Scalerion Logo

DATENVERARBEITUNG

Vereinbarung zur Verarbeitung der personenbezogenen Daten

Vereinbarung über die Verarbeitung personenbezogener Daten in gemeinsamer Verantwortung gemäß Art. 26 Datenschutz-Grundverordnung (DSGVO)

Entsprechend Ziffer 3.3 der Teilnahmebedingungen wird zwischen dem Lieferanten bzw. Händler (wie jeweils in den Teilnahmebedingungen definiert) und der Scalerion GmbH (wie in den Teilnahmebedingungen definiert) mit dem Abschluss des Teilnahmevertrages (wie in den Teilnahmebedingungen definiert) diese Vereinbarung zur gemeinsamen Verantwortung nach Art. 26 DSGVO abgeschlossen (nachfolgend der „Vertrag“).

Die vertragsschließenden Parteien werden nachfolgend gemeinsam als „Verantwortliche“ oder einzeln als „Verantwortlicher“ bezeichnet. Die Scalerion GmbH wird auch als „wir“ oder „uns“ bezeichnet.

 

§ 1 Gegenstand des Vertrags

(1) Dieser Vertrag gilt ausschließlich für die in diesem Absatz näher beschriebenen Datenverarbeitungen („erfasste Datenverarbeitungen“):

(a) Wird durch einen Kunden eine Bestellung über die Scalerion-Plattform (wie in den Teilnahmebedingungen definiert) ausgelöst, werden die folgenden Daten erhoben und verarbeitet:

  • Angaben zur Person (Name, Vorname, Geschlecht, Geburtsdatum)
  • Kontaktdaten (Straße, PLZ, Ort, E-Mail, ggf. Telefon)
  • Name und Adresse des Ladenlokals
  • Angaben zum bestellten Produkt (insb. Produktbezeichnung, Preis)
  • Datum der Bestellung
  • Beteiligte Händler und Lieferanten
  • Versandinformationen
  • Daten zur Zahlungsabwicklung (insb. verwendete Zahlungsmittel).

Diese Daten werden verarbeitet, um die Bestellung des Kunden durchführen zu können. Weiterhin werden die Daten benötigt, um den zwischen uns und den Händlern bzw. Lieferanten geschlossenen Teilnahmevertrag (wie in den Teilnahmebedingungen definiert) sowie die Abreden zwischen den Händlern und Lieferanten über den Vertrieb von Waren über unsere Handelsplattform (wie in den Vermittlungsbedingungen definiert) erfüllen zu können.

(b) Für die Erhebung dieser Daten bei der Aufgabe oder Rückabwicklung der Bestellung über unsere Handelsplattform unter Mitwirkung eines Händlers sind wir gemeinsam mit dem jeweiligen Händler – bezogen auf die enthaltenen personenbezogenen Daten – verantwortlich.

(c) Für die Verarbeitung dieser Daten im unmittelbaren Zusammenhang mit der Durchführung der Bestellung über unsere Handelsplattform sind wir gemeinsam mit dem jeweiligen Lieferanten, der die Bestellung durch führt – bezogen auf die enthaltenen personenbezogenen Daten – verantwortlich.

(2) Darüber hinaus sind wir alleine für die Verarbeitung der personenbezogenen Daten der Kunden im in Ziffer 3. unserer Datenschutzhinweise für Kunden beschriebenen Umfang verantwortlich. Im Übrigen sind die Händler bzw. Lieferanten für die von ihnen durchgeführte Verarbeitung von personenbezogenen Daten ausschließlich selbst verantwortlich. Insbesondere sind wir nicht für die Verarbeitung von personenbezogenen Daten verantwortlich, die außerhalb der Scalerion-Plattform oder durch nicht bestimmungsgemäße Verwendung der Scalerion-Plattform durch die Händler bzw. Lieferanten erfolgt.

(3) Durch diesen Vertrag wird keine gesellschaftsrechtliche Beziehung (insb. GbR, OHG) zwischen den Verantwortlichen geschaffen.

 

§ 2 Pflichten der Verantwortlichen

I. Allgemeine Pflichten jedes Verantwortlichen

Die Verantwortlichen sind gemeinsam dafür verantwortlich, dass erfasste Datenverarbeitungen gemäß den Regelungen dieses Vertrags sowie im Einklang mit der DSGVO verarbeitet werden. Für die Erfüllung von lokalem Datenschutzrecht (bspw. dem BDSG) und allen sonstigen lokalen Rechtsvorschriften sind die jeweiligen Verantwortlichen, die den lokalen Rechtsvorschriften unterworfen sind, ausschließlich selbst verantwortlich.

II. Besondere Pflichten jedes Verantwortlichen

Jeder Verantwortliche stellt für die erfassten Datenverarbeitungen sicher, dass die folgenden Verpflichtungen aus der DSGVO in seinem Herrschaftsbereich eingehalten werden: ­

