Mobile.de Logo

Auftragsverarbeitungsvereinbarung

  1. VERTRAGSGEGENSTAND UND ZWECK
    1. Die vorliegende Auftragsverarbeitungsvereinbarung (auch die "Vereinbarung") regelt die Verarbeitung personenbezogener Daten durch die mobile.de GmbH, Dernburgstraße 50, 14057 Berlin als Dienstleister (der "Auftragsverarbeiter") im Auftrag des Vertragspartners (der "Verantwortliche") im Rahmen der Erbringung der Leistungen aus den Allgemeinen Geschäftsbedingungen Lead Manager Pro ("Hauptvertrag"). Der Verantwortliche und der Hauptvertrag sind in Anlage 1 aufgeführt.
    2. Die Parteien möchten die Bedingungen des Hauptvertrags durch Regelungen ergänzen, die für die Verarbeitung personenbezogener Daten im Rahmen des Hauptvertrags gelten. Damit sollen angemessene Garantien für den Schutz der Grundrechte und -freiheiten der betroffenen Personen gewährleistet werden.
    3. Im Falle von Widersprüchen zwischen dem Hauptvertrag und der Auftragsverarbeitungsvereinbarung hat die Auftragsverarbeitungsvereinbarung Vorrang.
  2. DEFINITIONEN

    Für die Zwecke dieser Auftragsverarbeitungsvereinbarung gelten die folgenden Begriffsdefinitionen sowie etwaige Definitionen aus dem Hauptvertrag. Nicht definierte Begriffe haben die ihnen in der DSGVO zugeschriebene Bedeutung:

