Zusatzvereinbarung  zu bestehenden Kooperationsverträgen 

 


Zwischen Lizenznehmer Katalogsystem bzw. Auftraggeber Auftragsdatenverarbeitung

- im Folgenden „Lizenznehmer“/„Auftraggeber“  genannt -

und

Autobedarf Karl Kastner GmbH
Trientlgasse 24
6020 Innsbruck
Österreich

 

- im Folgenden „Lizenzgeber“ genannt -

 

 

I

Lizenz- und Nutzungsbedingungen
DVSE Applikationen

PRÄAMBEL

Die Firma Autobedarf Karl Kastner GmbH (nachfolgend  „Lizenzgeber“) mit Sitz in 6020 Innsbruck betreibt einen Handel für Ersatzteile und Zubehör für Fahrzeuge. Für die Kunden von Autobedarf Karl Kastner GmbH bietet für die Abwicklung von Ersatzidentifikations- und Bestellprozessen diverse Katalogsysteme an (DVSE) (nachfolgend „Applikationen“) an. Der Lizenzgeber besitzt das Recht zur Lizenzierung dieser Applikationen an seine Mitarbeiter und Kunden („Lizenznehmer“).

Die Applikationen werden dem Lizenznehmer im Rahmen eines Lizenzvertrages durch den Lizenzgeber zur Verfügung gestellt und zur Identifikation von Ersatzteilen, der Abwicklung von Bestellprozessen in der Werkstatt und am Point of Sale als Lizenzprodukte angeboten. Diese Applikationen sollen dem Lizenznehmer möglichst umfassend relevanten Informationen in den Werkstätten oder Shops zur Verfügung stellen, die für die Abwicklung von Reparaturfällen notwendig sind. Diese Zurverfügungstellung erfolgt wahlweise über verschiedene Technologien: DVSE 

Im Rahmen einer partnerschaftlichen Zusammenarbeit werden mit diesen Lizenzbedingungen Rechte und Pflichten geregelt, die der Lizenznehmer mit der Registrierung und anschließender Nutzung der Applikationen anerkennt:

§ 1 Nutzungsrecht

Der Lizenznehmer wird hierdurch berechtigt, die DVSE Applikationen zu nutzen und seinen Mitarbeitern und Erfüllungsgehilfen bereitzustellen. Mit der Nutzung anerkennt der Lizenznehmer das Urheberrecht des Erstellers der Applikationen und verpflichtet sich, dieses Urheberrecht hinsichtlich aller Programme und Datenstrukturen, die mit den Applikationen und dessen Lizenzgeber direkt oder indirekt angewendet werden, zu beachten. Der Lizenznehmer haftet für die Einhaltung dieser Nutzungsbedingungen und -rechte durch seine Mitarbeiter und Erfüllungsgehilfen.

§ 2 Zugangsrechte Lizenznehmer

Der Lizenznehmer verpflichtet sich, die Applikationen nur im eigenen Unternehmen mit den lizenzierten Modulen der jeweiligen Applikationsversionen einzusetzen und die Zugangsdaten keinesfalls an Dritte weiterzugeben, hiervon ausgenommen sind die Mitarbeiter und Erfüllungsgehilfen des Lizenznehmers. Dies beinhaltet die gewissenhafte Kontrolle und Sicherstellung seiner Nutzer bei der Einhaltung der hier gemachten Vorgaben während der Applikationsnutzung.

Dem Lizenznehmer ist es ausdrücklich untersagt, seine individuell erstellten und vom Lizenzgeber erteilten Zugangsdaten zu den jeweiligen Applikationen zu veräußern, zu vermieten oder anderen Personen als den oben genannten zu überlassen.

Werden dem Lizenznehmer etwaige Verstöße bekannt, hat er diese unverzüglich gegenüber dem Lizenzgeber zu melden. Dem Lizenznehmer ist bekannt, dass bei Verstößen gegen diese Lizenzvereinbarungen oder deren Missbrauch Regressansprüche entstehen können und durch den Lizenzgeber geltend gemacht werden.

