Hallo! Hotjar gibt es jetzt auch auf DeutschÂ đŸ‡©đŸ‡Ș Jetzt gratis starten.

LEGAL / LEGAL SUPPORT

ZurĂŒck zur Übersicht

Data Processing Agreement

Diese Vereinbarung ĂŒber Auftragsverarbeitung (das „DPA“) ist zusammen mit den Nutzungsbedingungen, der DatenschutzerklĂ€rung und der Richtlinie ĂŒber zulĂ€ssige Nutzung Bestandteil der vertraglichen Beziehungen (der „Hauptvertrag“), die zwischen Hotjar („wir“, „unsere“ oder „uns“) und der zustimmenden natĂŒrlichen oder juristischen Person bestehen (zusammen mit deren verbundenen Unternehmen, die die Plattformen fĂŒr das jeweilige verbundene Unternehmen nach den Bestimmungen dieses Hauptvertrags bestellt haben, jeweils der „Kunde“, „Sie“ oder „Ihre“), und gibt die Bedingungen wieder, zu denen Hotjar im Rahmen Ihrer Nutzung unserer Plattform und gemĂ€ĂŸ dem Hauptvertrag personenbezogene Daten verarbeitet. Hotjar und Sie können jeweils als eine „Partei“ oder gemeinsam als die „Parteien“ bezeichnet werden.

Alle im englischen Text groß geschriebenen Begriffe in diesem DPA haben dieselbe Bedeutung wie die definierten Begriffe im Hauptvertrag und im anwendbaren Recht.

1. Definitionen Und Auslegung

Die nachstehend aufgefĂŒhrten Begriffe haben folgende Bedeutung:

1.1 anwendbare Datenschutzgesetze bezeichnet, soweit anwendbar (i) die Verordnung (EU) 2016/679 des EuropĂ€ischen Parlaments und des Rates vom 27. April 2016 zum Schutz natĂŒrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („DSGVO“), die Richtlinie 2002/58/EG ĂŒber die Verarbeitung personenbezogener Daten und den Schutz der PrivatsphĂ€re in der elektronischen Kommunikation („Datenschutzrichtlinie fĂŒr elektronische Kommunikation“), das britische Datenschutzgesetz 2018 („UK-DSGVO“) sowie alle weiteren Gesetze und Verordnungen der EuropĂ€ischen Union, des EuropĂ€ischen Wirtschaftsraums und seiner Vertragsstaaten, der Schweiz, des Vereinigten Königreichs und (ii) alle (nationalen oder in einem Bundesstaat, einer Provinz, örtlich oder ansonsten geltenden) Datenschutzgesetze und -verordnungen weltweit, die fĂŒr die Verarbeitung personenbezogener Daten im Rahmen des Hauptvertrags in seiner von Zeit zu Zeit jeweils geĂ€nderten, erweiterten, neu gefassten oder neu ausgelegten Fassung gelten einschließlich, ohne darauf beschrĂ€nkt zu sein, der in Anlage 3 genannten anwendbaren rechtsordnungsspezifischen Begriffe.

1.2 betroffene Person bezeichnet die identifizierte oder identifizierbare natĂŒrliche Person, auf die sich die personenbezogenen Daten beziehen;

1.3 personenbezogene Daten bezeichnet „alle Informationen, die sich auf eine identifizierte oder identifizierbare natĂŒrliche Person (betroffene Person) beziehen; als identifizierbar wird eine natĂŒrliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen IdentitĂ€t dieser natĂŒrlichen Person sind, identifiziert werden kann“, wie in der Datenschutz-Grundverordnung 2016/679 definiert, und schließt entsprechende Definitionen im anwendbaren Datenschutzrecht mit ein;

1.4 Verarbeitung oder verarbeitet bezeichnet „jeden mit oder ohne Hilfe automatisierter Verfahren ausgefĂŒhrten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder VerĂ€nderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die VerknĂŒpfung, die EinschrĂ€nkung, das Löschen oder die Vernichtung“, wie in der Datenschutz-Grundverordnung 2016/679 definiert, und schließt entsprechende Definitionen im anwendbaren Datenschutzrecht mit ein;

1.5 Zweck bezeichnet die Dienste und die damit verbundene Verarbeitung von personenbezogenen Daten, wie in Anlage 1 zu diesem DPA definiert;

1.6 Standardvertragsklauseln bezeichnet die „Standardvertragsklauseln fĂŒr die Übermittlung personenbezogener Daten in DrittlĂ€nder gemĂ€ĂŸ Verordnung (EU) 2016/679 des EuropĂ€ischen Parlaments und des Rates“, wie von der EuropĂ€ischen Kommission am 4. Juni 2021 beschlossen (DurchfĂŒhrungsbeschluss der Kommission (EU)2021/914);

1.7 Nutzungsbedingungen bezeichnet die rechtliche Vereinbarung zwischen dem Verantwortlichen als Nutzer und dem Auftragsverarbeiter, die das eingeschrĂ€nkte, nicht exklusive und kĂŒndbare Recht zur Nutzung der Hotjar-Website und der Plattform, wie in den Nutzungsbedingungen definiert, regelt.

1.8 UK Addendum zu den Standardvertragsklauseln (SCCs) bezeichnet das vom britischen Information Commissioner's Office (ICO) erlassene UK Addendum B.1.0 zu den Standardvertragsklauseln;

2. Bestellung

2.1 Hotjar ist der Auftragsverarbeiter und Sie sind der Verantwortliche (jeweils wie in der DSGVO definiert).

2.2 Die Parteien stimmen ĂŒberein, dass allein der Verantwortliche im Hinblick auf die personenbezogenen Daten alleiniger Verantwortlicher ist und der Auftragsverarbeiter auf alle ihm möglicherweise zustehenden Rechte, hinsichtlich der personenbezogenen Daten im Besitz des Verantwortlichen als Verantwortlicher zu agieren, verzichtet.