    1. "Anwendbares Datenschutzrecht": Anwendbare Rechtsvorschriften zum Schutz des Rechts der betroffenen Personen auf informationelle Selbstbestimmung, einschließlich, aber nicht beschränkt auf die DSGVO und alle lokalen Umsetzungsgesetze;
    2. "EU-Standardvertragsklauseln": Die Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, die durch den Beschluss der Europäischen Kommission vom 4. Juni 2021 festgelegt wurden;
    3. "Verantwortlicher", "betroffene Person", "personenbezogene Daten", "Verarbeitung", "Auftragsverarbeiter", "Aufsichtsbehörde" haben die gleiche Bedeutung, wie sie in der DSGVO festgelegt ist.
    4. "DSGVO": Die EU-Datenschutzgrundverordnung 2016/679.
    5. "Verletzung des Schutzes personenbezogener Daten": Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
  3. ALLGEMEINE PFLICHTEN DES AUFTRAGSVERARBEITERS
    1. Der Auftragsverarbeiter muss das Anwendbare Datenschutzrecht einhalten.
    2. Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur nach den dokumentierten Weisungen des Verantwortlichen, wie in der Auftragsverarbeitungsvereinbarung festgelegt oder wie von Zeit zu Zeit schriftlich zwischen den Parteien vereinbart, es sei denn, er ist durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet; in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragsverarbeiter ist berechtigt, eine Weisung des Verantwortlichen abzulehnen, wenn diese nach Einschätzung des Auftragsverarbeiters gegen Anwendbares Datenschutzrecht verstößt oder zu einer unzumutbaren Belastung des Auftragsverarbeiters führen würde. In diesem Fall wird der Auftragsverarbeiter den Verantwortlichen unverzüglich informieren. Der Auftragsverarbeiter ist nicht verpflichtet, Weisungen des Verantwortlichen rechtlich zu überprüfen
    3. Ohne die Allgemeingültigkeit des Vorstehenden einzuschränken, sind die Verarbeitungstätigkeiten auf die Art und den Zweck der Verarbeitung, die Kategorien personenbezogener Daten und die Kategorien der betroffenen Personen, wie sie in Anlage 1 zu dieser Auftragsverarbeitungsvereinbarung aufgeführt sind, zu beschränken, sofern der Verantwortliche keine anderen Weisungen erteilt. Gegenstand der Datenverarbeitung ist die Durchführung des Hauptvertrags. Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter hinzuzuziehen, soweit dies zur Vertragserfüllung erforderlich ist und die Voraussetzungen gemäß dieser Vereinbarung eingehalten werden.
    4. Der Verantwortliche behält die formale Kontrolle über die vom Auftragsverarbeiter und allen weiteren Auftragsverarbeitern im Rahmen dieser Vereinbarung verarbeiteten personenbezogenen Daten.
    5. Nach Abschluss der Erbringung der Verarbeitungsleistungen wird der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben und die vorhandenen Kopien löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.
    6. Der Auftragsverarbeiter beschränkt den Zugang zu den personenbezogenen Daten auf das zuständige Personal. Der Auftragsverarbeiter stellt sicher, dass alle zur Verarbeitung der personenbezogenen Daten befugten Personen sich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
  4. EINSATZ VON WEITEREN AUFTRAGSVERARBEITERN
    1. Der Auftragsverarbeiter darf seine Verarbeitungen nur gemäß Artikel 28 Absatz 4 DSGVO an weitere Auftragsverarbeiter vergeben. Alle weiteren Auftragsverarbeiter, die vom Auftragsverarbeiter mit der Erbringung von Dienstleistungen beauftragt werden, müssen Vertragsbedingungen unterliegen, die im Wesentlichen nicht weniger schützend sind als die in dieser Auftragsverarbeitungsvereinbarung und die durch das geltende Datenschutzrecht vorgeschriebenen Anforderungen. Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen für die Erfüllung seiner Verpflichtungen durch den weiteren Auftragsverarbeiter nur im Rahmen und Umfang dieser Vereinbarung. Eine weitergehende Haftung ist ausgeschlossen.
    2. Vorab zugelassene weitere Auftragsverarbeiter (falls vorhanden) sind in Anlage 1 definiert. Der Auftragsverarbeiter kann Auftragsverarbeiter hinzufügen, entfernen oder ersetzen, muss aber den Verantwortlichen mindestens 14 Tage vor dem beabsichtigten Inkrafttreten der Änderung per E-Mail über solche beabsichtigten Änderungen informieren. Die Mitteilung muss mindestens die in Anlage 1 aufgeführten Angaben zu den weiteren Auftragsverarbeitern enthalten. Der Verantwortliche kann gegen solche Änderungen innerhalb von 14 Tagen nach Erhalt der Mitteilung Einspruch erheben. Erhebt der Verantwortliche aus berechtigten datenschutzrechtlichen Gründen innerhalb dieser Frist Einspruch gegen die Bestellung eines neuen weiteren Auftragsverarbeiters, so kann jede Partei die Vereinbarung durch schriftliche Mitteilung mit sofortiger Wirkung kündigen.