§ 3 Updates und Standards

Für die Applikationen werden über das Internet permanent die aktuellste Version der Daten und teilweise Funktionsupdates bereitgestellt. Die Applikationen als DVD-Version wird einmal pro Quartal aktualisiert, indem eine neue DVD Version zur Verfügung gestellt wird, die der Lizenznehmer selbst entsprechend installieren muss.

Es ist Aufgabe des Lizenznehmers, die durch den Lizenzgeber aktuell frei gegebenen Version der Betriebssysteme oder Browser Versionen bereit zu halten, um einen reibungslosen Ablauf der Funktionsbereitschaft der Applikationen zu ermöglichen.

Dem Lizenznehmer ist bekannt, dass auch bei größter Sorgfalt Datenfehler bei IT-Systemen und -Programmen nicht völlig auszuschließen sind. Des Weiteren ist dem Lizenznehmer bewusst, dass die Inhalte der Applikationen durch Dritte geliefert werden und aufgrund dessen eine Haftung für die Richtigkeit der Daten durch den Lizenzgeber nicht gewährleistet werden kann. Gleichzeitig ist dem Lizenznehmer bekannt, dass eine vollständig durchgängige Verfügbarkeit der Online Systeme, aus Gründen von beispielsweise Wartungsintervallen oder Unterbrechungen der Internetleitungen, nicht gewährleistet werden kann. Der Lizenznehmer ist deshalb verpflichtet, alle Verarbeitungsergebnisse von Applikationen auf Plausibilität und Vollständigkeit zu überprüfen und in allen Fällen, in denen Zweifel entstehen, eine konkrete Überprüfung in allen Details vorzunehmen und diese gegebenenfalls an den Lizenzgeber mitzuteilen.

§ 4 Konditionen

Der Lizenznehmer schuldet die Gebühren, je nach Nutzung der Applikationen und der inhaltlich frei geschalteten Module, gemäß dem bestehenden Lizenzvertrag zwischen dem Lizenznehmer und dem Lizenzgeber. Die Dauer des Lizenzvertrages und die Kündigungsbedingungen ergeben sich aus diesem.

§ 5 Applikationsrechte

Der Zugriff auf die Applikationen beinhaltet ausdrücklich nicht das Recht des Weiterverkaufs durch den Lizenznehmer oder die kommerzielle Nutzung der allgemein durch die Applikation generierten Inhalte, zur Erfassung und Nutzung von Produktinformationen, Beschreibungen oder Preisen, die abgeleitete Nutzung der Webseite oder ihrer Inhalte, ein Herunterladen oder Kopieren von Inhalten und Daten zugunsten eines anderen Händlers oder die Nutzung von Data-Mining, Robotern oder ähnlichen Datenerfassungs- und Extraktions-Programmen.

Die Applikationen dürfen weder ganz noch in Teilen reproduziert, vervielfältigt, kopiert, verkauft, weiterverkauft oder anderweitig zu kommerziellen Zwecken genutzt werden; hiervon ausdrücklich ausgenommen ist das eingeräumte Recht unter §2. Der Lizenznehmer darf ohne ausdrückliche schriftliche Zustimmung keine Frames oder Frame-Techniken verwenden, um Marken, Logos oder andere urheberrechtlich geschützte Informationen (wie Bilder, Text, Seitenlayout oder Form) des Lizenzgebers anzufügen. Der Lizenznehmer darf ohne die ausdrückliche schriftliche Zustimmung des Lizenzgebers keine Meta-Tags oder sonstigen "verborgenen Text" unter Einsatz des Namens oder der Marken des Lizenzgebers verwenden.

Jegliche unbefugte Nutzung führt zur sofortigen Untersagung des Nutzungsrechts. Die gesetzlichen Rechte des Lizenzgebers bleiben unberührt. Der Lizenznehmer erhält ein beschränktes, widerrufliches und nicht-exklusives Recht auf Erstellung eines Hyperlinks zu Applikationen, vorausgesetzt, dass der Link den Lizenzgeber oder seine Produkte oder Dienstleistungen nicht in einer falschen, irreführenden, abwertenden, gesetzeswidrigen oder anderweitig anstößigen Weise charakterisiert. Der Lizenznehmer darf ohne ausdrückliche schriftliche Genehmigung kein Lizenzgeber-Logo oder sonstige urheberrechtlich geschützte Grafiken oder Marken als Teil des Links verwenden.

