Anhang 1
GIRAFFE360 AUFTRAGSVERARBEITUNGSVEREINBARUNG (AVV)

1. Hintergrund

  1. 1.1 Diese Datenverarbeitungsvereinbarung und ihre Anhänge (die „AVV“) gelten für Kunden mit Geschäftstätigkeit in den Ländern des Europäischen Wirtschaftsraums (EWR) und im Vereinigten Königreich (UK) und stellen die Vereinbarung zwischen Giraffe360 und dem Kunden hinsichtlich der Verarbeitung von Kundendaten durch Giraffe360 als Auftragsverarbeiter im Auftrag des Kunden als Verantwortlicher dar.
  2. 1.2 Diese AVV ist Bestandteil der Nutzungsbedingungen von Giraffe360 zwischen dem Kunden und Giraffe360 (die „Vereinbarung“). Im Falle eines Konflikts zwischen einer der Bestimmungen diese AVV und den Bestimmungen der Vereinbarung haben die Bestimmungen der AVV Vorrang.

2. Definitionen

Sofern nachfolgend nicht anders angegeben, hat jeder großgeschriebene Begriff in dieser AVV die in der Vereinbarung festgelegte Bedeutung und die folgenden in diesem AVV verwendeten großgeschriebenen Begriffe werden wie folgt definiert:

„Anweisungen“ bezeichnet die schriftlichen, dokumentierten Anweisungen des Kunden an Giraffe360, die Giraffe360 anweisen, eine bestimmte oder allgemeine Maßnahme in Bezug auf Kundendaten durchzuführen.

„Auftragsverarbeiter“ bezeichnet eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Auftragsverarbeiter im Sinne dieser AVV ist Giraffe360.

„Betroffene Person“ bezeichnet die Person, auf die sich die personenbezogenen Daten beziehen.

„Datenschutzgesetze“ bezeichnet die DSGVO, alle nationalen Umsetzungs- oder ergänzenden Rechtsvorschriften sowie alle anderen geltenden Rechtsvorschriften zum Schutz der Grundrechte und -freiheiten von Personen und ihres Rechts auf Privatsphäre im Hinblick auf die Verarbeitung von Kundendaten.

„DSGVO“ bezeichnet die EU-Datenschutzgrundverordnung 2016/679 des Europäischen Parlaments und des Rates und gegebenenfalls die „UK-DSGVO“ (UK GDPR) gemäß der Definition in The Data Protection, Privacy and Electronic Communications (Amendment Etc.) (EU Exit) Regulations 2019.

„Europäischer Wirtschaftsraum“ oder „EWR“ bezeichnet die Mitgliedstaaten der Europäischen Union zusammen mit Island, Norwegen und Liechtenstein.

„Kundendaten“ bezeichnet alle personenbezogenen Daten in den Giraffe360-Inhalten und alle anderen Inhalte oder Daten, die der Kunde Giraffe360 zur Verfügung stellt und die von Giraffe360 im Zusammenhang mit der Bereitstellung des Giraffe360-Dienstes gehostet werden, einschließlich Immobiliendaten, Kundenprofildaten und Kundendaten des Kunden, wie in Abschnitt 3.1 dieser AVV näher beschrieben.

„Personenbezogene Daten“ bezeichnet alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie in den einschlägigen Datenschutzgesetzen definiert.

„Unterauftragsverarbeiter“ bezeichnet jeden von Giraffe360 beauftragten Auftragsverarbeiter, der Kundendaten von Giraffe360 verarbeitet.

„Verantwortlicher“ bezeichnet die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Für die Zwecke dieser AVV ist der Kunde der Verantwortliche.

„Verarbeitung“ bezeichnet jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten. Die Begriffe „verarbeiten“ und „verarbeitet“ sind entsprechend auszulegen.

„Verletzung des Schutzes personenbezogener Daten“ bezeichnet die versehentliche oder unrechtmäßige Zerstörung, den Verlust, die Veränderung, die Beschädigung, die unbefugte Offenlegung oder den unbefugten Zugriff auf Kundendaten, wie in den einschlägigen Datenschutzgesetzen definiert.

