbour, Plymouth, PL4 0RA, United Kingdom
- nachfolgend "EMP UK" genannt -
- E.M.P. HGmbH und EMP UK nachfolgend einzeln auch „Partei“ genannt, gemeinsam „Parteien“ -

PRÄAMBEL

(A) EMP UK ist Betreiberin des englischen Webshops www.emp.co.uk. („Webshop“). In Zukunft soll das Kundenkonto und der Newsletter – für Besucher, die sich neu registrieren / anmelden („Kunden“) – von E.M.P. HGmbH und EMP UK gemeinsam betrieben werden. Insofern sind E.M.P. HGmbH und EMP UK gemeinsam Verantwortliche im Sinne des Art. 26 DSGVO.

(B) Die Parteien sind nicht gemeinsam Verantwortliche für andere Verarbeitungen von personenbezogenen Daten in Zusammenhang mit dem Webshop.

Soweit die Parteien datenschutzrechtliche gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO sind, gelten die folgenden Vereinbarungen:

1. ANWENDUNGSBEREICH

1.1 Dieser Vertrag gilt für die gemeinsame Verarbeitung von personenbezogenen Daten durch die Parteien in Zusammenhang mit dem Kundenkonto und dem Newsletter und stellt eine Vereinbarung im Sinne des Art. 26 DSGVO dar. Diese Vereinbarung findet auf alle Tätigkeiten Anwendung, bei denen Beschäftigte der Parteien oder durch sie beauftragte Auftragsverarbeiter personenbezogene Daten für die Verantwortlichen verarbeiten.

1.2 Der Vertrag regelt die Rechte und Pflichten der Verantwortlichen bei der gemeinsamen Verarbeitung personenbezogener Daten.

2. ZWECK

2.1 Die Parteien haben die Mittel und Zwecke der in Ziffer 1.1 näher beschriebenen Verarbeitungstätigkeiten gemeinsam festgelegt. Die Parteien verpflichten sich die gemeinsam verarbeiteten personenbezogenen Daten nur für die folgenden Zwecke zu verarbeiten:

1. Betrieb des Kundenkontos;
2. Versand von Newslettern;
3. Analyse und Auswertung von Daten im Zusammenhang mit den Ziffern (1) und (2).

2.2 Die Parteien dürfen die gemeinsam verarbeiteten personenbezogenen Daten nicht in einer Weise verarbeiten, die mit den in Ziffer 2.1 beschriebenen Zwecken unvereinbar ist.

2.3 Für die Verarbeitung bei denen keine gemeinsame Festlegung der Zwecke und Mittel besteht, ist jede Partei eigenständiger Verantwortlicher im Sinne des Art. 4 Nr. 7 DSG-VO.

3. VERANTWORTUNGSBEREICHE

3.1 EMP UK und E.M.P. HGmbH werden in Zukunft das Kundenkonto im Webshop gemeinsam betrieben. Bei zukünftigen Registrierungen für ein Kundenkonto, schließt der sich registrierende Webshop-Kunde einen Kundenkontovertrag mit EMP UK und E.M.P. HGmbH.

3.2 Ebenso werden EMP UK und E.M.P. HGmbH den Webshop-Newsletter gemeinsam betreiben. Der Webshop-Newsletter wird dabei aktuell von EMP UK versendet. E.M.P. HGmbH soll in naher Zukunft das Versenden des Newsletters übernehmen. Meldet sich zukünftig ein Webshop-Kunde für den Newsletter im Webshop an, erteilt der Webshop-Kunde EMP UK und E.M.P. HGmbH eine Einwilligung für die Verarbeitung seiner personenbezogenen Daten zum Zwecke des Webshop-Newsletters.