§ 6 Auswertung der Applikationen

Mit der Nutzung der Applikationen gewährt der Lizenznehmer dem Lizenzgeber das Recht, bestimmte Daten (folgend „Inhaltsinformationen“) zu speichern und an den Urheber der Applikation weiter zu geben. Diese können insbesondere die Folgenden sein:

 

  • Daten des Lizenznehmers und Einstellungen im Programm
  • Daten aus gespeicherten Warenkörben, Vorgängen und Belegen
  • Daten aus Eingaben und Suchen
  • Daten aus Bestellungen
  • Daten über das Nutzungsverhalten und Inhalte
  • Daten bei der Übermittlung von Verbesserungsvorschlägen oder anderen Hinweisen

Weitere Informationen über Art, Umfang, Ort und Zweck der Erhebung, Verarbeitung und Nutzung der für die Ausführung von Bestellungen, die Anmeldung zu dem E-Mail-Benachrichtigungsdienst oder für die Übermittlung einer Onlinerezension erforderlichen personenbezogenen Daten durch den Lizenznehmer, befinden sich in der Datenschutzerklärung / ADV-Vertrag.

 

Inhaltsinformationen, die der Lizenzgeber vom Lizenznehmer während der Nutzung der Applikationen bekommt, helfen dem Lizenzgeber und dem Urheber der Applikationen, die Nutzung von Applikationen individuell zu gestalten und stetig zu verbessern. Der Lizenznehmer nutzt diese Informationen für die Abwicklung und Verbesserung von Datenprozessen, Bestellungen, der Lieferung von Waren und das Erbringen von Dienstleistungen. Der Lizenzgeber verwendet die Daten des Lizenznehmers auch, um mit dem Lizenznehmer über Bestellungen, Produkte, Dienstleistungen, der Weiterentwicklung der Produkte und über Marketingangebote zu kommunizieren sowie dazu, Datensätze zu aktualisieren und das Kundenkonten zu unterhalten und zu pflegen sowie dazu, Inhalte wie z. B. Verbesserungsvorschläge abzubilden und dem Lizenznehmer Produkte oder Dienstleistungen zu empfehlen, die ihn interessieren könnten. Der Lizenznehmer nutzt diese Informationen auch dazu, sein Handelsunternehmen und die Applikationen zu verbessern, einem Missbrauch der Website vorzubeugen oder einen zu entdecken oder Dritten die Durchführung technischer, logistischer oder anderer Dienstleistungen in seinem Auftrag zu ermöglichen. Des Weiteren werden durch die Erkenntnisse der gewonnenen Informationen laufend Funktionserweiterungen und Verbesserungen der Applikationen vorgenommen, die neue Funktionen und Informationsinhalte bieten um den Ablauf für die Lizenznehmer weiter zu verbessern. 

§ 7 Verstoß

In jedem Fall eines Verstoßes durch den Lizenznehmer gegen vorstehenden § 1, § 2 und / oder § 6, unter Ausschluss eines Fortsetzungszusammenhangs, ist der Lizenznehmer verpflichtet, eine Vertragsstrafe zu zahlen. Darüber hinaus gelten die nationalen und EU-Rechte hinsichtlich eventueller weiterer Schadensersatzansprüche. Den Parteien bleibt es vorbehalten, einen geringeren Schaden oder einen höheren Schaden nachzuweisen.