    3. Führt die Einbindung eines weiteren Auftragsverarbeiters zu einer Verarbeitung personenbezogener Daten außerhalb des EWR, gilt die Regelung in Ziff. 6 unten, wobei der Auftragsverarbeiter berechtigt ist, die erforderlichen Maßnahmen nach eigenem Ermessen zu wählen, sofern die gesetzlichen Anforderungen eingehalten werden.
  5. TECHNISCHE UND ORGANISATORISCHE SICHERHEITSMAẞNAHMEN
    1. Der Auftragsverarbeiter hat geeignete technische und organisatorische Sicherheitsmaßnahmen zu ergreifen und aufrechtzuerhalten, die darauf abzielen, personenbezogene Daten gegen Risiken zu schützen, die mit der Verarbeitung verbunden sind, insbesondere durch - ob unbeabsichtigt oder unrechtmäßig - Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden. Diese Maßnahmen müssen ein Sicherheitsniveau gewährleisten, das dem mit der Verarbeitung verbundenen Risiko und der Art der zu schützenden personenbezogenen Daten unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen angemessen ist, wobei insbesondere die Anforderungen des Artikels 32 DSGVO zu berücksichtigen sind. Der Auftragsverarbeiter entscheidet nach eigenem Ermessen über die konkreten technischen und organisatorischen Maßnahmen, soweit die gesetzlichen Mindestanforderungen eingehalten werden.
    2. Ungeachtet des Vorstehenden muss der Auftragsverarbeiter die in Anlage 2 aufgeführten Mindestsicherheitsmaßnahmen einhalten. Der Auftragsverarbeiter ist berechtigt, diese Maßnahmen nach eigenem Ermessen anzupassen, sofern das Schutzniveau insgesamt nicht unterschritten wird.
    3. Darüber hinaus hat der Auftragsverarbeiter seine technischen und organisatorischen Sicherheitsmaßnahmen zu dokumentieren. Diese Dokumentation ist dem Verantwortlichen auf dessen angemessene und begründete Bitte zur Verfügung zu stellen, damit der Verantwortliche seinen Pflichten gemäß dem Anwendbaren Datenschutzrecht nachkommen kann.
  6. VERARBEITUNG AUẞERHALB DES EWR
    1. Sofern personenbezogene Daten im Rahmen dieser Vereinbarung außerhalb des EWR verarbeitet werden, verpflichtet sich der Auftragsverarbeiter, die Übermittlung der Daten im Einklang mit Kapitel V der DSGVO vorzunehmen sowie die weiteren Auftragsverarbeiter auf die Einhaltung der dortigen Bestimmungen zu verpflichten.
  7. UNTERSTÜTZUNG DES VERANTWORTLICHEN
    1. Der Auftragsverarbeiter unterrichtet den Verantwortlichen per E-Mail unverzüglich über alle Anträge in Bezug auf personenbezogene Daten, die er direkt von einer betroffenen Person erhält, einschließlich, aber nicht beschränkt auf Anträge auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder Übertragbarkeit ihrer personenbezogenen Daten. Der Auftragsverarbeiter kommt solchen Anträgen nur dann nach, wenn der Verantwortliche ihn schriftlich dazu angewiesen hat. Auf Ersuchen des Verantwortlichen arbeitet der Auftragsverarbeiter mit dem Verantwortlichen bei der Erfüllung seiner Verpflichtungen zur Beantwortung von Anfragen betroffener Personen, die ihre Rechte gemäß dem Anwendbaren Datenschutzrecht wahrnehmen, in angemessenem Umfang zusammen, indem er geeignete technische und organisatorische Maßnahmen trifft.
    2. Unbeschadet anderer Bestimmungen dieser Auftragsverarbeitungsvereinbarung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung der Verpflichtungen gemäß den Artikeln 32 bis 36 DSGVO, wobei er die Art der Verarbeitung und die dem Auftragsverarbeiter zur Verfügung stehenden Informationen berücksichtigt. Die Unterstützungspflichten des Auftragsverarbeiters bestehen nur im Rahmen des Zumutbaren.
    3. Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung dieser Auftragsverarbeitungsvereinbarung erforderlich sind, soweit dies rechtlich zulässig und zumutbar ist.
  8. ÜBERPRÜFUNGEN
    1. Der Verantwortliche hat das Recht, mit angemessenem Vorlauf Zugang zu den Einrichtungen des Auftragsverarbeiters für die Verarbeitung personenbezogener Daten zu erhalten und ein Audit durchzuführen. Der Auftragsverarbeiter leistet in dieser Hinsicht jede erforderliche Unterstützung, soweit dies zumutbar ist und keine Geschäftsgeheimnisse, vertraulichen Informationen oder Rechte Dritter beeinträchtigt werden. Der Verantwortliche führt ein solches Audit ohne wesentliche Unterbrechung des regulären Betriebs des Auftragsverarbeiters zu den üblichen Geschäftszeiten durch. Audits sind auf das erforderliche Maß zu beschränken. Bei der Bewertung der Erforderlichkeit ist zu berücksichtigen, ob der Auftragsverarbeiter hinreichende Nachweise über Zertifikate oder auf andere Weise erbringt.
