Datenschutzrechtliche Verantwortlichkeiten

Um beim Thema Datenschutz auf der sicheren Seite zu sein, lassen wir uns von einer renommierten Münchner Kanzlei mit Spezialisierung auf IT Recht beraten. Dadurch garantieren unsere Verträge Sicherheit für unsere Kunden, für unsere Umfrageteilnehmer und für uns.


Vereinbarung über datenschutzrechtliche Verantwortlichkeiten bei der Durchführung von Sample-Only-Projekten oder Full-Service-Projekten

Präambel

Kunde beauftragt Norstat mit der Durchführung einer Umfrage. Dies kann ein sog. Sample-Only-Projekt oder ein sog. Full-Service-Projekt sein („Projekt“). Das jeweilige Projekt beinhaltet die Durchführung von Umfragen im Interesse von Kunde. Aus datenschutzrechtlicher Sicht führen die Parteien diese Umfragen aber nicht gemeinsam oder im Rahmen eines Auftragsverarbeitungsverhältnisses durch. Das jeweilige Projekt unterteilt sich vielmehr in verschiedene Schritte, die von den Parteien jeweils in eigenständiger Verantwortung durchgeführt werden.  

Aufgrund der gleichen datenschutzrechtlichen Schutzrichtung der Projekte werden die zu vereinbarenden datenschutzrechtlichen Rechte und Pflichten in einem Vertrag festgehalten. Es gelten entsprechend die Bestimmungen des vom Kunden im Einzelfall beauftragten Projekts.

Sample-Only-Projekt:

Im Einzelnen umfasst das Sample-Only-Projekt folgende Schritte: 
Kunde programmiert einen Fragebogen und hostet diesen in der eigenen Umgebung (Schritt 1). Im Anschluss werden Links zu dieser Umfrage an Norstat versendet (Schritt 2). Norstat ordnet diese Umfragelinks Panelisten des Norstatpanels („Teilnehmer“) zu und lädt sie zur Umfrage ein (Schritt 3). Norstat erstellt für jeden Teilnehmer eine sog. Response-ID, die insbesondere zum Zwecke der späteren Abrechnung erforderlich ist (Schritt 4). Die Response-ID wird zwar an Kunde im Zuge des Projekts übermittelt (zum Zwecke der Prüfung für Norstat, ob die Umfrage überhaupt ordnungsgemäß beendet wurde). Allein Norstat ist aber in der Lage die Response-ID einzelnen Teilnehmer zuzuordnen. Nach Zuordnung werden die Teilnehmer durch den Link zu Kunde weitergeleitet. Dort wird die Umfrage als solche durchgeführt (Schritt 5). Nach Durchführung der Umfrage werden die Teilnehmer wieder an Norstat zurückgeleitet (Schritt 6). Demographische sowie Befragungsdaten der Umfrage verbleiben bei Kunde. Eine Zuordnung zu einzelnen Teilnehmern ist Kunde dabei nicht möglich. 

Full-Service-Projekt:

Im Einzelnen umfasst das Full-Service-Projekt folgende Schritte: 
Norstat programmiert einen Fragebogen und hostet diesen in eigener Umgebung (Schritt 1). Norstat lädt Panelisten des Norstatpanels („Teilnehmer“) zur Umfrage ein (Schritt 2). Norstat erstellt für jeden Teilnehmer eine sog. Response-ID, die insbesondere zum Zwecke der späteren Abrechnung und Vergütung durch Norstat erforderlich ist (Schritt 3). Norstat führt die Befragung in eigener Umgebung durch (Schritt 4). Dabei erhält jeder Teilnehmer zudem eine sog. Panelist-ID (Schritt 5). Nach Durchführung der Befragung werden die dadurch gesammelten Daten an Kunde übermittelt (Schritt 6). Kunde wertet sodann die Umfrageergebnisse aus (Schritt 7). Die Datenlieferung erfolgt in Form von Rohdaten. Dies bedeutet, dass lediglich die Panelisten-ID aus dem Datensatz entfernt wird. Die Response-ID wird zwar an Kunde im Zuge des Projekts übermittelt, allerdings ist allein Norstat in der Lage die Response-ID einzelnen Teilnehmer zuzuordnen. Eine Zuordnung zu einzelnen Teilnehmern ist Kunde dabei nicht möglich. 


