Art. 26 DSGVO – Gemeinsam Verantwortliche

Um welche Verarbeitungen geht es?

Beschreibung der Verarbeitung

Bearbeitung der Anmeldung zum PAYBACK Programm, Austausch von Stammdaten im Rahmen der Anmeldung, laufende Verwaltung der Stammdaten

Verwaltung der Transaktionsdaten

Durchführung von Systemkommunikation (Punkteübersicht, Ausspielen von entsprechenden Partner-Coupons)

Durchführung werblicher Maßnahmen durch PAYBACK für Partner, inkl. vorheriger Datenauswahl

Zwecke der Verarbeitung

Begründung und Durchführung der Mitgliedschaft bei PAYBACK

Durchführung der Mitgliedschaft bei PAYBACK

Durchführung der Mitgliedschaft bei PAYBACK

Werbliche Nutzung der Daten im und für das PAYBACK Programm

Wer ist als gemeinsamer Verantwortlicher beteiligt?

PAYBACK GmbH ("PB")

ja

ja

ja

ja

PAYBACK Rabattverein ("RV")

ja

ja

ja

nein

Partner ("PA")

ja, der kartenausgebende Partner

nein

ja

ja

Welcher Verantwortliche erfüllt welche Pflicht?

Art. 13 – Informationspflicht bei Erhebung personenbezogener Daten

PB für sich und für den RV, teilweise auch für kartenausgebenden PA (soweit aus Gründen der Zweckmäßigkeit in den allgemeinen Datenschutzhinweisen angesprochen).
Kartenausgebender PA ergänzend für sich selbst, soweit es um Folge-Datenverarbeitung bei sich geht.

PB im Rahmen der allgemeinen Datenschutzhinweise für das Programm

PB für sich und für den RV, teilweise auch für PA (soweit aus Gründen der Zweckmäßigkeit in den allgemeinen Datenschutzhinweisen angesprochen).
PA ergänzend für sich selbst, soweit es um die Datenverarbeitung bei sich geht.

PB für sich und teilweise auch für PA (soweit aus Gründen der Zweckmäßigkeit in den allgemeinen Datenschutzhinweisen angesprochen).
PA ergänzend für sich selbst, soweit es um die Datenverarbeitung bei sich geht.

Art. 14 – Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben wurden

PB für sich und für den RV, teilweise auch für kartenausgebenden PA (soweit aus Gründen der Zweckmäßigkeit in den allgemeinen Datenschutzhinweisen angesprochen).
Kartenausgebender PA ergänzend für sich selbst, soweit es um Folge-Datenverarbeitung bei sich geht.

PB im Rahmen der allgemeinen Datenschutzhinweise für das Programm

PB für sich und für den RV, teilweise auch für PA (soweit aus Gründen der Zweckmäßigkeit in den allgemeinen Datenschutzhinweisen angesprochen).
PA ergänzend für sich selbst, soweit es um die Datenverarbeitung bei sich geht.

PB für sich und teilweise auch für PA (soweit aus Gründen der Zweckmäßigkeit in den allgemeinen Datenschutzhinweisen angesprochen).
PA ergänzend für sich selbst, soweit es um die Datenverarbeitung bei sich geht.

Art. 15 – Bearbeitung von Auskunftsverlangen

jeder für sich; PB Auskunft umfasst auch Auskunft über Daten des RV

jeder für sich; PB Auskunft umfasst auch Auskunft über Daten des RV

jeder für sich; PB Auskunft umfasst auch Auskunft über Daten des RV

jeder für sich

Art. 16 – Bearbeitung von Berichtigungsanfragen

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

Art. 17 oder 18 – Bearbeitung von Löschbegehren oder Beschränkung der Verarbeitung

und Art. 19 – Mitteilung der Löschpflicht

PB für sich und den RV, im Übrigen jeder für sich; wird ggfs. den anderen gemeinsam Verantwortlichen mitgeteilt

PB für sich und den RV

PB für sich und den RV, im Übrigen jeder für sich; wird ggfs. den anderen gemeinsam Verantwortlichen mitgeteilt

jeder für sich, wird ggfs. allen anderen gemeinsam Verantwortlichen mitgeteilt

Art. 20 – Abwicklung von Herausgabeverlangen (Datenportabilität)

PB für sich und den RV, im Übrigen jeder für sich

PB für sich und den RV, im Übrigen jeder für sich

PB für sich und den RV, im Übrigen jeder für sich

jeder für sich

Art. 21 – Bearbeitung von Widersprüchen

entfällt hier, da kein Widerspruchsrecht gegeben

entfällt hier, da kein Widerspruchsrecht gegeben

entfällt hier, da kein Widerspruchsrecht gegeben

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

Art. 24 i.V.m. Art. 32 – Festlegung, Dokumentation, Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen

PB für sich und den RV, im Übrigen jeder für die technisch bei sich durchgeführte Datenverarbeitung

PB für sich und den RV, im Übrigen jeder für die technisch bei sich durchgeführte Datenverarbeitung

PB für sich und den RV, im Übrigen jeder für die technisch bei sich durchgeführte Datenverarbeitung

jeder für die technisch bei sich durchgeführte Datenverarbeitung

Art. 28 – Einschaltung von Auftragsverarbeitern bzw. Unterauftragsverarbeitern und deren Überprüfung

PB für sich und den RV, im Übrigen jeder für die technisch bei sich durchgeführte Datenverarbeitung

PB für sich und den RV, im Übrigen jeder für die technisch bei sich durchgeführte Datenverarbeitung

PB für sich und den RV, im Übrigen jeder für die technisch bei sich durchgeführte Datenverarbeitung

jeder für die technisch bei sich durchgeführte Datenverarbeitung

Art. 30 – Führung des Verzeichnisses der Verarbeitungstätigkeiten

jeder für die Verfahren, für die er alleiniger Verantwortlicher ist.
Bei gemeinsamer Verantwortlichkeit: Jeder Beteiligte beschreibt den Teil der Verarbeitung, den er technisch durchführt

jeder für die Verfahren, für die er alleiniger Verantwortlicher ist.
Bei gemeinsamer Verantwortlichkeit: Jeder Beteiligte beschreibt den Teil der Verarbeitung, den er technisch durchführt

jeder für die Verfahren, für die er alleiniger Verantwortlicher ist.
Bei gemeinsamer Verantwortlichkeit: Jeder Beteiligte beschreibt den Teil der Verarbeitung, den er technisch durchführt

jeder für die Verfahren, für die er alleiniger Verantwortlicher ist.
Bei gemeinsamer Verantwortlichkeit: Jeder Beteiligte beschreibt den Teil der Verarbeitung, den er technisch durchführt

Art. 33, 34 – Prozess bei meldepflichtigen Datenpannen

jeder für sich; konkrete Meldungen werden durch PB koordiniert

jeder für sich; konkrete Meldungen werden durch PB koordiniert

jeder für sich; konkrete Meldungen werden durch PB koordiniert

jeder für sich; konkrete Meldungen werden durch PB koordiniert

Art. 37 – Benennung eines Datenschutzbeauftragten

jeder für sich

jeder für sich

jeder für sich

jeder für sich

Um welche Verarbeitungen geht es?

Beschreibung der Verarbeitung

Abfrage und Verwaltung von Einwilligungen (die PAYBACK GmbH und den kartenausgebenden Partner legitimieren); Bearbeitung eines Widerrufs der Einwilligung

Beendigung der PAYBACK Mitgliedschaft eines Kunden

Nutzung von PAY

Nutzung von PAYBACK Services bei Partner

Zwecke der Verarbeitung

Erfüllung der rechtlichen Pflichten bei nur per Einwilligung / per Interessenabwägung gestatteter werblicher Nutzung

Beendigung der Mitgliedschaft bei PAYBACK

Nutzung des Services PAY

Nutzung der PAYBACK Services bei Partner

Wer ist als gemeinsamer Verantwortlicher beteiligt?

PAYBACK GmbH ("PB")

ja

ja

ja

ja

PAYBACK Rabattverein ("RV")

nein

ja

nein

nein

Partner ("PA")

ja, der kartenausgebende Partner

nein

ja, der PAY akzeptierende Partner

ja, der PAYBACK Services bei Partner anbietende Partner

Welcher Verantwortliche erfüllt welche Pflicht?

Art. 13 – Informationspflicht bei Erhebung personenbezogener Daten

PB im Rahmen der allgemeinen Datenschutzhinweise für das Programm

PB im Rahmen der allgemeinen Datenschutzhinweise für das Programm

PB im Rahmen der Datenschutzhinweise für PAY

PB im Rahmen der Datenschutzhinweise für PAYBACK Services bei Partner

Art. 14 – Informationspflicht, wenn Daten nicht bei der betroffenen Person erhoben wurden

entfällt hier

entfällt hier

PB für sich und teilweise auch für PA (soweit aus Gründen der Zweckmäßigkeit in den allgemeinen Datenschutzhinweisen und den Datenschutzhinweisen für PAYBACK Services bei Partner angesprochen).

PA ergänzend für sich selbst, soweit es um Folge-Datenverarbeitung bei sich geht.