2.3. Die Parteien stimmen ĂŒberein, dass es erforderlich sein kann, dass der Auftragsverarbeiter bestimmte personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; die Parteien haben sich im Hinblick auf diese Verarbeitung auf den Abschluss dieses DPA geeinigt, um den Compliance-Pflichten gerecht zu werden, die dem Verantwortlichen nach anwendbarem Datenschutzrecht obliegen.

2.4 Die Parteien stimmen ĂŒberein, dass die Erbringung der Dienste nach den Nutzungsbedingungen von Hotjar möglicherweise als Auftragsdatenverarbeitung i.S.v. von Art. 28 der Datenschutz-Grundverordnung 2016/679 gilt.

2.5 Der Auftragsverarbeiter wird vom Verantwortlichen dazu bestellt, die personenbezogenen Daten fĂŒr und im Auftrag des Verantwortlichen zu verarbeiten, soweit dies zur Erbringung der Verarbeitungsdienste notwendig ist und wie nachtrĂ€glich von den Parteien schriftlich vereinbart werden kann. Jede nachtrĂ€gliche Vereinbarung unterliegt den Bestimmungen dieses DPA.

2.6 Der Verantwortliche verarbeitet die personenbezogenen Daten gemĂ€ĂŸ den Anforderungen des anwendbaren Datenschutzrechts. Zur Klarstellung: Die Weisungen, die der Verantwortliche zur Verarbeitung personenbezogener Daten erteilt, mĂŒssen dem anwendbaren Datenschutzrecht entsprechen, und der Auftragsverarbeiter behĂ€lt sich vor, dem anwendbaren Datenschutzrecht zuwiderlaufende Weisungen nicht auszufĂŒhren. Der Verantwortliche haftet allein fĂŒr Richtigkeit, QualitĂ€t und RechtmĂ€ĂŸigkeit der personenbezogenen Daten und fĂŒr die Art, wie er die personenbezogenen Daten erlangt.

2.7 Der Verantwortliche hat alle erforderlichen rechtlichen Grundlagen fĂŒr die Erhebung und Verarbeitung personenbezogener Daten, deren Übermittlung an Hotjar und fĂŒr die Genehmigung der Auftragsverarbeitung durch Hotjar zu schaffen und aufrechtzuerhalten.

3. Dauer Der Verarbeitung

3.1 Vorbehaltlich der Ziffern ĂŒber die Dauer der Verarbeitung und die Folgen ihres Ablaufs oder ihrer KĂŒndigung in diesem DPA und/oder im Hauptvertrag verarbeitet Hotjar personenbezogene Daten gemĂ€ĂŸ diesem DPA und dem Hauptvertrag fĂŒr die Laufzeit des Hauptvertrags, sofern die Parteien nichts anderes schriftlich vereinbart haben.

4. Datenverarbeitung

4.1 Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen fĂŒr den in den von den Parteien vereinbarten Nutzungsbedingungen beschriebenen Zweck und wie in hier beiliegender Anlage 1 zusammengefasst.

4.2 Die physische Speicherung der personenbezogenen Daten erfolgt ausschließlich in einem Mitgliedstaat der EuropĂ€ischen Union (EU) oder in einem Vertragsstaat des Abkommens ĂŒber den EuropĂ€ischen Wirtschaftsraum (EWR). FĂŒr Hotjar kann es erforderlich sein, personenbezogene Daten auf weltweiter Basis zu verarbeiten, wenn autorisierten Mitarbeitern von Hotjar, ihrer verbundenen Unternehmen oder autorisierten Unterauftragsverarbeitern Zugang gewĂ€hrt werden muss, soweit dies fĂŒr die Leistung der Plattform notwendig ist, einschließlich in LĂ€ndern außerhalb des EuropĂ€ischen Wirtschaftsraums (EWR) und/oder des Vereinigten Königreichs („DrittlĂ€nder“). Der Kunde genehmigt hiermit die Übermittlung von personenbezogenen Daten an die in der Liste der Unterauftragsverarbeiter angegebenen Standorte und erkennt an, dass die Grundlage dieser Übermittlung zwischen Jurisdiktionen akzeptabel ist. Jede solche Übermittlung unterliegt der Einhaltung der in diesem Hauptvertrag festgelegten technischen und organisatorischen Maßnahmen.

4.2 Haben Sie als Verantwortlicher Ihren Sitz in einem Land außerhalb der EU oder des EWR und unterliegen Sie bei der Verarbeitung personenbezogener Daten nicht den Vorschriften der DSGVO, sind die Standardvertragsklauseln (SCCs) Bestandteil dieses DPA.

4.3 Haben Sie als Verantwortlicher Ihren Sitz im Vereinigten Königreich, gelten in Bezug auf die Übermittlung von personenbezogenen Daten aus dem Vereinigten Königreich die Standardvertragsklauseln zusammen mit dem UK Addendum und sind Bestandteil dieses DPA.

4.4 Je nachdem, fĂŒr welche Nutzung der Hotjar-Plattform sich der Verantwortlicher entscheidet, sind unterschiedliche Datenarten Gegenstand der Verarbeitung personenbezogener Daten. Die Kategorien können je nach spezifischem Produkt und der von Ihnen gewĂ€hlten Konfiguration variieren und Folgendes umfassen:

Observe und Ask:

  • Hotjars eindeutige Nutzer-ID;

  • Auflösung des EndgerĂ€tebildschirms;

  • EndgerĂ€tetyp (individuelle EndgerĂ€teidentifizierungsmerkmale), Betriebssystem und Browsertyp;

  • Konsolenprotokolle und -fehler;

  • geografischer Standort (nur Land);

  • bei der Anzeige der Hotjar-basierten Website bevorzugte Sprache;

  • Mausereignisse (Bewegungen, Standort und Klicks);

  • TastenbetĂ€tigungen (standardmĂ€ĂŸig unterdrĂŒckt);

  • verweisende URL und Domain;

  • besuchte Seiten;

  • Datum und Uhrzeit des Zugriffs auf Ihre Website und eines bestimmten Ereignisses auf Ihrer Website;

  • Nutzerattribute, die Sie ĂŒber Identify API mit uns teilen möchten

  • personenbezogene Daten, die in den Antworten auf Feedback, in Umfragen oder Abstimmungen enthalten sind.