  • Alle mit der Datenverarbeitung befassten Personen werden die Vertraulichkeit der Daten gemäß den Artikeln 28 Abs. 3, 29 und 32 DSGVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren und werden vor Aufnahme ihrer Tätigkeit entsprechend auf das Datengeheimnis verpflichtet sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen; ­
  • Die Verantwortlichen ergreifen die für die datenschutzkonforme Ausgestaltung der gemeinsamen Verarbeitung erforderlichen technischen und organisatorischen Maßnahmen; ­
  • Die Verantwortlichen haben eigenständig dafür Sorge zu tragen, dass sie sämtliche, in Bezug auf die Daten bestehende, gesetzliche Aufbewahrungspflichten einhalten können. Sie haben hierzu (unbeschadet entsprechender Regelungen in diesem Vertrag) angemessene Datensicherungsvorkehrungen und ggf. zusätzliche Vereinbarungen zu treffen; ­
  • Die Implementierung, Voreinstellung und der Betrieb der Datenverarbeitungssysteme für erfasste Datenverarbeitungen sind unter Beachtung der Vorgaben der DSGVO, insbesondere unter Beachtung der Grundsätze des Datenschutzes durch Design und datenschutzfreundliche Voreinstellungen sowie unter Verwendung von dem Stand der Technik entsprechenden geeigneten technischen und organisatorischen Maßnahmen durchzuführen; ­
  • Sofern die Verantwortlichen zur Führung eines Verarbeitungsverzeichnisses verpflichtet sind, nehmen sie die erfassten Datenverarbeitungen in das Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO auf, auch und insbesondere mit einem Vermerk zur Natur des Verarbeitungsverfahrens in gemeinsamer Verantwortung; ­
  • Die Verantwortlichen sind bei Vorliegen der gesetzlichen Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu bestellen und den Datenschutzbeauftragten dem anderen Verantwortlichen zu benennen. III. Aufteilung der Pflichten nach der DSGVO zwischen den Verantwortlichen Für die erfassten Datenverarbeitungen haben sich die Verantwortlichen auf die folgende Aufgabenverteilung zur Erfüllung der dort genannten Verpflichtungen nach der DSGVO geeinigt (ein Verantwortlicher, der nach der für eine Verpflichtung nach der DSGVO zuständig ist, wird nachfolgend als „zuständiger Verantwortlicher“ bezeichnet):

 

 

Zuständigkeit

 

Verpflichtung zur Sicherstellung einer rechtmäßigen Grundlage für die Verarbeitung

Alle Verantwortlichen gemeinschaftlich.

Verpflichtung zur Bereitstellung von Informationen für die betroffenen Personen (insbesondere Art. 12 – 14 DSGVO)

Verpflichtung zur Bearbeitung und Beantwortung von Anfragen durch betroffene Personen (insbesondere Art. 15 – 23 DSGVO)

Anlaufstelle für betroffene Personen zur Bearbeitung von Anfragen durch betroffene Personen (insbesondere Art. 15 – 23 DSGVO)

Verpflichtung, den betroffenen Personen den wesentlichen Inhalt des Vertrags zugänglich zu machen (Art. 26 Abs. 2 DSGVO)

Verpflichtung zur Anzeige von Verletzungen des Schutzes personenbezogener Daten gegenüber der Aufsichtsbehörde und/oder der betroffenen Person (Art. 33, 34 DSGVO)

Verpflichtung zur Ausführung einer Datenschutzfolgenabschätzung (insbesondere Art. 35, 36 DSGVO)

Scalerion GmbH, sofern die Datenverarbeitung ausschließlich durch bestimmungsgemäße Verwendung der Funktionalitäten der Scalerion-Plattform erfolgt.

Händler bzw. Lieferant, sofern die Datenverarbeitung außerhalb der Scalerion-Plattform bzw. durch nicht durch bestimmungsgemäße Verwendung der Scalerion-Plattform erfolgt.

 

Der jeweils zuständige Verantwortliche gewährleistet und steht dafür ein, dass die ihm zugewiesenen Verpflichtungen in Übereinstimmung mit der DSGVO erfüllt werden.

 

§ 3 Gegenseitige Zusammenarbeit

I. Allgemeine Regelungen zur Zusammenarbeit

(1) Die Verantwortlichen werden sich gegenseitig in erforderlichem und zumutbarem Maße bei der Erfüllung ihrer Pflichten nach diesem Vertrag sowie den in der DSGVO genannten Pflichten für die erfassten Datenverarbeitungen unterstützen, insbesondere durch die Bereitstellung von Informationen, die Abgabe von Erklärungen und/oder Ausfertigung von Dokumenten („Unterstützungsleistungen"). Unterstützungsleistungen werden insbesondere erbracht, ­

  • soweit die Unterstützungsleistungen vom zuständigen Verantwortlichen zur Erfüllung seiner in der § 2 (III) beschriebenen Verpflichtungen benötigt werden; oder ­
  • für die Erfüllung einer datenschutzrechtlichen Pflicht, insbesondere nach den Artikeln 32 bis 36 DSGVO (Gewährleistung der Sicherheit der Verarbeitung; Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörden; Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person; Datenschutz-Folgenabschätzung; vorherige Konsultation) benötigt werden; oder ­
  • im Rahmen einer die DSGVO betreffenden Untersuchung durch eine Aufsichtsbehörde und/oder der internen Revision benötigt werden; oder ­ zur Erfüllung einer die DSGVO betreffenden Anweisung, eines Beschlusses und/oder einer Entscheidung einer Aufsichtsbehörde oder eines Gerichts notwendig sind; oder ­
  • in sonstiger Weise benötigt werden, um die Anforderungen der DSGVO zu erfüllen,

und zwar in jedem Fall unverzüglich, wobei die von der DSGVO, von einer Aufsichtsbehörde bzw. einem Gericht oder einer betroffenen Person auferlegten Fristen zu beachten sind.

(2) Die Verantwortlichen haben sich gegenseitig unverzüglich und vollständig zu informieren, wenn im Zusammenhang mit der erfassten Datenverarbeitung Fehler oder Unregelmäßigkeiten bei der Datenverarbeitung oder Verletzungen von Bestimmungen dieses Vertrags oder anwendbaren Datenschutzrechts (insbesondere der DSGVO) festgestellt werden.

