SBS seebauer business solutions GmbH
Am Weiglfeld 24
83629 Weyarn

  • 1 Servicevertrags-Antrag

Der Kunde ist an diesen Serviceantrag 2 Monate gebunden. Sollte bis dahin keine Gegenzeichnung erfolgen, so kann der Kunde von diesem Antrag zurücktreten.

  • 2 Leistungen

Die SBS sorgt für die Instandhaltung des vorstehend bezeichneten Geräts/Gerätepools während der Laufzeit des Vertrages. Im Rahmen dieses Vertrages stellt die SBS-Ersatzteile und technischen Kundendienst zur Verfügung. Darin eingeschlossen sind bei Kopiergeräten und Laserfax Verbrauchsmaterial und Toner, sofern nichts anderes vereinbart wurde. Dem Preis je s/w Abnahme liegt ein Schwärzungsgrad von 5% zu Grunde, je Farb-Abnahme ein Farbanteil von 15%.

Ausgenommen sind Papier, Telefaxpapier, Farbbänder, Korrekturbänder, Tintenpatronen. Ebenso sind Generalüberholungen und Austausch von Zubehörmodulen ausgenommen.

  • 3 Serviceleistung

SBS erbringt ihre vertraglich vereinbarte Serviceleistung in den Zeiten von Montag bis Donnerstag von 8 bis 17 Uhr und am Freitag von 8 bis 14 Uhr. In diesem Zeitraum wird der Kunde den Beauftragten der SBS den Zugang zum Gerät ermöglichen. Für Leistungen, die der Kunde außerhalb dieses Zeitraums verlangt, erhält er eine gesonderte Rechnung. Falls der Kunde während der o.g. Zeiten nicht den Zugang ermöglichen kann, so hat er dies bei der Störmeldung anzugeben. Servicefahrten, die aufgrund fehlender Angabe zusätzlich notwendig werden, werden gesondert in Rechnung gestellt.

Die vertraglichen Serviceleistungen enthalten nicht:

  1. Anbindung und Vernetzung an ein bestehendes EDV-System
  2. Einweisungen und Schulungen
  3. Software und deren Pflege und Update/Upgrade
  4. Nachträgliche Installation von Zubehör
  5. Einstellungen auf Wunsch des Kunden, die von den technischen Vorgaben des Herstellers abweichen
  6. Farbjustagen und Kalibrierungen an Colorsystemen

Alle nicht verbrauchten Materialien bleiben zu jedem Zeitpunkt im Eigentum von SBS und sind bei Vertragsende an die SBS zurückzugeben, bzw. gegen Rechnung zu übernehmen. Nicht verbrauchte Verbrauchsmaterialien (Toner, Developer, Fotoleiter, Maintenance-Kits) werden am Ende der Vertragslaufzeit anteilig berechnet gemäß den laut Zählerstand abgerechneten Seiten im Verhältnis zu den vom Hersteller angegebenen Laufzeiten.

Die SBS kann ihren Service nur vorbehaltlich der Belieferung mit Material und Ersatzteilen durch den Hersteller oder Distributor leisten. Wenn Hersteller oder Distributor die Belieferung unter Hinweis auf das Alter des Systems, die neue Schuldrechtsmodernisierung oder aufgrund Lieferunfähigkeit ablehnt, wird die SBS von ihrer Leistungspflicht befreit. In diesem Fall steht beiden Seiten ein außerordentliches Kündigungsrecht zum Ablauf des nächsten Kalendermonats zu. Die Inanspruchnahme dieses Rechts ist schriftlich per Einschreiben zu erklären.

Die Stellung von Ersatzsystemen während der Reparaturdauer ist gegen Entgeltmöglich. Dabei werden Lieferung und Abholung gesondert berechnet. Die erstellten Seiten werden im Rahmen dieses Servicevertrags abgerechnet. Der Kunde hat keinen Anspruch auf ein exakt gleichwertiges System.

  • 4 Nutzung und Standort

Die Nutzung des Objekts erfolgt im Einschichtbetrieb. Das Objekt erhält einen geeigneten Standort, der den Empfehlungen des Herstellers oder von SBS entspricht. Die Änderung des Standortes kann nur mit Genehmigung von SBS erfolgen.

Wichtiger Hinweis:

Der Kunde ist zur sachgemäßen Bedienung des Geräts gemäß der Bedienungsanleitung und den Anweisungen von SBS verpflichtet. Der richtige Standort ist ebenso wie die Verwendung eines geeigneten Kopierpapiers direkt verantwortlich für die Zuverlässigkeit des Geräts. Grundlage der Servicevertragskalkulation ist ein den Herstellerangaben entsprechender Standort und die Verwendung geeigneter Kopiermaterialien. Sollte der Kunde hier trotz Aufforderung durch die SBS eventuell notwendige Veränderungen nicht durchführen, so kann die SBS die dadurch entstehenden Kosten separat berechnen.

  • 5 Kosten für den Kunden

Der Kunde ist zur Zahlung des vereinbarten Servicebetrages für die gesamte Laufzeit und der vertraglich geregelten Folgekosten bei eventuellen Mehrkopien etc. verpflichtet. Bei Zahlungsverzug von mehr als 1 Monat ab Rechnungsstellung ist die SBS berechtigt, Leistungen aus diesem Vertrag nicht mehr zu erbringen. Die Verzugszinsen entsprechen den zum jeweiligen Zeitpunkt gültigen Zinsen für Kontokorrentkredite der Hausbank der SBS.

Basis für die Rechnungsstellung sind die im Vertrag angegebenen Einheiten Seite A4, Farbentwicklungen, Meter etc.) Abgerechnet werden die Zählwerke gleichen Typs. Zu berechnende Seiten eines Zählertyps können nicht mit Guthaben eines anderen Zählertyps verrechnet werden.

Die Folgekopien werden zu den angegebenen Zeitpunkten abgerechnet SBS im

Rahmen einer Zählerstandsablesung errechnet. Der Kunde ist verpflichtet die Zählerstandsmeldungen pünktlich zu übermitteln. Sollte keine Angabe erfolgen wird SBS einen Betrag gemäß der letzten Abrechnung und den seitdem ausgefüllten Serviceberichten schätzen und in Rechnung stellen.

  • 6 Zahlung und Verzug

Der vereinbarte Servicebetrag ist vom Kunden je nach den Regelungen des Vertrages im Voraus; bei jährlicher Zahlung jeweils zum 3. Werktag im Januar eines Jahres; bei halbjährlicher Zahlung jeweils zum 3. Werktag im Januar und zum 3. Werktag im Juli eines Jahres; bei vierteljährlicher Zahlung jeweils zum 3. Werktag eines Quartals zu leisten. Hinsichtlich der Rechtzeitigkeit der Zahlung kommt es auf den Eingang des Geldes bei SBS an. Bei Nichtzahlung zu den oben genannten Zeitpunkten kommt der Kunde ohne weitere Mahnung in Verzug.