3. Datenverarbeitung

  1. 3.1 Giraffe360 verarbeitet die folgenden Kategorien personenbezogener Daten von den folgenden betroffenen Personen zu den unten genannten Zwecken:
    1. Immobiliendaten: Dazu gehören Bilder, Videos, Punktwolken, virtuelle Rundgänge, Grundrisse, GPS-Standortdaten, Informationen auf der Landing Page der Immobilienpräsentation und andere zugehörige Immobilieninformationen, die vom Kunden erfasst, aus der Giraffe360-Kamera extrahiert oder vom Kunden als Ergebnis der kundenseitigen Nutzung des Giraffe360-Dienstes bereitgestellt wurden. Obwohl diese Informationen in der Regel keine natürlichen Personen identifizieren, können sie in seltenen Fällen Immobilieneigentümer, Personen, deren Daten während eines Scans erfasst werden, oder den Kunden identifizieren. Es liegt in der Verantwortung des Kunden, sicherzustellen, dass die erfassten Daten keine verbotenen personenbezogenen Daten gemäß den Nutzungsbedingungen enthalten. Immobiliendaten werden verarbeitet, um Giraffe360-Inhalte zu erstellen.
    2. Kundenprofildaten: Dazu gehören personenbezogene Daten des Kunden, seiner Vertreter oder Mitarbeiter, wie z. B. Vor- und Nachnamen, E-Mail-Adressen, Telefonnummern, Fotos, Slogans und Hyperlinks zu Social-Media-Konten, die der Kunde während der Nutzung des Giraffe360-Dienstes über das Dashboard bereitstellt. Diese Daten werden verarbeitet, um Folgendes zu ermöglichen: Erstellung von Dashboard-Profilen für den Kunden, seine Vertreter oder Mitarbeiter; Zugriff auf Giraffe360-Inhalte im Dashboard; Teilen von Giraffe360-Inhalten sowie Bereitstellung von Informationen über den Kunden, seine Vertreter oder Mitarbeiter über den Giraffe360-Dienst.
    3. Kundendaten des Kunden: Hierzu gehören die personenbezogenen Daten der Kunden des Kunden, wie z. B. Vor- und Nachnamen, E-Mail-Adressen, Telefonnummern und Nachrichten potenzieller Immobilienkäufer oder Mieter. Diese Daten werden dem Kunden über das Dashboard zur Verfügung gestellt. Sie werden erfasst, wenn der Kunde die Leads-Funktion aktiviert, die es seinen Kunden ermöglicht, ihre Kontaktdaten zu hinterlassen, damit der Kunde mit ihnen Kontakt aufnehmen kann. Diese Funktion kann von Kunden im Dashboard deaktiviert werden.
  2. 3.2 Die Kundendaten werden im Rahmen der Erbringung der im Vertrag und dieser AVV festgelegten Dienstleistungen bis zur Beendigung des Vertrags fortlaufend übermittelt.

4. Verpflichtungen des Kunden

  1. 4.1 Der Kunde ist für die Einhaltung aller für ihn geltenden Anforderungen der Datenschutzgesetze in Bezug auf die Verarbeitung personenbezogener Daten durch den Kunden verantwortlich.
  2. 4.2 Insbesondere, aber unbeschadet der Allgemeingültigkeit des Vorstehenden, erkennt der Kunde an und stimmt zu, dass er allein verantwortlich ist für:
    1. die Richtigkeit, Qualität und Rechtmäßigkeit der Kundendaten und die Mittel, mit denen der Kunde diese Daten erworben hat;
    2. die Einhaltung aller notwendigen Transparenz- und Rechtmäßigkeitsanforderungen gemäß den Datenschutzgesetzen für die Erhebung und Verwendung von Kundendaten, einschließlich der Bereitstellung angemessener Hinweise, der Einholung aller erforderlichen Zustimmungen und Genehmigungen und der Berücksichtigung von Opt-out-Einstellungen (insbesondere für die Verwendung durch den Kunden für Marketingzwecke); und
    3. die Sicherstellung seiner Befugnis, die Kundendaten zur Verarbeitung gemäß den Bedingungen der Vereinbarung (einschließlich dieser AVV) an Giraffe360 zu übertragen oder Zugriff darauf zu gewähren.
  3. 4.3 Der Kunde informiert Giraffe360 unverzüglich, wenn er seinen Pflichten gemäß diesem Abschnitt oder den Datenschutzgesetzen nicht nachkommen kann.
  4. 4.4 Der Kunde ist dafür verantwortlich, dass seine Anweisungen an Giraffe360 bezüglich der Verarbeitung von Kundendaten den geltenden Gesetzen, einschließlich der Datenschutzgesetze, entsprechen.
  5. 4.5 Die Parteien vereinbaren, dass die Vereinbarung (einschließlich dieser AVV) zusammen mit der Nutzung des Giraffe360-Dienstes durch den Kunden gemäß der Vereinbarung die vollständigen Anweisungen des Kunden an Giraffe360 in Bezug auf die Verarbeitung von Kundendaten durch Giraffe360 darstellen, wobei der Kunde während der Vertragslaufzeit zusätzliche Anweisungen erteilen kann, die mit der Vereinbarung sowie der Art und rechtmäßigen Nutzung des Giraffe360-Dienstes vereinbar sind.
  6. 4.6 Der Kunde ist dafür verantwortlich, selbstständig zu prüfen, ob die im Giraffe360-Dienst vorgesehene Datensicherheit seinen datenschutzrechtlichen Verpflichtungen angemessen entspricht. Der Kunde ist außerdem für die sichere Nutzung des Giraffe360-Dienstes verantwortlich.

