AGB
Allgemeine Geschäftsbedingungen traveltermin.de
TravelTermin ist ein Dienstleistungsangebot von Veit Spiegelberg, Cranachstraße 47, 12157 Berlin (im Folgenden: »TravelTermin«).
TravelTermin bietet Dienstleistern aus der Reisebüro-Branche (im Folgenden: »Reisebüro«) im Wege eines »Software as a Service«-Angebots (im Folgenden: »Software«), die Möglichkeit, Termine mit ihren Kunden über das Internet zu vereinbaren und ihre Termine zu verwalten (im Folgenden: »Reisebüro«). Eine vertragliche Beziehung zwischen TravelTermin und Kunden des Reisebüros kommt dabei nicht zustande.
Die vorliegenden Allgemeinen Geschäftsbedingungen (im Folgenden: »AGB«) enthalten alle Regelungen zwischen TravelTermin und dem Reisebüro hinsichtlich des Vertragsgegenstands. Frühere Vereinbarungen und Festlegungen der Parteien über den Vertragsgegenstand verlieren mit dem Wirksamwerden dieser Bedingungen ihre Gültigkeit. Allgemeine Geschäftsbedingungen des Reisebüros sind und werden nicht Gegenstand der Beziehungen der Parteien zum Vertragsgegenstand. Ihrer Geltung wird vorab widersprochen.
§ 1 Vertragsgegenstand und Vertragsschluss
(1) Gegenstand dieses Vertrages ist die Überlassung von Software durch TravelTermin zur Nutzung durch das Reisebüro für den genannten Vertragszweck über eine Datenfernverbindung.
(2) Der Leistungsumfang der Software ergibt sich aus der Preisliste von TravelTermin.
(3) Die Software verbleibt dabei auf dem Server von TravelTermin. Von TravelTermin nicht geschuldet ist die Herstellung und Aufrechterhaltung der Datenverbindung zwischen dem IT-System des Reisebüros und dem von TravelTermin betriebenen Übergabepunkt.
(4) TravelTermin kann die Software im Rahmen der technischen Möglichkeiten ändern und in der jeweils aktuell angebotenen Version einsetzen. TravelTermin wird das Reisebüro auf eine Änderung der eingesetzten Software spätestens sechs Wochen vor dem Änderungszeitpunkt hinweisen. Ein Anspruch des Reisebüros auf den Einsatz einer neueren Version der Software besteht jedoch nicht.
(5) Der Vertrag kommt durch die Annahme der Bestellung durch TravelTermin zustande. TravelTermin teilt dem Reisebüro die Annahme der Bestellung in Textform mit.
§ 2 Schulung und Hotline
(1) TravelTermin führt für das Reisebüro eine telefonische Schulung zur Einführung in die Bedienung der Software durch. TravelTermin schuldet jedoch nicht die Zurverfügungstellung von Online-Hilfen, Handbüchern und/oder Dokumentationen. Führt eine Aktualisierung der Software nach Ansicht von TravelTermin zu einem erneuten Schulungsbedarf, so wird TravelTermin eine zusätzliche, die Neuerungen der Software behandelnde Schulung anbieten.
(2) TravelTermin stellt dem Reisebüro zur Unterstützung in technischen Fragen eine Hotline zur Verfügung, die über E-Mail oder Telefon zu erreichen ist. Die Hotline dient allein der Unterstützung des Reisebüros bei der Inanspruchnahme der nach diesem Vertrag geschuldeten Leistungen. Anfragen an die Hotline werden in der Reihenfolge ihres Einganges bearbeitet.
§ 3 Datenspeicherung und -übernahme
Das Reisebüro und seine Kunden haben die Möglichkeit, auf dem virtuellen Datenserver von TravelTermin Daten abzulegen, auf die das Reisebüro im Zusammenhang mit der Nutzung der überlassenen Software zugreifen kann. TravelTermin schuldet lediglich die Zurverfügungstellung von Speicherplatz zur Nutzung durch das Reisebüro und seinen Kunden. TravelTermin treffen hinsichtlich der übermittelten und verarbeiteten Daten keine Verwahrungs- oder Obhutspflichten. Für die Beachtung der handels- und steuerrechtlichen Aufbewahrungsfristen ist das Reisebüro verantwortlich.
