Allgemeine Geschäftsbedingungen für die Nutzung der Datenschutzsoftware der Jurando GmbH nebst Auftragsverarbeitungsvertrag und die Tätigkeit der Jurando GmbH als externer Datenschutzbeauftragter sowie die individuelle Datenschutzberatung durch die Jurando GmbH (Stand: 11.12.2019)
I. Gegenstand und Leistungen
1.
Die folgenden Bedingungen enthalten die zwischen Ihnen, dem Kunden, und uns, der Jurando GmbH,
geltenden Bestimmungen für die Nutzung der Datenschutzsoftware der Jurando GmbH, die Tätigkeit
der Jurando GmbH als externer Datenschutzbeauftragter und der individuellen Datenschutzberatung
durch die Jurando GmbH. Abweichende oder entgegenstehende Bedingungen werden von uns nicht
anerkannt, sofern wir diesen nicht ausdrücklich zugestimmt haben.
2.
Mit der Buchung der Datenschutzsoftware kommt ein Vertrag zwischen dem Kunden und der JURANDO
GmbH über die entgeltpflichtige Nutzung der von der Jurando GmbH bereitgestellten
Datenschutzsoftware und über die entgeltpflichtige Tätigkeit der Jurando GmbH als externer
Datenschutzbeauftragter zu Stande (siehe Anlage 1). Bezüglich der Nutzung der
Datenschutzsoftware kommt zudem ein Auftragsverarbeitungsvertrag gem. Anlage 3 zu Stande. Bucht
der Kunde eine individuelle Datenschutzberatung, kommt ein Dienstvertrag hierüber zu Stande.
3.
Wir schließen ausschließlich Verträge mit Unternehmern im Sinne des § 14 BGB. Ausdrücklich
erfolgt kein Vertragsschluss mit Verbrauchern im Sinne des § 13 BGB.
4.
Die Datenschutzsoftware der Jurando GmbH bietet ein Datenschutz-Management-System zur Erfüllung
der Mindestanforderungen der EU-Datenschutzgrundverordnung (DSGVO). Art und Umfang der
Leistungen der Datenschutzsoftware ergeben sich aus der diesen Bedingungen beigefügten Anlage 2.
II. Vertragsschluss, Vertragstextspeicherung, Informationspflichten
1.
Nach Angabe Ihrer Daten im Bestellformular unserer Website können Sie mit einem Klick auf den
Button „Jetzt kostenpflichtiges Abo abschließen“ ein Angebot auf Abschluss dieses
Nutzungsvertrages bzgl. der Datenschutzsoftware der Jurando GmbH und der Bestellung der JURANDO
GmbH zum externen Datenschutzbeauftragten abgeben.
2.
Wenn wir das Angebot annehmen, schicken wir Ihnen per E-Mail eine Bestätigungsmail mit Ihren
Zugangsdaten (Benutzername und Passwort).
3.
Sie sind verpflichtet, die Zugangsdaten geheim zu halten und diese Dritten keinesfalls
mitzuteilen.
4.
Der Vertragsschluss erfolgt in deutscher Sprache. Der Vertragstext wird von uns gespeichert und
Ihnen mit der den Vertrag zu Stande bringenden Bestätigungsmail und danach auf Verlangen nebst
diesen Bedingungen per E-Mail zugesandt.
5.
Alternativ kommt der Vertrag per Angebot und Annahme zu Stande. Wir schicken Ihnen ein Angebot
über unsere Leistungen, welches Sie annehmend zurückschicken.
III. Entgelt und Zahlung
1.
Das vereinbarte monatliche Entgelt versteht sich zzgl. der jeweils geltenden gesetzlichen
Umsatzsteuer. Es ist mit Vertragsschluss fällig und für jede Laufzeit (siehe Ziffer V.) im
Voraus zu zahlen.
2.
Über ggf. anfallende Zusatzentgelte aus der Tätigkeit der Jurando GmbH als externer
Datenschutzbeauftragter (vgl. Anlage 1) rechnen wir monatlich ab. Derartige Entgelte sind mit
Rechnungsstellung fällig und sofort ohne Abzug zahlbar.
3.