II. Zusammenarbeit bei Datenschutzvorfällen

(1) Bei der Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DSGVO oder bei dem Verdacht einer solchen Verletzung bzgl. der erfassten Datenverarbeitungen („Datenschutzvorfall"), arbeiten die Verantwortlichen wie folgt zusammen: ­

  • Wird einem Verantwortlichen ein Datenschutzvorfall bekannt, zeigt er dies allen anderen Verantwortlichen, die von dem Datenschutzvorfall betroffen sind, unverzüglich an.­
  • Die vom Datenschutzvorfall betroffenen Verantwortlichen werden sich unverzüglich dazu verständigen, ob tatsächlich ein Datenschutzvorfall vorlag, welches Risiko durch den Datenschutzvorfall geschaffen wurde und welche weiteren Maßnahmen zu ergreifen sind. Insbesondere ist abzustimmen, (1) ob durch den Datenschutzvorfall ein Risiko für die Rechte und Freiheit der betroffenen Personen vorliegt, welches zur Meldung des Vorfalls verpflichtet, (2) welche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen sind und (3) ob auch die betroffenen Personen über den Datenschutzvorfall zu informieren sind. ­
  • Der für eine Meldung an die Aufsichtsbehörde bzw. eine Benachrichtigung der betroffenen Personen zuständige Verantwortliche (Art. 33, 34 DSGVO) ist für die Einhaltung aller Fristen nach der DSGVO sowie des für ihn anwendbaren lokalen Datenschutzrechts im Falle eines Datenschutzvorfalls verantwortlich.

(2) Bestehen bei einer Abstimmung nach § 3 Abs. II (1), zweiter Spiegelstrich zwischen den Verantwortlichen Meinungsverschiedenheiten, entscheidet der für Meldung bzw. Benachrichtigung zuständige Verantwortliche über die Meldung bzw. Benachrichtigung und deren jeweiligen Inhalt.

III. Zusammenarbeit bei Betroffenenanfragen

(1) Bei der Bearbeitung und Beantwortung von Anfragen betroffener Personen, insbesondere im Zusammenhang mit der Wahrnehmung von Betroffenenrechten gemäß Kapitel III DSGVO („Betroffenenanfragen“), arbeiten die Verantwortlichen wie folgt zusammen: ­

  • Geht einem Verantwortlichen eine Betroffenenanfrage zu, wird er unverzüglich den für die Betroffenenanfragen zuständigen Verantwortlichen informieren und diesem die Betroffenenanfrage zuleiten. ­
  • Der zuständige Verantwortliche prüft die Betroffenenanfrage und übernimmt deren Bearbeitung und fristgemäße Beantwortung; er ist zugleich für die ggf. erforderliche rechtzeitige Bewirkung von Fristverlängerungen verantwortlich. ­
  • Auf Anforderung des zuständigen Verantwortlichen stellen die übrigen Verantwortlichen unverzüglich alle für die rechtskonforme Beantwortung der Betroffenenanfrage notwendigen Informationen zur Verfügung (insb. Aufbereitung der in ihrem Herrschaftsbereich gespeicherten Daten zur Erfüllung der Betroffenenanfrage) bzw. erbringen die notwendigen Unterstützungsleistungen, um dem zuständigen Verantwortlichen die Erfüllung der Betroffenenanfrage zu ermöglichen. Kann eine Unterstützungsleistung nicht binnen einer Frist von 7 Tagen nach Anforderung durch den zuständigen Verantwortlichen erbracht werden, ist auf diesen Umstand umgehend unter Angabe der notwendigen Bearbeitungsdauer nach Zugang der Bitte um Unterstützungsleistung hinzuweisen. ­
  • Ist aufgrund der Betroffenenanfrage eine Änderung der Art und des Umfangs der Verarbeitung erforderlich (insb. deren Berichtigung, Löschung, die Einschränkung oder Einstellung der Verarbeitung), so ändert der zuständige Verantwortliche unverzüglich die Verarbeitung bzw. den betreffenden Datensatz und setzt die übrigen Verantwortlichen über die erforderlichen Änderungen in Kenntnis. Der für die Betroffenenanfragen zuständige Verantwortliche ist für die Prüfung der Rechtmäßigkeit der Änderung der Verarbeitung verantwortlich. ­
  • Die übrigen Verantwortlichen nehmen nach der Information über die Änderungen an der Verarbeitung unverzüglich die notwendigen Handlungen vor, um die vom zuständigen Verantwortlichen veranlassten Änderungen auch in ihrem Herrschaftsbereich umzusetzen (z. B. Berichtigung oder Löschung des Datensatzes). Sie können der Änderung an der Verarbeitung in ihrem Herrschaftsbereich in Übereinstimmung mit der DSGVO widersprechen, etwa sofern sie eine gesetzliche Aufbewahrungspflicht trifft; sie sind für die Prüfung der Rechtmäßigkeit der Umsetzung der Änderung bzw. der Abweichung von der Änderung in ihrem Herrschaftsbereich vollumfänglich verantwortlich. Über den Widerspruch und die Abweichungen von der Änderung setzen sie den zuständigen Verantwortlichen unverzüglich in Kenntnis.

(2) Bestehen bezüglich des Inhalts der Antwort auf eine Betroffenenanfrage Meinungsverschiedenheiten, entscheidet der für die Betroffenenanfrage zuständige Verantwortliche über den Inhalt. Die Verpflichtung der übrigen Verantwortlichen zur rechtskonformen Beistellung aller für die Beantwortung benötigen Informationen bleibt unberührt.

IV. Zusammenarbeit mit den Aufsichtsbehörden

(1) Die Verantwortlichen werden sich gegenseitig unverzüglich über etwaige Anfragen und Beanstandungen einer Aufsichtsbehörde oder etwaige Meldepflichten gegenüber einer Aufsichtsbehörde, die die erfassten Datenverarbeitungen betreffen, informieren. (2) Die Verantwortlichen werden sich hinsichtlich der auf eine Anfrage oder Beanstandung folgenden Kommunikation mit der Aufsichtsbehörde abstimmen und sich gegenseitig die Gelegenheit geben, an der Kommunikation mit der Aufsichtsbehörde mitzuwirken, soweit die Aufsichtsbehörde dies zulässt. Die Zusammenarbeit mit der Aufsichtsbehörde soll in kooperativer und offener Art und Weise gemäß den zulässigen Anforderungen der Aufsichtsbehörde erfolgen.