Dies vorausgesetzt schließen die Parteien folgende Vereinbarung hinsichtlich der eigenverantwortlichen Verarbeitung personenbezogener Daten im Rahmen des jeweiligen Projekts. Die Rechte und Pflichten der Parteien aus dieser Vereinbarung betreffen ausschließlich die Durchführung des jeweiligen Projekts. 

1.    Gegenstand der Vereinbarung
1.1    Gegenstand dieser Vereinbarung ist es die getrennten Verantwortlichkeiten der Parteien unter gegenseitiger Verpflichtung auf datenschutzrechtliche Grundsätze sowie Rücksichtnahme hinsichtlich der Verarbeitung personenbezogener Daten („Daten“) im Rahmen des jeweiligen Projekts zu bestimmen und zu regeln.
1.2    Die Parteien handeln jeweils eigenverantwortlich i.S.d. Art. 4 Nr. 7 DSGVO. Die Parteien bestimmen nicht gemeinsam oder in sonstiger Abhängigkeit die Zwecke und wesentliche Elemente der Mittel der Verarbeitung bestimmter Daten. 
1.3      Im Falle des Sample-Only-Projekts programmiert Kunde die Umfrage und führt sie auch selbst durch. Norstat stellt die Teilnehmer aus dem Norstatpanel zur Verfügung. Mit der Durchführung der Umfrage oder deren Auswertung kommt Norstat nicht in Berührung. Jede Partei agiert in ihrem eigenen Rechte- und Pflichtenkreis. 
1.4      Im Falle des Full-Service-Projekts programmiert und hostet Norstat die Umfrage und führt diese auch selbst durch. Norstat stellt die Teilnehmer aus dem Norstatpanel zur Verfügung. Mit der Durchführung der Umfrage oder deren Auswertung kommt Kunde nicht in Berührung. Kunde erhält lediglich die in der Befragung gesammelten Rohdaten. Jede Partei agiert in ihrem eigenen Rechte- und Pflichtenkreis.

2.    Gegenstand, Zweck, Mittel und Umfang der Datenverarbeitung
2.1    Gegenstand der Vereinbarung ist die jeweils eigenverantwortliche Verarbeitung personenbezogener Daten im Rahmen des jeweiligen Projekts.
2.2    Zweck des Sample-Only-Projekts für Kunde ist die Durchführung und Auswertung von Umfragen. Zweck für Norstat ist die Vergütung durch Kunde aufgrund der Bereitstellung von Teilnehmern. Der Umfang des Projekts ist auf die in der Projektbeauftragung festgesetzten Teilnehmer ausgelegt. 
2.3    Zweck des Full-Service-Projekts für Kunde ist die Durchführung und Auswertung von Umfragen durch Norstat. Zweck für Norstat ist die Vergütung durch Kunde aufgrund der Programmierung, des Hostings und der Durchführung der Befragung von bereitgestellten Teilnehmern. 

