Auftragsverarbeitungsvertrag (AVV): 
100% DSGVO-Rechtssicherheit auch bei personenbezogenen Daten 

Für den Fall, dass Sie mit VOXR keine strukturierten persönlichen Daten speichern (normale Voting/Brainstorm/Q&A Anwendung) benötigen Sie - aufgrund der Nicht-Speicherung von IP-Adressen - diesen Vertrag nicht. Denn es werden von VOXR selbst KEINE persönlichen Daten erhoben. 

Sollten Sie aber dennoch auch persönliche Daten eingeben lassen wollen oder über den Event-Guide veröffentlichen, so schützt Sie dieser sog. Auftragsverarbeitungsvertrag (AVV), welchen die DSGVO für diese Fälle erfordert. Beim Angebot und beim Bestellvorgang ist dieser Vertrag Teil des Vorgangs. Sie stimmen per Checkbox zu und erhalten den AVV automatisch für die Dokumentation (pdf).

Hier zur leichteren Prüfung eine Kopie des Textes zu Überprüfung/Weitergabe z.B. an Datenschutzbeauftragte u.ä.:

Auftragsverarbeitungsvertrag zwischen VOXR und VOXR Nutzer (siehe Nutzungsvertrag)

1. Grundsätzliches

(1) Dieser Auftragsverarbeitungsvertrag (AVV) bestimmt die Rechten und Pflichten für den Fall der Verarbeitung persönlicher Daten Dritter. Er gilt vom Moment des Abschlusses des Nutzungsvertrags bis zum Ende der "Live-Periode" des VOXRs, d.h. spätestens 10 Tage nach dem Event oder bis zum Ende des Nutzungsvertrags, je nachdem welcher Zeitraum kürzer ist. Bei Verlängerung des Nutzungsvertrags verlängert sich dieser AVV ebenfalls.

(2) Die Parteien sind die Parteien des Nutzungsvertrags.

2. Rollen

(1) Für diesen Vertrag übernimmt VOXR die Rolle des Verarbeiters, der VOXR Nutzer die Rolle des Datenverantwortlichen, so wie in der DSGVO bestimmt.

3. Gegenstand und Dauer des Vertrages

(1) Die Parteien schließen diesen Vertrag zum Zwecke der Durchführung von Informationsübermittlungen und Interaktionen zwischen VOXR Kunde und einem Publikum einer Veranstaltung, eines Webinars, einer Umfrage oder ähnlicher Konstellationen.

(2) Es besteht Einvernehmen darüber, dass der Auftrag zur Personenbezogenen Datenverarbeitung auf maximal drei Szenarien beschränkt ist:

  • Die Speicherung und Veröffentlichung von Veranstaltungsbeteiligten im VOXR Event-Guide.
  • Die Erhebung und Speicherung von Email-Adressen von Teilnehmern der Veranstaltung ausschließlich über die spezifische VOXR Funktion des E-Mail Collectors (auch "Lead-Generator" genannt) während Live-Events zum Zwecke der Informationszusendung.
  • Die Erhebung und ggf. Veröffentlichung von Personendaten zum Zwecke der Zuordnung von Kommunikation während Live-Events, insbesondere zum Zwecke des Richtens einer Frage an best. Personen oder Daten von Fragenden zum Zwecke einer späteren Beantwortung einer Frage.

(3) Es besteht Einvernehmen darüber, dass es technisch möglich ist, dass außerhalb der genannten Personenkreise grundsätzlich alle Personen betroffen sein könnten, deren persönliche Daten über das Tool eingegeben werden und dass VOXR weder in der Lage ist, noch die Verantwortung dafür übernimmt, dies zu kontrollieren oder zu verhindern, sondern dies in der Verantwortung des Verantwortlichen liegt.