5. Verpflichtungen von Giraffe360

  1. 5.1 Als Auftragsverarbeiter personenbezogener Daten verarbeitet Giraffe360 Kundendaten ausschließlich zu den in dieser Datenverarbeitungsvereinbarung beschriebenen Zwecken oder wie anderweitig im Rahmen der rechtmäßigen Anweisungen des Kunden vereinbart, es sei denn, geltendes Recht schreibt etwas anderes vor. In diesem Fall informiert Giraffe360 den Kunden, soweit gesetzlich zulässig, vor der Verarbeitung der Kundendaten über die rechtlichen Anforderungen. Giraffe360 ist nicht für die Einhaltung der für den Kunden oder seine Branche geltenden Datenschutzgesetze verantwortlich, die nicht allgemein für Giraffe360 gelten.
  2. 5.2 Giraffe360 wird geeignete technische und organisatorische Maßnahmen zum Schutz der Kundendaten gemäß den Datenschutzgesetzen implementieren und aufrechterhalten („Sicherheitsmaßnahmen“). Ungeachtet anderslautender Bestimmungen kann Giraffe360 die Sicherheitsmaßnahmen nach eigenem Ermessen ändern oder aktualisieren, sofern diese Änderung oder Aktualisierung nicht zu einer wesentlichen Verschlechterung des durch die Sicherheitsmaßnahmen gebotenen Schutzes führt.
  3. 5.3 Der Verantwortliche und der Auftragsverarbeiter werden unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete Sicherheitsmaßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, darunter unter anderem:
    1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
    2. geeignete Sicherheitsmaßnahmen, um die Fähigkeit aufrechtzuerhalten, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Verarbeitungssysteme und -dienste auf Dauer sicherzustellen;
    3. geeignete Sicherheitsmaßnahmen, um die Fähigkeit aufrechtzuerhalten, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
    4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
  4. 5.4 Giraffe360 stellt sicher, dass alle Mitarbeiter, die befugt sind, Kundendaten im Auftrag von Giraffe360 zu verarbeiten, den entsprechenden Vertraulichkeitsverpflichtungen in Bezug auf die Kundendaten unterliegen.
  5. 5.5 Innerhalb von 30 Tagen nach Beendigung des Vertrags löscht Giraffe360 alle Kopien der von Giraffe360 im Rahmen dieser AVV verarbeiteten Kundendaten oder gibt sie nach Wahl des Kunden zurück. Der Kunde teilt Giraffe360 seine Entscheidung innerhalb von 14 Werktagen nach Beendigung des Vertrags mit. Diese 30-Tages-Frist gilt, sofern wir nicht gesetzlich verpflichtet sind, einige oder alle Kundendaten aufzubewahren.
  6. 5.6 Giraffe360 kann Immobiliendaten sowohl während als auch nach Beendigung des Vertrags für maschinelles Lernen und das Trainieren von KI-Modellen sowie zur Serviceverbesserung aufbewahren und verwenden. Diese Verarbeitung erfolgt durch Giraffe360 als Verantwortlicher und gemäß der Datenschutzrichtlinie von Giraffe360.
  7. 5.7 Giraffe360 kann Kundendaten in dem Umfang und für den Zeitraum aufbewahren, wie es Giraffe360 für die Verfolgung oder Verteidigung von Rechtsansprüchen für notwendig erachtet, vorausgesetzt, dass diese Kundendaten nur in dem Umfang und für den Zeitraum aufbewahrt werden, wie es nach geltendem Recht erforderlich ist, oder bis zur Lösung eines Problems, und immer unter der Voraussetzung, dass Giraffe360 die Vertraulichkeit aller dieser Kundendaten gewährleistet.