Bei Zahlungsverzug von mehr als 1 Monat ist die SBS berechtigt, die vereinbarten Serviceleistungen einzustellen und den Vertrag fristlos zu kündigen. Der Kunde hat SBS sowohl den aufgrund des Verzuges eingetretenen Schaden als auch den Schaden aufgrund der fristlosen Kündigung zu ersetzen, mindestens jedoch die Verzugszinsen in Höhe des zum jeweiligen Zeitpunkt gültigen Zinses für einen Kontokorrentkredit der Hausbank von SBS. Das Recht des Kunden, im Einzelfall einen geringeren Schaden nachzuweisen, bleibt von dieser Regelung unberührt.

Weiterhin steht SBS im Falle des Verzugs ein Leistungsverweigerungsrecht hinsichtlich der gem. §3 und §4 dieses Vertrages geschuldeten Leistungen zu.

Die SBS ist berechtigt, die vereinbarten Wartungspreise unter Einhaltung einer Frist von 3 Kalendermonaten ab Zugang der Änderungsmitteilung zu ändern. Im Falle einer Wartungspreiserhöhung von mehr als 10%, kann der Kunde den Vertrag mit einer Frist von 2 Kalendermonaten zum Ende der Änderungsfrist kündigen. Andernfalls gelten die neuen Preise als vereinbart.

  • 7 Vertraulichkeitsverpflichtung und Datenschutz

Jede Partei (SBS und Kunde) verpflichtet sich, den Inhalt von Angeboten und IT-Dienstleistungsverträgen sowie die ihm von der anderen Partei – in welcher Form auch immer – vor oder während des IT-Dienstleistungsvertrags mitgeteilten oder zugänglich gemachten Daten, insbesondere Preise, technisches Know-How oder sonstige Informationen, gleich welchen Inhalts, Dritten gegenüber geheim zu halten, sie nur für Zwecke des betreffenden Vertrages zu verwenden und sie ohne ausdrückliche schriftliche Zustimmung der anderen Partei – weder ganz noch teilweise – für eigene Zwecke zu verwerten und seine Mitarbeiter sowie sonst damit in Berührung kommende Dritte hierzu zu verpflichten.

Die  Vertraulichkeitsverpflichtung  gilt nicht, solange und soweit derartig vertrauliche Informationen (i) dem jeweiligen Empfänger bereits vorher ohne Verpflichtung zur Geheimhaltung bekannt waren oder (ii) allgemein bekannt sind oder werden, ohne dass dies der jeweilige Empfänger zu vertreten hat oder (iii) dem jeweiligen Empfänger von einem Dritten ohne Geheimhaltungsverpflichtung mitgeteilt bzw. überlassen werden oder (iv) vom Empfänger nachweislich unabhängig entwickelt worden sind oder (v) aufgrund rechtlicher Vorschriften Behörden zugänglich zu machen sind oder (vi) von der überlassenden Partei zur Bekanntmachung schriftlich freigegeben worden sind.

Jede der Parteien, verpflichtet sich, das anwendbare Datenschutzrecht zu beachten. Im Anwendungsbereich von Art. 28 DSGVO gelten die Ergänzenden Bedingungen zur Verarbeitung von Daten im Auftrag dieser AGB.

SBS ist berechtigt, den Kunden öffentlich als Referenzkunden auf üblichen Marketingmitteln (Website, Prospekten) zu benennen. Soweit eine Verwendung von Marken oder Logos des Kunden erfolgt, bedarf dies einer vorherigen Freigabe durch den Kunden.

  • 8 Haftungsbeschränkung

Die SBS haftet bei Vorsatz und grober Fahrlässigkeit nach den gesetzlichen Vorschriften. Bei leichter Fahrlässigkeit haftet die SBS nur, wenn eine wesentliche Vertragspflicht (Kardinalspflicht) verletzt wird oder ein Fall des Verzugs oder der Unmöglichkeit vorliegt. Im Fall einer Haftung aus leichter Fahrlässigkeit wird diese Haftung auf solche Schäden begrenzt, die vorhersehbar bzw. typisch sind. Eine Haftung für das Fehlen garantierter Eigenschaften, wegen Arglist, für Personenschäden, Rechtsmängel, nach dem Produkthaftungsgesetz und dem Bundesdatenschutzgesetz bleibt unberührt.

Die SBS haftet nicht für Folgeschäden, die aus einer Betriebsunterbrechung des Mietobjekts herrühren.

Ferner ist der Kunde verpflichtet, vor Eingriffen in Systeme und Software eine ausreichende, dem technischen Stand entsprechende Sicherung seiner Daten durchzuführen. Die SBS haftet nicht für den Verlust von Daten und Installationen.

  • 9 Laufzeit

Die Laufzeit des Servicevertrages ist die auf der Vorderseite vereinbarte Grundlaufzeit. Sollte der Vertrag nicht mit einer Frist von 6 Monaten vor Ablauf des Vertrages schriftlich gekündigt werden, so verlängert er sich um weitere 12 Monate.

„Unterauftragsverarbeitung“ – Wenn ein Auftragsverarbeiter nicht direkt vom Verantwortlichen beauftragt wurde, sondern von einem Auftragsverarbeiter des Verantwortlichen, liegt eine „Unterauftragsverarbeitung“ vor und die dem ersten

  • 10 Fehlbedienung

Bei Verwendung von nicht für das Objekt geeignetem Verbrauchsmaterial, sowie bei unsachgemäßer Bedienung oder ungeeignetem Standort des Geräts trägt der Kunde die Kosten für die Beseitigung des daraus entstandenen Schadens.

  • 11 Salvatorische Klausel, Erfüllungsort, Gerichtsstand

Sollte eine oder mehrere Bestimmungen dieses Vertrages unwirksam werden, so wird damit die Rechtsgültigkeit des gesamten Vertrags nicht berührt. Alle Nebenabreden bedürfen der Schriftform. Dies gilt auch für eine Vereinbarung, mit der das Schriftformerfordernis aufgehoben wird. Der Erfüllungsort ist Miesbach.

Sofern der Kunde Kaufmann ist oder er nach Vertragsschluss seinen Wohnsitz oder gewöhnlichen Aufenthaltsort aus dem Gebiet der BRD verlegt, oder sein Aufenthaltsort bzw. gewöhnlicher Aufenthaltsort nicht bekannt ist, wird als Gerichtsstand Miesbach vereinbart.

Ergänzende Bedingungen zur Verarbeitung von Daten im Auftrag

i.S.v. Art. 28 Abs. 3 EU-Datenschutzgrundverordnung („DSGVO“) (im Weiteren: „Auftragsverarbeitungsvertrag“) zwischen SBS seebauer business solutions GmbH, Am Weiglfeld 24, 83629 Weyarn (nachfolgend: „Auftragsverarbeiter“ genannt) und dem Kunden (nachfolgend: „Auftraggeber“ genannt) wird der folgende Auftragsverarbeitungsvertrag geschlossen.

Alle Begrifflichkeiten verstehen sich geschlechtsneutral

Präambel und Anwendungsbereich

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftragsverarbeitungsvertrag konkretisiert die Auftragsverarbeitung im Hinblick auf ihren Gegenstand und den sich aus dem Auftragsverarbeitungsverhältnis ergebenden Ansprüche und Pflichten zwischen den Vertragsparteien.

