gemäß Art. 26 DSGVO§ 1 Anwendungsbereich
der A&M Unternehmerberatung GmbH, Großer Kolonnenweg 18, 30163 Hannover (nachfolgend „A&M“)
Präambel: Wirksamkeit und rechtliche Einordnung
Diese Vereinbarung regelt die datenschutzrechtlichen Rechte und Pflichten zwischen der A&M GmbH und dem Kunden (nachfolgend „Partner“). Da A&M die wesentlichen Mittel der Datenverarbeitung (Funnels, IT-Infrastruktur, Algorithmen) stellt und die generierten Datensätze (Leads) sowohl für die vertrieblichen Zwecke des Partners als auch ausdrücklich für eigene kommerzielle Zwecke der A&M (Plattform-Betrieb, telefonische Vorqualifizierung & Lead-Brokerage) verarbeitet werden, legen die Parteien die Zwecke und Mittel der Verarbeitung gemeinsam fest. Es liegt eine Gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO vor. Ein reiner, weisungsgebundener Auftragsverarbeitungsvertrag (Art. 28 DSGVO) findet auf grund der eigenen Zweckbestimmung der A&M ausdrücklich keine Anwendung. Diese Vereinbarung ist als statisches Website-Dokument konzipiert und wird ohne gesonderte Unterschriften allein durch den Verweis im Angebot oder Hauptvertrag im B2B-Verhältnis rechtswirksam in die Zusammenarbeit einbezogen. Sie ersetzt vollumfänglich alle etwaigen vorherigen Auftragsverarbeitungsverträge für diese Zwecke.
(1) Die Parteien arbeiten bei der Generierung, Qualifizierung und Verwertung von digitalen Kundenanfragen (Leads) über von A&M gesteuerte Werbekampagnen und Funnels eng zusammen.
(2) Die detaillierte Rollenverteilung – insbesondere die Sphären-Trennung zwischen dem internen A&M-System ("Cockpit") und dem System des Partners ("Contactcloud") – sowie die Kategorien der Daten sind in Anlage 1 abschließend definiert.
(1) Vorqualifizierung (A&M-Cockpit): Die Parteien vereinbaren, dass A&M die Leads als primäre Vermittlungsinstanz generiert und in einer eigenen, autonomen Systemumgebung ("Cockpit") speichert. Zur Qualitätssicherung kontaktiert A&M die Interessenten vorab telefonisch eigenständig. Bis zur Übermittlung des Leads in die Systeme des Partners obliegt die alleinige Verarbeitungshoheit der A&M.
(2) Zweck 1 (Partner): Der primäre Zweck für den Partner ist die Entgegennahme der durch A&M vorqualifizierten Leads zur vertrieblichen Anbahnung und Erbringung eigener Dienstleistungen.
(3) Zweck 2 (Eigennutzung & Brokerage durch A&M): A&M ist vollumfänglich und alleinig berechtigt, generierte Leads als eigenständiger Datenherr dauerhaft in der Master-Datenbank ("Cockpit/ContactCloud")zu behalten und an alternative Fachbetriebe, Drittunternehmen oder Mitbewerber zu vermitteln bzw. zu veräußern, sofern:
a) der Lead aufgrund der Vorqualifizierung oder der eingegebenen Daten (z. B. fehlendes Budget, Unternehmensgröße, Region) objektiv oder subjektiv vom Idealprofil des Partners abweicht,
b) der Partner einen Lead aus kaufmännischen, strategischen, kapazitären oder qualitativen Gründen aktiv ablehnt oder aussortiert,
c) der Partner einen übermittelten Lead nicht innerhalb einer angemessenen Frist bearbeitet (Wahrung der Nutzerinteressen an zeitnaher Hilfe), oder
d) sich der Partner mit fälligen Vergütungsansprüchen gegenüber A&M in Zahlungsverzug befindet.