3.3 Im Rahmen der gemeinsamen Verarbeitung ist EMP UK für die Erhebung und Übermittlung von Daten im Zusammenhang mit neuen Kundenkontoverträgen gem. Ziffer 4.3 als auch im Zusammenhang mit neuen Newsletteranmeldungen gem. Ziffer 4.4 an E.M.P. HGmbH verantwortlich. Für die weitere Verarbeitung der personenbezogenen Daten zu den Zwecken nach Ziffer 2 sind E.M.P. HGmbH und EMP UKgemeinsam verantwortlich.

3.4 Jede Partei gewährleistet die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie auch im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen.

3.5 Die Parteien tragen dafür Sorge, dass nur personenbezogene Daten erhoben werden, die für die rechtmäßige Verarbeitung zwingend erforderlich sind. Im Übrigen beachten beide Parteien den Grundsatz der Datenminimierung im Sinne von Art. 5 Abs. 1 lit. c DSGVO.

3.6 Die Parteien informieren sich gegenseitig unverzüglich und vollständig, wenn sie bei der Prüfung der Verarbeitungstätigkeiten Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellen.

4. PERSONENBEZOGENE DATEN

4.1 Von der gemeinsamen Verarbeitung betroffen sind folgende Personen: Kunden des Webshops, die sich zukünftig im Webshop registrieren, und solche, die sich zukünftig zum Newsletters anmelden.

4.3 In Bezug auf das Kundenkonto umfasst die gemeinsame Verarbeitung unter anderem die folgenden personenbezogenen Daten der betroffenen Personen:

1. Geschlecht (optionale Angabe);
2. Vorname, Nachname;
3. Geburtstag (optionale Angabe);
4. E-Mail-Adresse;
5. Telefonnummer (optionale Angabe);
6. Bestellhistorie;
7. Gespeicherte Produkte;
8. Wunschliste;
9. Bewertete Lieblingsprodukte.

4.4 Die gemeinsame Verarbeitung hinsichtlich des Versands von Newslettern betrifft unter anderem die folgenden personenbezogenen Daten der betroffenen Personen:

1. E-Mail-Adresse;
2. Vorname, Nachname (optional);
3. Geschlecht (optional);
4. Geburtstag (optional).

5. RECHTE DER BETROFFENEN PERSONEN

5.1 Die betroffenen Personen können die ihnen aus Art. 15 bis 22 DSGVO zustehenden Rechte gegenüber beiden Parteien geltend machen. Sie erhalten die Antwort auf Anfragen grundsätzlich von der Partei, bei der die Anfrage gestellt wurde. Die Parteien ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, damit die Rechte der betroffenen Personen, insbesondere nach den Art. 12 bis 22 DSGVO, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw. sind.

5.2 Die Parteien werden sich gegenseitig unterstützen, um die schnelle und angemessene Bearbeitung von Anfragen zu gewährleisten. Erhält eine Partei eine Anfrage einer betroffenen Person, leitet sie die Anfrage unverzüglich an die andere Partei weiter. Sollen personenbezogene Daten gelöscht werden, kann die jeweils andere Partei der Löschung aus berechtigtem Grund widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflicht trifft.

5.3 Für die Erfüllung der Informationspflichten ist EMP UK zuständig. E.M.P. HGmbH lässt EMP UK sämtliche hierfür notwendigen Information aus ihrem Verantwortungsbereich zukommen. Die Erfüllung der Informationspflichten umfasst

1. die Informationspflichten nach Art. 13 und 14 DSGVO, sowie
2. die Informationspflicht hinsichtlich der gemeinsamen Verantwortlichkeit nach Art. 26 Abs. 2 S. 2 DSGVO.

6. DATENSCHUTZDOKUMENTATION

6.1 Jede Partei verpflichtet sich zum Führen eines Verarbeitungsverzeichnisses und nimmt insbesondere einen Vermerk zur Natur der Verarbeitungstätigkeit, in gemeinsamer oder alleiniger Verantwortung, mit auf.

6.2 Ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich, unterstützen sich die Parteien gegenseitig.

6.3 Dokumentationen im Sinne von Art. 5 Abs. 2 DSGVO, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, werden durch jede Partei entsprechend den rechtlichen Befugnissen und Verpflichtungen über das Vertragsende hinaus aufbewahrt.