  1. Begrifflichkeiten und Definitionen

„Auftragsverarbeitung“ – Als „Auftragsverarbeitung“ ist, im Einklang mit 4 Nr. 8 DSGVO, die im Auftrag des Verantwortlichen, unabhängig von der Zahl dazwischen geschalteter Auftragsverarbeiter, durch den Auftragsverarbeiter entsprechend dem Gegenstand dieses Auftragsverarbeitungsvertrages eine Verarbeitung personenbezogener Daten gem. Art. 4 Nr. 2 DSGVO zu verstehen.

„Hauptvertrag“ – Der Begriff des Hauptvertrages umfasst alle Arten laufender Geschäftsbeziehungen zwischen dem Auftraggeber und dem Auftragsverarbeiter, in deren Rahmen der Auftragsverarbeiter personenbezogene Daten im Auftrag und auf Weisung des Auftraggebers entsprechend den Angaben zum Gegenstand der Auftragsverarbeitung in diesem Auftragsverarbeitungsvertrag verarbeitet. Sofern die Geltung dieses Auftragsverarbeitungsvertrages anderweitig (d.h. innerhalb dieser Vereinbarung oder außerhalb, in anderen Verträgen oder Regelungen) auf bestimmte Arten, Typen oder konkrete Geschäftsbeziehungen, Verträge, etc. beschränkt wurde, sind diese jeweils als Hauptvertrag zu verstehen. Der Begriff des Hauptvertrages umfasst auch laufende Einzelaufträge des Auftraggebers an den Auftragsverarbeiter, die von dem Auftraggeber im Rahmen des Hauptvertrages erteilt werden (z. B. im Fall von Rahmenverträgen).

„Verantwortlicher“ – „Verantwortlicher“ ist, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO).

„Personenbezogene Daten“ – „Personenbezogene Daten“ (nachfolgend auch kurz als „Daten“ bezeichnet) sind im Einklang mit Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

„Betroffene Personen“ – Als betroffene Personen (kurz „Betroffene“) werden entsprechend Art. 4 Nr. 1 DSGVO Personen bezeichnet, die mittels von personenbezogenen Daten zumindest identifizierbar sind. Die von dieser Auftragsverarbeitung betroffenen Personen, ergeben sich aus dem Gegenstand der Auftragsverarbeitung.

„Dritte“ – „Dritte“ sind entsprechend Art. 4 Nr. 10 DSGVO natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

„Unterauftragsverarbeitung“ – Wenn ein Auftragsverarbeiter nicht direkt vom Verantwortlichen beauftragt wurde, sondern von einem Auftragsverarbeiter des Verantwortlichen, liegt eine „Unterauftragsverarbeitung“ vor und die dem ersten Auftragsverarbeiter folgenden Auftragsverarbeiter, werden als „Unterauftragsverarbeiter“ bezeichnet.

„Elektronisches Format“ – Erklärungen gelten als im „elektronische Format“ entsprechend Art. 28 Abs. 9 DSGVO abgegeben, wenn die erklärende Person erkennbar ist und das elektronische Erklärungsformat sich zum Nachweis der Erklärung eignet. Als „elektronisches Format“ werden insbesondere die Textform, eine die auf dauerhaften Datenträgern gespeicherte Vereinbarung (z. B. E-Mail), digitale Signierverfahren oder Verwendung dedizierter Onlinefunktionen (z. B. in Benutzerkonten) verstanden.

  1. Gegenstand der Auftragsverarbeitung

Die Auftragsverarbeitung erfolgt im Rahmen der Rechtsbeziehung (AGB, Hauptvertrag, Leistungsvereinbarung bzw. den Leistungsschein) und tritt mit Beauftragung dieser in Kraft.

Detailangaben zum Gegenstand der im Auftrag erfolgenden Verarbeitung, die verarbeiteten personenbezogenen Daten, von der Verarbeitung betroffene Personen sowie Art, Umfang und Zweck der Verarbeitung, richten sich nach den Vorgaben des Anhangs „Gegenstand der Auftragsverarbeitung“.

  1. Art der Auftragsverarbeitung

Soweit der Auftraggeber als Verantwortlicher der Auftragsverarbeitung handelt, ist er im Rahmen dieses Auftragsverarbeitungsvertrages für die Einhaltung der Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung sowie für die Rechtmäßigkeit der Beauftragung des Auftragsverarbeiters verantwortlich. Soweit der Auftraggeber selbst als Auftragsverarbeiter handelt, beauftragt er den Auftragsverarbeiter als Unterauftragsverarbeiter. Der Verantwortliche der Verarbeitung darf sich auf Grundlage dieses Auftragsverarbeitungsvertrages unmittelbar auf die, dem Auftraggeber gegenüber dem Unterauftragsverarbeiter zustehenden Rechte berufen.

  1. Geheimhaltungsvereinbarung

Die Vertragsparteien tauschen gegenseitig im Zuge der Leistungserbringung durch den Auftragsverarbeiter Informationen aus. Dabei gewähren die Vertragsparteien gegenseitig Einblick in Leistungen, die dem Geschäftsgeheimnis unterliegen. Die nachfolgende Vereinbarung soll dem Schutz vertraulicher Informationen dienen.

Die Vertragsparteien sind verpflichtet, sämtliche erhaltenen Informationen zu beauftragten Leistungen der jeweiligen Partei vertraulich zu behandeln, d.h. diese weder direkt noch indirekt Dritten in irgendeiner Form – weder mündlich noch schriftlich oder auf andere Weise – zu offenbaren, es sei denn in dieser Vereinbarung ist ausdrücklich etwas Abweichendes geregelt.

Die Verpflichtung zur Vertraulichkeit gilt nicht bzw. nicht mehr für solche Informationen, für welche die Partei nachweisen kann, dass

  • die Information unabhängig von den erlangten Informationen entwickelt worden ist oder
  • die Information zum Zeitpunkt der Offenlegung bereits bekannt ist oder
  • die Information nach der Offenlegung rechtmäßig von einem Dritten ohne Verletzung einer Vertraulichkeitspflicht erlangt wurde oder
  • die Information zum Zeitpunkt der Offenlegung bereits allgemein bekannt ist oder allgemein bekannt wird oder
  • eine der Vertragsparteien aufgrund einer Rechtsvorschrift oder behördlichen Anordnung zur Weitergabe verpflichtet ist. In diesem Fall hat die jeweilige Vertragspartei – soweit zulässig – über die beabsichtigte Weitergabe vorab in Textform zu informieren und die gesetzlich zulässigen und erforderlichen Vorkehrungen zu treffen, um den Umfang der Weitergabe so gering wie möglich zu halten.

Die Vertragsparteien müssen die erforderliche Sorgfalt verwenden, um sämtliche nach diesem Vertrag erhaltenen Informationen vertraulich zu behandeln. Die Vertragsparteien sind berechtigt, die erhaltenen Informationen ihren Angestellten oder Beratern zugänglich zu machen, soweit dies nach dem Vertragszweck dieser Vereinbarung erforderlich ist.