V. Zusammenarbeit zur Erfüllung von lokalem Datenschutzrecht

Die in diesem § 3 getroffenen Regelungen zur Zusammenarbeit gelten entsprechend, sofern einen Verantwortlichen eine Pflicht aus dem für ihn geltenden lokalen Datenschutzrecht (z. B. BDSG) trifft und zur Erfüllung der Pflicht in Bezug auf die erfasste Datenverarbeitung eine Unterstützungsleistung der übrigen Verantwortlichen erforderlich ist. Gilt das lokale Datenschutzrecht nicht für den Verantwortlichen, der um Unterstützung ersucht wird, kann dieser vom anfragenden Verantwortlichen eine angemessene Vergütung für die erbrachten Unterstützungsleistungen verlangen.

 

§ 4 Interne und externe Kommunikation

(1) Soweit der Vertrag nicht ausdrücklich eine andere Form vorschreibt, können Mitteilungen, Informationen und Erklärungen zwischen den Verantwortlichen nach diesem Vertrag per E-Mail erfolgen. Mitteilungen an die Scalerion GmbH haben zudem zusätzlich stets über das Kontaktformular unter Verwendung des Auswahlfeldes „Datenschutz“ zu erfolgen.

(2) Die Verantwortlichen bevollmächtigen den für Datenschutzvorfälle bzw. Betroffenenanfragen zuständigen Verantwortlichen, die erforderlichen Mitteilungen und/oder Erklärungen (z. B. Benachrichtigung der betroffenen Personen über Datenschutzvorfälle) im Namen aller Verantwortlichen abzugeben, sofern die Verantwortlichen vorab Einigkeit über den Inhalt der Mitteilung und/oder Erklärung erzielt haben oder der zuständige Verantwortliche nach den Regelungen dieses Vertrags bei Meinungsverschiedenheiten entscheiden durfte.

 

§ 5 Weiterübermittlung

(1) Die Übermittlung von personenbezogenen Daten an andere Empfänger darf nur in Übereinstimmung mit den Anforderungen der DSGVO erfolgen. Bei der Übermittlung in Drittländer sind insbesondere die Bestimmungen der Artikel 44 – 49 DSGVO einzuhalten. Für die Beachtung der Anforderungen der DSGVO ist der übermittelnde Verantwortliche zuständig.

(2) Beabsichtigt ein Verantwortlicher, personenbezogene Daten aus erfassten Datenverarbeitungen an einen Dritten zu übermitteln, so wird er ­

  • wenn die Übermittlung notwendig ist, um einer gesetzlichen Verpflichtung, einem gerichtlichen Beschluss bzw. gerichtlichen Entscheidung oder einer behördlichen Anordnung in Übereinstimmung mit der DSGVO Folge zu leisten, die anderen für die erfasste Datenverarbeitung Verantwortlichen unverzüglich informieren, sofern die Information nicht verboten ist; ­
  • in anderen als den im vorherigen Spiegelstrich genannten Fällen einer Übermittlung an einen Dritten, vor der Übermittlung die Zustimmung der übrigen Verantwortlichen für die erfasste Datenverarbeitung einholen.

(3) Die Verantwortlichen können Auftragsverarbeiter beauftragen, sofern die Beauftragung durch eine Vereinbarung gemäß Art. 28 DSGVO erfolgt und im Einklang mit den Regelungen dieses Vertrags steht. Beauftragt ein Verantwortlicher einen Auftragsverarbeiter, geschieht dies im eigenen Namen und auf eigene Rechnung des beauftragenden Verantwortlichen. Der beauftragende Verantwortliche ist allein für die ordnungsgemäße Auswahl und Überwachung des Auftragsverarbeiters verantwortlich und haftet gegenüber den anderen Verantwortlichen für dessen Tätigkeit (§ 278 BGB).

 

§ 6 Haftung

(1) Die Verantwortlichen haften gegenüber betroffenen Personen nach den gesetzlichen Vorschriften.

(2) Die Verantwortlichen stellen einander im Innenverhältnis von allen Ansprüchen frei und kommen für Schäden und Kosten – auch der notwendigen Rechtsverteidigung – auf, welche aus der Verteidigung gegen derartige Ansprüche resultieren, soweit sie jeweils Anteil an der Verantwortung für die haftungsauslösende Ursache tragen. Haftungsauslösende Ursachen können insbesondere in der nicht oder nicht fristgemäßen Erfüllung der Pflichten nach diesem Vertrag (bspw. zur Erbringung von Unterstützungsleistungen) bzw. nach der DSGVO liegen.

(3) Die Freistellungsverpflichtung gilt auch im Hinblick auf eine gegen einen Verantwortlichen verhängte Geldbuße wegen eines Verstoßes gegen die DSGVO mit der Maßgabe, dass der mit der Geldbuße belegte Verantwortliche zunächst die Rechtsmittel gegen den Bußgeldbescheid ausgeschöpft haben muss. Bleibt der jeweilige Verantwortliche danach ganz oder teilweise mit einer Geldbuße belastet, die nicht seinem internen Anteil an der Verantwortung für den Verstoß entspricht, sind die übrigen Verantwortlichen verpflichtet, ihn von der Geldbuße in dem Umfang freizustellen, in dem die übrigen Verantwortlichen jeweils Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß tragen.

(4) Die Verantwortlichen werden sich gegenseitig umgehend schriftlich unterrichten, sofern gegen einen Verantwortlichen ein Schadensersatzanaspruch einer betroffenen Person geltend gemacht wird oder ein Bußgeldbescheid einer Aufsichtsbehörde ergeht. Die Verantwortlichen werden sich in erforderlichem und angemessenem Maße an der Rechtsverteidigung gegen etwaige Schadensersatzansprüche betroffener Personen oder Sanktionen der Aufsichtsbehörden beteiligen. Jeder Abschluss eines Vergleichs über einen geltend gemachten Anspruch bedarf der Zustimmung der anderen Verantwortlichen, es sei denn, der in Anspruch genommene Verantwortliche verzichtet gegenüber den übrigen Verantwortlichen rechtswirksam auf sämtliche Regressansprüche. Der Abschluss eines Vergleichs darf nicht unbillig verweigert werden.