Individuelle Datenschutzberatung ist mit dem vereinbarten Stundensatz zzgl. der jeweils
geltenden gesetzlichen Umsatzsteuer bei minutengenauer Abrechnung zu vergüten. Über derartige
Leistungen rechnen wir ca. monatlich ab. Derartige Entgelte sind mit Rechnungsstellung fällig
und sofort ohne Abzug zahlbar.
IV. Haftung
1.
Die Jurando GmbH haftet unbeschränkt
- bei Vorsatz oder grober Fahrlässigkeit,
- für die Verletzung von Leben, Leib oder Gesundheit,
- nach den Vorschriften des Produkthaftungsgesetzes sowie
- im Umfang einer vom Auftragnehmer übernommenen Garantie.
3. Eine weitergehende Haftung der Jurando GmbH besteht nicht.
4. Die vorstehende Haftungsbeschränkung gilt auch für die persönliche Haftung der Mitarbeiter, Vertreter und Organe der Jurando GmbH.
V. Vertragslaufzeit und Kündigung
1. Der Vertrag beginnt mit unserer Bestätigungsmail gem. Ziffer II. bzw. Ihrer Annahmeerklärung und wird auf die Dauer von einem Jahr geschlossen. Er verlängert sich um jeweils ein weiteres Jahr, wenn er nicht mit einer Frist von 3 Monaten zum Ende eines Vertragsjahres gekündigt wird.
2. Die Kündigung bedarf der Textform.
3. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.
Anlage 1 – Dienstvertrag über die Leistungen als externer Datenschutzbeauftragter (sofern gebucht)
I. VertragsgegenstandDie Jurando GmbH übernimmt im Zusammenhang mit ihrer Benennung zum externen Datenschutzbeauftragten des Auftraggebers für den Auftraggeber die Erbringung von Leistungen eines Datenschutzbeauftragten nach Maßgabe dieses Dienstvertrags.
II. Pflichten des externen Datenschutzbeauftragten, kein Weisungsrecht, kein Vertretungsrecht
1. Ihre Verpflichtungen aus diesem Dienstvertrag wird die Jurando GmbH durch von ihr zu beschäftigende qualifizierte Personen erfüllen, die die Anforderungen von Art. 37 Abs. 5 DSGVO erfüllen.
2. Die Jurando GmbH trägt Sorge dafür, dass sich die von ihr zur Erfüllung ihrer Verpflichtungen aus diesem Vertrag eingesetzten qualifizierten Personen zunächst hinreichend aus- und sodann zwecks Aufrechterhaltung des notwendigen Fachwissens laufend fortbilden. Diesbezügliche Aufwendungen sind mit der vereinbarten Pauschalvergütung abgegolten. Auf Anforderung des Auftraggebers stellt die Jurando GmbH entsprechende Aus- und Fortbildungsbescheinigungen in Kopie zur Verfügung bzw. hält diese zum Abruf in der JURANDO Software bereit.
3. Die Jurando GmbH erfüllt als externer Datenschutzbeauftragter die Aufgaben nach Art. 39 DSGVO.
4. Der Jurando GmbH werden keinerlei Weisungsrechte gegenüber den Arbeitnehmern des Auftraggebers eingeräumt und der Jurando GmbH steht kein Recht zu, den Auftraggeber zu vertreten.
III. Vergütung des externen Datenschutzbeauftragten
1. Die Leistungen der Jurando GmbH als externer Datenschutzbeauftragter sind in der vereinbarten monatlichen Pauschalgebühr enthalten, soweit im Folgenden nicht etwas Abweichendes geregelt ist.
