Joint Controller Vereinbarung

Vereinbarung nach Art. 26 DSGVO zur gemeinsamen Verantwortlichkeit („Joint Controller Vereinbarung“)

zwischen

Social Care Network BV, NLvoorelkaar

Reduitlaan 33, 4814 DC Breda, Niederlande

– im Folgenden auch „SCN“ oder „Verantwortlicher A“ genannt –

und

BLSV, ehrensache!

– im Folgenden auch „Verantwortlicher B“ genannt –

1.           Regelungsgegenstand

1. Die Parteien haben einen Hauptvertrag geschlossen, auf dessen Grundlage SCN dem Verantwortlichen B die Nutzung einer bzw. Mitwirkung an einer Plattformlösung von SCN ermöglicht. Nähere Einzelheiten hierzu ergeben sich aus dem Hauptvertrag. Ein wesentliches Strukturelement der Plattformlösung von SCN besteht darin, dass SCN eine zentrale, nationale Website für die Plattformlösung betreibt und Kunden („Partner“), hier dem Verantwortlichen B, die für den Betrieb einer Plattform erforderliche Software im Sinne einer White-Label-Lösung zum Betrieb einer lokalen Website als SaaS-Konzept lizenziert.

Die Besonderheit der Plattformlösung im Gesamtbild besteht darin, dass die zentrale, nationale Website und die lokalen Websites der Partner in der Weise zusammenwirken, dass der technische Betrieb der zentralen, nationalen Website sowie der lokalen Websites der Partner insgesamt durch SCN erfolgt, während der operative Betrieb bzw. das Diensteangebot im Außenverhältnis in Bezug auf die zentrale, nationale Website durch SCN, in Bezug auf die jeweiligen lokalen Websites der Partner durch den jeweiligen Partner erfolgt. Das verbindende Element der zentralen, nationalen Website und der lokalen Websites der Partner besteht darin, dass die Profildaten und sonstige Inhaltsdaten der Nutzer der lokalen Websites, welche über die lokalen Websites veröffentlicht werden sollen, zusätzlich an die zentrale, nationale Website übermittelt werden, um auch dort in gleicher Weise veröffentlicht zu werden. Auf diese Weise soll die Reichweite der Informationen im Interesse der Beteiligten erhöht werden. Zudem werden auch im Falle von Änderungen von Profil- bzw. Inhaltsdaten der Nutzer die Datenbestände zwischen zentraler, nationaler Website und der jeweiligen lokalen Website des jeweiligen Partners synchronisiert, um einen aktuellen Datenbestand im Gesamtbild sicherzustellen. Welche Personen betroffen sind und um welche personenbezogenen Daten es sich handelt, ist in Anlage 1 / die Datenschutzerklärung festgelegt.