Die Vertraulichkeitsverpflichtung gilt unbefristet.

Die Vertragsparteien sind verpflichtet, sich unverzüglich über jeden ihr bekanntwerdenden Verstoß oder Verdacht eines Verstoßes gegen die Verpflichtungen aus dieser Vereinbarung zu informieren.

  1. Weisungsbefugnis

Der Auftragsverarbeiter darf personenbezogene Daten nur im Rahmen des Hauptvertrages sowie der Weisungen des Auftraggebers verarbeiten und nur insoweit die Verarbeitung im Rahmen des Hauptvertrages erforderlich ist.

Die Weisungen werden anfänglich durch den Hauptvertrag oder diesen Auftragsverarbeitungsvertrag festgelegt und können vom Auftraggeber danach durch Weisungen in schriftlicher Form oder in einem elektronischen Format (Textform, z. B. E-Mail) an den Auftragsverarbeiter oder die vom Auftragsverarbeiter bezeichnete Stelle geändert, ergänzt oder ersetzt werden.

Mündliche Weisungen können erfolgen, wenn sie aufgrund der Umstände (z. B. Eilbedürftigkeit) geboten sind und sind unverzüglich schriftlich oder in elektronischer Form zu bestätigen.

Ist der Auftragsverarbeiter aufgrund objektiver Umstände der Ansicht, dass eine Weisung des Auftraggebers gegen geltendes Datenschutzrecht verstößt, wird der Auftragsverarbeiter den Auftraggeber unverzüglich darauf hinweisen und die Ansicht sachlich begründen. In diesem Fall ist der Auftragsverarbeiter berechtigt, die Ausführung der Weisung bis zur ausdrücklichen Bestätigung der Weisung durch den Auftraggeber auszusetzen und offensichtlich rechtswidrige Weisungen abzulehnen.

Der Auftragsverarbeiter kann durch das Recht der Union oder der Mitgliedstaaten und behördliche sowie gerichtliche Maßnahmen, denen der Auftragsverarbeiter unterliegt, zur Durchführung von Verarbeitungen oder Mitteilung von Informationen verpflichtet werden. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber die rechtlichen Anforderungen der zwingenden gesetzlichen Verpflichtung vor der Verarbeitung mit, sofern das betreffende Gesetz oder die Anordnung eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet; im Fall eines Verbotes der Mitteilung unternimmt der Auftragsverarbeiter die ihm möglichen und zumutbaren Maßnahmen, um die gesetzlich zwingende Verarbeitung zu verhindern oder einzuschränken.

Der Auftragsverarbeiter hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

Der Auftragsverarbeiter benennt die zum Empfang von Weisungen berechtigte Ansprechpartner und ist verpflichtet Änderungen der Ansprechpartner oder deren Kontaktinformationen sowie Vertreter im Fall einer nicht vorübergehenden Abwesenheit oder Verhinderung unverzüglich mitzuteilen.

  1. Einhaltung von Plattform- und Software-Bedingungen

Wird der Auftragsverarbeiter im Rahmen der beauftragten Leistungen innerhalb von Plattformen und Arbeitsumgebungen oder mit Software (bspw. Microsoft 365), die von Drittanbietern angeboten werden (nachfolgend bezeichnet als „Drittumgebungen“) tätig, verpflichten sich der Auftragsverarbeiter als auch der Auftraggeber, in diesem Rahmen die Geschäftsbedingungen (z. B. AGB, Nutzungsbedingungen, Datenschutzbedingungen, Richtlinien, oder technische Vorgaben, insbesondere Microsoft Terms &  Conditions) der Drittumgebungen einzuhalten.

Die Parteien verpflichten sich Daten (insbesondere personenbezogene Daten und vertrauliche Informationen), die sie in diesem Rahmen von dem jeweiligen Anbieter der Drittumgebungen erhalten oder in diesem Zusammenhang erheben oder sonst verarbeiten, nur im Rahmen der Geschäftsbeziehung zu vereinbarten Zwecken zu verarbeiten. Der Auftragsverarbeiter verpflichtet sich diesbezüglich nur nach Weisung des Kunden zu handeln.

Der Auftragsverarbeiter wird die Daten ohne Zustimmung des Auftraggebers keinen dritten Unternehmen oder Personen zur Verfügung zu stellen oder ihnen die Verarbeitung der Daten ermöglichen. Der Auftragsverarbeiter verpflichtet sich im Fall des Einsatzes von Sub-/ oder Unterauftragnehmern, diese entsprechend den vorgenannten Verpflichtungen im Hinblick auf die Drittumgebungen ebenfalls und nachweislich zu verpflichten. Die Parteien sind jeweils berechtigt, die Beauftragung, bzw. Einsatz des Vertragspartners und seiner Sub-/ oder Unterauftragnehmern in diesem Rahmen gegenüber den Anbietern der Drittumgebungen offen zu legen.

  1. Technische- und organisatorische Maßnahmen (Sicherheits- und Schutzkonzept)

Der Auftragsverarbeiter wird die innerbetriebliche Organisation in seinem Verantwortungsbereich entsprechend den gesetzlichen Anforderungen gestalten und wird insbesondere technische und organisatorische Maßnahmen (nachfolgend bezeichnet als „TOMs“) zur angemessenen Sicherung, insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit von Daten des Auftraggebers, unter Beachtung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen treffen sowie deren Aufrechterhaltung, insbesondere durch regelmäßige, mindestens jährliche Evaluation, sicherstellen. Zu den TOMs gehören im Hinblick auf den Schutz der personenbezogenen Daten insbesondere die Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Integritäts- und Verfügbarkeitskontrolle, Trennungskontrolle sowie die Sicherung der Betroffenenrechte.

Die bei Vertragsschluss durch den Auftragsverarbeiter mitgeteilten TOMs definieren das vom Auftragsverarbeiter geschuldete Minimum des Sicherheitsniveaus. Die TOMs dürfen entsprechend dem technischen und rechtlichen Fortschritt weiterentwickelt und durch adäquate Schutzmaßnahmen ersetzt werden, sofern sie das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschreiten und wesentliche Änderungen dem Auftraggeber mitgeteilt werden. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, dass das erforderliche gesetzliche Datenschutzniveau und das definierte Minimum des Sicherheitsniveaus nicht unterschritten werden.

Der Auftragsverarbeiter gewährleistet, dass es den mit der Verarbeitung der Daten befassten Mitarbeitern, Beauftragten und anderen für den Auftragsverarbeiter tätigen Personen untersagt ist, die personenbezogenen Daten außerhalb der Weisung zu verarbeiten. Der Auftragsverarbeiter stellt ferner sicher, dass die zur Verarbeitung der Daten des Auftraggebers befugten Personen in die gesetzlichen sowie sich aus diesem Auftragsverarbeitungsvertrag ergebenden Datenschutzbestimmungen eingewiesen und auf Vertraulichkeit und Verschwiegenheit verpflichtet worden sind oder einer entsprechenden und angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragsverarbeiter trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

Der Auftragsverarbeiter sorgt dafür, dass die bei ihm zur Verarbeitung eingesetzten Personen im Hinblick auf den Schutz personenbezogener Daten und Einhaltung gesetzlicher Datenschutzvorschriften angemessen häufig an wiederkehrenden Schulungs- und Sensibilisierungsmaßnahmen teilnehmen.