2. In der monatlichen Pauschalgebühr sind monatlich zwei Fragen über die Beratungsfunktion der JURANDO Software enthalten, wenn sich die Fragen nicht auf Sachverhalte jenseits des Tagesgeschäfts (z. B. datenschutzrechtliche Machbarkeit neuer Geschäftsmodelle) oder auf die Beurteilung von konkreten Marketing-, Werbe- oder Vertriebsmaßnahmen (z. B. Durchführung von Gewinnspielen) beziehen. Darüber hinaus gilt Folgendes:
3. Die nachfolgend aufgezählten Leistungen erbringt die Jurando GmbH durch die von ihr beschäftigen Personen gegen eine aufwandsbezogene Vergütung zu dem vereinbarten Stundenhonorar zzgl. Umsatzsteuer in gesetzlicher Höhe im Zeitpunkt der Leistungserbringung bei minutengenauer Abrechnung. Diese Leistungen können vom Auftraggeber jederzeit durch Anforderung in Textform, z.B. über die Beratungsfunktion der JURANDO Software oder per E-Mail, in Anspruch genommen werden. Gesondert vergütungspflichtig sind:
- die Beantwortung von Fragen über die Beratungsfunktion der JURANDO Software ab der dritten Frage im Monat;
- die Beantwortung von Fragen jenseits des Tagesgeschäfts (z. B. datenschutzrechtliche Machbarkeit neuer Geschäftsmodelle) oder die Beurteilung von konkreten Marketing-, Werbe- oder Vertriebsmaßnahmen (z. B. Durchführung von Gewinnspielen);
- die Überprüfung von Verarbeitungsvorgängen auf die Einhaltung der rechtlichen Vorgaben zum Datenschutz und zur Datensicherheit;
- die Mitwirkung an der Bearbeitung von Auskunfts-, Löschungs-, Berichtigungs-, Beschränkungs-, Datenübertragungs- und Widerspruchsersuchen von betroffenen Personen und einer Beratung des Auftraggebers in Bezug auf diese Ersuchen, falls im Einzelfall gewünscht;
- die Bearbeitung von oder, je nach Einzelfall, zielgerichtete Weiterleitung von datenschutzrechtlich relevanten Anfragen (Art. 38 Abs. 4 DSGVO) an die zuständigen Mitarbeiter des Auftraggebers, welche der Auftraggeber auf jederzeitiges Verlangen der Jurando GmbH benennen wird;
- die Kommunikation mit der gem. Art. 55, 56 DSGVO zuständigen Aufsichtsbehörde, insbesondere auch im Zusammenhang mit Sachverhalten betreffend die Verletzungen des Schutzes personenbezogener Daten („Datenschutzverletzung“, Art. 33 DS-GVO) einschließlich vorbeugender Maßnahmen zur Verhinderung und vorbereitender Maßnahmen im Hinblick auf adäquate Reaktionen;
- die Mitwirkung bei der Durchführung der Datenschutz-Folgenabschätzung bei Verarbeitungen, die voraussichtlich hohe Risiken für Rechte und Freiheiten von betroffenen Personen haben (Art. 35 DSGVO);
- die Wahrnehmung von Besprechungen und anderen Terminen;
- die Mitwirkung bei der Erstellung betrieblicher Anweisungen und Richtlinien zum datenschutzkonformen Umgang mit personenbezogenen Daten, etwa hinsichtlich des Umgangs mit E-Mail und Internet am Arbeitsplatz;
- die Durchführung von Vor-Ort-Prüfungen („Audits“) bei Subunternehmern, Vorlieferanten oder anderen für den Auftraggeber tätigen Dienstleistern, insbesondere auch die Durchführung von Kontrollen im Rahmen von Auftragsverarbeitungsverhältnissen i. S. v. Art. 28 DSGVO;
IV. Verzicht auf Amtsniederlegung
Die Jurando GmbH verzichtet im Voraus auf ihr Recht, das ihr durch die Benennung zum Datenschutzbeauftragten des Auftraggebers übertragene Amt vor der Beendigung der Laufzeit dieses Dienstvertrags einseitig niederzulegen. Jede Kündigung dieses Dienstvertrags durch die Jurando GmbH werden die Parteien gleichzeitig als Niederlegung des Amtes zum Zeitpunkt des Wirksamwerdens der Kündigung behandeln.
V. Haftung des externen Datenschutzbeauftragten
1. Die Haftung der Jurando GmbH für leicht fahrlässig verursachte Schäden ist ausgeschlossen. Im Übrigen ist die Haftung der Jurando GmbH kalenderjährlich auf 100.000,00 EUR begrenzt.
2. Abs. 1 findet keine Anwendung auf Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, oder wenn die Jurando GmbH oder die von ihr beschäftigen Personen den Schaden vorsätzlich verursacht hat.