6. Unterauftragsverarbeiter

  1. 6.1 Der Kunde erteilt Giraffe360 hiermit eine allgemeine schriftliche Genehmigung zur Beauftragung von Unterauftragsverarbeitern zur Unterstützung bei der Erbringung der Giraffe360-Dienste. Giraffe360 stellt sicher, dass alle Unterauftragsverarbeiter vertraglich verpflichtet sind und mindestens das gleiche Datenschutzniveau gewährleisten, wie es in dieser AVV und den geltenden Datenschutzgesetzen gefordert wird. Eine aktuelle Liste der Unterauftragsverarbeiter mit Name, Standort und Zweck ist auf der Giraffe360-Website („Liste der Unterauftragsverarbeiter“) verfügbar.
  2. 6.2 Giraffe360 behält sich das Recht vor, die Liste der Unterauftragsverarbeiter bei Bedarf zu aktualisieren. Ergänzungen oder Änderungen der Liste der Unterauftragsverarbeiter werden mindestens 15 Tage vor der Ermächtigung des neuen Unterauftragsverarbeiters zur Verarbeitung von Kundendaten auf der Website veröffentlicht. Kunden werden gebeten, die Liste der Unterauftragsverarbeiter regelmäßig zu überprüfen.
  3. 6.3 Sollte ein Kunde aufgrund berechtigter Datenschutzbedenken begründete Einwände gegen einen neuen Unterauftragsverarbeiter erheben, muss er Giraffe360 innerhalb von 15 Tagen nach Veröffentlichung der Aktualisierung schriftlich benachrichtigen. Nach Eingang eines Einspruchs bespricht Giraffe360 die Bedenken des Kunden und bemüht sich nach bestem Wissen und Gewissen um eine einvernehmliche Lösung. Geht innerhalb der 15-tägigen Frist kein Einspruch ein, gilt der aktualisierte Unterauftragnehmer als vom Kunden akzeptiert.
  4. 6.4 Giraffe360 bleibt jederzeit für die Einhaltung seiner Verpflichtungen aus der AVV verantwortlich und haftet gegenüber dem Kunden für die Handlungen und Unterlassungen eines Unterauftragnehmers, als wären es die Handlungen und Unterlassungen von Giraffe360.

7. Internationale Datenübermittlungen

  1. 7.1 Giraffe360 übermittelt Kundendaten nicht an einen Empfänger in einem Land oder Gebiet außerhalb des EWR oder des Vereinigten Königreichs, es sei denn:
    1. der Empfänger oder das Land oder Gebiet, in dem er Kundendaten verarbeitet oder auf diese zugreift, bietet ein angemessenes Schutzniveau für die Rechte und Freiheiten der betroffenen Personen in Bezug auf die Verarbeitung von Kundendaten, wie von der Europäischen Kommission festgestellt; oder
    2. die Übermittlung basiert auf den Standardvertragsklauseln (Auftragsverarbeiter), die durch den Durchführungsbeschluss (EU) 2021/914 der Kommission genehmigt wurden (oder nachfolgender Versionen), oder einem anderen gesetzlich anerkannten Übermittlungsmechanismus.