1. Mit der vorliegenden Vereinbarung, welche einen Bestandteil des Hauptvertrages bildet, legen die Parteien für diejenigen Datenverarbeitungen, für die sie gemäß Art. 26 DSGVO gemeinsam Verantwortliche sind, in Form der hiesigen Vereinbarung gemäß Art. 26 Abs. 1 Satz 2 DSGVO fest, wer von ihnen welche Verpflichtung gemäß der DSGVO erfüllt, insbesondere was die Wahrnehmung der Rechte der betroffenen Personen angeht, und wer welchen Informationspflichten gemäß den Art. 13 und 14 DSGVO nachkommt. Ergänzend dazu werden wechselseitig Rechte und Pflichten geregelt.
2. Diese Vereinbarung begründet selbst keine gemeinsame Verantwortlichkeit i.S.v. Art. 26 DSGVO zwischen den Parteien, sondern setzt diese aufgrund anderweitiger Vereinbarungen oder Konstellationen zwischen den Parteien als gegeben voraus.
3. Die datenschutzrechtliche Zulässigkeit der dieser Vereinbarung unterfallenden Verarbeitungstätigkeiten, insbesondere einer zwischen den Parteien erfolgenden Übermittlung von personenbezogenen Daten, wird vorausgesetzt. Insofern gewährleistet jede Partei die Einhaltung der gesetzlichen Bestimmungen, insbesondere die Rechtmäßigkeit der durch sie auch im Rahmen der gemeinsamen Verantwortlichkeit durchgeführten Datenverarbeitungen.
4. Soweit zur datenschutzrechtlichen Zulässigkeit erforderlich, können die Parteien anderweitig Absprachen und Regelungen treffen, die neben der hiesigen Vereinbarung stehen. In diesem Fall entfaltet die hiesige Vereinbarung Vorrang, soweit es um die Erfüllung der sich aus Art. 26 DSGVO ergebenden Pflichten geht.
5. Die hiesige Vereinbarung regelt ausschließlich das Verhältnis der Parteien untereinander als gemeinsam Verantwortliche im Sinne der DSGVO. Über die Rechtsfolgen des Art. 26 DSGVO hinausgehende Verpflichtungen der Parteien gegenüber Dritten (insbesondere gegenüber den betroffenen Personen) werden durch diese Vereinbarung nicht begründet. Diese Vereinbarung ist von den Parteien weder als echter noch als unechter Vertrag zugunsten Dritter oder als Vertrag mit Schutzwirkung für Dritte gewollt und kann nicht als solcher ausgelegt werden.
6. Diese Vereinbarung begründet im Hinblick auf die Datenverarbeitung, bezüglich derer die Parteien gemeinsame Verantwortliche sind, keine gesellschaftsrechtliche Verbundenheit zwischen den Parteien, insbesondere nicht in der Form einer Gesellschaft bürgerlichen Rechts.

2.           Festlegung der Zuständigkeiten/Verteilung der Verpflichtungen nach DSGVO

1. Die (i) unter diese Vereinbarung fallenden Verarbeitungstätigkeiten, bei denen die Parteien gemeinsam Verantwortliche sind, und (ii) die jeweilige Festlegung, wer von den Parteien dabei jeweils welche Verpflichtung gemäß der DSGVO erfüllt, ergeben sich aus Anlage 2 zu dieser Vereinbarung.
2. Für nicht in Anlage 2 genannte Datenverarbeitungen ist jede Partei der hiesigen Vereinbarung eigenständiger Verantwortlicher iSd Art. 4 Nr. 7 DSGVO.
3. Soweit sich Änderungen der in der Anlage 2 beschriebenen Datenverarbeitungen ergeben, haben die Parteien die Anlage 2 unverzüglich anzupassen und die geänderte Anlage als neue und die alte Anlage ersetzende Anlage zum hiesigen Vertrag zu nehmen. Aus Nachweisgründen sind die alten Anlagen mit einem entsprechenden klaren Änderungsvermerk zu kennzeichnen und zusammen mit dieser Vereinbarung aufzubewahren.
4. Ungeachtet der Regelungen dieser Vereinbarung kann eine betroffene Person gemäß Art. 26 Abs. 3 DSGVO ihre gegebenenfalls nach der DSGVO zustehenden Rechte bei und gegenüber jedem einzelnen der für die betroffene Verarbeitungstätigkeit gemeinsam Verantwortlichen geltend machen. Im Innenverhältnis zwischen den Parteien gelten die Regelungen der hiesigen Vereinbarung.