Engage:

  • personenbezogene Daten, die in den Research-Screener-Antworten ausgetauscht werden;

  • personenbezogene Daten, die der Tester zur Erstellung seines Profils bei uns eingibt sowie demografische Angaben des Testers; diese umfassen unter anderem Name, Land, Telefonnummer, Alter, Geschlecht, NationalitĂ€t, Ausbildung, Berufsbezeichnung, Familienstand, öffentliches Facebook- oder Linked-in-Profil (die freiwillig geteilt werden);

  • personenbezogene Daten, die im Inhalt der Sitzung enthalten sind (Audio-, Video- oder Textformat);

  • Daten zu Bildung und Beruf;

  • DateianhĂ€nge, die personenbezogene Daten enthalten können;

  • Umfrage-, Feedback- und Bewertungsmitteilungen;

  • weitere personenbezogene Daten, die der Verantwortliche von Zeit zu Zeit hinzufĂŒgt.

  • 4.5 Der Kreis der von der Verarbeitung personenbezogener Daten im Rahmen dieses DPAs betroffenen Personen umfasst:

Observe und Ask:

  • Endnutzer der Websites des Verantwortlichen, welche die vom Auftragsverarbeiter zur VerfĂŒgung gestellte Plattform nutzen.

Engage:

  • autorisierte Nutzer wie Tester, verbundene Unternehmen und andere Teilnehmer (einschließlich, aber nicht beschrĂ€nkt auf Ihre Mitarbeiter, freie Mitarbeiter oder Auftragnehmer), denen der Verantwortliche gemĂ€ĂŸ den Bedingungen des Hauptvertrags von Zeit zu Zeit ein Zugriffrecht auf die Plattform gewĂ€hrt hat;

  • alle anderen Kategorien betroffener Personen, die der Verantwortliche von Zeit zu Zeit hinzufĂŒgt.

4.6 Der Verkauf personenbezogener Daten ist streng untersagt. Der Auftragsverarbeiter darf keine personenbezogenen Daten verkaufen. Der Auftragsverarbeiter darf personenbezogene Daten keinen Dritten oder anderen Parteien gegenĂŒber auf eine Weise offenlegen oder an diese ĂŒbermitteln, die einen „Verkauf“ im Sinne des anwendbaren Datenschutzrechts (z.B. des CCPA) darstellen wĂŒrde.

5. Technische Und Organisatorische Massnahmen

5.1 Der Auftragsverarbeiter stellt die Datensicherheit nach Maßgabe des anwendbaren Datenschutzrechts her. Durch die zu ergreifenden Maßnahmen muss ein den Risiken fĂŒr Vertraulichkeit, IntegritĂ€t, VerfĂŒgbarkeit und WiderstandsfĂ€higkeit der Systeme angemessenes Schutzniveau gewĂ€hrleistet werden. Stand der Technik, Umsetzungskosten, Art, Umfang und Zweck der Verarbeitung sowie Eintrittswahrscheinlichkeit und Erheblichkeit eines Risikos fĂŒr die Rechte und Freiheiten natĂŒrlicher Personen sind zu berĂŒcksichtigen.

5.2 Der Auftragsverarbeiter hat in Anlage 2 zu diesem DPA technische und organisatorische Maßnahmen definiert.

5.3 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der weiteren technischen Entwicklung. DiesbezĂŒglich ist dem Auftragsverarbeiter gestattet, von Zeit zu Zeit angemessene alternative Maßnahmen durchzufĂŒhren. Dabei darf das Sicherheitsniveau der definierten Maßnahmen nicht herabgesetzt werden.

6. Anfragen Betroffener Personen Und UnterstĂŒtzung Durch Hotjar

6.1 Der Auftragsverarbeiter darf von sich aus die personenbezogenen Daten, die er im Auftrag des Verantwortlichen verarbeitet, weder berichtigen, löschen noch beschrÀnken (sofern dies nicht gesetzlich oder nach den Nutzungsbedingungen des Auftragsverarbeiters erforderlich ist), sondern darf dies nur auf dokumentierte Anweisung des Verantwortlichen und im Einklang mit den zum https://www.hotjar.com/pricing/Abonnement des Verantwortlichen gehörenden Datenspeicherungsregeln tun.

6.2 Wendet sich eine betroffene Person mit dem Ersuchen um AusĂŒbung ihrer Rechte gemĂ€ĂŸ dem anwendbaren Datenschutzrecht unmittelbar an den Auftragsverarbeiter, wird der Auftragsverarbeiter dieses Ersuchen unverzĂŒglich an den Verantwortlichen weiterleiten. Hotjar wird den Verantwortlichen in angemessener Weise bei der ErfĂŒllung der Pflicht des Verantwortlichen, einer solchen Anfrage nachzukommen, unterstĂŒtzen.

6.3 Der Auftragsverarbeiter hat dem Verantwortlichen auf dessen Anfrage die Zusammenarbeit und UnterstĂŒtzung zu gewĂ€hren, die zur ErfĂŒllung der Pflicht des Verantwortlichen aus der DSGVO zur DurchfĂŒhrung einer DatenschutzfolgenabschĂ€tzung und, falls erforderlich, einer vorherigen Konsultation in Bezug auf die Nutzung der Plattform des Auftragsverarbeiters durch den Verantwortlichen erforderlich ist, soweit der Verantwortliche anderenfalls keinen Zugang zu den betreffenden Informationen hat und soweit dem Auftragsverarbeiter die betreffenden Informationen zur VerfĂŒgung stehen.