§ 8 Pflichten des Lizenznehmers

Der Lizenznehmer ist verpflichtet, den unbefugten Zugriff Dritter auf die Applikationen sowie deren Dokumentation der Zugriffe durch geeignete Vorkehrungen zu verhindern und zu dokumentieren. Der Lizenznehmer wird seine Mitarbeiter ausdrücklich auf die Einhaltung der vorliegenden Vertragsbedingungen und auf das Urheberrecht hinweisen. Verletzt ein Mitarbeiter oder Erfüllungsgehilfe des Lizenznehmers das Urheberrecht, ist der Lizenznehmer unter anderem verpflichtet, nach Kräften an der Aufklärung der Urheberrechtsverletzung mitzuwirken, insbesondere den Lizenzgeber unverzüglich über die entsprechenden Verletzungshandlungen in Kenntnis zu setzen.

§ 9 Gerichtsstand

Als ausschließlicher Gerichtsstand wird der Sitz des Lizenzgebers vereinbart. Das deutsche Recht findet Anwendung.

§ 10 Sonstiges

Sämtliche Vereinbarungen, die eine Änderung, Ergänzung oder Konkretisierung dieser Vertragsbedingungen beinhalten sowie besondere Abreden sind schriftlich niederzulegen. Werden diese von Vertretern oder Hilfspersonen des Lizenzgebers erklärt, sind sie nur dann verbindlich, wenn der Lizenzgeber hierfür seine schriftliche Zustimmung erteilt. Dieses Schriftformerfordernis gilt auch für die Abänderung des Schriftformerfordernisses selbst.

Sollte eine oder mehrere Bestimmungen dieses Vertrages unwirksam sein oder werden, ist diese Bestimmung durch diejenige Regelung zu ersetzen, die wirtschaftlich dem am nächsten kommt, was die Parteien vereinbart hätten, wenn sie den Punkt bedacht hätten. Im Übrigen bleibt der Vertrag in vollem Umfang wirksam. Dasselbe gilt im Falle einer Vertragslücke.

Stand: Juni 2018

II

Zusatzvereinbarung
über die Auftragsverarbeitung personenbezogener Daten
(ADV-Vertrag)

 

Präambel

Diese Vereinbarung konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der, im Vertrag zur Nutzung der Applikationen (dem sogenannten »Hauptvertrag«) in ihren Einzelheiten beschriebenen, Auftragsverarbeitung ergeben. Sie findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte perso­nenbezogene Daten (»Daten«) des Auftraggebers verarbeiten.

 

§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

Aus dem Hauptvertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Art und Zweck der Verarbeitung.

Art der Daten

Die Daten, die Bestandteil der Datenverarbeitung sind, werden in der Anlage zu dieser Vereinbarung aufgeführt.

Art und Zweck der Datenverarbeitung

Die Leistungen umfassen je nach Anwendung die Bereitstellung von Speicherplatz, Datenbanken, Programmen und Datenübertragungen. Der Hauptvertrag beinhaltet alle notwendigen Arbeiten zur Erbringung dieser Leistungen. Dies umfasst Tätigkeiten, die in den Angeboten / Leistungs-beschreibungen / Bestellformularen / Verträgen beschrieben sind.

Dazu gehört unter anderem, die Erhebung, Erfassung, Organisierung, Ordnung, Speicherung, Anpassung oder Veränderung, Auslesung, Abfragung, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleichung oder Verknüpfung, Einschränkung, Löschung oder Vernichtung von Daten.

Die gegenständlichen Systeme stellen Informationen über die Kunden des Auftraggebers (Betroffene) zur Verfügung.

Der Auftragnehmer beschafft grundsätzlich keine Daten über die Betroffenen (Erfassung), vielmehr werden die Daten im Rahmen der Nutzung der Applikationen generiert. Durch die Leistungserbringung seiner Verpflichtungen aus dem Hauptvertrag besteht die Möglichkeit für den Auftragnehmer Zugriff auf personenbezogene Daten zu erhalten. Derartige Zugriffe können vor allem im Rahmen der Prüfung, Wartung, Weiterentwicklung der Applikationen und Inhalte, zu Testzwecken bzw. bei Supportfällen oder der Datenübernahme der vertragsgegenständlichen Anwendung(en) sowie der über Schnittstellen angeschlossenen Module oder Fernwartungsprogramme nicht ausgeschlossen werden.