§ 4 Verarbeitung personenbezogener Daten
(1) Verarbeitet das Reisebüro im Rahmen dieses Vertragsverhältnisses personenbezogene Daten, so ist es für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich. TravelTermin wird die vom Reisebüro übermittelten Daten nur im Rahmen der Weisungen des Reisebüros verarbeiten. Sofern TravelTermin der Ansicht ist, dass eine Weisung des Reisebüros gegen datenschutzrechtliche Vorschriften verstößt, wird er das Reisebüro hierauf unverzüglich hinweisen. Einzelheiten der Auftragsdatenverarbeitung sind in dem „Auftragsdatenverarbeitungsvertrag“ behandelt.
(2) TravelTermin bietet dem Kunden die verschlüsselte Übermittlung der Daten an.
§ 5 Datenherausgabe
(1) TravelTermin wird auf Anforderung des Reisebüros eine Kopie der von ihm auf dem ihm zugewiesenen Speicherplatz abgelegten Daten jederzeit, spätestens jedoch mit Beendigung des Vertragsverhältnisses unverzüglich herausgeben. Die Herausgabe der Daten erfolgt unter Berücksichtigung der Wünsche des Reisebüros auf einem Datenträger oder per Datenfernübertragung in dem Datenformat, in dem die Daten auf dem Datenserver abgelegt sind, abweichend hiervon in einem zwischen TravelTermin und Reisebüro vereinbarten Datenformat. Verlangt das Reisebüro die Herausgabe einer Kopie der Daten mehr als einmal in einem Kalenderquartal, so es hierfür ein gesondertes Entgelt zu zahlen.
(2) Ein Zurückbehaltungsrecht sowie das gesetzliche Vermieterpfandrecht (§ 562 BGB) stehen TravelTermin hinsichtlich der Daten des Kunden nicht zu.
(3) TravelTermin wird die Kundendaten 14 Tage nach der im Zusammenhang mit der Vertragsbeendigung erfolgten Übergabe der Daten an das Reisebüro löschen, sofern das Reisebüro nicht innerhalb dieser Frist mitteilt, dass die ihm übergebenen Daten nicht lesbar oder nicht vollständig sind. Das Unterbleiben der Mitteilung gilt als Zustimmung zur Löschung der Daten.
§ 6 Mitwirkungsleistungen des Reisebüros
(1) Die vertragsgemäße Inanspruchnahme der Leistungen von TravelTermin ist davon abhängig, dass die vom Reisebüro eingesetzte Hard- und Software, einschließlich Arbeitsplatzrechnern, Routern, Datenkommunikationsmitteln etc., den technischen Mindest-Anforderungen an die Nutzung der aktuell angebotenen Software-Version entsprechen und die vom Reisebüro zur Nutzung der Software berechtigten Nutzer mit der Bedienung der Software vertraut sind.
(2) Für die Einhaltung gesetzlicher Vorschriften im Zusammenhang mit seinen Termin-Angebotsinhalten und seinem eigenen Internet-Auftritt, insbesondere von Informationspflichten gegenüber seinen Kunden, ist das Reisebüro ausschließlich selbst verantwortlich.
§ 7 Rechte
(1) Das Reisebüro räumt TravelTermin das Recht ein, die von TravelTermin für das Reisebüro zu speichernden Daten vervielfältigen zu dürfen, soweit dies zur Erbringung der nach diesem Vertrag geschuldeten Leistungen erforderlich ist. Zur Beseitigung von Störungen ist TravelTermin zudem berechtigt, Änderungen an der Struktur der Daten oder dem Datenformat vorzunehmen.
(2) Das Reisebüro ist nicht berechtigt, Dritten die Inanspruchnahme der Leistungen von TravelTermin zu gestatten. Dritter ist nicht, wer Erfüllungsgehilfe des Reisebüros ist und die Leistungen unentgeltlich in Anspruch nimmt, wie beispielsweise Angestellte des Reisebüros, Freie Mitarbeiter im Rahmen des Auftragsverhältnisses etc.
§ 8 Vergütung
(1) Das Reisebüro hat für die von ihm gewählten Leistingen die sich aus der bei Vertragsschluss gültigen Preisliste von TravelTermin ergebenden Entgelte zu zahlen. Die Preisliste steht unter https://www.traveltermin.de/pricing zur Verfügung.
