Informationen zur gemeinsamen Verarbeitung
gemäß Art. 26 Abs. 2 Satz 2 EU-Datenschutzgrundverordnung

1. Was ist der Grund für die gemeinsame Verantwortlichkeit und der Zweck der Verarbeitung?

Vodafone GmbH, Vodafone Deutschland GmbH und Vodafone West GmbH („Vodafone“) und Tellja („Tellja“) (nachfolgend „die Parteien“) haben eine Vereinbarung geschlossen, nach der Tellja für Vodafone ein Cashback-System zur Verfügung stellt. Über dieses können Personen (Cashback-Nutzer), die im Rahmen einer Cashback-Aktion erfolgreich Produkte oder Leistungen von Vodafone erwerben, eine Cashback-Prämie von Tellja erhalten.

Voraussetzung ist, dass der Cashback-Nutzer zuvor einen Vertrag mit Tellja über die Teilnahme an Cashback-Aktionen der Vodafone abschließt und anschließend im Webshop von Vodafone ein zur Teilnahme an Cashback-Aktionen freigegebenes Produkt oder eine entsprechende Leistung erwirbt. Kommen sowohl der Vertrag zwischen dem Cashback-Nutzer und Tellja über die Teilnahme an einer Cashback-Aktion („Cashback-Vertrag“) als auch der Vertrag zwischen dem Cashback-Nutzer und Vodafone über den Erwerb cashback-berechtigter Produkte oder Leistungen („Cashback-Sale“) zustande und sind alle weiteren Cashback-Voraussetzungen erfüllt, kann der Cashback-Nutzer von Tellja die auf der Webseite von Vodafone aufgeführte Cashback-Prämie erhalten.

Tellja kann die Cashback-Prämie nur dann an den Cashback-Nutzer auszahlen, wenn ein Vertragsschluss mit Vodafone nachweislich im Rahmen der Cashback-Aktion geschlossen wurde. Um dies festzustellen, erhält Tellja von Vodafone einzelne personenbezogene Daten (siehe unten) des Cashback-Nutzers, um sie dem Produkt- oder Leistungserwerb im Rahmen einer Cashback-Aktion zuzuordnen.

Vodafone und Tellja haben gemeinsam festgelegt, welche Partei für welchen Prozessabschnitt welche Aufgabe übernimmt und hierbei die personenbezogenen Daten des Cashback-Nutzers verarbeitet. Sie sind deshalb innerhalb der unter Ziffer 2 beschriebenen Prozessabschnitte gemeinsam für den Schutz der personenbezogenen Daten verantwortlich (Art. 26 DSGVO).

2. Für welche Prozessabschnitte besteht eine gemeinsame Verantwortlichkeit? Welche Partei kümmert sich um was?

Im Rahmen der gemeinsamen Verantwortlichkeit ist Vodafone für die Verarbeitung der personenbezogenen Daten von Personen (Cashback-Nutzern), die über die Vodafone Webshop-Seiten erhoben werden, auf den eigenen und von Vodafone genutzten Servern und Web-Präsenzen verantwortlich. Nimmt ein Cashback-Nutzer an einer Cashback-Aktion teil, schließt über die Vodafone Webshop-Seiten einen Cashback-Vertrag mit Tellja und bestellt ein cashback-berechtigtes Produkt oder eine cashback-berechtigte Leistung, werden bestimmte Daten von Vodafone erhoben und an Tellja übermittelt (Prozessabschnitt 1: Wirkbereich Vodafone).

Tellja ist für Datenverarbeitungen der ihr von Vodafone übermittelten Daten auf eigenen und von Tellja genutzten Servern verantwortlich. Hierbei ordnet Tellja die von Vodafone erhaltenen Daten dem Cashback-Nutzer zu (Prozessabschnitt 2: Wirkbereich Tellja).