Die Verarbeitung der personenbezogenen Daten außerhalb der Betriebsstätte des Auftragsverarbeiters (z. B. im Home- oder Mobileoffice oder bei Fernzugriff) ist zulässig, sofern die erforderlichen technischen und organisatorischen Maßnahmen ergriffen und dokumentiert werden, die den Besonderheiten dieser Verarbeitungssituationen in angemessener Weise Rechnung tragen und insbesondere auch eine ausreichende Kontrolle der Datenverarbeitung ermöglichen (z. B. Abschluss einer Vereinbarung über Datenschutz im Home- und Mobile-Office mit Mitarbeitern). Der Auftragsverarbeiter legt dem Auftraggeber eine Dokumentation der implementierten technischen und organisatorischen Maßnahmen für derartige Home-, Mobile oder andere Fernverarbeitungen auf Anfrage vor.

Die Verarbeitung der personenbezogenen Daten auf Privatgeräten der Beschäftigten des Auftragsverarbeiters und Beauftragten ist nur mit Zustimmung des Auftraggebers zulässig.

Sofern durch gesetzliche Vorgaben vorgegeben, benennt der Auftragsverarbeiter eine*n den gesetzlichen Anforderungen entsprechende*n Datenschutzbeauftragte*n. Der Auftragsverarbeiter teilt dem Auftraggeber die Kontaktinformationen des*der Datenschutzbeauftragten und spätere Änderungen mit.

Die im Auftrag durchgeführten Verarbeitungsprozesse werden vom Auftragsverarbeiter in einem angemessenen Umfang, in einem Verzeichnis von Verarbeitungstätigkeiten gesondert dokumentiert und dem Auftraggeber auf Anforderung bereitgestellt.

Die im Rahmen des Auftragsverarbeitungsvertrag überlassene Daten sowie Datenträger und sämtliche hiervon gefertigten Kopien, verbleiben im Eigentum, bzw. in Inhaberschaft des Auftraggebers, unterliegen der Verfügungsherrschaft des Auftraggebers, sind durch den Auftragsverarbeiter sorgfältig zu verwahren, vor Zugang durch unberechtigte Dritte zu schützen und dürfen nur mit Zustimmung des Auftraggebers vernichtet werden. Die Vernichtung hat datenschutzgerecht und so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich und nicht zu erwarten ist. Kopien von Daten dürfen nur erstellt werden, wenn sie zur Erfüllung der Leistungshaupt- und Nebenpflichten des Auftragsverarbeiters gegenüber dem Auftraggeber erforderlich sind (z.B. Backups) und das vertragliche sowie das gesetzliche Datenschutzniveau gewährleistet werden.

Der Auftragsverarbeiter ist verpflichtet, eine nach diesem Auftragsverarbeitungsvertrag unverzüglich herbeizuführende Rückgabe bzw. Löschung der Daten und Datenträger auch bei Unterauftragsverarbeitern herbeizuführen.

Der Auftragsverarbeiter hat den Nachweis, einer im Rahmen dieses Auftragsverarbeitungsvertrages ordnungsgemäß erfolgten Vernichtung, bzw. Löschung von Daten und Dateien zu führen und auf Verlangen dem Auftraggeber zur Verfügung zu stellen.

Die Einrede eines Zurückbehaltungsrechts wird hinsichtlich der im Auftrag verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

Der Auftragsverarbeiter führt im angemessenen Umfang den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit (z. B. durch regelmäßige Kontrollen, Prüfungen, etc.). Der Nachweis ist dem Auftraggeber auf Anforderung zu überlassen. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.

Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftragsverarbeiters oder den gesetzlichen Anforderungen nicht oder nicht mehr genügen, benachrichtigt der Auftragsverarbeiter den Auftraggeber unverzüglich.

Die bereits zum Abschluss dieses Auftragsverarbeitungsvertrages bestehenden technischen- und organisatorische Maßnahmen, werden vom Auftragsverarbeiter im Anhang „Technische- und organisatorische Maßnahmen“ aufgeführt und von dem Auftraggeber akzeptiert.

  1. Informationspflichten und Mitwirkungspflichten des Auftragsverarbeiters

Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Zustimmung durch den Auftraggeber oder im Fall zwingender gesetzlicher Pflichten, gerichtlicher oder gesetzlicher Informationen erteilen. Wendet sich eine betroffene Person an den Auftragsverarbeiter und macht ihre Betroffenenrechte geltend (insbesondere Rechte auf Auskunft oder Berichtigung, bzw. Löschung personenbezogener Daten), wird der Auftragsverarbeiter die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragsverarbeiter leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter und unterstützt den Auftraggeber im Rahmen der Zumutbarkeit und Möglichkeit. Der Auftragsverarbeiter haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird, soweit dies nicht von dem Auftragsverarbeiter zu vertreten ist.

Der Auftragsverarbeiter hat den Auftraggeber unverzüglich und vollständig zu informieren, wenn der Auftragsverarbeiter im Hinblick auf die Verarbeitung der personenbezogenen Daten Fehler oder Unregelmäßigkeiten bei der Einhaltung von Bestimmungen dieses Auftragsverarbeitungsvertrages und/ oder einschlägiger Datenschutzvorschriften feststellt. Der Auftragsverarbeiter trifft die erforderlichen Maßnahmen zur Sicherung der personenbezogenen Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

Der Auftragsverarbeiter wird den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde gegenüber dem Auftragsverarbeiter tätig wird und deren Tätigkeit die für den Auftraggeber verarbeiteten Daten betreffen kann. Der Auftragsverarbeiter unterstützt den Auftraggeber bei der Wahrnehmung seiner Pflichten (insbesondere zur Auskunfts- und Duldung von Kontrollen) gegenüber Aufsichtsbehörden.

Sollte die Sicherheit der personenbezogenen Daten des Auftraggebers durch Maßnahmen Dritter (z.B. Gläubiger, Behörden, Gerichte, etc.) gefährdet sein (Pfändung, Beschlagnahme, Insolvenzverfahren, etc.) wird der Auftragsverarbeiter die Dritten unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei dem Auftraggeber liegen und nach Rücksprache mit dem Auftraggeber, sofern erforderlich, entsprechende Schutzmaßnahmen ergreifen (z.B. Widersprüche, Anträge, etc. stellen).

Der Auftragsverarbeiter stellt dem Auftraggeber Informationen betreffend die Verarbeitung von Daten im Rahmen dieses Auftragsverarbeitungsvertrages, die für die Erfüllung von gesetzlichen Pflichten des Auftraggebers (zu denen insbesondere Anfragen Betroffener oder Behörden und die Einhaltung seiner Rechenschaftspflichten einer Datenschutz-Folgenabschätzung gehören können) notwendig sind, zur Verfügung.