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44ff. DS-GVO erfüllt sind.

Kategorien betroffener Personen

 

  • Kunden (insbes. Endkunden) und Interessenten des Auftraggebers
  • Beschäftigte des Auftraggebers i.S.d. § 26 Abs. 8 BDSG-neu
  • Geschäftspartner des Auftraggebers
  • Ansprechpartner oder Personen aus den beteiligten Unternehmen

 

 

§ 2 Anwendungsbereich und Verantwortlichkeit

(1) Der Auftragnehmer verarbeitet personenbezogene Daten maschinell in Form von Hosting und maschinellem Backup im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag und in der Leistungsbeschreibung konkretisiert sind. Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Recht­mäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO).

(2) Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

 

§ 3 Pflichten des Auftragnehmers

(1) Der Auftragnehmer darf Daten von betroffenen Personen nur im Rahmen des Auftra­ges und der Weisungen des Auftraggebers maschinell verarbeiten (in Form von Hosting/Backup) es sei denn, der Auftragnehmer ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, zur Verarbeitung dieser Daten verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt. Der Auftragnehmer informiert den Auf­traggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwend­bare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

(2) Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbar­keit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbei­tung auf Dauer sicherstellen. Dem Auftraggeber sind diese technischen und organisato­rischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.

(3) Der Auftragnehmer unterstützt soweit vereinbart, den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffener Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten.

(4) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeitern und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezoge­nen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer ange­messenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

(5) Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen.

 

Die Meldung des Auftragnehmers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:

 

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

 

Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

(6) Für im Rahmen des Vertrages anfallende Datenschutzfragen kann sich der Auftraggeber an den auf der Homepage des Auftragnehmers aufgeführten Datenschutzbeauftragten wenden.

(7) Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DS-GVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

(8) Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist.

In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinba­ren, sofern nicht im Vertrag bereits vereinbart.

(9) Daten sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

(10) Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglich­keiten zu unterstützen.

 

§ 4 Pflichten des Auftraggebers

(1) Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er Fehler oder Unregelmäßigkeiten bzgl. daten­schutzrechtlicher Bestimmungen feststellt.

(2) Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO wird diese den Auftraggeber unverzüglich hierüber informieren und es gilt §3 Abs. 10 entsprechend.

(3) Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen.

 

§ 5 Anfragen betroffener Personen

(1) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffe­nen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftrag­geber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

 

§ 6 Nachweismöglichkeiten

(1) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser Vereinbarung niedergelegten Pflichten mit geeigneten Mitteln nach.

(2) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorhe­rigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerich­teten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.

Der Auftraggeber stimmt der Benennung eines unabhängigen externen Prüfers durch den Auftragnehmer zu.

Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine Vergütung in üblicher und angemessener Höhe verlangen, wenn dies im Vertrag vereinbart ist. Der Aufwand einer Inspek­tion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

(3) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

 

§ 7 Subunternehmer (weitere Auftragsverarbeiter)

(1) Der Einsatz von Subunternehmern als weitere Auftragsverarbeiter ist nur zulässig, wenn der Auftraggeber vorher ausdrücklich zugestimmt hat.

(2) Als Subunternehmerverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Ablaufsicherheit, Integrität, Verfügbarkeit und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen. Dabei obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus dieser Vereinbarung dem Subunternehmer zu übertragen.

(3) Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

(4) Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU/des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

(5) Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

 

§ 8 Informationspflichten, Schriftformklausel, Rechtswahl

(1) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verant­wortlicher « im Sinne der Datenschutz-Grundverordnung liegen.

(2) Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließ­lich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Verein­barung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3) Bei etwaigen Widersprüchen gehen Regelungen dieser Vereinbarung zum Datenschutz den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.

(4) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Partei als vertraulich zu behandeln.

(5) Es gilt deutsches Recht unter Ausschluss des internationalen Kaufrechts. Gerichtsstand ist der Sitz des Auftragnehmers.

 

§9 Haftung und Schadensersatz

Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entspre­chend der in Art. 82 DS-GVO getroffenen Regelung.