3.           Zurverfügungstellung des Wesentlichen der Vereinbarung/Anlaufstelle

1. Anlage 2 ist wesentlicher Bestandteil der hiesigen Vereinbarung. Die Parteien sind sich einig, dass Anlage 2 zugleich das „Wesentliche der Vereinbarung“ iSv Art. 26 Abs. 2 Satz 2 DSGVO enthält.
2. Die für die Verpflichtung nach Art. 26 Abs. 2 Satz 2 DSGVO, den betroffenen Personen das Wesentliche der vorliegenden Vereinbarung zur gemeinsamen Verantwortlichkeit zur Verfügung zu stellen, in Anlage 2 bestimmte Partei wird den betroffenen Personen die Anlage 2 bereitstellen. Dies geschieht, wie in Anlage 2 festgelegt.
3. Soweit eine betroffene Person nach Art. 26 Abs. 2 Satz 2 DSGVO das Wesentliche der hiesigen Vereinbarung (nochmals) zur Verfügung gestellt wünscht, darf die angefragte Partei zunächst nur die Anlage 2 zur Verfügung stellen. Die Zurverfügungstellung weiterer oder anderer Informationen betreffend die gemeinsame Verantwortlichkeit im Sinne von Art. 26 DSGVO ist vorab mit der jeweils anderen Partei abzustimmen.
4. Als Anlaufstelle für die betroffenen Personen iSv Art. 26 Abs. 1 Satz 3 DSGVO wird die in Anlage 2 genannte Stelle nach außen angegeben. Nimmt eine betroffene Person mit der Partei, die Anlaufstelle ist, Kontakt auf, richtet sich das weitere Vorgehen nach den Regelungen der hiesigen Vereinbarung, insbesondere den Ziffern 4 bis 6.

4.           Wechselseitige Unterstützungs-, Informations- und Abstimmungspflichten

1. Grundsatz

Soweit eine der Parteien gemäß Anlage 2 eine Verpflichtung ganz oder teilweise übernommen hat, gewährt die jeweils andere Partei bei der Erfüllung der Pflicht angemessene Unterstützung (z.B. bei Durchführung einer Datenschutzfolgenabschätzung, Erfüllung eines Auskunftsanspruchs, Bereitstellung von Informationen für die Beschreibung der Verarbeitungstätigkeiten nach Art. 30 DSGVO, etc.). Weitere Details dazu finden sich in den folgenden Regelungen.

1. Verlangen durch Betroffene, Dritte oder staatliche Stellen
   1. Sollte sich (i) eine betroffene Person oder ein Dritter betreffend der Geltendmachung von Betroffenenrechten oder anderen Ansprüchen (kurz dafür: „Anspruchsteller“) oder (ii) eine öffentliche und/oder staatliche Stelle, wie zum Beispiel eine Aufsichtsbehörde für den Datenschutz oder eine Ermittlungsbehörde (Polizei, Staatsanwaltschaft, etc.) (kurz dafür: „Behörde“), an eine der Parteien bezüglich solcher Verarbeitungstätigkeiten wenden, die ausschließlich oder teilweise die unter die hiesige Vereinbarung fallenden Verarbeitungstätigkeiten betreffen, oder (iii) werden im Zusammenhang mit den unter diese Vereinbarung fallenden Verarbeitungstätigkeiten gegenüber einer Partei datenschutzrechtliche Ansprüche, wie insbesondere Schadensersatzansprüche iSv Art. 82 DSGVO, Geldbußen iSv Art. 83 DSGVO und/oder andere Sanktionen iSv Art. 84 DSGVO angedroht oder geltend gemacht (für alle drei Varianten jeweils nur kurz: „Verlangen“), so informiert diese Partei die jeweils andere Partei über dieses Verlangen unverzüglich in Textform, leitet insbesondere das Verlangen weiter.
   2. Die Bearbeitung und weitere Kommunikation übernimmt diejenige Partei, der nach Anlage 2 die Zuständigkeit dafür zugewiesen ist („bearbeitende Partei“). Die andere Partei („unterstützende Partei“) unterstützt die bearbeitende Partei auf Aufforderung im erforderlichen und angemessenen Umfang. Die unterstützende Partei ist insbesondere verpflichtet, der bearbeitenden Partei die zur Bearbeitung des Verlangens notwendigen Informationen aus dem Bereich der unterstützenden Partei zur Verfügung zu stellen, der ihren Teil der Datenverarbeitung betrifft. Findet sich in Anlage 2 keine Zuständigkeitszuweisung, beginnt die Partei, die der Adressat eines Verlangens im Sinne von Ziff. 4.2.1 Vereinbarung ist, mit der Bearbeitung des Verlangens und übernimmt insoweit die Rolle der bearbeitenden Partei. Sie informiert unverzüglich die andere Partei.
   3. Die bearbeitende Partei wird die unterstützende Partei über den Status der Bearbeitung und Kommunikation von sich aus informiert halten sowie bei der Außen-Kommunikation auf die gemeinsame Verantwortlichkeit mit der anderen Partei dieser Vereinbarung hinweisen. Es gelten ergänzend folgende Sonderregelungen:

a.       Inhaltliche Stellungnahmen sowie rechtlich verbindliche Erklärungen:

Ohne vorherige Abstimmung mit der jeweils anderen Partei wird eine Partei in den Fällen der Ziff. 4.2.1 keine inhaltlichen Stellungnahmen oder rechtlich verbindliche Erklärungen gegenüber Dritten oder Behörden abgeben, insbesondere kein Anerkenntnis oder eine vergleichbare Erklärung.

b.       Löschverlangen:

Betrifft ein Verlangen eine Löschung von Daten (etwa im Falle der Geltendmachung des Betroffenenrechts nach Art. 17 DSGVO), hat die bearbeitende Partei die andere Partei darüber gesondert zu informieren. Die jeweils andere Partei kann binnen 2 Wochen der Löschung aus berechtigtem Grund widersprechen, etwa sofern sie gesetzliche Aufbewahrungspflichten treffen. Eine Löschung hat dann bis zur gemeinsamen Klärung des Vorgehens zu unterbleiben.

1. Verletzung des Schutzes personenbezogener Daten
   1. Hat eine Verletzung des Schutzes personenbezogener Daten i.S.v. Art. 4 Nr. 12 DSGVO auf Seiten einer Partei Auswirkungen auf die dieser Vereinbarung unterfallenden Daten oder besteht dazu ein begründeter Verdacht, hat diese Partei die andere Partei nach Bekanntwerden unverzüglich in Textform darüber zu informieren. Dazu hat sie – soweit schon möglich – insbesondere Informationen zu den in Art. 33 Abs. 3 DSGVO genannten Punkten mitzuliefern.
   2. Die Parteien haben sich im Anschluss abzustimmen, ob ein meldepflichtiger Vorfall (Art. 33, 34 DSGVO) vorliegt. Im Zweifel entscheidet diejenige Partei, bei der die Verletzung aufgetreten ist/der begründete Verdacht auf Vorliegen einer meldepflichtigen Datenschutzverletzung besteht.
   3. Die Bearbeitung und weitere Kommunikation übernimmt diejenige Partei, der nach Anlage 2 die Zuständigkeit dafür zugewiesen ist („bearbeitende Partei“). Die andere Partei („unterstützende Partei“) unterstützt die bearbeitende Partei dabei auf Aufforderung im angemessenen Umfang.
   4. Die bearbeitende Partei wird die unterstützende Partei über den Status der Bearbeitung von sich aus informiert halten sowie bei der Außen-Kommunikation auf die gemeinsame Verantwortlichkeit mit der anderen Partei dieser Vereinbarung hinweisen.
2. Unregelmäßigkeiten bei der jeweiligen Datenverarbeitung

Soweit eine Partei bei der Prüfung solcher Verarbeitungstätigkeiten (inkl. Auftragsergebnisse), die der hiesigen Vereinbarung unterliegen, Fehler oder Unregelmäßigkeiten hinsichtlich datenschutzrechtlicher Bestimmungen feststellt, hat sie die andere Partei darüber unverzüglich und vollständig in Textform zu informieren.