 

§ 7 Vertragslaufzeit und Kündigung, Streitbeilegung

(1) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Teilnahmevertrages (wie in den Teilnahmebedingungen definiert).

(2) Entstehen zwischen den Verantwortlichen Meinungsverschiedenheiten über die datenschutzkonforme Ausgestaltung (einschließlich der Ausgestaltung der Verarbeitung im Herrschaftsbereich eines anderen Verantwortlichen) der erfassten Datenverarbeitung oder die Erfüllung der datenschutzrechtlichen Anforderungen im Zusammenhang mit der erfassten Datenverarbeitung, werden die Verantwortlichen in konstruktiver Weise zusammenarbeiten, um die Meinungsverschiedenheiten beizulegen. Können die Meinungsverschiedenheiten auch binnen einer Frist von 2 Monaten nach Beginn der Auseinandersetzung nicht beigelegt werden, steht jedem Verantwortlichen das Recht zur Kündigung dieses Vertrags und des zugrunde liegenden Teilnahmevertrages (wie in den Teilnahmebedingungen definiert) mit einer Frist von 7 Tagen zum Monatsende gegenüber den anderen Verantwortlichen zu.

(3) Verstößt ein Verantwortlicher wiederholt oder in erheblichem Maße gegen seine Verpflichtungen aus diesem Vertrag (insbesondere die Pflicht, Unterstützungsleistungen zu erbringen) oder in Bezug auf die erfassten Datenverarbeitungen gegen das für ihn geltende Datenschutzrecht, so können die anderen Verantwortlichen den Vertrag und des zugrunde liegenden Teilnahmevertrag (wie in den Teilnahmebedingungen definiert) gegenüber diesem Verantwortlichen mit einer Frist von 14 Tagen zum Monatsende kündigen. Der Kündigung hat in der Regel eine Abmahnung vorauszugehen.

(4) Jede Kündigung bedarf der Schriftform.

 

§ 8 Folgen bei Vertragsbeendigung

(1) Mit dem Ausscheiden aus diesem Vertrag wird jeder ausscheidende Verantwortliche unverzüglich die personenbezogenen Daten der erfassten Datenverarbeitungen den anderen Verantwortlichen in einem zu vereinbarenden lesbaren und verarbeitbaren Format zur Verfügung stellen, soweit die anderen Verantwortlichen jeweils zur weiteren Verarbeitung der personenbezogenen Daten berechtigt sind, etwa weil der Zweck, für den sie erhoben wurden, noch nicht entfallen ist oder gesetzliche Aufbewahrungspflichten eine weitere Speicherung erfordern.

(2) Der ausscheidende Verantwortliche hat die personenbezogenen Daten der erfassten Datenverarbeitungen nach der Herausgabe an die anderen Verantwortlichen nach Abs. 1 unverzüglich in datenschutzkonformer Weise zu löschen bzw. diese zu vernichten, sofern der ausscheidende Verantwortliche die personenbezogenen Daten nicht in Übereinstimmung mit der DSGVO weiter in alleiniger Verantwortung verarbeiten darf. Der ausscheidende Verantwortliche hat ein Protokoll über die Löschung bzw. Vernichtung der Daten zu erstellen und dies auf Verlangen den anderen Verantwortlichen vorzulegen. Setzt der ausscheidende Verantwortliche die Verarbeitung nach seinem Ausscheiden aus diesem Vertrag fort, ist er hierfür ausschließlich allein verantwortlich und haftbar.

(3) Die Scalerion GmbH ist berechtigt, dem ausscheidenden Verantwortlichen zum Zeitpunkt des Ausscheidens aus diesem Vertrag alle Zugriffsmöglichkeiten auf die Scalerion-Plattform für erfasste Datenverarbeitungen zu entziehen.

(4) Die Regelungen nach den § 3, Abs. II und Abs. IV, § 4, § 6, § 8, § 9 gelten nach dem Ausscheiden eines Verantwortlichen aus dem Vertragsverhältnis – unabhängig vom Grund der Beendigung des Vertrags – für eine Dauer von 6 Jahren ab dem Zeitpunkt, in dem mit dem ausgeschiedenen Verantwortlichen eine gemeinsame Verantwortung nicht mehr besteht, fort. Die Regelung nach § 4 gilt entsprechend der vorstehenden Regelung mit der Maßgabe fort, dass für den Austausch von Informationen zwischen den Verantwortlichen die Schriftform erforderlich ist.

 

§ 9 Sonstige Regelungen

(1) Die Verantwortlichen benennen über ihre Anmeldung auf der Scalerion-Plattform jeweils einen festen Ansprechpartner für sämtliche im Zusammenhang mit diesem Vertrag, der Zusammenarbeit oder der Datenverarbeitung aufkommende Fragen. Ein Wechsel in der Person des Datenschutzbeauftragten oder Ansprechpartners ist den jeweils anderen Verantwortlichen unverzüglich mitzuteilen.

(2) Die Verantwortlichen tragen die ihnen für den Abschluss des Vertrags und dessen Durchführung entstehenden Kosten und Auslagen selbst, sofern in diesem Vertrag nicht ausdrücklich etwas anderes geregelt ist.

(3) Dieser Vertrag und seine Auslegung unterliegen dem Recht der Bundesrepublik Deutschland.

(4) Jede Veränderung dieses Vertrags einschließlich seiner Kündigung und dieser Klausel bedarf der Schriftform, was auch in einem elektronischen Format erfolgen kann.

(5) Die Unwirksamkeit oder Undurchführbarkeit einer oder mehrerer Regelungen dieses Vertrags lässt die Wirksamkeit der übrigen Regelungen dieses Vertrags unberührt. Dasselbe gilt für den Fall, dass der Vertrag eine an sich notwendige Regelung nicht enthält. An die Stelle der unwirksamen oder undurchführbaren Regelung oder zur Ausfüllung der Regelungslücke tritt die gesetzlich zulässige und durchführbare Regelung, die dem Sinn und Zweck der unwirksamen, undurchführbaren oder fehlenden Regelung nach der Vorstellung der Parteien wirtschaftlich am nächsten kommt.