Die Informationspflichten des Auftragsverarbeiters erstrecken sich zunächst auf Informationen, die dem Auftragsverarbeiter, seinen Beschäftigten und Beauftragten vorliegen. Die Informationen müssen nicht von dritten Quellen beschafft werden, wenn die Beschaffung durch den Auftraggeber im zumutbaren Rahmen erfolgen könnte und keine anderweitige Vereinbarung getroffen wurde.

Der Auftragsverarbeiter muss Einhaltung seiner sich aus der Auftragsverarbeitung ergebenden vertraglichen und gesetzlichen Pflichten jederzeit mit geeigneten Mitteln nachweisen können

  1. Maßnahmen bei Gefährdung oder Verletzung des Datenschutzes

Für den Fall, dass der Auftragsverarbeiter Tatsachen feststellt, welche die Annahme begründen, dass der Schutz der für den Auftraggeber verarbeiteten personenbezogenen Daten im Sinne des Art. 4 Nr. 12 DSGVO verletzt sein könnte, hat der Auftragsverarbeiter den Auftraggeber unverzüglich und vollständig zu informieren, unverzüglich erforderliche Schutzmaßnahmen zu ergreifen, und bei der Erfüllung der dem Auftraggeber obliegenden Pflichten, insbesondere im Zusammenhang mit der Meldung an zuständige Behörden oder betroffene Personen zu unterstützen.

Die Information über eine (mögliche) Verletzung des Schutzes personenbezogener Daten hat unverzüglich, grundsätzlich innerhalb von 24 Stunden ab Kenntniserlangung zu erfolgen.

Die Meldung des Auftragsverarbeiters muss entsprechend Art. 33 Abs. 3 DSGVO, mindestens die folgenden Angaben beinhalten:

  1. Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der betroffenen Kategorien von Daten und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlauf- oder Kontaktstelle für weitere Informationen;

iii.              eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (z. B. unter Angabe weiterer Details: Identitätsdiebstahl, Vermögensnachteile, etc.);

  1. eine Beschreibung der vom Auftragsverarbeiter ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen;

Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen oder von ihm Beauftragten gegen datenschutzrechtliche Bestimmungen oder die in diesem Auftragsverarbeitungsvertrag getroffenen Festlegungen.

  1. Überprüfungen und Inspektionen

Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorgaben und der Regelungen dieses Auftragsverarbeitungsvertrag, insbesondere der TOMs beim Auftragsverarbeiter jederzeit im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren und die erforderlichen Überprüfungen, einschließlich Inspektionen, durchzuführen.

Der Auftragsverarbeiter hat den Auftraggeber bei den Kontrollen und Inspektionen im erforderlichen Rahmen zu unterstützen (z. B. durch Bereitstellung von Personal und Gewährung von Zugangs- und Zugriffsrechten).

Vor-Ort-Kontrollen erfolgen innerhalb üblicher Geschäftszeiten, sind vom Auftraggeber mit einer angemessenen Frist (mindestens 14 Tage) anzumelden. In Notfällen, d.h., wenn ein Zuwarten die Rechte der Betroffenen und/oder des Auftraggebers für diese in einem nicht zumutbaren Maße gefährden würde, kann eine angemessen kürzere Frist gewählt werden. Umgekehrt kann eine längere Frist erforderlich sein (wenn z. B. umfangreiche Vorbereitungen erfolgen müssen oder während der Urlaubszeit). Die Abweichungen von der Frist sind jeweils von der sie in Anspruch nehmenden Vertragspartei zu begründen.

Die Kontrollen sind auf den erforderlichen Rahmen beschränkt und müssen auf Betriebs- und Geschäftsgeheimnisse des Auftragsverarbeiters sowie den Schutz von personenbezogenen Daten Dritter (z.B. anderer Kunden oder Mitarbeiter des Auftragsverarbeiters) Rücksicht nehmen. Vermeidbare Betriebsstörungen sind zu vermeiden. Soweit dem Anlass und Zweck der Prüfung genügend, soll sich eine Kontrolle auf Stichproben beschränken.

Zur Durchführung der Kontrolle sind nur fachkundige Personen zugelassen, die sich legitimieren können und im Hinblick auf die Betriebs- und Geschäftsgeheimnisse sowie interne Prozesse des Auftragsverarbeiters und personenbezogene Daten zur Vertraulichkeit- und Verschwiegenheit verpflichtet sind. Der Auftragsverarbeiter kann den Nachweis einer entsprechenden Verpflichtung verlangen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragsverarbeiter stehen oder sonst ein begründeter Anlass zu seiner Ablehnung vorliegen, hat der Auftragsverarbeiter gegen diesen ein Einspruchsrecht.

Statt der Einsichtnahmen und der Vor-Ort-Kontrollen, darf der Auftragsverarbeiter den Auftraggeber auf eine gleichwertige Kontrolle durch unabhängige Dritte (z.B. neutrale Datenschutzauditoren), Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen. Dies gilt nur, wenn der Verweis dem Auftraggeber zuzumuten ist und die Art sowie Umfang der Prüfung und Verweise der Art und dem Umfang des berechtigten Kontrollvorhabens des Auftraggebers entsprechen. Der Auftragsverarbeiter verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 und jede andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise unverzüglich zu unterrichten.

Der Auftraggeber übt sein Kontrollrecht grundsätzlich nicht häufiger als alle 12 Monate aus, es sei denn ein konkreter Anlass (insbesondere eine Verletzung des Datenschutzes, ein Sicherheitsvorfall oder das Ergebnis einer Auditierung) macht Kontrollen vor Ablauf dieses Zeitraums erforderlich.

  1. Unterauftragsverhältnisse

Nimmt der Auftragsverarbeiter die Dienste eines Unterauftragsverarbeiters (z. B. eines Subunternehmers) in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen des Auftraggebers auszuführen, dann muss er dem Unterauftragsverarbeiter im Wege eines Vertrags oder eines gesetzlich zulässigen anderen Rechtsinstruments dieselben Datenschutzpflichten zu denen sich der Auftragsverarbeiter in diesem Auftragsverarbeitungsvertrag verpflichtet hat, auferlegen (insbesondere im Hinblick auf die Befolgung von Weisungen, Einhaltung der TOMs, Erteilung von Informationen und Duldung von Kontrollen).

Der Auftragsverarbeiter wählt den Unterauftragsverarbeiter unter besonderer Berücksichtigung der Eignung und der Zuverlässigkeit zur Einhaltung der Pflichten aus diesem Auftragsverarbeitungsvertrag sowie der Eignung der vom Unterauftragsverarbeiter getroffenen TOMs, sorgfältig aus.

Die Weiterleitung von im Auftrag verarbeiteten personenbezogenen Daten an Unterauftragsverarbeiter ist erst zulässig, wenn der Auftragsverarbeiter sich davon überzeugt hat, dass der Unterauftragsverarbeiter seine Verpflichtungen vollständig erfüllt hat. Die Prüfung ist zu dokumentieren und die Dokumentation dem Auftraggeber auf Aufforderung vorzulegen.