7. QalitÀtssicherung Und Weitere Pflichten Des Auftragsverarbeiters

7.1 Der Auftragsverarbeiter hat alle bei der ErfĂŒllung dieses DPA geltenden gesetzlichen Vorgaben einzuhalten. Insbesondere gewĂ€hrleistet der Auftragsverarbeiter die Einhaltung der folgenden Vorgaben:

a. Der Auftragsverarbeiter hat einen Datenschutzbeauftragten bestellt, der diese Pflichten gemĂ€ĂŸ anwendbarem Datenschutzrecht erfĂŒllt. Der Datenschutzbeauftragte ist per E-Mail unter dpo@hotjar.com erreichbar;

b. der Auftragsverarbeiter gewÀhrleistet eine logische Trennung der personenbezogenen Daten von im Auftrag eines Dritten verarbeiteten Daten;

c. der Auftragsverarbeiter und jede unter seiner Aufsicht handelnde Person verarbeitet die personenbezogenen Daten nach den Nutzungsbedingungen des Auftragsverarbeiters und den dokumentierten Weisungen des Verantwortlichen, was auch fĂŒr die Übertragung personenbezogener Daten in ein Drittland oder an eine internationale Organisation gilt, es sei denn, ein Transfer ist nach fĂŒr den Auftragsverarbeiter geltendem Unionsrecht oder Recht eines Mitgliedstaats erforderlich; in diesem Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese gesetzliche Verpflichtung vor der Datenverarbeitung mit, es sei denn, das Gesetz verbietet eine solche Mitteilung aus wichtigen GrĂŒnden des öffentlichen Interesses;

d. der Auftragsverarbeiter gewĂ€hrleistet, dass die von ihm mit der Verarbeitung personenbezogener Daten betrauten (juristischen oder natĂŒrlichen) Personen zur Geheimhaltung der personenbezogenen Daten verpflichtet worden sind;

e. der Auftragsverarbeiter und der Verantwortliche kooperieren, wenn die Aufsichtsbehörde dies bei der ErfĂŒllung ihrer Aufgaben verlangt;

f. Hotjar informiert Sie unverzĂŒglich im Falle des Erhalts von Beschwerden, Hinweise oder Mitteilungen, die sich direkt auf die Verarbeitung personenbezogener Daten oder auf die Einhaltung der Datenschutzgesetze durch eine der Parteien beziehen, sofern eine solche Mitteilung nicht gesetzlich untersagt ist;

g. der Auftragsverarbeiter unterstĂŒtzt den Verantwortlichen in angemessener Weise, wenn gegen diesen eine Untersuchung einer Aufsichtsbehörde, ein Verwaltungs-, Ordnungswidrigkeits- oder Strafverfahren lĂ€uft oder eine betroffene Person oder ein Dritter einen Haftungsanspruch oder einen anderen Anspruch im Zusammenhang mit diesem Hauptvertrag geltend macht;

h. der Auftragsverarbeiter ĂŒberwacht die internen Prozesse und technischen und organisatorischen Maßnahmen in regelmĂ€ĂŸigen AbstĂ€nden, um zu gewĂ€hrleisten, dass die Verarbeitung gemĂ€ĂŸ den geltenden Datenschutzgesetzen erfolgt und die Rechte betroffener Personen geschĂŒtzt sind; und

i. der Auftragsverarbeiter weist die in Anlage 2 genannten technischen und organisatorischen Maßnahmen im Rahmen der in diesem DPA genannten Kontrollbefugnisse des Verantwortlichen nach.

8. Überwachungrechte Des Verantwortlichen

8.1 Nach angemessener schriftlicher VorankĂŒndigung von mindestens dreißig (30) Tagen und nicht öfter als einmal in zwölf (12) aufeinanderfolgenden Monaten ist der Verantwortliche nach Absprache mit dem Auftragsverarbeiter berechtigt, selbst oder durch einen fĂŒr jeden Einzelfall zu benennenden PrĂŒfer ÜberprĂŒfungen durchzufĂŒhren. Diese Rechte des Verantwortlichen erstrecken sich nicht auf Einrichtungen, die von Unterauftragsverarbeitern, Subunternehmern oder Dritten betrieben werden, die der Auftragsverarbeiter zur Erreichung des Zwecks und zur Bereitstellung seiner Plattform einsetzen darf. Der Auftragsverarbeiter gewĂ€hrleistet, dass die von Unterauftragsverarbeitern, Subunternehmern oder Dritten, die der Auftragsverarbeiter zur Erreichung des Zwecks und zur Bereitstellung seiner Plattform einsetzen darf, ausgefĂŒhrten DatenverarbeitungstĂ€tigkeiten die in diesem DPA und im anwendbaren Datenschutzrecht niedergelegten Anforderungen erfĂŒllen.

8.2 Der Auftragsverarbeiter gewĂ€hrleistet, dass der Verantwortliche ĂŒberprĂŒfen kann, ob der Auftragsverarbeiter seine Pflichten im Einklang mit dem anwendbaren Datenschutzrecht erfĂŒllt. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anfrage alle angemessen notwendigen Informationen zu ĂŒbergeben und insbesondere die Vornahme der in Anlage 2 genannten technischen und organisatorischen Maßnahmen innerhalb eines angemessenen Zeitraums nachzuweisen.

8.3 Als Nachweis der DurchfĂŒhrung der entsprechenden Maßnahmen können auch aktuelle BestĂ€tigungen, PrĂŒfberichte oder BerichtsauszĂŒge unabhĂ€ngiger Instanzen (z.B. WirtschaftsprĂŒfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung oder QualitĂ€tsauditoren) oder eine geeignete Zertifizierung durch ein IT-Sicherheits- oder Datenschutzaudit oder durch andere gesetzlich vorgesehene Maßnahmen vorgelegt werden.

