Vereinbarung über die Zusammenarbeit in der Eigenschaft als verbundener Bearbeiter, hinzugezogen gemäß den Bedingungen der DSGVO

Durch die Fortführung der bestehenden Verfahrensweise und die freiwillige Abgabe der erforderlichen Zustimmung, nehmen ich, der Unterzeichnete, in der Eigenschaft als verbundener Bearbeiter,   hiermit zur Kenntnis, dadurch verstanden zu haben, dass, zum Zwecke der Umsetzung der DSGVO, beginnend mit dem 25.05.2018,  ich die nachstehend aufgeführten gesetzlichen- und

-unternehmensrechtlichen Normen, angeordnet durch die in Kraft befindlichen Rechtsvorschriften hinsichtlich des Schutzes personenbezogener Daten :

1. Präambel

ich, der Unterzeichnete bin verbundener Bearbeiter der Handelsgesellschaft LIFE CARE CORP S.R.L. , mit dem Gesellschaftssitz in der Ortschaft Chișoda, NATIONALAUTOBAHN 59, Km. 8+550 m Linksrichtung, POSTF. 284, POSTAMT 1, Landkreis Timiș, eingetragen beim Handelsregisteramt Timiș unter der Nr. J35/1827/2005, Umsatzsteueridentifikationsnummer RO 17639166 und demzufolge in Rechtsverhältnissen zu dieser Handelsgesellschaft stehend, aus diesem Grunds verstehe ich somit dass es zwingend erforderlich ist, die gesetzlichen Normen über den Schutz personenbezogener Daten, genauer bezeichnet, diejenigen die von der Verordnung 679/2016 vorgeschriebenen, im Folgenden  die Verordnung   genannt, so wie nachstehend darauf hingewiesen wird.

2. Definitionen

1.1 Verbundener Bearbeiter –  jeglicher Rechtsträger  (natürliche oder juristische Person) der, aufgrund des schriftlichen Vertrags oder durch Anmeldung auf der Website der Handelsgesellschaft, die Eigenschaft als “Life Care-Partner”, gemäß dem Multi-Level-Marketingsystem und den Zugriff auf die Datenbank (“Partnernetzwerk”) der Life Care-Partner, ganzheitlich oder anteilig hat (entwickelte Eigenstruktur);

1.2 Bearbeiter – LIFE CARE CORP S.R.L.

1.3 Verordnung -  Verordnung (EU) 679/2016, des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

1.4  Die Begriffe Verarbeitung, personenbezogene Daten, Einschränkung der Verarbeitung, Empfänger und Zustimmung werden die, innerhalb der Verordnung vorgeschriebenen, Sinngebungen beibehalten.

3. Pflichten des Bearbeiters

Unter Berücksichtigung der Art, dem Geltungsbereich, dem Sinnzusammenhang und den Zwecken der Verarbeitung, sowie auch von Risiken mit unterschiedlichen Abstufungen des Wahrscheinlichkeits- und -Schwierigkeitsgrads für die Rechte und Freiheiten von natürlichen Personen, bringt der der Bearbeiter angemessene technische und organisatorische Maßnahmen zur Anwendung, um dadurch zu gewährleisten und um hierzu fähig zu sein nachzuweisen dass die Verarbeitung in Übereinstimmung mit der bestehenden Verordnung erfolgt. Die betreffenden Maßnahmen werden insoweit erforderlich neubearbeitet und aktualisiert.

Dann, wenn diese in Bezug auf die Verarbeitungsvorgänge verhältnismäßig sind, so beinhalten die im vorliegenden Absatz erwähnten Maßnahmen die Umsetzung von angemessenen Datenschutzpolitiken durch den Bearbeiter.

Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Bearbeiter sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

Der Bearbeiter trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

4. Pflichten des verbundenen Bearbeiters

Der verbundene Bearbeiter verarbeitet die personenbezogenen Daten nur auf dokumentierte Weisung des Bearbeiters, unter Einhaltung der Sicherheits- und -Zugriffsregeln innerhalb der Datenbank des Bearbeiters (Benutzername + Kennwort, usw.), einschließlich der Übermittlungen personenbezogener  Daten an Drittpersonen- oder -Einrichtungen oder an Drittländer oder internationale Organisationen, mit Ausnahme des Falls in dem diese Verpflichtung der beauftragten Person aufgrund des ihr anwendbaren EU-Rechts oder inländischen Rechts der Mitgliedstaaten obliegt; in diesem Fall wird der Bearbeiter vorherig der Verarbeitung über diese Pflicht benachrichtigt, mit Ausnahme des Falls in dem die betreffende Rechtsprechung eine solche Benachrichtigung aus wichtigen Gründen bezüglich des öffentlichen Interesses untersagt;

Der verbundene Bearbeiter stellt sicher, dass die von ihm, zur Verarbeitung personenbezogener Daten beauftragten Personen sich hierzu verpflichtet haben, die Vertraulichkeit einzuhalten oder ihnen eine geeignete satzungsgemäße Vertraulichkeitspflicht obliegt;

Der verbundene Bearbeiter nimmt sämtliche der geeigneten Maßnahmen, in Übereinstimmung mit dem Artikel 32 der Verordnung, vor;

Unter Berücksichtigung der Art der Verarbeitung informiert der verbundene Bearbeiter den Bearbeiter über die Einhaltung der Pflicht hierzu, auf die Anträge der betroffenen Personen über die Ausübung ihrer im Kapitel III der Verordnung vorgeschriebenen Rechte beantwortend einzugehen;

Hilft dem Bearbeiter dabei, insoweit erforderlich, um die Einhaltung der, in den Artikeln 32-36 der Verordnung vorgeschriebenen, Pflichten sicherzustellen, unter Berücksichtigung der Grundeigenschaft der Verarbeitung und der ihm verfügbaren Auskünfte;

Nach Wahl des Bearbeiters , sämtliche personenbezogenen Daten nach Beendigung der Verarbeitungsdienstleistung zu löschen zurückgeben und vorhandene Kopien hiervon zu beseitigen, mit Ausnahme des Falls in dem aufgrund des ihr anwendbaren EU-Rechts oder inländischen Rechts der Mitgliedstaaten die Speicherung der personenbezogenen Daten erfordert;

Stellt dem Bearbeiter sämtlicher erforderliche Auskünfte bereit, um die Einhaltung der in diesem Artikel vorgeschriebenen Pflichten nachzuweisen, ermöglicht die Durchführung von Audits, einschließlich der Begehungen, die vom Bearbeiter oder einem anderen beauftragten Auditor vorzunehmen sind und ist daran beteiligt.

Für den Fall in dem der verbundene Bearbeiter eine andere Drittperson zur Durchführung spezifischer Verarbeitungstätigkeiten beauftragt, so gelten die gleichen Pflichten bezüglich des Datenschutzes, vorgeschrieben innerhalb des, zwischen dem Bearbeiter und dem verbundenen Bearbeiter , abgeschlossenen, Vertrags oder eines anderen Rechtsinstruments und den Verfügungen der einschlägigen Rechtsnormen entstammend (so wie dies auch im Artikel 28, Absatz (3) der Verordnung festgelegt wird), dementsprechend auch für die beauftragten Personen.  Die Haftungsübernahme wird auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, insbesondere das Bieten hinreichender Garantien dafür dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Für den Fall, dass die beauftragte Person ihren Datenschutzpflichten nicht nachkommt, so bleibt der verbundene Bearbeiter gegenüber dem Bearbeiter für die Einhaltung seiner Pflichten vollumfänglich haftbar.

Der verbundene Bearbeiter wird dem Bearbeiter hinsichtlich jeglicher seitens der Nutzer oder staatlicher Behörden eingegangenen Beanstandung oder Anfrage, die als Gegenstand die personenbezogenen Daten hat, die dieser erfasst, verwaltet oder während der Vertragsausführung zur Kenntnis genommen hat, schriftlich beantworten.

