Ergänzende Bedingungen zur Verarbeitung von Daten im Auftrag

i.S.v. Art. 28 Abs. 3 EU-Datenschutzgrundverordnung („DSGVO“) (im Weiteren: „AV-Vereinbarung“) zwischen Loy GmbH, Königsdorfer-Str. 25, 82515 Wolfratshausen (nachfolgend: Auftragnehmer genannt) und dem Kunden (nachfolgend: Auftraggeber genannt) (gemeinsam nachfolgend: „die Parteien“)

1. Allgemeines

(1) Die AV-Vereinbarung konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien, die sich aus der zwischen den Parteien vereinbarten Leistungserbringung des Auftraggebers (gemäß den Allgemeinen Geschäftsbedingungen des Auftraggebers und mitgeltender die Leistungserbringung regelnder Dokumente ) (im Weiteren: der „Hauptvertrag“) ergeben. Sie findet in diesem Zusammenhang Anwendung auf alle Tätigkeiten bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO (im Weiteren: „Daten“) des Auftraggebers gemäß Art. 28 DSGVO verarbeiten. Sofern in dieser AV-Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.

(2) Bei dem Onlineportal „Locaboo“ handelt es sich um eine SaaS-Applikation, die eine technische Infrastruktur, mittels derer der Auftraggeber seine Termine, Raumplanungen, Mitarbeiter und Kunden verwalten kann, zur Verfügung stellt.

(3) Bei den zu verarbeitenden Daten handelt es sich ausschließlich um Daten des Auftraggebers selbst. Der Auftragnehmer stellt lediglich die technischen Möglichkeiten und die Software zur Verfügung. 

(4) Sofern in dieser AV-Vereinbarung der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.

2. Gegenstand des Auftrags

(1) Der Auftragnehmer führt im Auftrag des Auftraggebers für die Dauer der Vertragslaufzeit eine Verarbeitung personenbezogener Daten auf Grundlage des Hauptvertrages aus. Es gelten für die folgende AV-Vereinbarung die Begriffsbestimmungen (Legaldefinitionen) der DSGVO und des BDSG.

(2) Der sich aus dem Hauptvertrag ergebende Leistungsumfang durch Nutzung des Onlineportals beinhaltet insbesondere – ohne dass hierdurch die Leistungspflichten neu definiert würden – folgende Verarbeitungsvorgänge:

  • Hosting der Datenbanken für die genannte SaaS-Applikation und des Webservers
  • Entwicklung und Support der Software dieser Applikationen und der Schnittstellen zu weiterführenden IT-Systemen
  • Tägliches Backup der Daten und Aufbewahrung gemäß dem gesetzlichen Pflichten

(3) Bei dem Betrieb des Onlineportals werden regelmäßig folgende Arten von personenbezogenen Daten verarbeitet:

  • Personenstamm- und Kontaktdaten der Nutzer (u.a. Name, E-Mail-Adresse, Telefonnummer)
  • Daten zur Nutzung des Onlinedienstes (Zugangsdaten, IP-Adresse, sonstige Metadaten)
  • Vertrags-, Abrechnungs- und Buchungsdaten

(4) Kreis der von der Datenverarbeitung Betroffenen:

  • Mitarbeiter des Auftraggebers
  • Endkunden des Auftraggebers

(5) Dauer der Verarbeitung: Die erhobenen personenbezogenen Daten werden für die Dauer der Vertragslaufzeit verarbeitet oder solange eine gesetzliche Verpflichtung zur Verarbeitung (insbesondere zur Aufbewahrung) besteht.

3. Dauer und Beendigung des Auftrages

(1) Die Wirkung dieser Vereinbarung tritt mit der erfolgreichen Registrierung des Nutzers zur Nutzung von Locaboo ein und gilt für die Dauer des Bestandes des Hauptvertrages.

(2) Ein etwaiges außerordentliches Kündigungsrecht der Parteien bleibt hiervon unberührt; der Auftraggeber ist ohne Bestand der vorliegenden AV-Vereinbarung oder eines entsprechenden Nachfolgevereinbarung nicht berechtigt, Locaboo weiter zu nutzen und hat eine solche Nutzung in diesem Fall einzustellen.

4. Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer sowie für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Der Auftragnehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit für die Erfüllung der vorbezeichneten Pflichten des Auftraggebers erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann. Der Auftragnehmer ist verpflichtet, alle Anfragen Dritter, sofern sie erkennbar an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

(2) Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrages und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Die Weisungen des Auftraggebers werden anfänglich durch diese AV-Vereinbarung festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisungen). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst insbesondere Weisungen im Hinblick auf die Berichtigung, Löschung und Sperrung von Daten.

(3) Der Auftraggeber ist selbst und ausschließlich dafür verantwortlich, die datenschutzrechtliche Zulässigkeit der zu verarbeitenden Daten zu gewährleisten. Der Auftragnehmer ist nicht berechtigt und verpflichtet, eine Zulässigkeit der Speicherung der Daten Dritter (Betroffener) originär zu prüfen und ist nicht verpflichtet, die Betroffenen über die Datenspeicherung zu informieren (Art. 13, 14 DSGVO). Die Einhaltung dieser datenschutzrechtlichen Informationsverpflichtungen obliegt dem Auftraggeber. Der Auftraggeber ist als Verantwortlicher gem. Ziff. 5.1. insbesondere auch dafür verantwortlich, das Vorhandensein einer Rechtsgrundlage der Verarbeitung personenbezogener Daten Dritter und die daraus folgenden Informationspflichten (insb. Art. 13 DSGVO) zu gewährleisten.

(4) Änderungen des Verarbeitungsgegenstandes (Ziff. 4.2) und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

(5) Der Auftraggeber ist berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in dieser AV-Vereinbarung festgelegten Verpflichtungen zu überzeugen (Art. 28 Abs. 3 lit. h DSGVO). Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei seiner Kontrolle feststellt.

(6) Vor-Ort-Kontrollen erfolgen innerhalb üblicher Geschäftszeiten, sind vom Auftraggeber mit einer angemessenen Frist (mindestens 14 Tage, außer in Notfällen) anzumelden und durch den Auftragnehmer zu unterstützen (z.B. durch Bereitstellung von Personal).

(7) Die Kontrollen sind auf den erforderlichen Rahmen beschränkt und müssen auf Betriebs- und Geschäftsgeheimnisse des Auftragnehmers sowie den Schutz von personenbezogenen Daten Dritter (z.B. anderer Kunden oder Mitarbeiter des Auftragnehmers) Rücksicht nehmen. Zur Durchführung der Kontrolle sind nur fachkundige Personen zugelassen, die sich legitimieren können und im Hinblick auf die Betriebs- und Geschäftsgeheimnisse sowie Prozesse des Auftragnehmers und personenbezogene Daten Dritter zur Verschwiegenheit verpflichtet sind.

(8) Statt der Einsichtnahmen und der Vor-Ort-Kontrollen darf der Auftragnehmer den Auftraggeber auf eine gleichwertige Kontrolle durch unabhängige Dritte (z.B. neutrale Datenschutzauditoren), Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen. Dies gilt insbesondere dann, wenn Betriebs- und Geschäftsgeheimnisse des Auftragnehmers oder personenbezogene Daten Dritter durch die Kontrollen gefährdet wären.

(9) Die Ziff. 4.1 – 4.9 gelten sinngemäß für das Begehren des Auftraggebers, einen Subunternehmer des Auftragnehmers kontrollieren zu wollen. Diese Kontrollen sind unter Einbeziehung des Auftragnehmers durchzuführen, der von seinen eigenen entsprechenden Kontrollrechten Gebrauch macht. Der Auftraggeber ist berechtigt, zu Art und Umfang der Kontrolle Weisungen zu erteilen und eigenes Kontrollpersonal zu entsenden.

(10) Sofern eine Kontrolle nicht aufgrund eines Fehlverhaltens des Auftragnehmers erforderlich wurde und sofern keine wesentlichen Abweichungen von den Verpflichtungen des Auftragnehmers nach dieser AV-Vereinbarung festgestellt wurden, ist der Auftragnehmer berechtigt, dem Auftraggeber die für Kontrollmaßnahmen nach Ziff. 4.6 entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde. Dies gilt auch für Inspektionen oder Kontrollen des Auftraggebers durch eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde.