7. SICHERHEIT DER VERARBEITUNG

7.1 Die Parteien werden die gemeinsam verarbeiteten personenbezogenen Daten einander nur unter Verwendung angemessenen Sicherheitsmaßnahmen zur Verfügung stellen.

7.2 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen haben die Parteien geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

7.3 Bei der Beurteilung des angemessenen Sicherheitsniveaus sind die Risiken zu berücksichtigen, die sich aus der Verarbeitung ergeben, insbesondere durch die unbeabsichtigte oder unrechtmäßige Zerstörung, Verlust, Veränderung, unbefugte Offenlegung oder Zugriff auf die übermittelten gespeicherten oder anderweitig verarbeiteten personenbezogenen Daten.

7.4 Die Parteien stellen innerhalb ihres Verantwortungsbereiches sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäß den Artikeln 28 Abs. 3, 29 und 32 DSGVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren und dass diese vor Aufnahme ihrer Tätigkeit entsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.

8. DATENSPEICHERUNG UND LÖSCHUNG

8.1 Die Parteien dürfen die gemeinsam verarbeiteten personenbezogenen Daten nicht länger aufbewahren oder verarbeiten, als diese zur Erfüllung der Zwecke nach Ziffer 2 erforderlich ist.

8.2 Im Falle der Beendigung der Zusammenarbeit ist jede Partei für die Datenverarbeitung und die mit der Datenverarbeitung verbundenen Rechte der betroffenen Person selbst verantwortlich. Insbesondere haben die Parteien eigenständig dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten.

9. VERLETZUNGEN DES SCHUTZES VON PERSONENBEZOGENEN DATEN UND MELDEVERFAHREN

9.1 Beiden Parteien obliegen die aus Art. 33, 34 DSGVO resultierenden Melde- und Benachrichtigungspflichten gegenüber der Aufsichtsbehörde und den von einer Verletzung des Schutzes personenbezogener Daten betroffenen Personen für ihren jeweiligen Verantwortungsbereich. Die Parteien informieren sich unverzüglich gegenseitig über die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und leiten sich die zur Durchführung der Meldung erforderlichen Informationen jeweils unverzüglich zu.

9.2 Die Parteien werden sich gegenseitig angemessen unterstützen, um die schnelle und angemessene Bearbeitung von Verletzungen der Sicherheit zu beheben. Ist eine Meldung an eine Behörde oder eine Benachrichtigung an eine betroffene Person notwendig, stimmen sich die Parteien, soweit zumutbar und rechtlich zulässig, über das Vorgehen ab und unterstützen sich gegenseitig bei der Meldung oder Benachrichtigung im erforderlichen Umfang.

9.3 Jede Partei dokumentiert alle Verletzungen der Sicherheit der gemeinsam verarbeiteten personenbezogenen Daten, einschließlich der diesbezüglichen Tatsachen, ihre Auswirkungen sowie die getroffenen Abhilfemaßnahmen unter Beachtung der Anforde-rungen des Art. 33 DSGVO.

10. BEILEGUNG VON STREITIGKEITEN MIT BETROFFENEN PERSONEN ODER DER AUFSICHTSBEHÖRDE

Im Falle einer Streitigkeit mit oder einer Klage von einer betroffenen Person oder Aufsichtsbehörde über die Verarbeitung gemeinsam verarbeiteter personenbezogener Daten gegen eine Partei, informiert diese die andere Partei über solche Streitigkeiten oder Klagen und arbeitet mit dieser zusammen, um die Streitigkeit oder Klage mit der betroffenen Person oder Aufsichtsbehörde gütlich beizulegen.

11. ZUSAMMENARBEIT MIT AUFSICHTSBEHÖRDEN

11.1 Beide Parteien informieren sich gegenseitig, falls sie von einer Aufsichtsbehörde in Bezug auf die Verarbeitung der gemeinsam verarbeiteten personenbezogenen Daten kontaktiert werden.