9. Benachrichtigung Über Sicherheitsverletzungen Durch Den Augtragsverarbeiter

9.1 Der Auftragsverarbeiter unterstĂŒtzt den Verantwortlichen bei der Einhaltung der Rechtspflichten hinsichtlich Sicherheit und Schutz personenbezogener Daten und fĂŒhrt diesbezĂŒglich eine entsprechende Dokumentation. Hierzu zĂ€hlen insbesondere die folgenden Pflichten:

9.2 GewĂ€hrleistung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die UmstĂ€nde und Zwecke der Verarbeitung sowie die voraussichtliche Wahrscheinlichkeit und Schwere eines möglichen Gesetzesverstoßes infolge von Sicherheitsschwachstellen berĂŒcksichtigen und eine sofortige Entdeckung der entsprechenden Verletzungsereignisse ermöglichen;

9.3 Benachrichtigung des Verantwortlichen unverzĂŒglich nach Bekanntwerden von Vernichtung, Verlust, VerĂ€nderung, Offenlegung oder Zugriff auf personenbezogene Daten zufĂ€lliger, nicht beabsichtigter oder unrechtmĂ€ĂŸiger Natur („Sicherheitsverletzung“). In Absprache mit dem Verantwortlichen ergreift der Auftragsverarbeiter angemessene Schritte zur Sicherung der Daten und Begrenzung möglicher negativer Auswirkungen auf die betroffenen Personen;

9.4 Kooperation mit dem Verantwortlichen und Erteilung der AuskĂŒnfte gegenĂŒber dem Verantwortlichen, die dieser vernĂŒnftigerweise in Bezug auf eine Sicherheitsverletzung verlangen kann. Der Auftragsverarbeiter hat die Sicherheitsverletzung zu untersuchen und deren Auswirkungen zu identifizieren, ihre Entstehung zu verhindern und angemessene Anstrengungen zur Minderung der Auswirkungen der Sicherheitsverletzung zu unternehmen und mit der vorherigen Zustimmung des Verantwortlichen Wiederherstellungs- oder andere zur Beseitigung der Sicherheitsverletzung erforderliche Maßnahmen zu ergreifen;

a. im Fall einer Sicherheitsverletzung UnterstĂŒtzung des Verantwortlichen bei der Informationspflicht des Verantwortlichen gegenĂŒber betroffenen Personen und zustĂ€ndigen Behörden durch angemessene Maßnahmen; und

b. UnterstĂŒtzung des Verantwortlichen bei der Informationspflicht des Verantwortlichen gegenĂŒber der jeweils betroffenen Person und unverzĂŒgliche Bereitstellung aller diesbezĂŒglichen Informationen fĂŒr den Verantwortlichen.

10. Weisungsbefugnis Des Verantwortlichen

10.1 Personenbezogene Daten dĂŒrfen nur in Übereinstimmung mit diesem DPA und den Nutzungsbedingungen des Auftragsverarbeiters sowie unter Befolgung der Weisungen des Verantwortlichen verarbeitet werden. Der Verantwortliche hat gemĂ€ĂŸ diesem DPA ein allgemeines Weisungsrecht hinsichtlich Art, Umfang und Methode der Datenverarbeitung, das durch individuelle Weisungen ergĂ€nzt werden kann. Die Auswahl des gewĂŒnschten Produkts und/oder der gewĂŒnschten Konfiguration der Plattformeinstellungen oder elektronisch ĂŒbermittelte Weisungen in Schrift- oder in Textform gelten als vom Verantwortlichen erteilte Weisungen.

10.2 Der Auftragsverarbeiter darf die Daten nicht fĂŒr einen anderen Zweck verwenden und darf sie insbesondere nicht gegenĂŒber Dritten offenlegen. Ohne Wissen des Verantwortlichen dĂŒrfen keine Kopien oder Duplikate angefertigt werden. Dies gilt jedoch nicht fĂŒr Sicherungskopien, die fĂŒr die ordnungsgemĂ€ĂŸe Datenverarbeitung erforderlich sind, sowie auch nicht fĂŒr Daten, die zur Einhaltung der gesetzlichen Bestimmungen zur Datenspeicherung erforderlich sind.

10.3 Der Auftragsverarbeiter hat den Verantwortlichen unverzĂŒglich zu unterrichten, wenn er Anlass zu der Annahme hat, dass die Anweisungen einen Verstoß gegen das anwendbare Datenschutzrecht herbeifĂŒhren können. Der Auftragsverarbeiter kann die AusfĂŒhrung der betreffenden Weisung dann bis zu deren BestĂ€tigung bzw. Änderung durch den Vertreter des Verantwortlichen aufschieben.

11. Löschung Und RĂŒchgabe Personenbezogener Daten

11.1 Nach Abschluss der im Hauptvertrag vorgesehenen vertraglichen Arbeiten oder auf Wunsch des Verantwortlichen hat der Auftragsverarbeiter alle sich in seinem Besitz befindlichen Unterlagen sowie auch alle Arbeitsergebnisse und angefallenen Daten innerhalb eines angemessenen Zeitrahmens von maximal dreißig (30) Kalendertagen oder innerhalb einer anderen, in der Produktbeschreibung angegebenen Frist zu löschen, zu anonymisieren oder an den Verantwortlichen zurĂŒckzugeben. Gleiches gilt fĂŒr Testdaten.

11.2 Der Auftragsverarbeiter hat den Verantwortlichen, soweit gesetzlich zulĂ€ssig, unverzĂŒglich zu unterrichten, wenn eine betroffene Person ihm gegenĂŒber ihr Recht auf Auskunft, Berichtigung, EinschrĂ€nkung der Verarbeitung, Löschung („Recht auf Vergessenwerden“), DatenĂŒbertragbarkeit, Widerspruchsrecht gegen die Verarbeitung oder ihr Recht, keiner automatisierten Entscheidungsfindung zu unterliegen, ausĂŒbt.