5. Pflichten des Auftragnehmers

(1) Der Auftragnehmer führt ausschließlich die Leistungen durch, die zur Erfüllung der beauftragten Leistungen erforderlich sind. Er führt sie ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers durch. Änderungen des Tätigkeitsfeldes und Verfahrensänderungen sind schriftlich zu vereinbaren. Der Auftragnehmer speichert oder verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf Weisung des Auftraggebers. Der Auftragnehmer hat die zur Durchführung des Hauptvertrages notwendigen Leistungen so auszuführen, dass er sich nur insoweit Kenntnis von fremden Geheimnissen verschafft, als dies zur Vertragserfüllung erforderlich ist. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

(2) Für sämtliche Mitarbeiter des Auftragnehmers gilt aufgrund ihrer Aufgabenstellungen die Vertraulichkeit nach Art. 28 Abs. 3 lit. b DSGVO. Nach dieser Vorschrift ist es ihnen untersagt, personenbezogene Daten unbefugt zu verarbeiten. Gem. Art. 28 Abs. 3 lit. b DSGVO ist jeder Mitarbeiter verpflichtet, die Vertraulichkeit der verarbeiteten Daten zu wahren. Diese Verpflichtung besteht auch über das Ende seiner Tätigkeit im Unternehmen hinaus. Der Auftragnehmer verpflichtet sich in diesem Kontext, nur solche Mitarbeiter zur Durchführung der AV-Vereinbarung einzusetzen, die über Ihre Pflichten zur Vertraulichkeit und zur Einhaltung aller weiteren Datenschutzbestimmungen belehrt und auf die Rechtsfolgen von Verstößen (u.a. Strafbarkeit) hingewiesen wurden. Zudem setzt der Auftragnehmer davon unabhängig nur solche Mitarbeiter ein, bei denen keine Anhaltspunkte dafür ersichtlich sind, dass deren Verlässlichkeit eingeschränkt sein könnte. Darüber hinaus werden auch nur solche Mitarbeiter eingesetzt, die eine angemessene Ausbildung und/oder Berufserfahrung im Umgang mit personenbezogenen Daten Dritter und zur Durchführung der notwendigen Arbeiten des Hauptvertrages haben.

(3) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten zum Zwecke der Durchführung des Hauptvertrages.

(4) Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an den Auftraggeber weiterzuleiten. Es gilt analog die Vergütungsregelung gem. Ziff. 5.10.

(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

(6) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen   oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Der Auftragnehmer ist berechtigt, dem Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde. 

(7) Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen. Der Auftragnehmer ist berechtigt, dem Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde. 

(8) Über datenschutzrelevante Vorfälle und Verstöße gegen die vertraglichen Regelungen unterrichtet der Auftragnehmer den Auftraggeber unverzüglich.

(9) Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieser AV-Vereinbarung bestehen.

6. Datenschutzbeauftragter des Auftragnehmers

(1) Der Auftragnehmer bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat. Der Auftragnehmer trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Auftragnehmer wird dem Auftraggeber den Namen und die Kontaktdaten seines Datenschutzbeauftragten gesondert in Textform mitteilen.

(2) Die Pflicht zur Benennung eines Datenschutzbeauftragten nach Absatz 1 kann im Ermessen des Auftraggebers entfallen, wenn der Auftragnehmer nachweisen kann, dass er gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und der Auftragnehmer nachweisen kann, dass betriebliche Regelungen bestehen, die eine Verarbeitung personenbezogener Daten unter Einhaltung der gesetzlichen Vorschriften, der Regelungen dieser AV-Vereinbarung sowie etwaiger weiterer Weisungen des Auftraggebers gewährleisten.

7. Meldepflichten des Auftragnehmers

(1) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers verarbeitet.

(2) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.

(3) Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich ab Kenntnis des Zugriffs mitteilen. Die Meldung des Auftragnehmers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

8. Unterauftragsverhältnisse

(1) Die vertraglich vereinbarten Leistungen aus dem Hauptvertrag erbringt der Auftragnehmer unter Einschaltung der in Anlage 1 genannten Subunternehmer. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt. Er setzt den Auftraggeber hiervon in Kenntnis. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern dieser entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist.

(2) Die vertraglich vereinbarte Datenverarbeitung aus dem Hauptvertrag und aus allen Unterauftragsverhältnissen findet ausschließlich in einem solchen Land statt, dass vollständig und unmittelbar den Regelungen der DSGVO unterliegt. Eine Verarbeitung in einem Drittland bedarf der vorherigen Zustimmung des Auftraggebers.

(3) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 8.1 bis 8.2 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragnehmer ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.