11.2 Soweit zumutbar und rechtlich zulässig, werden die Parteien Stellungnahmen gegenüber der Aufsichtsbehörde im Hinblick auf die gemeinsame Verarbeitung miteinander abstimmen. Gleiches gilt im Hinblick auf etwaige Rechtsbehelfe gegen Maßnahmen der Aufsichtsbehörde.

12. EINSCHALTUNG VON AUFTRAGSVERARBEITERN

12.1 Die Parteien verpflichten sich, beim Einsatz von Auftragsverarbeitern im Anwendungsbereich dieser Vereinbarung (Ziffer 1) einen Vertrag nach Art. 28 DSGVO abzuschließen und die Zustimmung der anderen Partei vor Abschluss des Vertrages einzuholen. Findet die Verarbeitung oder finden Teile der Verarbeitung durch den Auftragsverarbeiter in einem Drittland statt, ist weiterhin das Vorliegen hinreichender Garantien für ein angemessenes Schutzniveau im Drittland sicherzustellen.

12.2 Die Parteien informieren sich gegenseitig rechtzeitig über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung von Auftragsverarbeitern.

12.3 Jede Partei kann von der jeweils anderen Partei Auskunft über die eingesetzten Auftragsverarbeiter und Nachweise für die gestellten Anforderungen aus Ziffer 12 verlangen.

12.4 Nicht als Leistungen von Auftragsverarbeitern gelten Dienstleistungen, die die Parteien bei Dritten als Nebenleistung zur Unterstützung der Auftragsdurchführung in Anspruch nehmen, beispielsweise Telekommunikationsdienstleistungen und Wartungen.

13. HAFTUNG DER GEMEINSAMEN VERANTWORTLICHEN

13.1 Unbeschadet der Regelungen dieses Vertrages haften die Parteien für den Schaden, der durch eine nicht datenschutzkonforme Verarbeitung verursacht wird, im Außenverhältnis gemeinsam gegenüber den betroffenen Personen.

13.2 Ersetzt eine Partei nach Ziffer 13.1 den entstandenen Schaden vollständig, ist sie berechtigt, von der anderen Partei den Teil der Entschädigung zurückzufordern, der deren Teil der Verantwortung für den Schaden entspricht. Ein Anteil zu gleichen Teilen gilt für den Fall, dass der jeweilige Teil der Verantwortung nicht oder nicht hinreichend genau bestimmt werden kann.

13.3 Diese Ziffer gilt auch für andere Haftungsfälle, die sich aus der Verletzung von Datenschutzbestimmungen ergeben.

14. VERTRAGSÄNDERUNG

Änderungen dieses Vertrags bedürfen der Schriftform und sind von den Parteien zu unterzeichnen.

15. BEENDIGUNG DES VERTRAGS

15.1 Der Vertrag läuft auf unbestimmte Zeit und kann von jeder Partei mit einer Frist von einem Monat zum Ende eines Kalendermonats gekündigt werden. Unabhängig davon endet dieser Vertrag, sobald EMP UK nicht mehr den Webshop betreibt.

15.2 Datennutzungsrechte in Bezug auf den Kundenkontovertrag, insbesondere im Hinblick auf die personenbezogenen Daten von Kunden, stehen im Falle der Beendigung der Zusammenarbeit E.M.P. HGmbH zu. Ebenfalls ist für den Fall der Beendigung der Zusammenarbeit einzig E.M.P. HGmbH berechtigt, die gegenüber beiden Parteien abgegebene Einwilligung zum Newsletter zu nutzen.

16. ANWENDBARES RECHT

Dieser Vertrag und alle Streitigkeit oder Ansprüche, die sich aus oder im Zusammenhang mit ihm oder seinem Gegenstand oder seines Abschlusses ergeben, unterliegen dem Recht der Bundesrepublik Deutschland. Gerichtsstand ist München (Landgericht München I).