    2. Der Verantwortliche erhält durch das Audit keinen Zugang zu Geschäftsgeheimnissen oder geschützten Informationen, es sei denn, dies ist zur Einhaltung des Anwendbaren Datenschutzrechts zwingend erforderlich. Der Verantwortliche stellt sicher, dass die Personen, die ein solches Audit durchführen, einer angemessenen Geheimhaltungspflicht unterliegen. Der Auftragsverarbeiter ist berechtigt, die Offenlegung von Informationen zu verweigern, soweit dies zur Wahrung eigener Interessen oder der Interessen Dritter erforderlich ist.
    3. Vereinbaren die Parteien, dass ein Audit von externen Prüfern durchgeführt werden soll, so ist der externe Prüfer von dem Verantwortlichen zu bestellen. Der Auftragsverarbeiter kann sich der Bestellung widersetzen, wenn der Prüfer ein Konkurrent des Auftragsverarbeiters ist oder berechtigte Interessen des Auftragsverarbeiters entgegenstehen. Bei Sicherheitsaudits durch einen externen Prüfer haben beide Parteien das Recht, eine Kopie des Auditberichts zu erhalten.
    4. Zweck des Audits ist es, zu überprüfen, ob der Auftragsverarbeiter und seine weiteren Auftragsverarbeiter personenbezogene Daten im Einklang mit den Verpflichtungen aus der Auftragsverarbeitungsvereinbarung verarbeiten. Eines der Elemente, auf die sich das Audit bezieht, ist die Überprüfung der Einhaltung von Anlage 2. Diesbezügliche Audits werden durchgeführt, um die Angemessenheit der technischen und organisatorischen Sicherheitsmaßnahmen des Auftragsverarbeiters und aller weiteren Auftragsverarbeiter nachzuweisen. Dies kann eine Inspektion der Systeme, der Arbeitsabläufe und der einschlägigen technischen und organisatorischen Sicherheitsmaßnahmen, eine Begehung der Arbeitsabläufe, Stichproben, umfassendere Kontrollen vor Ort und andere geeignete Kontrollen umfassen, soweit dies verhältnismäßig und zumutbar ist.
    5. Werden bei der Prüfung unzureichende technische und organisatorische Sicherheitsmaßnahmen oder andere Verstöße gegen diese Auftragsverarbeitungsvereinbarung festgestellt, so hat der Auftragsverarbeiter diese Unzulänglichkeiten oder Verstöße innerhalb einer angemessenen Frist zu beheben (und gegebenenfalls dafür zu sorgen, dass der betreffende weitere Auftragsverarbeiter dies tut).
    6. Jede Partei trägt ihre eigenen Kosten im Zusammenhang mit einem Audit. Leitet der Verantwortliche jedoch mehr als ein Audit pro Jahr ein, so trägt der Verantwortliche die angemessenen und belegten Auslagen des Auftragsverarbeiters (und der betreffenden weiteren Auftragsverarbeiter), die durch die zusätzlichen Audits entstehen. Der Auftragsverarbeiter ist berechtigt, die Durchführung von Audits von der vorherigen Unterzeichnung einer Vertraulichkeitsvereinbarung abhängig zu machen.
    7. Der Auftragsverarbeiter sorgt dafür, dass der Verantwortliche in gleicher Weise berechtigt ist, Audits in Bezug auf die weiteren Auftragsverarbeiter durchzuführen, soweit dies rechtlich und vertraglich möglich ist.
  9. VERLETZUNGEN DES SCHUTZES PERSONENBEZOGENER DATEN
    1. Unverzüglich nachdem der Auftragsverarbeiter von einer Verletzung des Schutzes personenbezogener Daten Kenntnis erlangt hat, wird er den Verantwortlichen über die Verletzung des Schutzes personenbezogener Daten informieren.
    2. Die Benachrichtigung muss die zur Beurteilung etwaiger Pflichten nach Artikel 33 f. DSGVO erforderlichen Informationen enthalten, soweit dies dem Auftragsverarbeiter möglich ist. Ist es nicht möglich, die erforderlichen Informationen gleichzeitig und innerhalb des in Ziff. 9.1 genannten Zeitrahmens zu übermitteln, können die Informationen ohne unangemessene weitere Verzögerung schrittweise übermittelt werden. Der Auftragsverarbeiter haftet nicht für Verzögerungen, die auf Umstände zurückzuführen sind, die außerhalb seines Einflussbereichs liegen.
    3. Die in Ziff. 9.1 und 9.5 genannte Mitteilung wird per E-Mail an den Verantwortlichen gesendet.