 

DATA PROCESSING

Agreement on the processing of personal data

Agreement on the processing of personal data under joint responsibility pursuant to Art. 26 of the General Data Protection Regulation (GDPR)

Pursuant to Section 3.3 of the Terms of Participation, upon conclusion of the Participation Agreement (as defined in the Terms of Participation), this Joint Responsibility Agreement pursuant to Art. 26 GDPR (hereinafter the "Agreement") shall be concluded between the Supplier or Dealer (as defined in each case in the Terms of Participation) and Scalerion GmbH (as defined in the Terms of Participation).

The contracting parties are hereinafter jointly referred to as the "Responsible Party" or individually as the "Responsible Party". Scalerion GmbH is also referred to as "we" or "us".

 

§ 1 Subject of the contract

(1) This Agreement applies solely to the Data Processing Activities described in more detail in this paragraph ("Covered Data Processing Activities"):

(a) If an order is initiated by a customer via the Scalerion platform (as defined in the Terms of Participation), the following data will be collected and processed:

  • Personal details (surname, first name, gender, date of birth)
  • Contact details (street, postal code, city, e-mail, telephone if necessary)
  • Name and address of the store
  • Information about the ordered product (esp. product name, price)
  • Date of the order
  • Involved dealers and suppliers
  • Shipping information
  • Payment processing data (esp. means of payment used).

This data is processed in order to be able to carry out the customer's order. Furthermore, the data is required in order to be able to fulfill the participation agreement concluded between us and the merchants or suppliers (as defined in the participation conditions) as well as the agreements between the merchants and suppliers regarding the distribution of goods via our trading platform (as defined in the brokerage conditions).

(b) We are jointly responsible with the respective merchant - in relation to the personal data contained - for the collection of this data when placing or reversing an order via our trading platform with the involvement of a merchant.

(c) For the processing of this data in direct connection with the execution of the order via our trading platform, we are jointly responsible with the respective supplier who carries out the order - with regard to the personal data contained.

(2) Furthermore, we are solely responsible for the processing of the personal data of the customers to the extent described in section 3. of our data protection notice for customers. In all other respects, the dealers or suppliers are solely responsible for the processing of personal data carried out by them. In particular, we are not responsible for the processing of personal data that takes place outside the Scalerion Platform or through use of the Scalerion Platform by the merchants or suppliers that is not in accordance with the intended purpose.

(3) This Agreement does not create a relationship under corporate law (esp. GbR, OHG) between the Responsible Parties.

 

§ 2 Duties of the responsible persons

I. General obligations of each responsible person

The Controllers are jointly responsible for ensuring that recorded data processing is processed in accordance with the provisions of this Agreement and in compliance with the GDPR. The respective Controllers who are subject to the local laws are solely responsible for compliance with local data protection laws (e.g. the BDSG) and all other local laws.

II. Specific obligations of each responsible person

Each Controller shall ensure that the following obligations under the GDPR are complied with in its area of control for the data processing operations covered:
  • All persons involved in data processing will maintain data confidentiality in accordance with Articles 28 (3), 29 and 32 of the GDPR for the duration of their employment as well as after termination of employment and will be appropriately bound to data secrecy prior to commencing their activities as well as instructed in the data protection provisions relevant to them;
    The data controllers shall take the technical and organizational measures necessary for the data protection-compliant design of the joint processing;
  • The Controllers shall independently ensure that they are able to comply with all statutory retention obligations existing in relation to the data. For this purpose, they shall (without prejudice to corresponding provisions in this Agreement) take appropriate data protection precautions and, if necessary, additional agreements;
  • The implementation, presetting and operation of the data processing systems for Covered Data Processing shall be carried out in compliance with the requirements of the GDPR, in particular in compliance with the principles of data protection by design and data protection-friendly default settings, and using appropriate state-of-the-art technical and organizational measures;
  • If the Controllers are required to maintain a processing directory, they shall include the recorded data processing operations in the processing directory pursuant to Article 30 (1) of the GDPR, also and in particular with a note on the nature of the processing procedure under joint responsibility;
  • The controllers are obliged, if the legal requirements are met, to appoint a data protection officer and to designate the data protection officer to the other controller. III. division of the obligations under the GDPR between the controllers For the data processing operations covered, the controllers have agreed on the following division of responsibilities for the performance of the obligations under the GDPR referred to therein (a controller who is responsible for an obligation under the GDPR under the GDPR is hereinafter referred to as the "responsible controller"):

     

     

    Responsibility

     

    Obligation to ensure a lawful basis for processing

    All those responsible collectively.

    Obligation to provide information to data subjects (in particular Art. 12 - 14 GDPR).

    Obligation to process and respond to requests by data subjects (in particular Art. 15 - 23 GDPR)

    Contact point for data subjects to process requests by data subjects (in particular, Art. 15 - 23 GDPR)

    Obligation to make the essential content of the contract available to data subjects (Art. 26(2) GDPR)

    Obligation to notify personal data breaches to the supervisory authority and/or the data subject (Art. 33, 34 GDPR)

    Obligation to carry out a data protection impact assessment (in particular Art. 35, 36 GDPR)

    Scalerion GmbH, provided that the data processing is carried out exclusively by using the functionalities of the Scalerion platform as intended.

    Dealer or Supplier, as the case may be, if the data processing takes place outside the Scalerion Platform or by not using the Scalerion Platform as intended.

     

    The respective responsible officer ensures and vouches for the fact that the obligations assigned to him are fulfilled in accordance with the GDPR.