11.3 Soweit dies möglich ist, hat der Auftragsverarbeiter je nach Art der Verarbeitung den Verantwortlichen mittels geeigneter technischer und organisatorischer Maßnahmen bei der ErfĂŒllung der Pflicht des Verantwortlichen nach anwendbarem Datenschutzrecht, der Anfrage einer betroffenen Person nachzukommen, zu unterstĂŒtzen. Die Pflicht zur Löschung der personenbezogenen Daten der betroffenen Person obliegt stets dem Verantwortlichen. Zur Klarstellung: Der Auftragsverarbeiter wird keine Löschung von Daten fĂŒr und im Namen des Verantwortlichen vornehmen, ausgenommen wie in den Nutzungsbedingungen beschrieben.

12. Freistellung

12.1 Der Verantwortliche stellt den Auftragsverarbeiter in Bezug auf alle Verbindlichkeiten, Kosten und Aufwendungen frei, die dem Auftragsverarbeiter in seiner Eigenschaft als Auftragsverarbeiter des Verantwortlichen aufgrund (i) einer Sicherheitsverletzung im Sinne dieses DPA, wenn diese Sicherheitsverletzung vom Verantwortlichen verursacht worden ist, oder (ii) einer FahrlĂ€ssigkeit oder Unterlassung seitens des Verantwortlichen bei der AusĂŒbung der ihm nach anwendbarem Recht zustehenden Rechte entstehen. Dies gilt mit der Maßgabe, dass:

a. der Auftragsverarbeiter den Verantwortlichen innerhalb eines angemessenen Zeitrahmens ĂŒber gegen ihn erhobene Klagen oder geltend gemachte AnsprĂŒche oder Forderungen unterrichtet;

b. der Auftragsverarbeiter keine Klagen, AnsprĂŒche oder Forderungen ohne die Zustimmung des Verantwortlichen vergleichsweise befriedigen, begleichen oder anerkennen wird, es sei denn, er ist dazu aufgrund der Anordnung eines zustĂ€ndigen Gerichts verpflichtet;

c. der Verantwortliche berechtigt ist, Klagen, AnsprĂŒche oder Forderungen auf eigene Kosten zu bestreiten oder beizulegen;

d. je nachdem, welcher der höhere Betrag ist, die Gesamthaftung des Verantwortlichen aus diesem DPA in jedem Fall auf maximal die drei- (3-)fache Höhe des Jahres-Tarifs des Kunden bzw. auf zehntausend Euro (EUR 10.000) beschrÀnkt ist, sofern die Gesetze der betreffenden Jurisdiktion nicht andere BeschrÀnkungen oder Haftungsgrenzen vorsehen; und

e. nichts in diesem DPA die Rechte des Verantwortlichen gegen den Auftragsverarbeiter oder eine andere Person im Fall eines Mitverschuldens beschrÀnken oder beeintrÀchtigen soll.

f. Der Auftragsverarbeiter verwirkt sein Recht auf Schadensersatz, wenn er wie vorstehend beschrieben entstandene SchÀden nicht innerhalb von zehn (10) Werktagen nach deren Eintritt und seiner Kenntnis davon schriftlich meldet oder ohne eine solche schriftliche Meldung beginnt, die SchÀden wiedergutzumachen.

g. Nichts in dieser Klausel 12.1. soll zu einer Haftung des Verantwortlichen fĂŒr Handlungen oder Unterlassungen des Auftragsverarbeiters fĂŒhren, die dieser unaufgefordert und unabhĂ€ngig von den ihm vom Verantwortlichen erteilten Weisungen vorgenommen hat. Klausel 12.1 gilt daher nicht fĂŒr etwaige Haftung, Kosten oder Aufwendungen, die allein auf FahrlĂ€ssigkeit, Vorsatz, Verzug oder Unterlassung des Auftragsverarbeiters, seiner Mitarbeiter, Vertragspartner, Unterauftragnehmer oder einer anderen außerhalb der Kontrolle des Verantwortlichen stehenden Person zurĂŒckzufĂŒhren sind.

12.1 Der Auftragsverarbeiter stellt den Verantwortlichen in Bezug auf alle Verbindlichkeiten, Kosten und Aufwendungen frei, die dem Verantwortlichen in seiner Eigenschaft als Verantwortlicher der Daten des Auftragsverarbeiters aufgrund (i) einer Sicherheitsverletzung im Sinne dieses DPA, wenn diese Sicherheitsverletzung vom Auftragsverarbeiter verursacht worden ist, oder (ii) einer FahrlĂ€ssigkeit oder Unterlassung seitens des Auftragsverarbeiters bei der AusĂŒbung der ihm nach anwendbarem Recht zustehenden Rechte entstehen. Dies gilt mit der Maßgabe, dass:

a. der Verantwortliche den Auftragsverarbeiter innerhalb eines angemessenen Zeitrahmens ĂŒber gegen ihn in Bezug auf eine angebliche Sicherheitsverletzung erhobene Klagen oder geltend gemachte AnsprĂŒche oder Forderungen unterrichtet;

b. der Auftragsverarbeiter berechtigt ist, Klagen, AnsprĂŒche oder Forderungen auf eigene Kosten zu bestreiten oder beizulegen;

c. je nachdem, welcher der höhere Betrag ist, die Gesamthaftung des Auftragsverarbeiters aus diesem DPA in jedem Fall auf maximal die drei- (3-)fache Höhe des Jahres-Tarifs des Kunden bzw. auf zehntausend Euro (EUR 10.000) beschrÀnkt ist, sofern die Gesetze der betreffenden Jurisdiktion nicht andere BeschrÀnkungen oder Haftungsgrenzen vorsehen; und

d. nichts in diesem DPA die Rechte des Auftragsverarbeiters gegen den Verantwortlichen oder eine andere Person im Fall eines Mitverschuldens beschrÀnken oder beeintrÀchtigen soll.