Für folgende Bereiche besteht keine gemeinsame Verantwortlichkeit: Vodafone ist Verantwortlicher im Rahmen der Bestellung von für die Teilnahme an Cashback-Aktionen freigegebenen Produkten und Leistungen von Vodafone und des zugehörigen Vertragsschlusses (Cashback-Sale).

Im Übrigen sind die Parteien jeweils für die über die Übermittlung hinausgehende spätere Verarbeitung der Daten der Cashback-Nutzer auf den eigenen oder von ihnen jeweils genutzten Servern allein verantwortlich.

3. Welche personenbezogenen Daten werden im Rahmen der gemeinsamen Verantwortlichkeit verarbeitet?

Folgende personenbezogene Daten werden verarbeitet:

E-Mail-Adresse, Akzeptanz der Tellja AGB und Akzeptanz der Tellja Datenschutzerklärung durch den Cashback-Nutzer bei Abschluss des Cashback-Vertrags auf den Vodafone Webshop-Seiten im Rahmen der Teilnahme an einer Cashback-Aktion.
Informationen zum Vertragsschluss zwischen dem Cashback-Nutzer und Vodafone betreffend den Erwerb von Produkten oder Leistungen, die an einer Cashback-Aktion teilnehmen, nämlich die von Vodafone vergebene OrderID/Bestellnummer zu der Bestellung des Cashback-Nutzers, der Zeitpunkt der Bestellung und das bestellte Produkt bzw. die bestellte Leistung.
Endgültiges Zustandekommen oder Nichtzustandekommen des Vertrags zwischen Cashback-Nutzer und Vodafone über ein zur Teilnahme an einer Cashback-Aktion freigegebenes Produkt oder Leistung (durch Freigabe des Cashback-Sales als „erfolgreich“ oder Ablehnung der Freigabe).

4. Was haben Vodafone und Tellja vereinbart?

Im Rahmen ihrer gemeinsamen datenschutzrechtlichen Verantwortlichkeit haben Vodafone und Tellja vereinbart, wer von ihnen welche Pflichten nach den geltenden Datenschutzgesetzen erfüllt. Dies betrifft vor allem die Wahrnehmung der Betroffenenrechte und die Erfüllung der Informationspflichten.

Danach ist jede Partei eigenverantwortlich für die Beantwortung der an sie gerichteten Anfragen Betroffener zuständig.

Was bedeutet das konkret für den Cashback-Nutzer als Betroffenen?

Auch wenn eine gemeinsame Verantwortlichkeit besteht, erfüllen die Parteien die datenschutzrechtlichen Pflichten entsprechend ihrer jeweiligen Zuständigkeiten für die einzelnen oben beschriebenen Prozessabschnitte wie folgt:

Die Parteien erheben und verarbeiten personenbezogene Daten der Cashback-Nutzer nur, wenn und soweit eine rechtliche Grundlage hierfür vorhanden ist. Vodafone macht den betroffenen Personen die gemäß Art. 13 und 14 DSGVO erforderlichen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache unentgeltlich zugänglich. Hierbei lässt jede Partei der anderen Partei sämtliche dafür notwendigen Informationen aus ihrem Wirkbereich zukommen.

Betroffenenrechte können sowohl bei Vodafone als auch bei Tellja geltend gemacht werden. Betroffene erhalten die Auskunft grundsätzlich von der Stelle, bei der Rechte geltend gemacht wurden.

Näheres zu den Betroffenenrechten und wie Betroffene diese ausüben können, ist den jeweiligen Datenschutzinformationen von Vodafone (https://www.vodafone.de/unternehmen/soziale-verantwortung/datenschutz-privatsphaere.html) und Tellja (https://www.tellja.eu/de/disclaimer.html und https://www.tellja.eu/de/agb.html) zu entnehmen.

Die Parteien kümmern sich jeweils in ihrem Wirkbereich auch um die Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde sowie um die Benachrichtigung an die Betroffenen, soweit erforderlich. Dasselbe gilt auch für die für die Datenverarbeitung erforderliche Dokumentation.