8. Datensicherheit, Audits und Sicherheitsbenachrichtigungen

  1. 8.1 Der Kunde kann nach angemessener Ankündigung und zu angemessenen Zeiten die Einhaltung der Sicherheitsmaßnahmen durch Giraffe360 prüfen (entweder selbst oder durch unabhängige externe Prüfer), unter anderem durch die Durchführung von Audits der Datenverarbeitungseinrichtungen von Giraffe360. Giraffe360 unterstützt und trägt zu allen gemäß dieser AVV durchgeführten Audits bei, sofern diese Prüfungen nicht öfter als einmal jährlich durchgeführt werden.
  2. 8.2 Auf Anfrage des Kunden stellt Giraffe360 alle erforderlichen Informationen zum Nachweis der Einhaltung dieser AVV und der Datenschutzgesetze zur Verfügung.
  3. 8.3 Sofern gemäß Artikel 28(3)(h) der DSGVO erforderlich, wird Giraffe360 den Kunden unverzüglich benachrichtigen, falls Giraffe360 der Ansicht ist, dass die Anweisungen des Kunden den Anforderungen der DSGVO oder anderen Gesetzen der EU, UK oder von EWR-Mitgliedstaaten widersprechen.
  4. 8.4 Giraffe360 benachrichtigt den Kunden unverzüglich schriftlich, sobald ihm eine Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit Kundendaten und der gemäß dieser AVV durchgeführten Verarbeitung bekannt wird. Giraffe360 wird dem Kunden angemessene Unterstützung bieten, um die Einhaltung der geltenden Datenschutzgesetze im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten sicherzustellen, einschließlich Unterstützung bei allen behördlichen Untersuchungen, Benachrichtigungen an Aufsichtsbehörden und/oder betroffene Personen.
  5. 8.5 Bei der Meldung einer Verletzung des Schutzes personenbezogener Daten kommuniziert Giraffe360 in klarer und einfacher Sprache, soweit dies angesichts der verfügbaren Informationen möglich ist, mindestens: eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, den Namen und die Kontaktdaten des Datenschutzbeauftragten („DSB“) oder einer anderen Kontaktstelle, bei der weitere Informationen erhältlich sind, eine Beschreibung der möglichen Folgen der Verletzung des Schutzes personenbezogener Daten und eine Beschreibung der getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, gegebenenfalls einschließlich der getroffenen Maßnahmen zur Minderung möglicher nachteiliger Auswirkungen.

9. Zugriffsanfragen und Rechte der Betroffenen

  1. 9.1 Sofern nicht nach geltendem Recht vorgeschrieben (oder verboten), benachrichtigt Giraffe360 den Kunden über jede Anfrage, die Giraffe360 von einer betroffenen Person erhält, sei es direkt oder über einen Unterauftragsverarbeiter, in Bezug auf ihre personenbezogenen Daten, die in den Kundendaten enthalten sind, antwortet jedoch der betroffenen Person nicht.
  2. 9.2 Giraffe360 bietet dem Kunden die Möglichkeit, die Kundendaten im Einklang mit der Funktionalität des Giraffe360-Dienstes und soweit möglich zu korrigieren, löschen, sperren, darauf zuzugreifen oder sie zu kopieren.
  3. 9.3 Giraffe360 benachrichtigt den Kunden über alle Anfragen zur Offenlegung von Kundendaten durch eine Regierungs- oder Regulierungsbehörde oder Strafverfolgungsbehörde (einschließlich Datenschutzaufsichtsbehörden), sofern dies nicht gesetzlich oder aufgrund einer rechtsverbindlichen Anordnung einer solchen Stelle oder Behörde verboten ist.
  4. 9.4 Gegebenenfalls wird Giraffe360 unter Berücksichtigung der Art der Verarbeitung und soweit nach den geltenden Datenschutzgesetzen erforderlich:
    1. alle zumutbaren Anstrengungen unternehmen, um den Kunden durch geeignete technische und organisatorische Maßnahmen zu unterstützen, soweit dies möglich ist, um die Verpflichtung des Kunden zur Beantwortung von Anfragen zur Ausübung der in der DSGVO festgelegten Rechte betroffener Personen zu erfüllen; und
    2. dem Kunden angemessene Unterstützung bei Datenschutz-Folgenabschätzungen und bei allen vorherigen Konsultationen mit einer Aufsichtsbehörde des Kunden zu leisten, jeweils ausschließlich in Bezug auf die Verarbeitung von Kundendaten und unter Berücksichtigung der Giraffe360 zur Verfügung stehenden Informationen.