Der Auftragsverarbeiter hat die Einhaltung der Pflichten der Unterauftragsverarbeiter, insbesondere der TOMs regelmäßig, spätestens alle 12 Monate, in einem angemessenen Umfang zu überprüfen. Die Prüfung und ihr Ergebnis sind so nachvollziehbar zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind. Die Dokumentation ist dem Auftraggeber auf Verlangen vorzulegen. Statt eigener Überprüfung darf der Auftragsverarbeiter auf eine Überprüfung durch unabhängige Dritte (z.B. neutrale Datenschutzauditoren), Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder geeignete Datenschutz- oder IT-Sicherheitszertifizierungen gem. Art. 42 DSGVO verweisen. Der Auftragsverarbeiter verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln gemäß Art. 41 Abs. 4 DSGVO, den Widerruf einer Zertifizierung gemäß Art. 42 Abs. 7 und jede andere Form der Aufhebung oder wesentlichen Änderung der vorgenannten Nachweise beim Subunternehmer unverzüglich zu unterrichten.

Die Verantwortlichkeiten zur Wahrnehmung der Pflichten aus diesem Auftragsverarbeitungsvertrag und aus dem Gesetz sind zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter eindeutig zu regeln und voneinander abzugrenzen.

Kommt der Unterauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragsverarbeiter gegenüber dem Auftraggeber.

Verarbeitungen von personenbezogenen Daten, die keinen direkten Zusammenhang mit der Erbringung der Hauptleistung aus dem Hauptvertrag aufweisen und bei denen der Auftragsverarbeiter die Leistungen Dritter als reine Nebenleistung in Anspruch nimmt um seine geschäftliche Tätigkeit auszuüben (z.B. Reinigungs-, Bewachungs-, Wartungs-, Telekommunikations- oder Transportleistungen) stellen keine Unterauftragsverarbeitung im Sinne der vorstehenden Regelungen dieses Auftragsverarbeitungsvertrages dar. Gleichwohl hat der Auftragsverarbeiter sicher zu stellen, z.B. durch vertragliche Vereinbarungen oder Hinweise und Instruktionen, dass hierbei die Sicherheit der Daten nicht gefährdet wird und die Vorgaben dieses Auftragsverarbeitungsvertrages und der Datenschutzvorschriften eingehalten werden.

Unterauftragsverhältnisse, die dem Auftraggeber bei Abschluss dieses Auftragsverarbeitungsvertrages mitgeteilt wurden, gelten in dem mitgeteilten Umfang unter Geltung der Regelungen dieses Auftragsverarbeitungsvertrages zu Unterauftragsverhältnissen als genehmigt.

Die bereits zum Abschluss dieses Auftragsverarbeitungsvertrages bestehenden Unterauftragsverhältnisse, werden vom Auftragsverarbeiter im Anhang „Unterauftragsverhältnisse“ aufgeführt und durch den Auftragsverarbeiter aktualisiert. Weitere Unterauftragsverarbeiter können auftragsbezogen hinzugezogen und auf Anfrage mitgeteilt werden.

  1. Räumlicher Bereich der Auftragsverarbeitung

Der Auftragsverarbeiter ist berechtigt seine Beschäftigten im Zuge der Auftragsverarbeitung, global im „Home-Office“ oder „Mobil“ einzusetzen. Die Einhaltung entsprechender Sicherheitsregelungen wird durch den Auftragsverarbeiter sichergestellt.

Personenbezogene Daten werden im Rahmen der Auftragsverarbeitung in einem Mitgliedsstaat der Europäischen Union (EU) oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) oder der Schweiz verarbeitet.

Die Verarbeitung darf in Drittstaaten erfolgen, sofern die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind, d. h. insbesondere die EU-Kommission ein angemessenes Datenschutzniveau festgestellt hat; b) auf Grundlage von wirksamen Standardschutzklauseln (sog. Standard Contractual Clauses, SCC); oder c) auf Grundlage von anerkannten verbindlichen internen Datenschutzvorschriften.

Die Genehmigung von Unterauftragsverhältnissen durch den Auftraggeber im Rahmen dieses Auftragsverarbeitungsvertrages, erstreckt sich auch auf den räumlichen Bereich der Auftragsverarbeitung.

  1. Fernwartung

Sofern der Auftragnehmer Wartung und/oder Pflege von IT-Systemen bei Kunden des Auftraggebers auch im Wege der Fernwartung durchführt, ist der Auftragnehmer verpflichtet, dem Auftraggeber eine wirksame Kontrolle der Fernwartungsarbeiten zu ermöglichen. Dies kann z.B. durch Einsatz einer Technologie erfolgen, die dem Auftraggeber ermöglicht, die vom Auftragnehmer durchgeführten Arbeiten auf einem Monitor o.ä. Gerät zu verfolgen. Hierzu kann dem Auftraggeber auf Nachfrage eine Protokolldatei der durchgeführten Warten bereitgestellt werden.

Für den Fall, dass der Kunde des Auftraggebers einer Berufsgeheimnispflicht i.S.d. § 203 StGB unterliegt, hat dieser Sorge dafür zu tragen, dass eine unbefugte Offenbarung i.S.d. § 203 StGB durch die Fernwartung nicht erfolgt. Der Auftragnehmer ist diesbezüglich verpflichtet, Technologien einzusetzen, die nicht nur ein Verfolgen der Tätigkeit auf dem Bildschirm ermöglicht, sondern dem Auftraggeber auch eine Möglichkeit gibt, die Fernwartungsarbeiten jederzeit zu unterbinden.

Wenn der Kunde des Auftraggebers bei Fernwartungsarbeiten nicht wünscht, die Tätigkeiten an einem Monitor o.ä. Gerät zu beobachten, wird der Auftragnehmer die von ihm durchgeführten Arbeiten in geeigneter Weise auf Anfrage dokumentieren.

  1. Austausch von Datenträgern oder von Geräten mit Datenträgern

Werden bei einer Reparatur oder Wartung Datenträger mit möglicherweise personenbezogenen oder sonstigen vertraulichen Daten ausgetauscht oder Geräte mit derartigen Datenträgern zurückgenommen, ist der Auftraggeber zu verständigen. Die ausgetauschten Datenträger sind dem Auftraggeber auszuhändigen oder in Abstimmung mit dem Auftraggeber physisch zu vernichten oder sicher zu löschen. Eine Entfernung und Mitnahme von Datenträgern ohne Einwilligung des Auftraggebers ist unzulässig.

Das Löschverfahren ist dem Auftraggeber darzulegen und die sichere Löschung bzw. Vernichtung der Datenträger ist vom Auftragnehmer zu bestätigen. Die Löschung ist durch sicheres Überschreiben (z. B. BSI-Richtlinie zum Geheimschutz von Verschlusssachen beim Einsatz von IT (VSITR) oder Standard 5220.22-M des US-Verteidigungsministeriums oder nach DIN 66399 „Büro- und Datentechnik – Vernichtung von Datenträgern“) durchzuführen.