Art. 15 – Bearbeitung von Auskunftsverlangen

jeder für sich; PB Auskunft umfasst Information über alle im Rahmen des Programms erteilten Einwilligungen

jeder für sich; PB Auskunft umfasst auch Auskunft über Daten des RV

jeder für sich

jeder für sich

Art. 16 – Bearbeitung von Berichtigungsanfragen

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

Art. 17 oder 18 – Bearbeitung von Löschbegehren oder Beschränkung der Verarbeitung

und Art. 19 – Mitteilung der Löschpflicht

jeder für sich; wird ggfls. den anderen gemeinsam Verantwortlichen mitgeteilt

PB für sich und den RV

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

Art. 20 – Abwicklung von Herausgabeverlangen (Datenportabilität)

jeder für sich

jeder für sich

PB für sich und den RV, im Übrigen jeder für sich

jeder für sich

Art. 21 – Bearbeitung von Widersprüchen

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

entfällt hier, da kein Widerspruchsrecht gegeben

jeder für sich, wird ggfls. allen anderen gemeinsam Verantwortlichen mitgeteilt

entfällt hier, da kein Widerspruchsrecht gegeben

Art. 24 i.V.m. Art. 32 – Festlegung, Dokumentation, Überprüfung und Aktualisierung der technischen und organisatorischen Maßnahmen

jeder für die technisch bei sich durchgeführte Datenverarbeitung

PB für sich und den RV, im Übrigen jeder für die technisch bei sich durchgeführte Datenverarbeitung

jeder für die technisch bei sich durchgeführte Datenverarbeitung

jeder für die technisch bei sich durchgeführte Datenverarbeitung

Art. 28 – Einschaltung von Auftragsverarbeitern bzw. Unterauftragsverarbeitern und deren Überprüfung

jeder für die technisch bei sich durchgeführte Datenverarbeitung

PB für sich und den RV, im Übrigen jeder für die technisch bei sich durchgeführte Datenverarbeitung

jeder für die technisch bei sich durchgeführte Datenverarbeitung

jeder für die technisch bei sich durchgeführte Datenverarbeitung

Art. 30 – Führung des Verzeichnisses der Verarbeitungstätigkeiten

jeder für die Verfahren, für die er alleiniger Verantwortlicher ist.
Bei gemeinsamer Verantwortlichkeit: Jeder Beteiligte beschreibt den Teil der Verarbeitung, den er technisch durchführt

jeder für die Verfahren, für die er alleiniger Verantwortlicher ist.
Bei gemeinsamer Verantwortlichkeit: Jeder Beteiligte beschreibt den Teil der Verarbeitung, den er technisch durchführt

jeder für die Verfahren, für die er alleiniger Verantwortlicher ist.
Bei gemeinsamer Verantwortlichkeit: Jeder Beteiligte beschreibt den Teil der Verarbeitung, den er technisch durchführt

jeder für die Verfahren, für die er alleiniger Verantwortlicher ist.
Bei gemeinsamer Verantwortlichkeit: Jeder Beteiligte beschreibt den Teil der Verarbeitung, den er technisch durchführt

Art. 33, 34 – Prozess bei meldepflichtigen Datenpannen

jeder für sich; konkrete Meldungen werden durch PB koordiniert

jeder für sich; konkrete Meldungen werden durch PB koordiniert

jeder für sich; konkrete Meldungen werden durch PB koordiniert

jeder für sich; konkrete Meldungen werden durch PB koordiniert

Art. 37 – Benennung eines Datenschutzbeauftragten

jeder für sich

jeder für sich

jeder für sich

jeder für sich

Um welche Datenverarbeitungen geht es?

Beschreibung der Verarbeitung

PAYBACK Spielewelt

Zwecke der Verarbeitung

Auswahl und Anzeige von Spielen und Angeboten  in der PAYBACK Spielewelt

Wer ist als gemeinsamer Verantworlicher beteiligt?

PAYBACK GmbH
("PB")

ja

 adjoe
("PA")

ja

Welcher Verantwortliche erfüllt welche Pflicht?

Art. 12 Anlaufstelle und Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

PB für sich und  PA. Grundsätzlich können betroffene Personen gegenüber beiden Parteien ihre Rechte geltend machen. PB publiziert jedoch seine Kontaktdaten als generelle Anlaufstelle.

Art. 13 Informationspflicht bei Erhebung personenbezogener Daten

PB für sich und  PA. 

Art. 14 Informationspflicht, wenn Daten nicht bei Betroffenem erhoben wurden

PB für sich und  PA. 