(2) Bei Abschluss des Vertrages wird der jährliche Gesamtbetrag (12 Monate) fällig.
§ 9 Vertragslaufzeit
(1) Der Vertrag läuft zunächst fest für einen Zeitraum von 12 Monaten, gerechnet vom Zeitpunkt des Vertragsschlusses. Sofern der Vertrag nicht mit einer Frist von 2 Wochen zum Ende der Vertragslaufzeit von einer der Parteien gekündigt wird, verlängert er sich um jeweils weitere 12 Monate.
(2) Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
(3) Jede Kündigung bedarf der Textform.
§ 10 Mängelhaftung
(1) Sind die von TravelTermin erbrachten Leistungen mangelhaft, weil ihre Tauglichkeit zum vertragsgemäßen Gebrauch nicht nur unerheblich aufgehoben ist, haftet TravelTermin gemäß den gesetzlichen Vorschriften für Sach- und Rechtsmängel. Für Mängel der Software, die bereits bei deren Überlassung an das Reisebüro vorhanden waren, haftet TravelTermin nur, wenn es diese Mängel zu vertreten hat.
(2) Das Reisebüro hat dem TravelTermin Mängel unverzüglich anzuzeigen.
§ 11 Haftungsmaßstab und -begrenzung
(1) TravelTermin haftet für Vorsatz und grobe Fahrlässigkeit nach den gesetzlichen Vorschriften. Für leichte Fahrlässigkeit haftet TravelTermin nur bei Verletzung einer wesentlichen Vertragspflicht (Kardinalpflicht) sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit. TravelTermin haftet dabei nur für vorhersehbare Schäden, mit deren Entstehung typischerweise gerechnet werden muss.
(2) Die Haftung ist im Falle leichter Fahrlässigkeit summenmäßig beschränkt auf EUR 5.000,00 EUR.
§ 12 Änderung der Vertragsbedingungen
TravelTermin ist berechtigt, diese Vertragsbedingungen wie folgt zu ändern oder zu ergänzen. TravelTermin wird dem Reisebüro die Änderungen oder Ergänzungen spätestens sechs Wochen vor ihrem Wirksamwerden in Textform ankündigen. Ist das Reisebüro mit den Änderungen oder Ergänzungen der Vertragsbedingungen nicht einverstanden, so kann es den Änderungen mit einer Frist von einer Woche zum Zeitpunkt des beabsichtigten Wirksamwerdens der Änderungen oder Ergänzungen widersprechen. Der Widerspruch bedarf der Textform. Widerspricht das Reisebüro nicht, so gelten die Änderungen oder Ergänzungen der Vertragsbedingungen als von ihm genehmigt. Im Falle eines Widerspruchs steht dem Reisebüro ein fristloses Kündigungsrecht zu. TravelTermin wird dem Reisebüro mit der Mitteilung der Änderungen oder Ergänzungen der Vertragsbedingungen auf die vorgesehene Bedeutung seines Verhaltens besonders hinweisen.
§ 13 Schlussbestimmungen
(1) Ein Zurückbehaltungsrecht kann nur wegen Gegenansprüchen aus dem jeweiligen Vertragsverhältnis geltend gemacht werden.
(2) Die Vertragsparteien können nur mit Forderungen aufrechnen, die rechtskräftig festgestellt oder unbestritten sind.
(3) Alle Änderungen, Ergänzungen und Kündigungen vertraglicher Vereinbarungen bedürfen der Schriftform, ebenso die Aufhebung des Schriftformerfordernisses, soweit dieser Vertrag nicht die Textform vorsieht.
(4) Sollten einzelne Bestimmungen der AGB ganz oder teilweise unwirksam sein oder werden, wird die Wirksamkeit der übrigen Bestimmungen hierdurch nicht berührt. Die Parteien verpflichten sich für diesen Fall, die ungültige Bestimmung durch eine wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der ungültigen Bestimmung möglichst nahe kommt. Entsprechendes gilt für etwaige Lücken der Vereinbarungen.
(5) Es gilt das Recht der Bundesrepublik Deutschland. Gerichtsstand ist Berlin.