3.    Gemeinsame und gegenseitige Pflichten
3.1    Die Parteien verpflichten sich wechselseitig, die Daten im Rahmen des jeweiligen Projekts ausschließlich auf rechtmäßige und transparente Weise zu verarbeiten. Die Parteien tragen für die Richtigkeit der Daten und deren Integrität und Vertraulichkeit Sorge. 
3.2    Die Parteien werden die Verarbeitungen in ihr jeweiliges Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO aufnehmen. Die Parteien werden die Verarbeitung dort als eigene Verantwortlichkeit vermerken. 
3.3    Jede Partei wird die jeweils andere Partei unverzüglich informieren, falls sich die jeweilige Aufsichtsbehörde im Rahmen ihrer Datenschutzkontrolle und Aufsicht unmittelbar an eine Partei wenden sollte. 
3.4    Jede Partei verpflichtet sich, zur Wahrung der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der ihnen von der jeweils anderen Partei zur Verfügung gestellten Daten technische und organisatorische Maßnahmen („TOM“) in dem durch die einschlägigen Datenschutzvorschriften vorgesehenen Umfang zu ergreifen. Für einen Austausch von personenbezogenen Daten zwischen den Parteien werden die TOM in Anlage 3 vereinbart.
3.5    Jede Partei hat die Zulässigkeit der von ihr vorgenommenen Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO sicherzustellen. Zudem ergreift jede Partei angemessene technische und/oder organisatorische Maßnahmen nach Art. 32 DSGVO. 
3.6    Jede Partei ist für die Bearbeitung und Beantwortung von Anträgen auf Wahrnehmung der sonstigen nach Art. 15 ff. DSGVO bestehenden Rechte der Betroffenen („Betroffenenrechte“) zuständig. Wendet sich ein Betroffener zu den Betroffenenrechten an die andere Partei, ist diese verpflichtet, das Ersuchen des Betroffenen unverzüglich an die andere Partei weiterzuleiten. Dabei ist zu beachten, dass Kunde eine Identifizierung der Teilnehmer durch die bei Ihr erhobenen Daten bzw. die durch Norstat übermittelte Response-ID nicht möglich ist. Es greifen daher die Erleichterungen nach Art. 11 Abs. 2 DSGVO.
3.7    Die Parteien teilen sich im Zusammenhang mit dem jeweiligen Projekt unverzüglich gegenseitige Verarbeitungsstörungen, Verstöße gegen datenschutzrechtliche Bestimmungen oder Verstöße gegen diese Vereinbarung mit. Dies gilt auch bei einem hinreichenden Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung von Daten. Dies gilt vor allem im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO. Die Parteien sind sich bewusst, Datenschutzverletzungen an die zuständige Aufsichtsbehörde unverzüglich innerhalb von 72 Stunden zu melden.

4.    Zuständigkeit und Verantwortlichkeit der Parteien
4.1    Im Rahmen des Sample-Only-Projekts ist Norstat für die Auswahl der Teilnehmer zuständig und verantwortlich. Nach Abschluss der Umfrage werden die Teilnehmer von Norstat vergütet (Schritte 3, 4, und 6).
4.2    Kunde ist für Durchführung und die Auswertung der ausgefüllten Fragebögen zuständig und verantwortlich (Schritte 1, 2 und 5). Norstat hat bezüglich Schritt 5 sicherzustellen, dass die Teilnahme an der Umfrage auf einem Vertrag zwischen Norstat und den Teilnehmern beruht. Auf Anforderung stellt Norstat Kunde entsprechende Nachweise zur Verfügung.
4.3    Im Rahmen des Full-Service-Projekts ist Norstat für die Programmierung und das Hosten der Fragebögen zuständig und verantwortlich. Gleiches gilt für die Befragung und Auswertung der durch Norstat bereitgestellten Teilnehmer. Nach Abschluss der Umfrage werden die Teilnehmer von Norstat vergütet (Schritte 1 bis 6). Norstat hat sicherzustellen, dass die Teilnahme an der Umfrage auf einem entsprechenden Vertrag zwischen Norstat und den Teilnehmern beruht. Auf Anforderung stellt Norstat Kunde entsprechende Nachweise zur Verfügung.
4.4.    Kunde wertet die Daten der Befragung für sich aus (Schritt 7).

5.    Pflichten von Norstat
5.1.    Im Rahmen des Sample-Only-Projekts verpflichtet sich Norstat bei der Durchführung der Schritte 3, 4 und 6 entsprechend einschlägige datenschutzrechtliche und wettbewerbsrechtliche Vorschriften einzuhalten. Dies betrifft insbesondere die Rechtmäßigkeit der Datenerhebung der Teilnehmer sowie die Information über die (weitere) Verarbeitung Ihrer Daten. 
5.2    Im Rahmen des Full-Service-Projekts verpflichtet sich Norstat bei der Durchführung der 1 bis 6 entsprechend einschlägige datenschutzrechtliche und wettbewerbsrechtliche Vorschriften einzuhalten. Dies betrifft insbesondere die Rechtmäßigkeit der Datenerhebung der Teilnehmer sowie die Information über die (weitere) Verarbeitung Ihrer Daten.