(4) Ausschluss von Sperrwirkungen: Ein exklusives "Eigentum" oder eine vertragliche Sperrwirkung des Partners an abgelehnten, unpassenden oder unbezahlten Leads ist rechtlich ausgeschlossen. Dem Partner steht bezüglich des Weiterverkaufs der Daten durch A&M an Dritte in den vorgenannten Fällen kein Unterlassungs-, Auskunfts-oder Vergütungsanspruch zu.
Befindet sich der Partner mit fälligen Vergütungsansprüchen in Zahlungsverzug, ist A&M berechtigt, die vertragliche Übermittlung neuer Leads an die Contactcloud des Partners sofort auszusetzen (kaufmännisches Zurückbehaltungsrecht) und Systemzugänge zusperren. A&M macht in diesem Fall vollumfänglich von ihrem Verwertungsrecht nach § 2 Abs. 3 Gebrauch und wird die im Cockpit vorliegenden Datensätze zur eigenen Schadensminderung und Profitabilität direkt an andere Anbieter auf dem Markt veräußern. Ein Entschädigungs- oder Herausgabeanspruch des Partners ist ausgeschlossen.
(1) Gemäß Art. 26 Abs. 2 DSGVO ist den Betroffenen das "Wesentliche der Vereinbarung" bereitzustellen. A&M übernimmt die Erfüllung dieser Pflichten (Art. 13/14 DSGVO) im Rahmen der Funnel-Erstellung.
(2) Zur datenschutz- und wettbewerbsrechtlichen Absicherung (§ 7 UWG) der telefonischen Vorqualifizierung und des potenziellen Weiterverkaufs an Dritte (Brokerage) stimmt der Partner unwiderruflich zu, dass A&M im Funnel-Prozess unmittelbar am Absende-Button zwingend folgende oder sinngemäße, conversion-optimierte Einwilligungserklärung implementiert:
"Mit Klick auf den Button stellen Sie eine Vermittlungsanfrage, akzeptieren unsere Datenschutzerklärung und stimmen ausdrücklich zu, dass der zuständige Fachpartner Sie telefonisch und per E-Mail kontaktieren darf. Sollte dieser Ihre Anfrage nicht annehmen können oder zeitnah bearbeiten, stimmen Sie der Weiterleitung an eine geprüfte Alternative aus unserem Netzwerk zu, die Sie ebenfalls kontaktieren darf. Ein Widerruf ist jederzeit möglich."
Die detaillierte Mechanik der telefonischen Vorqualifizierung im Namen des Partners (White-Labeling) sowie der alternativen Vermittlung (Brokerage) wird in der öffentlichen Datenschutzerklärung der A&M transparent abgebildet.
Mit Klick auf den Button stellen Sie eine Vermittlungsanfrage, akzeptieren unsere [Datenschutzerklärung] und stimmen ausdrücklich zu, dass wir sowie unsere passenden Fachpartner Sie zu Ihrer Anfrage telefonisch und per E-Mail kontaktieren dürfen. Ein Widerruf ist jederzeit möglich.
(3) Der Partner verpflichtet sich, diesen Transparenzhinweis in den von A&M erstellten Funnels nicht zu entfernen, zu umgehen oder zu beanstanden.
(1) Souveränität der Datenbestände (Lösch-Firewall): Macht ein Betroffener sein Recht auf Löschung oder den Widerruf seiner Einwilligung (Art. 17, Art. 7 Abs. 3 DSGVO) primär beim Partner geltend, so hat der Partner differenziert zu prüfen, ob sich der Widerruf nur auf sein eigenes Unternehmen oder ausdrücklich auch auf die Vermittlungstätigkeit der A&M GmbH bezieht.