Art. 15 Bearbeitung von Auskunftsverlangen

jeder für sich 

Art. 16 Bearbeitung von Berichtigungsanfragen

jeder für sich, wird aber innerhalb der gemeinsamen Verantwortlichkeit den jeweils anderen Verantwortlichen mitgeteilt

Art. 17 o. 18 Bearbeitungen von Löschbegehren oder Beschränkung der Verarbeitung und Art. 19 Mitteilung der Löschpflicht

jeder für sich, wird aber innerhalb der gemeinsamen Verantwortlichkeit den jeweils anderen Verantwortlichen mitgeteilt

Art. 20 Abwicklung von Herausgabeverlangen (Datenportabilität)

Jeder für sich

Art. 21 Bearbeitung von Widersprüchen

jeder für sich, wird aber innerhalb der gemeinsamen Verantwortlichkeit den jeweils anderen Verantwortlichen mitgeteilt

Art. 24 i.V. m. Art. 32 Festlegung, Dokumentation, Überprüfung und Aktualisierung der techn.-org. Maßnahmen

jeder, für die technisch jeweils bei ihm durchgeführte Datenverarbeitung

Art. 28 Einschaltung von Auftragsverarbeitern bzw. Unterauftragsverarbeitern und deren Überprüfung

jeder, für die technisch jeweils bei ihm durchgeführte Datenverarbeitung

Art. 30 Führung des Verzeichnisses der Verarbeitungstätigkeiten

jeder für die Verfahren, für die er alleiniger Verantwortlicher ist. Bei gemeinsamer Verantwortlichkeit: Jeder Beteiligte beschreibt den Teil der Verarbeitung, den er technisch durchführt

Art. 33, 34 Prozess bei meldepflichtigen Datenpannen

jeder für sich; konkrete Meldungen werden durch PB koordinert

Art. 37 Benennung eines Datenschutzbeauftragten

jeder für sich

Um welche Datenverarbeitungen geht es?

Beschreibung der Verarbeitung

PAYBACK Audience Activation

Zwecke der Verarbeitung

Teilen von Zielgruppen (Custom Audiences und Lookalikes) zur zielgruppenspezifischen werblichen Ansprache durch Partner. Ermöglichung der Nachweis-
erbringung für Aussteurung der Kampagnen sowie für Abrechnungsmodalitäten.

Wer ist als gemeinsam Verantwortlicher beteiligt?

PAYBACK GmbH
("PB")

ja

Partner
("PA")

ja

Welcher Verantwortliche erfüllt welche Pflicht?

Art. 13 Informationspflicht bei Erhebung personenbezogener Daten

PB für sich und teilweise auch für PA (soweit aus Gründen der Zweckmäßigkeit in den allgemeinen Datenschutzhinweisen angesprochen). PA ergänzend für sich selbst, soweit es um die Datenverarbeitung bei sich geht

Art. 14 Informationspflicht, wenn Daten nicht bei Betroffenem erhoben wurden

Entfällt nach Art. 14 Abs. 5 lit. a) DSGVO

Art. 15 Bearbeitung von Auskunftsverlangen

Jede Partei für sich.
PB stellt Informationen über Zielgruppen auf Anfrage des Partners bereit, sofern keine Ausnahme nach Art. 11 DSGVO vorliegt.

Art. 16 Bearbeitung von Berichtigungsanfragen

Jede Partei für sich.
PB nimmt Berichtigung auf Anfrage des Partners vor, sofern keine Ausnahme nach Art. 11 DSGVO vorliegt.

Art. 17 o. 18 Bearbeitungen von Löschbegehren oder Beschränkung der Verarbeitung und Art. 19 Mitteilung der Löschpflicht

Jede Partei für sich.
PB nimmt Löschung der Zielgruppen auf Anfrage des Partners vor, sofern keine Ausnahme nach Art. 11 DSGVO vorliegt.
Partner nimmt Löschung der Reportings auf Anfrage von PB vor, sofern keine Ausnahme nach Art. 11 DSGVO vorliegt.

Art. 20 Abwicklung von Herausgabeverlangen (Datenportabilität)

Jede Partei für sich.
PB stellt Informationen über Zielgruppen auf Anfrage des Partners bereit, sofern keine Ausnahme nach Art. 11 DSGVO vorliegt.

Art. 21 Bearbeitung von Widersprüchen

Jede Partei für sich.
PB setzt Widerspruch auf Anfrage des Partners um.

Art. 24 i.V. m. Art. 32 Festlegung, Dokumentation, Überprüfung und Aktualisierung der techn.-org. Maßnahmen

Jeder für sich.

Art. 28 Einschaltung von Auftragsverarbeitern bzw. Unterauftragsverarbeitern und deren Überprüfung

Jeder für sich.

Art. 30 Führung des Verzeichnisses der Verarbeitungstätigkeiten

Jeder für sich.

Art. 33, 34 Prozess bei meldepflichtigen Datenpannen

Jeder für sich; konkrete Meldungen
werden durch PB koordinert

Art. 35 Datenschutz-Folgenabschätzungen

Jeder für sich, soweit (künftig) erforderlich.

Art. 37 Benennung eines Datenschutzbeauftragten

Jeder für sich.