5.           Regelungen zur Gesamtschuld im Innenverhältnis

1. Nach Art. 26 Abs. 3 DSGVO und Art. 82 Abs. 4 DSGVO kann im Falle von Schadensersatzansprüchen einer betroffenen Person jeder der gemeinsam Verantwortlichen für den gesamten Schaden haften, damit ein wirksamer Schadensersatz für die betroffene Person sichergestellt ist. Hat nach den vorstehenden Vorschriften eine der Parteien der betroffenen Person Schadensersatz für den erlittenen Schaden gezahlt, so ist diese Partei gemäß Art. 82 Abs. 5 DSGVO berechtigt, von der anderen Partei dieser Vereinbarung den Teil des Schadensersatzes zurückzufordern, der ihrem jeweiligen Anteil an der Verantwortung für den Schaden entspricht.
2. Ergänzend gelten die Regelungen des BGB zur Gesamtschuld.
3. Ggf. zwischen den Parteien vereinbarte Haftungsbeschränkungen gelten nicht für die hiernach bestehenden Ansprüche auf Gesamtschuldnerausgleich.

6.           Technisch-organisatorische MaSSnahmen

1. Die Parteien stellen innerhalb ihres Verantwortungsbereichs sicher, dass die nach Art. 24, 25, 32 DSGVO jeweils erforderlichen technischen und organisatorischen Maßnahmen implementiert und eingehalten werden. SCN berücksichtigt in seinem Verantwortungsbereich für den Betrieb der Plattformlösung insbesondere folgende Maßnahmen:
   1. Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten
   2. Maßnahmen zur Gewährleistung einer kontinuierlichen Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
   3. Maßnahmen zur Gewährleistung der Verfügbarkeit personenbezogener Daten und des raschen Zugangs zu Daten im Falle eines physischen oder technischen Zwischenfalls
   4. Maßnahmen zur Gewährleistung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung
   5. Maßnahmen zur Identifizierung und Authentifizierung von Nutzern
   6. Maßnahmen zum Schutz personenbezogener Daten bei der Übertragung
   7. Maßnahmen zum Schutz personenbezogener Daten bei ihrer Speicherung
   8. Maßnahmen zur Gewährleistung einer physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden
   9. Anforderungen an die Ereignisprotokollierung (z.B. bei der Nutzerauthentifizierung oder der Dateneingabe, -veränderung oder -löschung
2. Die Parteien stellen innerhalb ihres Verantwortungsbereichs sicher, dass alle mit der Datenverarbeitung befassten Mitarbeitenden die Vertraulichkeit der Daten gemäß Art. 28 Abs. 3, 29 und 32 DSGVO für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses wahren sowie in die für sie relevanten Bestimmungen zum Datenschutz eingewiesen werden.
3. Die Parteien haben eigenständig dafür Sorge zu tragen, dass sie sämtliche in Bezug auf die Daten bestehenden gesetzlichen Aufbewahrungspflichten einhalten. Sie haben hierzu angemessene Datensicherheitsvorkehrungen (Art. 32 ff. DSGVO) zu treffen. Dies gilt insbesondere im Falle der Beendigung der Zusammenarbeit.
4. Die Parteien ergreifen alle erforderlichen technischen und organisatorischen Maßnahmen, damit die Rechte der betroffenen Personen, insbesondere nach den Art. 12 bis 22 DSGVO, innerhalb der gesetzlichen Fristen jederzeit gewährleistet werden können bzw. sind.
5. Die über die Plattform (national und lokal) verarbeiteten personenbezogenen Daten werden nur innerhalb des Europäischen Wirtschaftsraums (EWR) gespeichert und verarbeitet. In Bezug auf die Plattform stellt SCN sicher, dass personenbezogene Daten nicht (in irgendeiner Weise) außerhalb des EWR verarbeitet werden, weder über die Speicherung in der Cloud noch über die Verarbeitung durch Dritte, die von einem Standort außerhalb der Europäischen Union aus beauftragt werden, wie z. B. im Rahmen der Wartung der IT-Systeme, es sei denn, SCN hat hierfür ausreichende Sicherheitsmaßnahmen ergriffen, einschließlich des Abschlusses geeigneter Verarbeitungsvereinbarungen, und hat den Verantwortlichen B im Voraus darüber informiert.