    4. Der Verantwortliche ist dafür verantwortlich, die zuständige Aufsichtsbehörde und die betroffenen Personen über die Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, falls dies erforderlich ist. Der Auftragsverarbeiter hat es zu unterlassen, die Öffentlichkeit oder Dritte über eine Verletzung des Schutzes personenbezogener Daten zu informieren, es sei denn, er ist hierzu gesetzlich verpflichtet.
    5. Der Auftragsverarbeiter unterrichtet den Verantwortlichen über Anfragen von Aufsichtsbehörden, die Zugang zu oder Informationen über die Verletzung des Schutzes personenbezogener Daten im Rahmen dieser Auftragsverarbeitungsvereinbarung verlangen, sofern dies nicht anderweitig untersagt ist, z. B. aufgrund gesetzlicher Verbote zur Wahrung der Vertraulichkeit von Untersuchungen. Der Auftragsverarbeiter ist berechtigt, die Weitergabe von Informationen zu verweigern, soweit dies zur Wahrung eigener Interessen oder der Interessen Dritter erforderlich ist.
    6. Der Auftragsverarbeiter dokumentiert jede Verletzung des Schutzes personenbezogener Daten und stellt sicher, dass die Beweise für die Verletzung des Schutzes personenbezogener Daten, insbesondere Protokolldateien, Analysen des Netzwerkverkehrs und Zugangskontrolldaten, aufbewahrt und auf Anfrage dem Verantwortlichen zur Verfügung gestellt werden, soweit dies rechtlich zulässig und zumutbar ist. Diese Dokumentation muss es der Aufsichtsbehörde und dem Verantwortlichen ermöglichen, die Einhaltung dieser Auftragsverarbeitungsvereinbarung zu überprüfen, insbesondere mit Blick auf die technischen und organisatorischen Sicherheitsmaßnahmen und das Anwendbare Datenschutzrecht. Die Dokumentation darf nur die für diesen Zweck erforderlichen Informationen enthalten.
    7. Der Auftragsverarbeiter ergreift alle Maßnahmen, die zur Begrenzung des (möglichen) Schadens infolge einer Verletzung des Schutzes personenbezogener Daten erforderlich und zumutbar sind, und unterstützt den Verantwortlichen bei der Benachrichtigung der betroffenen Personen und/oder der Aufsichtsbehörden, soweit dies rechtlich erforderlich und zumutbar ist.
  10. HAFTUNG
    1. Die im Hauptvertrag geregelte Haftungsbeschränkung gilt zugunsten des Auftragsverarbeiters auch für Schäden und Kosten, die sich aus der Nichteinhaltung dieser Auftragsverarbeitungsvereinbarung oder aus Handlungen oder Unterlassungen ergeben, die einen Verstoß gegen das Anwendbare Datenschutzrecht darstellen.
  11. LAUFZEIT UND BEENDIGUNG
    1. Diese Auftragsverarbeitungsvereinbarung bleibt so lange in Kraft, wie der Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Jede Partei kann die Vereinbarung mit einer Frist von 30 Tagen zum Monatsende kündigen, sofern keine zwingenden gesetzlichen Gründe entgegenstehen.
    2. Nach Ablauf oder Beendigung der Verarbeitung geben der Auftragsverarbeiter und alle weiteren Auftragsverarbeiter nach Wahl des Verantwortlichen alle personenbezogenen Daten und die Kopien davon an den Verantwortlichen zurück oder vernichten alle personenbezogenen Daten und bescheinigen dem Verantwortlichen, dass sie dies getan haben, es sei denn, sie sind aufgrund von EU-Recht oder aufgrund von Rechtsvorschriften der EU-Mitgliedstaaten daran gehindert, alle oder einen Teil der personenbezogenen Daten zurückzugeben oder zu vernichten. Der Auftragsverarbeiter ist berechtigt, personenbezogene Daten aufzubewahren, soweit dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
  12. ÜBERTRAGUNG VON RECHTEN UND PFLICHTEN
    1. Diese Auftragsverarbeitungsvereinbarung sowie die Rechte und Pflichten aus dieser Auftragsverarbeitungsvereinbarung können vom Auftragsverarbeiter ohne vorherige schriftliche Zustimmung des Verantwortlichen auf Dritte übertragen werden, sofern der Dritte die Verpflichtungen aus dieser Vereinbarung übernimmt und keine überwiegenden schutzwürdigen Interessen des Verantwortlichen entgegenstehen.
  13. ANWENDBARES RECHT UND GERICHTSSTAND
    1. Anwendbares Recht und Gerichtsstand sind die im Hauptvertrag vereinbarten.
  14. SALVATORISCHE KLAUSEL
    1. Sollten einzelne Bestimmungen dieser Auftragsverarbeitungsvereinbarung unwirksam, ungültig oder undurchführbar sein oder werden, so berührt dies nicht die Gültigkeit der übrigen Bestimmungen dieses Vertrags. An die Stelle von nicht einbezogenen oder unwirksamen Allgemeinen Geschäftsbedingungen tritt das Gesetzesrecht. Im Übrigen werden die Parteien die Bestimmung ohne rechtliche Geltung durch eine wirksame ersetzen, die dem wirtschaftlich Gewollten in rechtlich zulässiger Weise am nächsten kommt, soweit keine ergänzende Vertragsauslegung vorrangig oder möglich ist.