6.    Pflichten von Kunde
6.1    Im Rahmen des Sample-Only-Projekts verpflichtet sich Kunde bei der Durchführung der Schritte 1, 2 und 5 die einschlägigen datenschutzrechtlichen Vorschriften einzuhalten. Kunde verpflichtet sich dabei insbesondere die (verschlüsselten) Teilnehmerdaten ausschließlich zum Zwecke der Durchführung und Auswertung der Umfrage zu verarbeiten. 
6.2    Im Rahmen des Full-Service-Projekts verpflichtet sich Kunde bei der Durchführung des Schritts 7 die einschlägigen datenschutzrechtlichen Vorschriften einzuhalten. Kunde verpflichtet sich dabei insbesondere die die (verschlüsselten) Teilnehmerdaten ausschließlich zum Zwecke der Auswertung der Umfrageergebnisse zu verarbeiten.

7.    Vertraulichkeitsverpflichtungen für eingesetztes Personal
7.1     Die Parteien gewährleisten, dass nur solche Personen zur Verarbeitung der Daten befugt sind, die sich auch zuvor zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Sie gewährleisten, dass Daten nicht unbefugt verarbeitet werden, insbesondere für keine anderen Zwecke und dass sie nicht unbefugt an Dritte übermittelt werden. Diese Verpflichtung sieht auch vor, dass die Vertraulichkeits- bzw. Verschwiegenheitsverpflichtung auch nach Beendigung der zwischen den Parteien geschlossenen Verträge fortbestehen. 
7.2     Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit der Vereinbarung zwischen den Parteien über das jeweilige Projekt als solches. Die Klauseln über die Einhaltung datenschutzrechtlicher Informationspflichten und der Umsetzung der Betroffenenrechte gelten im Falle der Beendigung dieser Vereinbarung fort. 
7.3     Jede Partei kann diese Vereinbarung jederzeit ohne Einhaltung der Kündigungsfrist kündigen, wenn ein schwerwiegender Verstoß der jeweils anderen Partei gegen Datenschutzvorschriften oder Bestimmungen dieser Vereinbarungen vorliegt. Insbesondere die Nichteinhaltung der in dieser Vereinbarung vereinbarten Pflichten stellt einen schwerwiegenden Verstoß dar. 

8.    Haftung
Jede Partei haftet für Schäden, die sie durch Verletzung dieser Vereinbarung bei der anderen Partei verursacht hat. Die Haftung ist dabei auf den tatsächlich entstandenen Schaden begrenzt. Weitergehende Schäden, wie bspw. Strafschadensersatz werden ausdrücklich ausgeschlossen. Jede Partei ist für Schäden gegenüber Betroffenen i.S.d. DSGVO, die sie durch die Verletzung dieser Vereinbarung bei diesen verursacht haben, selbst verantwortlich. 

9.    Schlussbestimmungen
9.1    Diese Vereinbarung unterliegt dem Recht der Europäischen Union und der Bundesrepublik Deutschland. Es gelten die gesetzlichen Begriffsbestimmungen. Nebenabreden bestehen nicht. 
9.2    Alle Leistungen der Parteien im Zusammenhang mit der Erfüllung ihrer Pflichten aus dieser Vereinbarung trägt jede Partei selbst. 
9.3    Verpflichtungen der jeweiligen Partei aufgrund gesetzlicher Vorschriften oder behördlicher oder gerichtlicher Anordnung bleiben von dieser Vereinbarung unberührt.
9.4    Änderungen oder Ergänzungen oder eine Aufhebung dieser Vereinbarung bedürfen der gesetzlichen Schriftform, außer soweit in dieser Vereinbarung ausdrücklich abweichend vereinbart. Dies gilt auch für den Verzicht auf dieses Schriftformerfordernis. 
9.5    Sollten einzelne Regelungen dieser Vereinbarung unwirksam sein oder nicht durchführbar sein, bleibt die Wirksamkeit der übrigen Regelungen hiervon unberührt. Die Parteien werden solche Regelungen durch wirksame und durchführbare Regelungen ersetzen, die dem Sinn und wirtschaftlichen Zweck sowie dem Willen der Parteien möglichst gleichkommen. Entsprechendes gilt für unbeabsichtigte Regelungslücken. 
9.6    Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten der Parteien aus oder im Zusammenhang mit dem Projekt ist München.
9.7    Anlagen dieser Vereinbarung und Bestandteil sind: 
Anlage 1:    Einzelheiten der Datenverarbeitung
Anlage 2:    Datenschutzbeauftrage/Ansprechpartner für Fragen zum Datenschutz
Anlage 3:    Technische und organisatorische Maßnahmen („TOM“)