7.           Einsatz von Dritten oder Auftragsverarbeitern durch eine Partei

Bedient sich eine Partei der Unterstützung von Dritten, die auf die dieser Vereinbarung unterfallenden Daten zugreifen können oder diese Daten erhalten (wie zum Beispiel im Falle einer Auftragsverarbeitung nach Art. 28 DSGVO), bleibt diese Partei gegenüber der anderen Partei in vollem Umfang für die nach der hiesigen Vereinbarung obliegenden Pflichten verantwortlich und haftbar. Ob und in welchem Umfang solche Dritten eingesetzt werden dürfen, richtet sich nach den Regelungen des Hauptvertrags.

8.           Inkrafttreten und Beendigung der Vereinbarung

1. Diese Vereinbarung gilt ab Unterzeichnung durch die Parteien. Diese Vereinbarung endet automatisch, wenn der Hauptvertrag endet, ohne dass es einer Kündigung bedarf.
2. Diese Vereinbarung kann von den Parteien nur aus wichtigem Grund gekündigt werden, das Recht zur ordentlichen Kündigung ist ausgeschlossen. Kündigungen bedürfen zu ihrer Wirksamkeit der Schriftform.
3. Die Regelungen der Ziffern 4 und 5 dieser Vereinbarung behalten auch nach der Kündigung bzw. der sonstigen Beendigung dieser Vereinbarung ihre Wirksamkeit.
4. Dokumentationen im Sinne von Art. 5 Abs. 2 DSGVO, die dieser Vereinbarung unterfallende Datenverarbeitungen betreffen und dem Nachweis von deren Rechtmäßigkeit und der Einhaltung der DSGVO oder anderen datenschutzrechtlichen Vorgaben dienen, bewahrt jede Partei über das Ende dieser Vereinbarung hinaus und zwar bis zum Ende des dritten der Vertragsbeendigung folgenden Jahres auf. Die jeweils andere Partei erhält darauf Zugriff, soweit die Dokumentation eine Datenverarbeitung betrifft, für die nach Anlage 2 auch die jeweils andere Partei ein gemeinsamer Verantwortlicher ist.

9.           Schlussbestimmungen

1. Wird eine Partei aufgrund der hiesigen Vereinbarung gegenüber Dritten (etwa bei der Bearbeitung von Betroffenenanfragen) und/oder gegenüber der anderen Partei dieser Vereinbarung tätig, erfolgt dies jeweils unentgeltlich, es sei denn, im Hauptvertrag ist ausdrücklich Abweichendes geregelt.
2. Alle Änderungen und Ergänzungen dieser Vereinbarung sowie der Anlagen haben schriftlich zu erfolgen. Dies gilt auch für eine Vereinbarung, die das hier vereinbarte Schriftformerfordernis ändert oder aufhebt.
3. Soweit in dieser Vereinbarung nichts Abweichendes geregelt ist, gelten die Bestimmungen des Hauptvertrags im Verhältnis zwischen den Parteien auch für diese Vereinbarung und im Übrigen unverändert fort.
4. Schriftform im Sinne dieser Vereinbarung meint die gesetzliche Schriftform iSv § 126 BGB oder die elektronische Form iSv § 126a BGB. Textform im Sinne dieser Vereinbarung meint die Textform nach § 126b BGB.
5. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise unwirksam oder undurchführbar sein oder werden, so berührt dies nicht die Gültigkeit der übrigen Bestimmungen dieser Vereinbarung. Dasselbe gilt, wenn diese Vereinbarung eine Lücke aufweist. In einem jeden solchen Fall sind die Parteien verpflichtet, anstelle der fehlenden, unwirksamen oder undurchführbaren Bestimmung eine gültige Bestimmung zu vereinbaren, die dem mit dieser Vereinbarung verfolgten wirtschaftlichen Zweck möglichst nahekommt.
6. Auf diese Vereinbarung und ihre Durchführung finden die Regelungen der DSGVO, ergänzend ausschließlich deutsches Recht unter Ausschluss des UN-Kaufrechts Anwendung. Ausschließlicher Gerichtsstand ist Köln.