a) Spezifischer Widerruf: Bezieht sich der Widerruf erkennbar auf die vertriebliche Ablehnung der Dienstleistung des Partners (z.B. "Kein Interesse an Ihrem Angebot", "Rufen Sie nicht mehr an"), löscht der Partner die Daten ausschließlich in seiner eigenen Sphäre (Contactcloud). Die eigenständige Verarbeitungsbefugnis und das Vermittlungsrecht der A&M in ihrer autonomen Master-Datenbank ("Cockpit") bleiben hiervon unberührt. Der Partner ist im Innenverhältnis ausdrücklich nicht berechtigt, eigenmächtig die Löschung bei A&M anzuordnen.
b) Totaler Widerruf: Nur wenn der Betroffene gegenüber dem Partner ausdrücklich und nachweisbar auch die generelle Einwilligung zur Vermittlung durch die A&M-Plattform widerruft, ist der Partner verpflichtet, dies der A&M unverzüglich mitzuteilen, damit A&M den Datensatz im Cockpit rechtmäßig sperren oder löschen kann.
(2) Kostenpflichtige Mitwirkung (Abwehr von unbezahltem Aufwand): Soweit der Partner zur Erfüllung seiner eigenen gesetzlichen Datenschutz-Pflichten, Löschroutinen oder zur Dokumentation die operative oder technische Mitwirkung von A&M anfordert, ist diese Mitwirkung vollumfänglich kostenpflichtig und wird dem Partner nachdem jeweils aktuellen Berater-Stundensatz der A&M GmbH in Rechnung gestellt.
(1) Da es sich um eine Gemeinsame Verantwortlichkeit handelt, entfallen einseitige, anlasslose Vor-Ort-Kontrollrechte des Partners. Die Einhaltung der DSGVO durch A&M wird primär durch die Bereitstellung von Eigenerklärungen (Management-Declarations) oder Zertifikaten nachgewiesen.
(2) Verlangt der Partner aus zwingenden gesetzlichen Gründen dennoch ein Audit (Vor-Ort-Kontrolle) bei A&M, muss dieses mit einer Vorlaufzeit von mindestens 30 Tagen in Textform angekündigt werden und darf den Betriebsablauf nicht stören.
(3) Kostenübernahme: Der gesamte Personal- und Zeitaufwand, der A&M durch die Vorbereitung, Begleitung und Nachbereitung eines Audits entsteht, wird dem Partner nach den üblichen Berater-Stundensätzen in Rechnung gestellt. Audits dürfen erst nach vorheriger schriftlicher Bestätigung der Kostenübernahme durch den Partner begonnen werden.
(1) A&M entscheidet autonom über die Auswahl der technischen Infrastruktur zur Funnel-Bereitstellung und Systemsteuerung (siehe Anlage 2). Eine Zustimmung des Partners bei Software-Wechseln ist nicht erforderlich.
(2) Beide Parteien gewährleisten in ihrem Bereich ein dem Risiko angemessenes Schutzniveau (Art. 32 DSGVO). Die technischen und organisatorischen Maßnahmen (TOMs) von A&M sind in Anlage 3 beschrieben.
(3) Freistellung: Im Innenverhältnis stellt der Partner A&M von jeglichen Ansprüchen Dritter (inklusive Aufsichtsbehörden und Abmahnkosten) vollumfänglich frei, die durch Datenschutz- oder Wettbewerbsverstöße in der alleinigen Sphäre des Partners entstehen (z. B. unerlaubte werbliche Kontaktierung des Leads nach einem beim Partner erfolgten Widerruf).
1. Rollenverteilung der Gemeinsamen Verantwortlichen:
Rolle A&M GmbH: Bereitstellung der Funnels und IT-Infrastruktur, Lead-Generierung, Speicherung im internen A&M-System ("Cockpit"), aktive telefonische Vorqualifizierung der Interessenten, anschließende Übermittlung an den Partner ("Contactcloud") sowie die kommerzielle Weitervermittlung (Brokerage/Verkauf) der Leads an Dritte, falls der Datensatz für den primären Partner abweichend/ungeeignet ist, von diesem abgelehnt wird, Kapazitäten fehlen oder ein Zahlungsverzug besteht.