Anlage 1: Einzelheiten der Datenverarbeitung
Einzeldatenfelder:
•    Alter
•    Geschlecht
•    Postleitzahl
•    Response-ID

Betroffene Personen:
•    Teilnehmer des Norstatpanels

Datenkategorien: 
•    Umfragedaten
•    Soziodemografische Daten

Anlage 2: Datenschutzbeauftrage(r) / Ansprechpartner für Fragen zum Datenschutz

Norstat Deutschland
Andrea Gress - Kaflerstraße 8 - 81241 München - 089/548019447 - andrea.gress@norstat.de

Anlage 3: Technisch-organisatorische Maßnahmen (PDF)


Vereinbarung über datenschutzrechtliche Verantwortlichkeiten bei der Durchführung von Recruiting-Anfragen

Präambel

Kunde beauftragt Norstat mit der Rekrutierung von Panelisten für die Durchführung einer Umfrage („Projekt“). Dies beinhaltet das Bereitstellen von Panelisten zur Durchführung von Umfragen im Interesse von Kunde. Aus datenschutzrechtlicher Sicht führen die Parteien dieses Projekt und die sich anschließenden Umfragen aber nicht gemeinsam oder im Rahmen eines Auftragsverarbeitungsverhältnisses durch. Das Projekt unterteilt sich vielmehr in verschiedene Schritte, die von den Parteien jeweils in eigenständiger Verantwortung durchgeführt werden. Im Einzelnen umfasst das Projekt folgende Schritte:

Im Einzelnen umfasst das Projekt folgende Schritte:

Kunde beauftragt Norstat mit der Auswahl von Panelisten des Norstatpanels („Teilnehmer“) für eine bestimmte Umfrage (Schritt 1). Norstat erstellt für jeden Teilnehmer eine sog. Response-ID, die insbesondere zum Zwecke der späteren Abrechnung erforderlich ist (Schritt 2). Nach Zuordnung werden die Teilnehmer an Kunde weitergeleitet (Schritt 3). Dort wird die Umfrage als solche durchgeführt (Schritt 4). 

Dies vorausgesetzt schließen die Parteien folgende Vereinbarung hinsichtlich der eigenverantwortlichen Verarbeitung personenbezogener Daten im Rahmen dieses Projekts. Die Rechte und Pflichten der Parteien aus dieser Vereinbarung betreffen ausschließlich die Durchführung des Projekts. 

1.    Gegenstand der Vereinbarung
1.1    Gegenstand dieser Vereinbarung ist es die getrennten Verantwortlichkeiten der Parteien unter gegenseitiger Verpflichtung auf datenschutzrechtliche Grundsätze sowie Rücksichtnahme hinsichtlich der Verarbeitung personenbezogener Daten („Daten“) im Rahmen des Projekts zu bestimmen und zu regeln.
1.2    Die Parteien handeln jeweils eigenverantwortlich i.S.d. Art. 4 Nr. 7 DSGVO. Die Parteien bestimmen nicht gemeinsam oder in sonstiger Abhängigkeit die Zwecke und wesentliche Elemente der Mittel der Verarbeitung bestimmter Daten. 
1.3      Kunde führt die Umfrage selbst durch. Norstat stellt die Teilnehmer aus dem Norstatpanel zur Verfügung. Mit der Durchführung der Umfrage oder deren Auswertung kommt Norstat nicht in Berührung. Jede Partei agiert in ihrem eigenen Rechte- und Pflichtenkreis. 
2.    Gegenstand, Zweck, Mittel und Umfang der Datenverarbeitung
2.1    Gegenstand der Vereinbarung ist die jeweils eigenverantwortliche Verarbeitung personenbezogener Daten im Rahmen des Projekts.
2.2    Zweck des Projekts für Kunde ist die Durchführung und Auswertung von Umfragen. Zweck für Norstat ist die Vergütung durch Kunde aufgrund der Bereitstellung von Teilnehmern. Der Umfang des Projekts ist auf die in der Projektbeauftragung festgesetzten Teilnehmer ausgelegt.  