9. Technische und organisatorische Maßnahmen zur Datensicherheit

(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.

(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage (https://www.locaboo.com/tom/) zu dieser AV-Vereinbarung beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann einmal jährlich oder bei begründeten Anlässen eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.

10. Dauer des Auftrags

(1) Die AV-Vereinbarung beginnt mit elektronischer Online-Einwilligung und läuft für die Dauer des zwischen den Parteien bestehenden Hauptvertrages über die Nutzung der Dienstleistungen des Auftragnehmers durch den Auftraggeber.

(2) Der Auftraggeber kann der AV-Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus dieser AV-Vereinbarung vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.

11. Beendigung

(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrages oder jederzeit auf dessen Anforderung alle ihm etwaig überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf Wunsch des Auftraggebers löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht.

(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer binnen 4 Wochen nach erfolgter Löschungsanzeige zu kontrollieren. Die Löschung ist in geeigneter Weise zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt. Der Auftragnehmer ist berechtigt, dem Auftraggeber die hierfür entstehenden Aufwendungen unter Zugrundelegung des zum jeweiligen Zeitpunkt gültigen Stundensatzes des Auftragnehmers in Rechnung zu stellen, sofern hierzu nichts Abweichendes zwischen den Parteien vereinbart wurde.

12. Zurückbehaltungsrecht

Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen wird.

13. Schlussbestimmungen

(1) Änderungen der AV-Vereinbarung: Änderungen und Ergänzungen dieser AV-Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(2) Gültigkeit der AV-Vereinbarung: Sollten einzelne Bestimmungen dieser AV-Vereinbarung unwirksam oder undurchführbar sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht. Die Parteien werden im Falle der Unwirksamkeit einer Klausel eine in sachlicher, am wirtschaftlichen Zweck des Vertrages orientierte, ersatzweise Regelung vereinbaren. Dies gilt sinngemäß für unvollständige Klauseln.

(3) Gerichtsstand, Anwendbares Recht: Auf diese AV-Vereinbarung gilt ausschließlich Deutsches Recht einschließlich der Bestimmungen der DSGVO, ohne das UN-Kaufrecht. Kollisionsrecht findet keine Anwendung. Ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser AV-Vereinbarung ist München. Die Wahl des Gerichtsstands ist nur für den Auftraggeber ausschließlich.

(4) Geschäftsbedingungen: Allgemeine Geschäfts- und Einkaufsbedingungen des Auftraggebers finden keine Anwendung auf diese AV-Vereinbarung. Diese AV-Vereinbarung gilt gegenüber dem Auftraggeber auch dann ausschließlich, wenn der Auftragnehmer seine Leistungen auch in Kenntnis entgegenstehender Allgemeiner Geschäfts- oder Einkaufsbedingungen vorbehaltslos ausführt.

(5) Rangfolge: Bei Widersprüchen zwischen Inhalten dieser AV-Vereinbarung und Bestimmungen des Hauptvertrags hinsichtlich datenschutzrechtlicher Themen, gilt diese AV-Vereinbarung vorrangig. Im Übrigen bleiben die Bestimmungen des Hauptvertrages unberührt und gelten für diese AV-Vereinbarung entsprechend. 

Anlage 1 – Unterauftragnehmer

Der Auftragnehmer nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“).

Dabei handelt es sich um nachfolgende(s) Unternehmen:

 

Unternehmen

Kontaktdaten

Tätigkeit

TeamGrid Deutschland GmbH

Maybachufer 38

12047 Berlin

Projektmanagement

Collmex GmbH

Lilienstr. 37

66119 Saarbrücken

Buchhaltung

Hetzner Online GmbH

Industriestr. 25

91710 Gunzenhausen

Rechenzentrum, Hosting der verwendeten physikalischen Server (Webserver)

sipgate GmbH

Gladbacher Straße 74

40219 Düsseldorf

Telefon

BEO GmbH

Einsisheimer Str. 6-8

79346 Endingen

Programmierung

Sendinblue GmbH

Köpenicker Str. 126

10179 Berlin

Newsletterversand

domainfactory GmbH

Oskar-Messter-Str. 33

85737 Ismaning

Mitarbeiter-E-Mail

Postmarkapp – Wildbit LLC

2400 Market St., Suite 235b

Philadelphia, PA 19103

USA

Locaboo Mailversand