10.        Anlagen

1. ANLAGE 1: Datenkategorien und Kategorien Betroffener
2. ANLAGE 2: Vereinbarung zur gemeinsamen Verantwortlichkeit – das „Wesentliche der Vereinbarung“

ANLAGE 1: Datenkategorien und Kategorien Betroffener

Siehe die Datenschutzerklärung:

V.        Registrierung und Plattform-Services

VI.       Kontaktformular und E-Mail-Kontakt

VII.      Newsletter

VIII.     Verwendung von Anonymisierte Tools

ANLAGE 2: Vereinbarung zur gemeinsamen Verantwortlichkeit – das „Wesentliche der Vereinbarung“

I. Welcher Verantwortliche ist für welche Pflichten zuständig (Art. 26 Abs. 1 DSGVO)?

Die Parteien vereinbaren, dass sie beide die Betroffenen in ihren Datenschutzerklärungen ordnungsgemäß über die Informationen und den Zugang zu personenbezogenen Daten gemäß den Artikeln 13 und 14 der DSGVO informieren werden. Der Grund dafür ist:

a. Die Plattform stellt alle Informationen eines Betroffenen, die auf einer lokalen Website veröffentlicht werden, auch auf der nationalen Website zur Verfügung; und

b. Änderungen, die an den Informationen eines Betroffenen auf einer lokalen Website vorgenommen werden, werden auch auf der nationalen Website durchgeführt und umgekehrt.

Die Parteien sind verpflichtet, sich gegenseitig unverzüglich zu informieren, wenn wesentliche Änderungen bei der Verarbeitung der personenbezogenen Daten der Betroffenen eintreten.

Die Parteien vereinbaren, dass:

a. für die nationale Website: SCN eine Kontaktperson für die Betroffenen benennen und Anfragen von Betroffenen, die über die nationale Website eingehen, bearbeiten wird, einschließlich der Kommunikation mit den Betroffenen und gegebenenfalls der Aufsichtsbehörde;

b. für die lokale Website (White-Label der Kunden): der Kunde eine Kontaktperson benennen und Anfragen von Betroffenen, die über die lokale Website eingehen, bearbeiten wird, einschließlich der Kommunikation mit den Betroffenen und gegebenenfalls der Aufsichtsbehörde.

Die Parteien vereinbaren, dass sie die Betroffenen nicht in der Ausübung ihrer Rechte einschränken werden. Unbeschadet des Vorstehenden, wenn ein Betroffener die Kontaktdaten einer der Parteien anfordert, wird die andere Partei diese Kontaktdaten zur Verfügung stellen.

II. Gemeinsame Anlaufstelle nach Art. 26 Abs. 1 Satz 3 DSGVO

Social Care Network BV, NLvoorelkaar, Reduitlaan 33, 4814 DC Breda, Niederlande

III. Die übrigen wesentlichen Regelungen

Die über die Plattform (national und lokal) verarbeiteten personenbezogenen Daten werden nur innerhalb Länder des Europäischen Wirtschaftsraums (EWR), oder Länder, die unter einen Angemessenheitsbeschluss fallen, gespeichert und verarbeitet.

IV. Art der Bereitstellung

Die hiesigen Informationen als das „Wesentliche“ der Vereinbarung zwischen den Parteien wird den Betroffenen wie folgt zur Verfügung gestellt: auf Volunteering-Germany.de und (auf Partner-Website)