3.    Gemeinsame und gegenseitige Pflichten
3.1    Die Parteien verpflichten sich wechselseitig, die Daten im Rahmen des Projekts ausschließlich auf rechtmäßige und transparente Weise zu verarbeiten. Die Parteien tragen für die Richtigkeit der Daten und deren Integrität und Vertraulichkeit Sorge. 
3.2    Die Parteien werden die Verarbeitungen in ihr jeweiliges Verarbeitungsverzeichnis nach Art. 30 Abs. 1 DSGVO aufnehmen. Die Parteien werden die Verarbeitung dort als eigene Verantwortlichkeit vermerken. 
3.3    Jede Partei wird die jeweils andere Partei unverzüglich informieren, falls sich die jeweilige Aufsichtsbehörde im Rahmen ihrer Datenschutzkontrolle und Aufsicht unmittelbar an eine Partei wenden sollte. 
3.4    Jede Partei verpflichtet sich, zur Wahrung der Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität der ihnen von der jeweils anderen Partei zur Verfügung gestellten Daten technische und organisatorische Maßnahmen („TOM“) in dem durch die einschlägigen Datenschutzvorschriften vorgesehenen Umfang zu ergreifen. Für einen Austausch von personenbezogenen Daten zwischen den Parteien werden die TOM in Anlage 3 vereinbart.
3.5    Jede Partei hat die Zulässigkeit der von ihr vorgenommenen Verarbeitung gemäß Art. 6 Abs. 1 DSGVO sowie die Erfüllung der Informationspflichten nach Art. 13 und 14 DSGVO sicherzustellen. Zudem ergreift jede Partei angemessene technische und/oder organisatorische Maßnahmen nach Art. 32 DSGVO. 
3.6    Jede Partei ist für die Bearbeitung und Beantwortung von Anträgen auf Wahrnehmung der sonstigen nach Art. 15 ff. DSGVO bestehenden Rechte der Betroffenen („Betroffenenrechte“) zuständig. Wendet sich ein Betroffener zu den Betroffenenrechten an die andere Partei, ist diese verpflichtet, das Ersuchen des Betroffenen unverzüglich an die andere Partei weiterzuleiten. 
3.7    Die Parteien teilen sich im Zusammenhang mit diesem Projekt unverzüglich gegenseitige Verarbeitungsstörungen, Verstöße gegen datenschutzrechtliche Bestimmungen oder Verstöße gegen diese Vereinbarung mit. Dies gilt auch bei einem hinreichenden Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung von Daten. Dies gilt vor allem im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten nach Art. 33 und 34 DSGVO. Die Parteien sind sich bewusst, Datenschutzverletzungen an die zuständige Aufsichtsbehörde unverzüglich innerhalb von 72 Stunden zu melden.

4.    Zuständigkeit und Verantwortlichkeit der Parteien
4.1    Norstat ist für die Auswahl der Teilnehmer zuständig und verantwortlich. Nach Abschluss der Umfrage werden die Teilnehmer von Norstat vergütet (Schritte 1 bis 3).
4.2    Kunde ist für Durchführung und die Auswertung der von ihm beabsichtigten Umfrage zuständig und verantwortlich (Schritt 4) Norstat hat bezüglich Schritt 4 sicherzustellen, dass die Teilnahme an der Umfrage auf einem Vertrag zwischen Norstat und den Teilnehmern beruht. Auf Anforderung stellt Norstat Kunde entsprechende Nachweise zur Verfügung.

5.    Pflichten von Norstat    
    Norstat hat bei der Durchführung der Schritte 1 bis 3 entsprechend einschlägige datenschutzrechtliche und wettbewerbsrechtliche Vorschriften einzuhalten. Dies betrifft insbesondere die Rechtmäßigkeit der Datenerhebung der Teilnehmer sowie die Information über die (weitere) Verarbeitung Ihrer Daten. 