Rolle Partner: Entgegennahme der durch A&M vorqualifizierten Leads aus der Contactcloud zum finalen vertrieblichen Geschäftsabschluss und Erbringung der eigenen Dienstleistung am Endkunden.
2. Gegenstand und Zweck der Verarbeitung: Generierung und telefonische Vorqualifizierung von Anfragen als Vermittlungsplattform sowie die Zweitverwertung / der Weiterverkauf (Brokerage) durch die A&M GmbH bei Abweichung vom Kundenprofil, aktiver Ablehnung durch den Partner oder Zahlungsverzug.
3. Art der personenbezogenen Daten: Firmenname, Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Qualifizierungsdaten aus dem Funnel und der telefonischen Vorqualifizierung (z.B. Budget, Zeitraum), Datum/Uhrzeit der Kontaktaufnahme.
4. Kategorien betroffener Personen: Interessenten (Leads) der Werbekampagnen / Plattform-Nutzer.
Die A&M setzt autonom folgende reine Infrastruktur-Dienstleister ein (ein angemessenes Schutzniveau bei Drittlandübermittlungen ist durch aktuelle Angemessenheitsbeschlüsse der EU-Kommission wie das EU-US Data Privacy Framework bzw. Standardvertragsklauseln sichergestellt):
- Etison LLC (ClickFunnels), 2020 3443 W. Bavaria St. Eagle Idaho 83616, USA
- Google Ireland Ltd, Gordon House Barrow Street Dublin 4, Irland
- Zapier, Inc., 548 Market St. #62411 San Francisco, CA 94104-5401, USA
- Amazon Web Services EMEA SARL (AWS), Serverstandort: Central Europe, Frankfurt am Main
(Hinweis: Interne Dienstleister der A&M GmbH, die nicht in die Lead-Verarbeitung involviert sind [z.B. Lohnbuchhaltung, Versicherung], sind ausdrücklich nicht Teil dieser Anlage).
Die A&M trifft nachfolgende Maßnahmen i.S.d. Art. 32 DSGVO zur Gewährleistung eines angemessenen Schutzniveaus:
1. Vertraulichkeit:
- Zutrittskontrolle: Der Firmensitz ist durch verschlossene Eingänge gesichert. Zugang nur für autorisiertes Personal. Besucher nur in Begleitung und nach Anmeldung.
- Zugangskontrolle: Restriktive Passwortrichtlinien (mind. 8 Zeichen, erzwungener Wechsel) für Systeme wie das "Cockpit".
- Zugriffskontrolle: Strikte Anwendung des "Need-to-Know"-Prinzips. Nur aktiv am Projekt beteiligte Mitarbeiter, Assistenz sowie die Geschäftsführung erhalten Zugang. Berechtigungen werden turnusmäßig überprüft.
- Trennung & Verschlüsselung: Daten der Partner werden logisch voneinander getrennt verarbeitet. Die Übertragung von und zu den Kundenbereichen erfolgt ausschließlich SSL-verschlüsselt.
2. Integrität & Verfügbarkeit:
- Die Systemzugriffe werden elektronisch protokolliert.
- Alle Mitarbeiter der A&M sind vor Tätigkeitsbeginn vertraglich und schriftlich auf das Datengeheimnis und die absolute Vertraulichkeit verpflichtet.
- Datenbestände ("Cockpit") werden regelmäßigen Backups unterzogen. Einsatz redundanter Cloud-Systeme und unterbrechungsfreier Stromversorgung in den Rechenzentren der Infrastruktur-Provider (AWS/Google).
3. Verfahren zur regelmäßigen Überprüfung und Evaluierung:
- Regelmäßige Datenschutz-Unterweisungen der Mitarbeiter.
- Privacy by Default: Standardmäßige Auswahl datenschutzfreundlicher Voreinstellungen in der genutzten Systemumgebung.
- Führung eines aktuellen Verarbeitungsverzeichnisses (VVT) gem. Art. 30 DSGVO.
Hannover, 09.03.26