© Veit Spiegelberg (TravelTermin)
Allgemeine Geschäftsbedingungen zur Auftragsverarbeitung
Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO
zwischen Veit Spiegelberg, Cranachstraße 47, 12157 Berlin als Auftragsverarbeiter (hier bezeichnet als „Auftragnehmer“) und seinen Vertragspartnern (hier bezeichnet als „Auftraggeber“) zur Nutzung von Software as a Service-Leistungen über https://www.traveltermin.de.Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich durch den Vertragsschluss zur Auftragsdatenverarbeitung ergeben. Sie sind damit eine Ergänzung zu den Allgemeinen Geschäftsbedingungen des Auftragnehmers, und werden vom Auftraggeber gemeinsam mit den Allgemeinen Geschäftsbedingungen anerkannt.
Präambel
Der Auftraggeber möchte den Auftragnehmer mit den in § 3 genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 DS-GVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.
§ 1 Begriffsbestimmungen
(1) Verantwortlicher ist gem. Art. 4 Abs. 7 DS-GVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
(2) Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
(3) Personenbezogene Daten sind gem. Art. 4 Abs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
(4) Besonders schutzbedürftige personenbezogene Daten sind personenbezogenen Daten gem. Art. 9 DS-GVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DS-GVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DS-GVO, biometrischen Daten gem. Art. 4 Abs. 14 DS-GVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DS-GVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
(5) Verarbeitung ist gem. Art. 4 Abs. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
(6) Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DS-GVO eine von einem Mitgliedstaat gem. Art. 51 DS-GVO eingerichtete unabhängige staatliche Stelle.
§ 2 Angabe der zuständigen Datenschutz-Aufsichtsbehörde
(1) Zuständige Aufsichtsbehörde für den Auftragnehmer ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit Frau Maja Smoltczyk, Friedrichstr. 219, 10969 Berlin.
(2) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
§ 3 Vertragsgegenstand
(1) Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich der Terminvereinbarungen im Internet auf Grundlage der AGB und des Leistungsangebots unter www.traveltermin.de des Auftragnehmers. Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag (und der dazugehörigen Leistungsbeschreibung). Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
(2) Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
(3) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
(4) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
§ 4 Weisungsrecht
(1) Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
(2) Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.
(3) Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
(4) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
§ 5 Art der verarbeiteten Daten, Kreis der Betroffenen
(1) Die Art der personenbezogenen Daten umfasst:
(a) IP Adresse und Zeitpunkt des Zugriffs;
(b) Personenstammdaten, also Daten über Namen sowie Anschrift der Kunden und der Mitarbeiter des Auftragegbers;
(c) Kontaktdaten wie Telefonnummern und E-Mail-Adressen;
(d) Sonstige für Termine erforderliche Informationen, die vom jeweiligen Auftraggeber festgelegt werden können.
(2) Die Kategorien betroffener Personen umfassen Kunden und Interessenten des Auftraggebers, die dessen durch den Auftragnehmer zur Verfügung gestellten Online-Terminvereinbarung nutzen, sowie die Mitarbeiter des Auftraggebers.
§ 6 Schutzmaßnahmen des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(3) Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.
§ 7 Informationspflichten des Auftragnehmers
(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
(a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
(b) eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(2) Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
(3) Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
(4) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DS-GVO liegen.
(5) Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 6 Abs. 2 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.
(6) Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.
(7) Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, dass alle Angaben gem. Art. 30 Abs. 2 DS-GVO enthält. Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
(8) An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
§ 8 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber überzeugt sich von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
(3) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
(4) Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung.
(5) Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 6 Abs. 4 auf Verlangen nach.
§ 9 Einsatz von Subunternehmern
(1) Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt, soweit er den Auftraggeber hiervon vorab in Kenntnis setzt und dieser der Beauftragung des Subunternehmers vorab schriftlich zugestimmt hat. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
(2) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
§ 10 Anfragen und Rechte Betroffener
(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DS-GVO.
(2) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
§ 11 Haftung
(1) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.
(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
§ 12 Außerordentliches Kündigungsrecht
(1) Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DS-GVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.
§ 13 Beendigung des Hauptvertrags
(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind nach DIN 66399 zu vernichten.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.
(3) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.
§ 14 Schlussbestimmungen
(1) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
(3) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
(4) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Berlin.