5. Datenverarbeitung

Der verbundene Bearbeiter und jegliche weitere seiner Weisungsbefugnis unterliegend agierende Person, die Zugriff auf personenbezogenen Daten hat, so wie diese durch die Verordnung und gegebenenfalls im Vertrag, innerhalb der Allgemeinen Geschäftsbedingungen, beziehungsweise in der Einwilligung über die Verarbeitung der personenbezogenen Daten auf der Website des Bearbeiters club.life-care.com  definiert werden, bearbeiten diese ausschließlich auf Anfrage von/mit der Zustimmung des Bearbeiters , mit Ausnahme des Falls in dem das EU-Recht oder inländische Recht ihn hierzu verpflichtet, dies zu tun.

Der verbundene Bearbeiter führt die Übersicht der, unter seinem Haftungsbereich erfolgten, Verarbeitungstätigkeiten. Die betreffende Übersicht beinhaltet folgende Auskünfte:

a. Die Namen und Kontaktdaten der Person oder Personen von denen die personenbezogenen Daten zwecks Ausführung der, unter Mitwirkung des Bearbeiters, erbrachten Dienstleistungen;

b. Sämtliche von den/durch die Life Care-Partner erfassten/bereitgestellten Daten, sowie den Zweck ihrer Erhebung;

c. Insofern erforderlich, sämtliche Datenübermittlungen an einer Drittpartei (natürliche oder juristische Person), einem Drittland oder einer internationalen Organisation, einschließlich der Kennung des betreffenden Drittlands oder einer internationalen Organisation und, im Fall von, durch Artikel 49 Absatz (1) zweiter Unterabsatz der Verordnung, die Dokumentation die das Bestehen angemessener Garantien nachweist;

d. Falls möglich eine allgemeine Beschreibung der unter Artikel 32 Absatz (1) der Verordnung vorgeschriebenen technischen und organisatorischen Maßnahmen.

e. Die Namen der Beauftragten oder Vollmachtnehmer des verbundenen Bearbeiters , die einschlägige personenbezogene Daten erfasst, zur Kenntnis genommen, verwaltet oder archiviert haben.

6. Sicherheit der personenbezogenen Daten

Der verbundene Bearbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, diese Maßnahmen schließen unter anderem gegebenenfalls Folgendes ein:

a. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c.  die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Der verbundene Bearbeiter benachrichtigt  Bearbeiter ohne unbegründete Verzüge nachdem er einen Verstoß gegen die Sicherheit personenbezogener Daten zur Kenntnis nimmt. Die vom verbundenen Bearbeiter zugesandte Benachrichtigung mindestens folgende Angaben zu enthalten:

a. die Beschreibung der Eigenschaft des Verstoßes gegen die Sicherheit personenbezogener Daten, einschließlich, dort wo dies möglich ist, die Art und die abgeschätzte Anzahl der jeweiligen betroffenen Personen, sowie die Art und die abgeschätzte Anzahl der betreffenden Aufzeichnungen personenbezogener Daten;

b. die Namen und Kontaktdaten des Datenschutzbeauftragten oder einer weiteren Anlaufstelle, von der zusätzliche Auskünfte einzuholen sind;

c. die Beschreibung der wahrscheinlichen Auswirkungen des Verstoßes gegen die Sicherheit personenbezogener Daten;

d. die Beschreibung der vom Bearbeiter, zur Behebung des Problemzustands des Verstoßes gegen die Sicherheit von personenbezogenen Daten, einschließlich gegebenenfalls zur Verringerung der negativen Auswirkungen hiervon, zu treffenden Maßnahmen.

7. Weitere Anmerkungen

Der verbundene Bearbeiter hat die Pflicht, die Vorschriften der bestehenden Verordnung in ihrer Gesamtheit einzuhalten, dadurch wird er durch nichts von dem, was in vorliegender Vereinbarung enthalten ist, außerhalb des Geltungsbereichs dieser Pflicht freigestellt;

Der verbundene Bearbeiter hat Kenntnis hiervon dass dieser durch Nichteinhaltung der Vereinbarung und von, hinsichtlich der DSGVO geltenden, im Vertrag oder, gegebenenfalls, in den Allgemeinen Geschäftsbedingungen/der Einwilligung auf der Website des Bearbeiters Life Care Corp SRL,  club.life-care.com  enthaltenen, Vorschriften, der Handelsgesellschaft LIFE CARE CORP S.R.L. verursacht und für die entstandenen Schäden sowohl vertraglich als auch gesetzmäßig haftet.