3. Die Jurando GmbH haftet dem Auftraggeber für das Verschulden der von ihr eingesetzten Personen wie für eigenes Verschulden. Abs. 1, 2 gelten für den Fall einer Inanspruchnahme der eingesetzten Personen durch den Auftraggeber zugunsten der eingesetzten Personen entsprechend.
VI. Verschiedenes
1. Die Jurando GmbH verpflichtet sich, die Geschäfts- und Betriebsgeheimnisse des Auftraggebers wie ein Handelsvertreter entsprechend § 90 HGB zu schützen, auch nach Beendigung dieses Vertrags.
2. Die Jurando GmbH und die von ihr eingesetzten Personen unterliegen der aus ihrer Benennung zum Datenschutzbeauftragten erwachsenden Verschwiegenheitsverpflichtung nach Art. 38 Abs. 5 DSGVO, § 38 Abs. 2 i. V. m. § 6 Abs. 5 S. 2 BDSG n. F. sowie § 203 Abs. 2 a StGB.
3. Bei der Beantwortung von Anfragen betroffener Personen wird die Jurando GmbH die schützenswerten Interessen des Auftraggebers beachten. Dem Auftraggeber ist bekannt, dass die Jurando GmbH in datenschutzrechtlichen Angelegenheiten gem. Art. 39 Abs. 1 lit. d, e DSGVO berechtigt ist, sich selbstständig und unmittelbar an die zuständige Aufsichtsbehörde zu wenden. Ebenso ist dem Auftraggeber bekannt, dass die Jurando GmbH gegenüber der zuständigen Aufsichtsbehörde nur die Verschwiegenheitsverpflichtung zum Schutz der betroffenen Personen trifft.
4. Der Auftraggeber darf die Benennung der Jurando GmbH sowie die Nachweise des Fachwissens ihrer eingesetzten Personen i.S.v. Art. 37 Abs. 5 DSGVO bei berechtigtem Interesse gegenüber Dritten offenlegen, etwa gegenüber der Aufsichtsbehörde oder seinen Auftraggebern bei einer Auftragsverarbeitung nach Art. 28 DSGVO.
Anlage 2 – Leistungsbeschreibung Datenschutzsoftware der Jurando GmbH (sofern gebucht)
- Dashboard:
Startseite und Übersicht über die Funktionen der Datenschutz-Management-Software.
- Verantwortlicher:
Funktion zur Erfassung Ihrer Unternehmensdaten als Verantwortlicher i.S.d. Datenschutz sowie Eintragung weiterer unternehmensinterner Ansprechpartner zum Datenschutz. - Verarbeitungsverzeichnis (VV):
Generierung des Verarbeitungsverzeichnisses anhand von vorgegebenen und individuellen Verarbeitungen. - Technische und organisatorische Maßnahmen (ToM):
Erfassung von technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten anhand von vorgegebenen Themenfeldern. - Auftragsverarbeitung:
Upload von Auftragsverarbeitungsverträgen als Auftraggeber und Auftragnehmer. - E-Learning-Plattform zur Mitarbeiterschulung:
Halbjährliche browserbasierte Mitarbeiterschulung zum Datenschutz für bis zu 150 Teilnehmer und Ausstellung eines Teilnahmezertifikate im PDF-Format. Schulungseinladungen werden automatisch nach Erfassung der Teilnehmer fortlaufend per E-Mail versendet. - DSGVO-Mustertexte:
Bereitstellung von zahlreichen DSGVO-Mustertexten zum Download samt Einbindungshinweisen. - DSGVO-Beratung:
Digitale Beratungsfunktion als Ticketsystem für fachliche Fragen zum Datenschutz.