12.2 Im Fall eines durch die Handlungen eines Unterauftragsverarbeiters verursachten Verstoßes gegen dieses DPA tritt der Auftragsverarbeiter das ihm nach dem Unterauftragsverarbeiter-Vertrag zustehende Recht auf Ergreifung von Maßnahmen insoweit an den Verantwortlichen ab, als er dies fĂŒr den Schutz und die Sicherheit personenbezogener Daten fĂŒr erforderlich erachtet. Der Auftragsverarbeiter erkennt an und erklĂ€rt sich damit einverstanden, dass er gegenĂŒber dem Verantwortlichen fĂŒr jeden Verstoß gegen dieses DPA oder fĂŒr jeden Verstoß eines Unterauftragsverarbeiters oder eines von diesem beauftragten weiteren Auftragsverarbeiters gegen den Unterauftragsverarbeiter-Vertrag haftet.

13. Unterauftragsverarbeitung

13.1 FĂŒr die Zwecke dieses Hauptvertrags umfasst der Begriff „Unterauftragsverarbeitung“ keine Zusatzleistungen wie Telekommunikationsleistungen, Post-/Transportleistungen. Der Auftragsverarbeiter ist jedoch verpflichtet, angemessene und rechtlich bindende vertragliche Vereinbarungen zu treffen und geeignete Kontrollmaßnahmen zu ergreifen, um den Schutz und die Sicherheit der Daten des Verantwortlichen auch im Fall der Vergabe von Zusatzleistungen an Unterauftragsverarbeiter sicherzustellen.

13.2 Der Verantwortliche stimmt der Beauftragung der folgenden Unterauftragsverarbeiter vorbehaltlich einer vertraglichen Vereinbarung in Übereinstimmung mit den anwendbaren Datenschutzgesetzen zu:

Im Hinblick auf die Hinzuziehung von Unterauftragsverarbeitern, die ihren Sitz außerhalb des EuropĂ€ischen Wirtschaftsraums haben oder u.U. dort personenbezogene Daten verarbeiten, bevollmĂ€chtigt der Verantwortliche den Auftragsverarbeiter, in seinem Namen mit den Unterauftragsverarbeitern von der EU-Kommission genehmigte Standardvertragsklauseln fĂŒr die Übermittlung von personenbezogenen Daten in Drittstaaten abzuschließen.

13.3 Die Hinzuziehung weiterer Unterauftragsverarbeiter oder die Ersetzung bestehender Unterauftragsverarbeiter ist zulĂ€ssig, wenn der Auftragsverarbeiter dem Verantwortlichen die IdentitĂ€t des Unterauftragsverarbeiters und den Umfang der geplanten Unterauftragsverarbeitung schriftlich oder in Textform mitteilt und der Verantwortliche nicht innerhalb von zehn (10) Werktagen ab Unterrichtung durch den Auftragsverarbeiter schriftlich oder in Textform Einspruch gegen die geplante Unterauftragsverarbeitung erhebt. Der Verantwortliche darf der geplanten Unterauftragsverarbeitung nicht unbillig widersprechen. DarĂŒber hinaus gelten die folgenden Bestimmungen:

a. Die Übermittlung personenbezogener Daten an den Unterauftragsverarbeiter und die Datenverarbeitung durch den Unterauftragsverarbeiter dĂŒrfen erst nach ErfĂŒllung aller maßgeblichen Erfordernisse erfolgen;

b. bietet der Unterauftragsverarbeiter den vereinbarten Dienst außerhalb der EU / des EWR an, hat der Auftragsverarbeiter die Einhaltung des anwendbaren Datenschutzrechts sicherzustellen; und

c. der Auftragsverarbeiter hat dem Unterauftragsverarbeiter die gleichen oder wesentlich gleichen Datenschutzpflichten aufzuerlegen, wie sie in diesem DPA vorgesehen sind, insbesondere hinsichtlich der Leistung hinreichender Garantien, dass geeignete technische und organisatorische Maßnahmen so durchgefĂŒhrt werden, dass die Verarbeitung im Einklang mit anwendbarem Datenschutzrecht erfolgt.

13.4 Vor Aufnahme der Verarbeitung von Daten des Verantwortlichen durch einen Unterauftragsverarbeiter wird der Auftragsverarbeiter eine hinreichende Due Diligence in Bezug auf den Unterauftragsverarbeiter durchfĂŒhren, um sicherzustellen, dass der Unterauftragsverarbeiter in der Lage ist, das durch dieses DPA vorgesehene Schutzniveau zu bieten. Der Auftragsverarbeiter hat zudem sicherzustellen, dass die Vereinbarung zwischen dem Auftragsverarbeiter und dem betreffenden Unterauftragsverarbeiter einem schriftlichen Vertrag unterliegt, der dem Verantwortlichen mindestens das gleiche Schutzniveau bietet wie das vorliegende DPA und der die Anforderungen aus Artikel 28 Absatz 3 DSGVO erfĂŒllt.

ANLAGE 1: Beschreibung der Verarbeitungsprozesse

Zweck

Hotjar ist eine Digital-Experience-Plattform und bietet als All-in-one-Tool visuelle Einblicke in das Online-Verhalten, Echtzeit-Feedback und 1:1-Interviews. Durch die Kombination von A) Analyse- und B) Feedback-Tools und C) Nutzer-Interviews bietet Hotjar ihren Kunden ein „Gesamtbild“ davon, wie sie Benutzererfahrung und Leistung ihrer Websites verbessern können, und hilft ihnen bei ihrem Produktentwicklungsverfahren. Mit den Analyse-Tools (Observe) können Sie das Nutzerverhalten (was die Nutzer tun) messen und beobachten, wĂ€hrend Sie mit den Feedback-Tools (Ask) die Meinung Ihrer Nutzer erfahren (Stimme der Nutzer / Kunden). Mit Engage können Sie ganz leicht Nutzer-Interviews planen, durchfĂŒhren, aufzeichnen und teilen.