(4) Der Verarbeiter stellt folgende Verarbeitungen durch einen Algorithmus bereit:

  • Aufnahme und Speicherung von durch vom Verantwortlichem oder seinem Publikum eingegebenen Informationen,
  • Ausgabe dieser Informationen über vom Verantwortlichen bestimmte Webseiten,
  • Automatisches Sortieren, Einschränken, Zuordnen, Zählen der Daten,
  • Händisches Editieren, Neu-Zuordnen, hervorheben, kopieren und bei Bedarf Veröffentlichen der Daten,
  • Endgültiges Löschen von Daten
4. Art der Daten / Betroffene

(1) Die von der Datenverarbeitung betroffenen Personen sind für die hier vereinbarten Szenarien: 

  • Speicherung und Veröffentlichung von Veranstaltungsbeteiligten im VOXR Event-Guide: Veranstaltungsbeteiligte, d.h. z.B. Speaker, Moderatoren, Teilnehmer, Helfer.
  • Erhebung und Speicherung von Email-Adressen von Teilnehmern: Teilnehmer der Veranstaltung, somit z.B. Kunden, Interessenten, Partner, Gesellschafter, Aktionäre, Mitarbeiter sowie andere zahlende oder nicht zahlende Rezipienten und Akteure der Veranstaltung(en) 
  • Die Erhebung und ggf. Veröffentlichung von Personendaten zum Zwecke der Zuordnung von Kommunikation während Live-Events, insbesondere zum Zwecke des Richtens einer Frage an best. Personen oder Daten von Fragenden zum Zwecke einer späteren Beantwortung einer Frage: Fragende und Befragte der Veranstaltung(en).

(2) Die erhobenen Datenarten der hier vereinbarten drei Szenarien sind: 

  • Speicherung und Veröffentlichung von Veranstaltungsbeteiligten im VOXR Event-Guide: Stammdaten wie Nach- und/oder Vorname(n), Funktion, Firma, Rolle bei Veranstaltung(en), ggf. Fa. und/oder geschäftliche wie private Telefonnummer(n), E-Mail und/oder Social-Media Kontakte, jeweils jedoch nur im Rahmen des einzeln oder in Summe gesetzlich zulässigen.
  • Erhebung und Speicherung von E-Mail Adressen von Teilnehmern: Nur die E-Mail Adresse.
  • Die Erhebung und ggf. Veröffentlichung von Personendaten zum Zwecke der Zuordnung von Kommunikation während Live-Events, insbesondere zum Zwecke des Richtens einer Frage an best. Personen oder Daten von Fragenden zum Zwecke einer späteren Beantwortung einer Frage: Anrede, Vor- und/oder Nachname(n), ggf. Email-Adresse(n)
5. Umfang / Weisungsbefugnis

(1) Der Vertrag steht auf der Grundlage des abgeschlossenen, zeitlich begrenzten Nutzungsvertrages und kommt nur mit ihm zustande.

(2) Alle Weisungen zur Verarbeitung von Daten von Betroffenen werden durch den Verantwortlichen mittels des VOXR Tools ausgeführt. Dies betrifft insbesondere, aber keineswegs nur das Anlegen, Ändern, Löschen, Strukturieren und de-strukturieren von Daten.

(3) Zählungen und Strukturierungen von Daten erfolgen automatisch durch einen Algorithmus.

(4) Strukturierungen können mittels des VOXR Tools vom Verantwortlichen angelegt, geändert oder gelöscht werden.

(5) VOXR wirkt auf die Datenverarbeitung nicht durch Menschenhand ein und kann dazu auch nicht angewiesen werden. Eine Ausnahme bilden Maßnahmen zur Datenwiederherstellung nach versehentlicher Löschung, sollte dies vom Verantwortlichen gewünscht sein.

6. Pflichten des Verantwortlichen

(1) Der Verantwortliche hat dafür Sorge zu tragen, dass – sofern persönliche Daten eingegeben werden - hierbei sämtliche gesetzlichen und weitere Bestimmungen eingehalten werden, d.h. nicht nur die der DSGVO, sondern auch alle weiteren Bestimmungen, die in Betracht kommen, insbesondere, aber nicht nur das Persönlichkeitsrecht und das Wettbewerbsrecht.

(2) Der Verantwortliche verpflichtet sich zur Löschung persönlicher Daten, die von ihm oder anderen in den VOXR eingegeben wurden, d.h. erhoben und gespeichert spätestens 10 Tage nach Ihrer Erhebung oder vor Ablauf des Nutzungsvertrags, je nachdem welche Haltedauer kürzer ist. Das DSGVO Minimal-Prinzip sowie das Löschrecht für Betroffene nach DSGVO bleiben davon unberührt und ist vom Verantwortlichen ggf. auch vor Ablauf der 10 Tage umzusetzen.