  1. Pflichten des Auftraggebers

Der Auftraggeber hat den Auftragsverarbeiter unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen, Weisungen oder Verarbeitungsprozessen Fehler oder Unregelmäßigkeiten im Hinblick auf datenschutzrechtliche Bestimmungen feststellt.

Die Auftraggeber benennt die zum Empfang von Weisungen berechtigte Ansprechpartner und ist verpflichtet Änderungen der Ansprechpartner oder deren Kontaktinformationen sowie Vertreter im Fall einer nicht vorübergehenden Abwesenheit oder Verhinderung unverzüglich mitzuteilen.

Im Falle einer Inanspruchnahme des Auftragsverarbeiters durch betroffene Personen, dritte Unternehmen, Stellen oder Behörden hinsichtlich etwaiger Ansprüche aufgrund der Verarbeitung von personenbezogenen Daten im Rahmen dieses Auftragsverarbeitungsvertrages, verpflichtet sich der Auftraggeber den Auftragsverarbeiter bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten und unter Berücksichtigung des Verschuldensgrades der Vertragsparteien zu unterstützen.

  1. Haftung

Es gelten die gesetzlichen Haftungsregelungen, insbesondere Art. 82 DSGVO sowie im Falle des Einsatzes eines Unterauftragsverarbeiters Art. 28 Abs. 4. S. 2 DSGVO.

  1. Laufzeit, Fortgeltung nach Vertragsende und Datenlöschung

Dieser Auftragsverarbeitungsvertrag wird mit dessen Unterzeichnung, bzw. Abschluss in einem elektronischen Format wirksam.

Laufzeit und Ende dieses Auftragsverarbeitungsvertrages richten sich nach der Laufzeit und dem Ende des Hauptvertrages.

Das Recht auf außerordentliche Kündigung bleibt den Vertragsparteien vorbehalten, insbesondere im Fall eines schwerwiegenden Verstoßes gegen die Pflichten und Vorgaben dieses Auftragsverarbeitungsvertrages und des geltenden Datenschutzrechts. Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragsverarbeiter die in dem Auftragsverarbeitungsvertrag bestimmten Pflichten und die vereinbarten technischen und organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.

Der außerordentlichen Kündigung hat bei unerheblichen Pflichtverstößen eine Abmahnung der Verstöße mit angemessener Frist zur Abhilfe vorauszugehen, wobei die Abmahnung nicht erforderlich ist, wenn nicht damit zu rechnen ist, dass die beanstandeten Verstöße behoben werden oder diese derart schwer wiegen, dass ein Festhalten am Auftragsverarbeitungsvertrag der kündigenden Vertragspartei nicht zuzumuten ist.

Die Kündigung dieses Auftragsverarbeitungsvertrages, als auch die Aufhebung dieser Formklausel müssen zumindest im elektronischen Format erfolgen.

Nach Abschluss der Erbringung der Verarbeitungsleistungen im Rahmen dieses Auftragsverarbeitungsvertrages, wird der Auftragsverarbeiter alle personenbezogenen Daten und deren Kopien (sowie sämtliche im Zusammenhang mit dem Auftragsverhältnis in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände), nach Wahl des Auftraggebers entweder vernichten oder zurückgeben, sofern nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht; in diesem Fall informiert der Auftragsverarbeiter den Auftraggeber über die Verpflichtung und deren Umfang, es sei denn dass die Kenntnis der Verpflichtung seitens des Auftraggebers erwartet werden kann. Die Vernichtung, bzw. Löschung hat datenschutzgerecht und so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich und nicht zu erwarten ist. Die Einrede eines Zurückbehaltungsrechts wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen. Im Hinblick auf die Löschung oder Rückgabe, gelten die Auskunfts-, Nachweis und Kontrollrechte des Auftraggebers entsprechend diesem Auftragsverarbeitungsvertrag.

Die sich aus dem Auftragsverarbeitungsvertrag ergebenden Pflichten zum Schutz vertraulicher Informationen gelten auch nach Ende des Auftragsverarbeitungsvertrages fort, sofern der Auftragsverarbeiter weiterhin die vom Auftragsverarbeitungsvertrag umfassten personenbezogenen Daten verarbeitet und die Einhaltung der Pflichten für den Auftragsverarbeiter auch nach Vertragsende zumutbar ist.

Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung und Sicherstellung der TOMs dienen, sind durch den Auftragsverarbeiter den jeweiligen, ihm bekannten Aufbewahrungs- und Löschungsfristen (oder solchen, die ihm bekannt sein müssten) des Auftraggebers entsprechend, zumindest drei Jahre auch über das Vertragsende hinaus aufzubewahren. Der Auftragsverarbeiter kann die Dokumentationen zu seiner Entlastung dem Auftraggeber bei Vertragsende übergeben.

 

  1. Schlussbestimmungen

Das anwendbare Recht bestimmt sich nach dem Hauptvertrag.

Der Gerichtsstandort bestimmt sich nach dem Hauptvertrag.

Der vorliegende Auftragsverarbeitungsvertrag stellt die vollständige, zwischen den Vertragsparteien getroffene Vereinbarung dar. Nebenabreden bestehen nicht.

Mit Zustandekommen dieses Auftragsverarbeitungsvertrages werden alle etwaigen früheren Verträge aufgehoben, die zwischen den Vertragsparteien dieses Vertrages abgeschlossen wurden und die die Verarbeitung personenbezogener Daten im Auftrag regeln, wenn und soweit diese den gleichen Gegenstand der Auftragsverarbeitung betreffen und wenn und soweit zwischen den Vertragsparteien nicht ausdrücklich schriftlich etwas anderes vereinbart wurde.

Änderungen sowie Ergänzungen dieses Auftragsverarbeitungsvertrages, als auch die Aufhebung dieser Formklausel müssen zumindest im elektronischen Format erfolgen.

Bei etwaigen Widersprüchen gehen Regelungen dieses Auftragsverarbeitungsvertrages zum Datenschutz den Regelungen des Hauptvertrages vor.

Sollten eine oder mehrere Bestimmungen dieses Auftragsverarbeitungsvertrages unwirksam oder undurchführbar sein, so wird dadurch die Gültigkeit der übrigen Bestimmungen nicht berührt. Die unwirksamen Bestimmungen werden vielmehr im Wege der ergänzenden Auslegung eine solche Regelung ersetzt, die von den Vertragsparteien mit der/den unwirksamen Bestimmung/en erkennbar verfolgten wirtschaftlichen Zweck möglichst nahekommt. Sofern die vorbenannte ergänzende Auslegung aufgrund gesetzlich zwingender Vorgaben nicht möglich ist, werden die Vertragsparteien eine ihr entsprechende Regelung vereinbaren.

Die ergänzenden Bedingungen zur Verarbeitung von Daten im Auftrag sind Teil des Hauptvertrages und werden mit dessen Abschluss wirksam. Eine gesonderte Unterschrift ist nicht notwendig.

 

Stand: 06.12.2024

AGB

Hier können Sie sich unsere aktuellen AGBs herunterladen:
AGB SBS