 

§ 3 Mutual cooperation

I. General regulations for cooperation

(1) The Controllers shall assist each other, to the extent necessary and reasonable, in fulfilling their obligations under this Agreement as well as the obligations set forth in the GDPR for the Data Processing Activities covered, in particular by providing information, making statements and/or executing documents ("Support Services"). Support Services shall be provided in particular,

  • to the extent that the support services are needed by the responsible controller to fulfill its obligations described in § 2 (III);or
  • are needed for the performance of an obligation under data protection law, in particular under Articles 32 to 36 GDPR (ensuring security of processing; notification of personal data breaches to supervisory authorities; notification of the data subject of a personal data breach; data protection impact assessment; prior consultation); or
  • are needed in the context of an investigation by a supervisory authority and/or internal audit relating to the GDPR; or are needed to comply with an instruction, order and/or decision of a supervisory authority or court relating to the GDPR; or
  • are otherwise needed to comply with the requirements of the GDPR,

and in any case without undue delay, subject to the time limits imposed by the GDPR, by a supervisory authority or court or by a data subject.

(2) The Controllers shall inform each other immediately and in full if errors or irregularities in data processing or violations of provisions of this Agreement or applicable data protection law (in particular the GDPR) are identified in connection with the recorded data processing.

II. Cooperation on data protection incidents

(1) In the event of a personal data breach within the meaning of Article 4 No. 12 of the GDPR or suspicion of such a breach with regard to the data processing operations covered ("Data Protection Incident"), the Controllers shall cooperate as follows:

  • If a data controller becomes aware of a data protection incident, it shall immediately notify all other data controllers affected by the data protection incident.
  • The data controllers affected by the data protection incident shall immediately agree on whether a data protection incident has actually occurred, what risk has been created by the data protection incident and what further measures are to be taken. In particular, it shall be agreed (1) whether the data protection incident poses a risk to the rights and freedoms of the data subjects which obligates the data subject to report the incident, (2) what measures are to be taken to protect the personal data, and (3) whether the data subjects are also to be informed about the data protection incident.
  • The controller responsible for a notification to the supervisory authority or a notification to the data subjects (Art. 33, 34 GDPR) is responsible for complying with all deadlines under the GDPR and the local data protection law applicable to it in the event of a data protection incident.

(2) If there are differences of opinion between the persons responsible in the case of a vote in accordance with § 3 (II) (1), second indent, the person responsible for the report or notification shall decide on the report or notification and its respective content.

III. Cooperation in the case of inquiries from affected parties

(1) When processing and responding to requests from data subjects, in particular in connection with the exercise of data subject rights under Chapter III of the GDPR ("Data Subject Requests"), the Controllers shall cooperate as follows:

  • If a data subject inquiry is received by a data controller, the data controller shall immediately inform the data controller responsible for data subject inquiries and forward the data subject inquiry to the data controller.
  • The responsible controller shall review the data subject inquiry and take over its processing and timely response; at the same time, he/she shall be responsible for obtaining any necessary extensions of the deadline in a timely manner.
  • At the request of the responsible controller, the other controllers shall immediately provide all information necessary to answer the data subject inquiry in compliance with the law (in particular, preparation of the data stored in their area of control to fulfill the data subject inquiry) or provide the necessary support services to enable the responsible controller to fulfill the data subject inquiry. If a support service cannot be provided within a period of 7 days after the request by the responsible controller, this circumstance shall be pointed out immediately, stating the necessary processing time after receipt of the request for support service.
  • If a change in the type and scope of processing is required as a result of the data subject request (in particular, its correction, deletion, restriction or discontinuation of processing), the responsible controller shall immediately change the processing or the data set concerned and inform the other controllers of the necessary changes. The controller responsible for the data subject requests shall be responsible for verifying the lawfulness of the change in processing.
  • After being informed of the changes to the processing, the other controllers shall immediately take the necessary actions to implement the changes initiated by the responsible controller also in their area of control (e.g. correction or deletion of the data set). They may object to the change to the processing in their area of control in accordance with the GDPR, for example, if they are subject to a legal obligation to retain data; they are fully responsible for checking the lawfulness of the implementation of the change or the deviation from the change in their area of control. They shall inform the responsible controller of the objection and the deviations from the change without delay.

(2) If there are differences of opinion regarding the content of the response to a data subject inquiry, the controller responsible for the data subject inquiry shall decide on the content. The obligation of the other persons responsible to provide all information required for the response in accordance with the law remains unaffected.

IV. Cooperation with the supervisory authorities

(1) The Controllers shall inform each other without undue delay of any inquiries and objections by a supervisory authority or any notification obligations to a supervisory authority concerning the recorded data processing. (2) The Controllers shall coordinate with regard to the communication with the supervisory authority following an inquiry or complaint and shall give each other the opportunity to participate in the communication with the supervisory authority to the extent permitted by the supervisory authority. Cooperation with the supervisory authority shall take place in a cooperative and open manner in accordance with the permissible requirements of the supervisory authority.

V. Collaboration to comply with local data protection law

The provisions on cooperation set forth in this Section 3 shall apply mutatis mutandis if a Controller is subject to an obligation under the local data protection law applicable to it (e.g. BDSG) and a support service from the other Controllers is required to fulfill the obligation with respect to the data processing covered. If the local data protection law does not apply to the controller who is requested to provide support, the controller may demand reasonable compensation from the requesting controller for the support services provided.

 

§ 4 Internal and external communication

(1) Unless the contract expressly prescribes another form, notifications, information and declarations between the Responsible Parties under this contract may be made by e-mail. In addition, notifications to Scalerion GmbH shall always be made via the contact form using the selection field "Data protection".

(2) The Controllers authorize the Controller responsible for data protection incidents or data subject inquiries to issue the required notifications and/or declarations (e.g. notification of data subjects about data protection incidents) on behalf of all Controllers, provided that the Controllers have reached prior agreement on the content of the notification and/or declaration or the Controller responsible was allowed to decide in case of disagreement according to the provisions of this Agreement.

 

§ 5 Forwarding

(1) The transfer of personal data to other recipients may only take place in accordance with the requirements of the GDPR. In the case of transfers to third countries, the provisions of Articles 44 - 49 DSGVO must be complied with in particular. The transferring controller is responsible for compliance with the requirements of the GDPR.