(3) Für gesetzliche Verstöße, die durch  nicht zeitgerechte oder gar nicht durchgeführte Löschung entstehen, übernimmt VOXR keinerlei Verantwortung, ebenso wenig wie für andere nicht gesetzeskonforme Operationen mit persönlichen Daten, strukturiert oder unstrukturiert.

(4) VOXR hat das Recht (aber nicht die Pflicht) persönliche Daten am 11. Tag nach Ende des Events oder nach Ablauf der Nutzungsdauer, je nachdem welches Datum früher liegt, automatisch oder manuell zu löschen.

7. Pflichten des Verarbeitenden (inkl. TOM)

(1) VOXR stellt sicher, dass der VOXR Algorithmus, die vom Verarbeiter angestoßene Datenverarbeitung unverzüglich und nur nach den Regeln des Algorithmus durchführt.

(2) VOXR sorgt dafür, dass Löschungen in der Datenbank endgültig sind.

(3) VOXR hält zur Datensicherung Backups für maximal 31 Tage vor und stellt sicher, dass auch diese Sicherungen nach Ablauf von spätestens 31 Tagen gelöscht werden.

(4) VOXR setzt als Unterverarbeiter ein:

a) die Fa. Hetzner GmbH, Gunzenhausen als Rechenzentrum ein, in dem VOXR singuläre, einzeln stehende Dedicated Server zum Betrieb von VOXR betreibt, sowie

b) Dominic Pratt als externer Server-Admin.

Mit Unterverarbeitern bestehen AVV, einschließlich TOM nach DSGVO, welche kombiniert dafür sorgen, das alle in diesem AVV, einschließlich TOM, genannten Pflichten gegenüber dem Verantwortlichen erbracht werden können.

Unterverarbeiter sind von VOXR insgesamt auf mindestens gleichwertige Datenschutz- und Vertraulichkeitspflichten verpflichtet, wie VOXR gegenüber dem Verantwortlichen. 

Weitere Unterverarbeiter gibt es zum Zeitpunkt des Vertragsschlusses nicht.

(5) Der Einsatz weiterer Unterverarbeiter ist nur möglich,

a) sofern  VOXR den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informiert, und zwar derart, dass der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben und

b)  die erforderlichen Vereinbarungen im Sinne des Art 28 Abs. 4 DSGVO geschlossen werden.

(6) Den mit  VOXR-Teilnehmer-Daten und damit u.U. mit persönlichen Daten Befassten sind die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt. Sie beachten die Grundsätze ordnungsgemäßer Datenverarbeitung und werden darin zu Beginn einer Tätigkeit bei VOXR und angemessen regelmäßig geschult.

(7) Im Zusammenhang mit der beauftragten Verarbeitung unterstützt der Verarbeiter den Verantwortlichen erforderlich bei der Erfüllung seiner datenschutzrechtlichen Pflichten Unterstützung des Verantwortlichen bei der Einhaltung dessen Pflichten aus Art. 32 bis 36 DSGVO.

(8) VOXR stellt dem Verantwortlichen auf Antrag, alle erforderlichen Informationen zum Nachweis der Einhaltung der in Artikel 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, und trägt zu diesen Überprüfungen bei.

(9) Soweit gesetzlich verpflichtet, bestellt der Verarbeiter eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz ohne Interessenkonflikt.

(10) Die Auftragsverarbeitung erfolgt ausschließlich innerhalb der EU oder des EWR. 

(11) VOXR Server zur Datenverarbeitung werden ausschließlich in Hochsicherheitsrechenzentren gehostet, mit denen der Verarbeiter einen Vertrag über durchzuführende technische und organisatorische Maßnahmen zur Schaffung der nötigen Daten- und Informationssicherheit sowie des Datenschutzes hat.

(12) Die Übersicht der organisatorischen und technischen Maßnahmen (TOM) in VOXR Rechenzentren und Unternehmung kann hier im PDF-Format heruntergeladen werden.

8. Salvatorische Klausel

(1) Sollten einzelne Teile dieses Auftragsverarbeitungsvertrages unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

>