- Einstellungen/Hilfe:
Übersicht zu Rechnungen und zur hinterlegten Bezahlvariante. Funktion zur Änderung des Login-Passworts - Datenschutz-Management-Handbuch:
Eingaben aus den Themenfeldern "Verarbeitungen, ToM, Auftragsverarbeitung und E-Learning" werden durch das System automatisch und fortlaufend in ein PDF-Datenschutz-Management-Handbuch eingetragen, welches im Dashboard zum Download steht. - Datenschutz-Zertifikat und -siegel
Unternehmensbezogen stehen im Dashboard ein Zertifikat und Siegel über die Tätigkeit der Jurando GmbH als Datenschutzbeauftragter zum Download bereit. - Checkliste und E-Book:
Mit der Software überreicht werden im PDF-Format eine Checkliste zur Umsetzung der Mindestanforderungen der DSGVO sowie ein E-Book (PDF) mit weiterem Informationen zu DSGVO und BDSG. - News-Service:
Kunden werden über ausgewählte Neuigkeiten/Rechtsprechung zum Datenschutz sowie über neue Funktionen der Datenschutz-Software regelmäßig per E-Mail informiert.
Anlage 3 – Auftragsverarbeitung (sofern die Datenschutzsoftware gebucht wurde)
Zwischen dem Kunden als Verantwortlichem (hier bezeichnet als „Auftraggeber“) und der Jurando GmbH als Auftragsverarbeiter (hier bezeichnet als „Auftragnehmer“) kommt zur Wahrung der Anforderungen an eine Auftragsverarbeitung (insbesondere nach Art. 28 DSGVO) die nachfolgende Vereinbarung zu Stande.§ 1 Vertragsgegenstand und Laufzeit
(1) Der Auftragnehmer führt für den Auftraggeber folgende Leistungen aus: Bereitstellung einer Datenschutzsoftware inkl. eLearning-System zur Schulung der Mitarbeiter des Auftraggebers. Die Durchführung geschieht auf Grundlage des zwischen den Parteien bestehenden Vertrages über die Nutzung der Datenschutzsoftware des Auftragnehmers. Bei der Leistungserbringung erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer ergeben sich aus dem Hauptvertrag. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
(2) Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
§ 2 Weisungsrecht
(1) Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
(2) Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.
(3) Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
(4) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
§ 3 Art der verarbeiteten Daten, Kategorien betroffener Personen
(1) Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf folgende Datenarten/-kategorien: Name, Vorname und E-Mail-Adresse der im eLearning-Tool hinterlegten Mitarbeiter des Aufraggebers
(2) Folgende Kategorien der von der Verarbeitung betroffenen Personen sind von dieser Vereinbarung umfasst: Beschäftigte des Auftraggebers
§ 4 Schutzmaßnahmen des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO.
(3) Beim Auftragnehmer ist als Ansprechpartner für den Datenschutz bestellt: Dr. Dennis Werner.
(4) Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden Mitarbeiter genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.
§ 5 Informationspflichten des Auftragnehmers
(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze;
b) eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
(2) Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisungen.
(3) Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
(4) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem“ im Sinne der DS-GVO liegen.
(5) Über wesentliche Änderung der Sicherheitsmaßnahmen nach § 4 Abs. 2 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.
(6) Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.
(7) Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, das alle Angaben gem. Art. 30 Abs. 2 DSGVO enthält. Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
(8) An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
§ 6 Kontrollrechte des Auftraggebers
(1) Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig, mindestens einmal jährlich, von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
(2) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
(3) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
(4) Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung.
(5) Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 4 Abs. 4 auf Verlangen nach.
§ 7 Einsatz von Subunternehmern
(1) Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung folgender Subunternehmer durchgeführt: 1&1 Internet SE und 1&1 IONOS SE. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) bzw. zum Wechsel der beauftragen Subunternehmer befugt, wenn er dies dem Auftraggeber vorab mindestens in Textform mitteilt und dieser nicht innerhalb von 14 Tagen widerspricht. Vor Ablauf dieser Frist ist der Auftragnehmer nicht zur Weitergabe von Daten im Subunternehmerverhältnis berechtigt. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) auch direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z. B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
(2) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
§ 8 Anfragen und Rechte Betroffener
(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12–22 sowie 32 und 36 DSGVO.
(2) Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
§ 9 Haftung
(1) Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.
(2) Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
§ 10 Außerordentliches Kündigungsrecht
(1) Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DSGVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen – also weder vorsätzlichen noch grob fahrlässigen – Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.
§ 11 Beendigung des Hauptvertrags
(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder – auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind nach DIN 66399 zu vernichten.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.
(3) Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.
§ 12 Schlussbestimmungen
(1) Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i. S. d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
(2) Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
(3) Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
(4) Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Sitz des Auftraggebers.