Mithilfe dieser Tools ermöglicht Hotjar ihren Nutzern, die Verhaltensmuster von deren Besuchern und Kunden auf deren gesamter WebprĂ€senz mithilfe der Analyse- und Feedback-Tools zu analysieren und zu verstehen. Diese Daten werden ausschließlich zur Verbesserung der FunktionalitĂ€t ihrer Website und/oder Apps und des gesamten Nutzer- und/oder Kundenerlebnisses erhoben.

FĂŒr weitere Informationen darĂŒber, welche Daten erhoben und welche Sicherheitsvorkehrungen zum Schutz dieser Daten ergriffen werden, verweisen wir auf die Hotjar-Nutzungsbedingungen und die -DatenschutzerklĂ€rung.

ANLAGE 2: Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter gewĂ€hrleistet und sichert in Bezug auf alle personenbezogenen Daten, die er fĂŒr den Verantwortlichen verarbeitet, zu, dass er jederzeit, jetzt und in Zukunft angemessene und ausreichende technische und organisatorische Sicherheitsvorkehrungen trifft zum Schutz der personenbezogenen Daten oder Informationen vor unbeabsichtigter oder unrechtmĂ€ĂŸiger Vernichtung oder unbeabsichtigtem Verlust oder unbeabsichtigter BeschĂ€digung oder Änderung, unbefugter Offenlegung oder unbefugtem Zugriff, insbesondere wenn die Verarbeitung die Übermittlung von Daten ĂŒber ein Netzwerk beinhaltet, sowie vor jeglichen anderen unrechtmĂ€ĂŸigen Formen der Verarbeitung.

Die Vorkehrungen umfassen u.a. physische Zugangskontrolle und logische Zugangskontrolle (d.h. nicht-physische Zugangskontrollvorkehrungen wie Passwörter), Datenzugriffskontrolle, DatenĂŒbertragungskontrolle, Eingabekontrolle, VerfĂŒgbarkeitsmaßnahmen und Datentrennung sowie insbesondere und auf jeden Fall die in der DatenschutzerklĂ€rung von Hotjar Privacy & Security Help Center aufgefĂŒhrten Maßnahmen.

Der Auftragsverarbeiter hat dem Verantwortlichen auf dessen Wunsch einen ausreichenden Nachweis der Einhaltung der einschlĂ€gigen Bestimmungen (z.B. der maßgeblichen Teile der VertrĂ€ge des Auftragsverarbeiters mit seinem Rechenzentrum-Anbietern) vorzulegen.

FĂŒr nĂ€here Angaben zu den von unserem Hosting-Anbieter angewandten, dem neuesten Stand der Technik entsprechenden Vorkehrungen verweisen wir auf den folgenden Link: https://aws.amazon.com/security/.

ANLAGE 3 – Jurisdiktionsspezifische Begriffe

Kalifornien (USA)

Die Definition von „anwendbares Datenschutzrecht“ umfasst den California Consumer Privacy Act von 2018, Cal. Civ. Code § 1798.100 et. seq. und den California Privacy Rights Act von 2020 (zusammen „CCPA“).

Sofern nicht anders beschrieben, umfassen die Definitionen von „Verantwortlicher“ auch „Unternehmen“, von „Auftragsverarbeiter“ auch „Dienstleister“, von „betroffene Person“ auch „Verbraucher“, von „personenbezogene Daten“ auch „personenbezogene Informationen“, wie jeweils im CCPA definiert.

Hotjar erkennt an und bestĂ€tigt, dass Hotjar keine personenbezogenen Daten als Gegenleistung fĂŒr Dienste oder andere Leistungen, die Hotjar dem Kunden im Rahmen des Hauptvertrags zur VerfĂŒgung stellt, erhĂ€lt oder verarbeitet. In Bezug auf personenbezogene Daten, die im Namen des Kunden verarbeitet werden, darf Hotjar weder Rechte noch Vorteile haben, ableiten oder ausĂŒben und wird personenbezogene Daten nur fĂŒr die Zwecke speichern, verwenden und offenlegen, fĂŒr die diese gemĂ€ĂŸ dem Hauptvertrag und diesem DPA zur VerfĂŒgung gestellt wurden. Hotjar sichert zu und gewĂ€hrleistet die Kenntnis der Regeln, Anforderungen und Definitionen des CCPA und verpflichtet sich, ohne vorherige schriftliche Zustimmung des Kunden keine personenbezogenen Daten, die im Rahmen dieses DPA verarbeitet werden, gemĂ€ĂŸ der Definition von „Verkaufen“ im CCPA zu verkaufen und keine Maßnahmen zu ergreifen, die dazu fĂŒhren wĂŒrden, dass eine Übermittlung personenbezogener Daten an oder durch Hotjar im Rahmen des Hauptvertrags oder dieses DPA als „Verkaufen“ dieser personenbezogenen Daten im Sinne des CCPA angesehen werden könnte.

Hotjar bestĂ€tigt, dass es sich bei ihren Unterauftragsverarbeitern um Dienstanbieter gemĂ€ĂŸ CCPA handelt, mit denen Hotjar einen schriftlichen Vertrag abgeschlossen hat, der im Wesentlichen Ă€hnliche Bedingungen wie dieses DPA enthĂ€lt. Hotjar fĂŒhrt bei seinen Unterauftragsverarbeitern eine Due Diligence durch.

Hotjar wird fĂŒr die Art der von ihr verarbeiteten personenbezogenen Daten angemessene Sicherheitsvorkehrungen treffen und beibehalten, wie in Anlage 2 (Sicherheit) zu diesem DPA dargelegt.

Die Verpflichtungen von Hotjar in Bezug auf Anfragen von betroffene Personen gelten auch fĂŒr die Verbraucherrechte nach dem CCPA.