Anlage 1

Diese Anlage ist Teil der Auftragsverarbeitungsvereinbarung und muss von den Parteien ausgefüllt werden.

Hauptvertrag:

Allgemeine Geschäftsbedingungen Lead Manager Pro

Verantwortlicher:

Der Händler im Sinne des Hauptvertrags.

Kategorien von betroffenen Personen:

Die zu verarbeitenden personenbezogenen Daten betreffen die folgenden Kategorien von betroffenen Personen:

Interessenten, die sich für ein KfZ des Verantwortlichen interessieren und deren personenbezogenen Daten der Verantwortliche außerhalb der Plattform des Auftragsverarbeiters erhoben und im Anschluss darin gespeichert hat („externe Leads").

Klarstellend weisen wir darauf hin, dass sich die Auftragsverarbeitung nicht auf die Händler oder deren Mitarbeiter erstreckt. Soweit deren personenbezogenen Daten im Rahmen der Nutzung von Lead Manager Pro durch die mobile.de GmbH verarbeitet werden, geschieht dies durch die mobile.de GmbH als eigenständigen Verantwortlichen.

Kategorien von personenbezogenen Daten

Die folgenden Kategorien von personenbezogenen Daten werden verarbeitet:

Die Auftragsverarbeitung erstreckt sich auf alle personenbezogenen Daten externer Leads, die Sie als Verantwortlicher im Lead Manager Pro speichern und anderweitig verarbeiten. Dazu zählen insbesondere die folgenden Daten (nicht abschließend):

  • Titel
  • Vorname
  • Zweiter Vorname
  • Nachname
  • Bevorzugter Name
  • Telefonnummer
  • E-Mail-Adresse
  • Korrespondenz
  • Geschlecht
  • Geburtsdatum
  • Adresse
  • Vorort
  • Postleitzahl/Ortsteil
  • Land
  • Bundesland
  • Bild des Führerscheins
  • Führerscheinnummer
  • Ablaufdatum des Führerscheins
  • Ausstellungsstaat des Führerscheins
  • Führerscheinklasse
  • Angaben zum aktuellen Fahrzeug

Besondere Datenkategorien (falls zutreffend)

Die folgenden Kategorien von sensiblen personenbezogenen Daten werden verarbeitet:

Keine

Art und Zweck der Verarbeitungen:

Die personenbezogenen Daten werden den folgenden Verarbeitungsvorgängen unterzogen:

Der Auftragsverarbeiter betreibt eine Online-Plattform zum Erwerb von Kraftfahrzeugen. Der Verantwortliche bietet als Händler Kraftfahrzeuge zum Kauf auf der Plattform des Auftragsverarbeiters an. Der Auftragsverarbeiter betreibt ein Leads Management System („LMS"), welches der Verantwortliche zum Management seiner Leads verwenden kann. In dieses LMS kann der Verantwortliche auch externe Leads einbringen und dort verwalten. Allein diese externen Leads werden vom Auftragsverarbeiter auf Basis dieser Auftragsverarbeitungsvereinbarung verarbeitet.

Vorab zugelassene weitere Auftragsverarbeiter (falls vorhanden):

Die folgenden weiteren Auftragsverarbeiter sind von dem Verantwortlichen vorab genehmigt worden (siehe Ziff. 4.2, falls vorhanden)

Name der Einrichtung und Kontaktangaben Funktion Land der Niederlassung des Unternehmens Verarbeitungsort(e)

Nylas

 Synchronisierung von E-Mails zum Senden, Empfangen und Verknüpfen mit Leads EU tbd

Mailgun Technologies, Inc.

 Versand von System-E-Mails und Trigger-E-Mails an Händler USA EU

Intercom

 Bereitstellung von Wissensartikeln und Erstellung von Support-Tickets Irland EU

IP Stack

 Ermittlung der Geolocation, die zu einer IP-Adresse gehört. USA USA

Google Gemini

 KI-Zusammenfassung USA EU

Ort der Verarbeitung:

Die Verarbeitung findet an folgendem Ort (Land/Staat) statt, und die personenbezogenen Daten werden dort gespeichert:

Für den Auftragsverarbeiter: Deutschland

Für vorab genehmigte(n) weitere Auftragsverarbeiter: siehe Tabelle oben

Weisung zur Beratung des Verantwortlichen:

Der Verantwortliche weist den Auftragsverarbeiter an, die in dessen Auftrag verarbeiteten personenbezogenen Daten auch zu dem Zweck zu verarbeiten, den Verantwortlichen im Hinblick auf die optimale Nutzung des vom Auftragsverarbeiter bereitgestellten Lead Manager Pro zu beraten. Unter anderem umfasst dies eine Analyse von Nutzungs- und Leistungskennzahlen zur Optimierung der Lead‑Bearbeitung (z.B. Antwortzeit). Eine Verwendung der Daten des Auftragsverarbeiters zur Beratung anderer Nutzer des Lead Manager Pro findet nicht statt. Eine Nutzung der Daten zu eigenen kommerziellen Zwecken von mobile.de findet ebenfalls nicht statt.