(2)
If a controller intends to transfer personal data from recorded data processing operations to a third party, it shall

  • if the transfer is necessary to comply with a legal obligation, a judicial decision or ruling or an administrative order in accordance with the GDPR, inform the other data controllers without undue delay, unless the information is prohibited;
  • in cases of transfer to a third party other than those referred to in the previous indent, obtain the consent of the other data controllers for the data processing covered prior to the transfer.

(3) Controllers may commission processors, provided that the commissioning is carried out by means of an agreement pursuant to Art. 28 GDPR and is in accordance with the provisions of this contract. If a controller commissions a processor, this shall be done in its own name and on its own account of the commissioning controller. The commissioning controller is solely responsible for the proper selection and monitoring of the processor and is liable to the other controllers for its activities (Section 278 of the German Civil Code).

 

§ 6 Liability

(1) The responsible parties shall be liable to data subjects in accordance with the statutory provisions.

(2) The responsible parties shall indemnify each other internally against all claims and shall bear the damages and costs - including the necessary legal defense - resulting from the defense against such claims, insofar as they each bear a share of the responsibility for the cause triggering liability. Causes triggering liability may in particular be the non-fulfillment or late fulfillment of obligations under this Agreement (e.g. to provide support services) or under the GDPR.

(3) The indemnification obligation shall also apply with regard to a fine imposed on a Controller due to a breach of the GDPR, with the proviso that the Controller subject to the fine must first have exhausted the legal remedies against the fine notice. If the respective responsible party thereafter remains wholly or partially subject to a fine that does not correspond to its internal share of responsibility for the infringement, the other responsible parties shall be obliged to indemnify it against the fine to the extent that the other responsible parties each bear a share of responsibility for the infringement sanctioned by the fine.

(4) The persons responsible shall inform each other immediately in writing if a claim for damages is asserted against a person responsible by a data subject or if an administrative fine is imposed by a supervisory authority. The controllers shall participate to the necessary and appropriate extent in the legal defense against any claims for damages by data subjects or sanctions by the supervisory authorities. Any settlement of an asserted claim shall require the consent of the other controllers, unless the controller against whom a claim has been asserted legally waives all rights of recourse against the other controllers. The conclusion of a settlement may not be unreasonably refused.

 

§ 7 Contract term and termination, dispute resolution

(1) The term of this Agreement shall be governed by the term of the Participation Agreement (as defined in the Terms and Conditions).

(2) If disagreements arise between the Controllers regarding the data protection-compliant design (including the design of the processing in the domain of another Controller) of the Covered Data Processing or the fulfillment of the data protection requirements in connection with the Covered Data Processing, the Controllers shall cooperate in a constructive manner to resolve the disagreements. If the disagreements cannot be resolved even within a period of 2 months after the start of the dispute, each Controller shall have the right to terminate this Agreement and the underlying Participation Agreement (as defined in the Terms and Conditions) by giving 7 days' notice to the other Controllers to the end of the month.

(3) If a Controller repeatedly or materially breaches its obligations under this Agreement (in particular the obligation to provide support services) or, with respect to the data processing activities collected, breaches the data protection law applicable to it, the other Controllers may terminate the Agreement and the underlying Participation Agreement (as defined in the Terms and Conditions of Participation) vis-à-vis such Controller with 14 days' notice to the end of the month. As a rule, the termination must be preceded by a warning.

(4) Any termination must be in writing.

 

§ 8 Consequences in the event of termination of the contract

(1) Upon leaving this Agreement, each departing Controller shall immediately provide the personal data of the collected data processing operations to the other Controllers in a readable and processable format to be agreed upon, insofar as the other Controllers are each entitled to further processing of the personal data, for example because the purpose for which they were collected has not yet ceased to exist or statutory retention obligations require further storage.

(2) The departing Controller shall immediately delete the personal data of the recorded data processing operations in a data protection-compliant manner after handing them over to the other Controllers pursuant to Paragraph 1 or destroy them, unless the departing Controller may continue to process the personal data under its sole responsibility in accordance with the GDPR. The departing controller shall draw up a log of the deletion or destruction of the data and present this to the other controllers upon request. If the departing Controller continues the processing after its withdrawal from this Agreement, it shall be solely responsible and liable for this.

(3) Scalerion GmbH is entitled to withdraw all access to the Scalerion platform for recorded data processing from the departing Controller at the time of its departure from this Agreement.

(4) The provisions under § 3, para II and para IV, § 4, § 6, § 8, § 9 shall continue to apply after a Responsible Party leaves the contractual relationship - irrespective of the reason for the termination of the contract - for a period of 6 years from the point in time when a joint responsibility no longer exists with the exiting Responsible Party. The provision pursuant to § 4 shall continue to apply in accordance with the above provision with the proviso that the exchange of information between the persons responsible must be in writing.

 

§ 9 Other regulations

(1) The Responsible Parties shall each designate a fixed contact person via their registration on the Scalerion platform for all questions arising in connection with this Agreement, the cooperation or the data processing. A change in the person of the data protection officer or contact person shall be notified to the respective other Controllers without undue delay.

(2)
The Data Controllers shall bear the costs and expenses incurred by them for the conclusion of the Agreement and its implementation themselves, unless otherwise expressly stipulated in this Agreement.

(3)
This Agreement and its interpretation shall be governed by the laws of the Federal Republic of Germany.

(4)
Any amendment to this Agreement including its termination and this clause shall be in writing, which may also be in an electronic format.

(5)
The invalidity or unenforceability of one or more provisions of this Agreement shall not affect the validity of the remaining provisions of this Agreement. The same shall apply in the event that the contract does not contain a provision that is necessary in itself. The invalid or unenforceable provision or the gap in the provision shall be replaced by a legally permissible and enforceable provision which, in the opinion of the parties, comes as close as possible to the economic purpose of the invalid, unenforceable or missing provision.


Scalerion_Logo_Low

Technologiepark 18 // 33100 Paderborn // Germany