6.    Pflichten von Kunde
Der Kunde hat bei der Durchführung des Schritts 4 die einschlägigen datenschutzrechtlichen Vorschriften einzuhalten. Kunde verpflichtet sich dabei insbesondere die (verschlüsselten) Teilnehmerdaten ausschließlich zum Zwecke der Durchführung und Auswertung der Umfrage zu verarbeiten. 
7.    Vertraulichkeitsverpflichtungen für eingesetztes Personal
Die Parteien gewährleisten, dass nur solche Personen zur Verarbeitung der Daten befugt sind, die sich auch zuvor zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Sie gewährleisten, dass Daten nicht unbefugt verarbeitet werden, insbesondere für keine anderen Zwecke und dass sie nicht unbefugt an Dritte übermittelt werden. Diese Verpflichtung sieht auch vor, dass die Vertraulichkeits- bzw. Verschwiegenheitsverpflichtung auch nach Beendigung der zwischen den Parteien geschlossenen Verträge fortbestehen. 
7.1     Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit der Vereinbarung zwischen den Parteien über das jeweilige Projekt als solches. Die Klauseln über die Einhaltung datenschutzrechtlicher Informationspflichten und der Umsetzung der Betroffenenrechte gelten im Falle der Beendigung dieser Vereinbarung fort. 
7.2     Jede Partei kann diese Vereinbarung jederzeit ohne Einhaltung der Kündigungsfrist kündigen, wenn ein schwerwiegender Verstoß der jeweils anderen Partei gegen Datenschutzvorschriften oder Bestimmungen dieser Vereinbarungen vorliegt. Insbesondere die Nichteinhaltung der in dieser Vereinbarung vereinbarten Pflichten stellt einen schwerwiegenden Verstoß dar. 

8.    Haftung
Jede Partei haftet für Schäden, die sie durch Verletzung dieser Vereinbarung bei der anderen Partei verursacht hat. Die Haftung ist dabei auf den tatsächlich entstandenen Schaden begrenzt. Weitergehende Schäden, wie bspw. Strafschadensersatz werden ausdrücklich ausgeschlossen. Jede Partei ist für Schäden gegenüber Betroffenen i.S.d. DSGVO, die sie durch die Verletzung dieser Vereinbarung bei diesen verursacht haben, selbst verantwortlich. 

9.    Schlussbestimmungen
9.1    Diese Vereinbarung unterliegt dem Recht der Europäischen Union und der Bundesrepublik Deutschland. Es gelten die gesetzlichen Begriffsbestimmungen. Nebenabreden bestehen nicht. 
9.2    Alle Leistungen der Parteien im Zusammenhang mit der Erfüllung ihrer Pflichten aus dieser Vereinbarung trägt jede Partei selbst. 
9.3    Verpflichtungen der jeweiligen Partei aufgrund gesetzlicher Vorschriften oder behördlicher oder gerichtlicher Anordnung bleiben von dieser Vereinbarung unberührt.
9.4    Änderungen oder Ergänzungen oder eine Aufhebung dieser Vereinbarung bedürfen der gesetzlichen Schriftform, außer soweit in dieser Vereinbarung ausdrücklich abweichend vereinbart. Dies gilt auch für den Verzicht auf dieses Schriftformerfordernis. 
9.5    Sollten einzelne Regelungen dieser Vereinbarung unwirksam sein oder nicht durchführbar sein, bleibt die Wirksamkeit der übrigen Regelungen hiervon unberührt. Die Parteien werden solche Regelungen durch wirksame und durchführbare Regelungen ersetzen, die dem Sinn und wirtschaftlichen Zweck sowie dem Willen der Parteien möglichst gleichkommen. Entsprechendes gilt für unbeabsichtigte Regelungslücken. 
9.6    Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten der Parteien aus oder im Zusammenhang mit dem Projekt ist München.
9.7    Anlagen dieser Vereinbarung und Bestandteil sind: 
Anlage 1:    Einzelheiten der Datenverarbeitung
Anlage 2:    Datenschutzbeauftrage/Ansprechpartner für Fragen zum Datenschutz
Anlage 3:    Technische und organisatorische Maßnahmen („TOM“)

Anlage 1: Einzelheiten der Datenverarbeitung
Einzeldatenfelder:
•    Alter
•    Geschlecht
•    Postleitzahl
•    Response-ID

Betroffene Personen:
•    Teilnehmer des Norstatpanels

Datenkategorien: 
•    Umfragedaten
•    Soziodemografische Daten

Anlage 2: Datenschutzbeauftrage(r) / Ansprechpartner für Fragen zum Datenschutz

Norstat Deutschland
Andrea Gress - Kaflerstraße 8 - 81241 München - 089/548019447 - andrea.gress@norstat.de

Anlage 3: Technisch-organisatorische Maßnahmen (PDF)