Auftragsverarbeitungs-Vertrag

Vorwort

Der Auftraggeber möchte den Auftragnehmer mit den in Ziff. 1 und 2 genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten („Daten“). Insbesondere Art. 28 DSGVO stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien den nachfolgenden Vertrag:

1. Anwendungsbereich und Verantwortlichkeit

Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich der Informations- und Kommunikationstechnik (IKT) auf Grundlage des Hauptvertrages. Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten im Sinne des Art. 4 Nr. 1 DSGVO und verarbeitet diese im Auftrag des Auftraggebers.

Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien den vorliegenden Vertrag. Die Regelungen des vorliegenden Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor.

Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.

Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DSGVO).

Der Auftraggeber verpflichtet sich seine Mitarbeitenden und sonstige bei ihm beschäftigte Personen, deren Daten auf Grundlage des Hauptvertrages und dieses Vertrages durch den Auftragnehmer verarbeitet werden („Nutzer“), über die Datenverarbeitung gemäß Art. 13, 14 DSGVO, zu informieren. Zur Erfüllung dieser Informationspflichten dienen die Nutzungsbedingungen für Benutzer.

Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Hauptvertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt.

Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.

2. Gegenstand und Umfang der Verarbeitung personenbezogener Daten

Umfang und Zweck der Datenverarbeitung ergeben sich aus dem Hauptvertrag und der dazugehörigen Leistungsbeschreibung. Im Rahmen der Durchführung des Hauptvertrages erhält der Auftragnehmer Zugriff auf folgende Arten von personenbezogenen Daten von den folgenden betroffenen Personen zu folgenden Zwecken:

Betroffene Personen: Admin

Art der DatenArt und Zweck der Verwendung
Vorname,
Nachname,
Anrede
Kommunikation mit zuständiger Person des Auftraggebers für Evermood.
E-MailErstellung eines Adminprofils für die Nutzung des Dashboards.

Betroffene Personen: Nutzer

Art der DatenArt und Zweck der Verwendung
E-MailVerifizierung des Nutzers auf Basis des Domain-Namens.
Gerätekennung,
Gerätetyp
Zuordnung und Behebung von Fehlern, Verifizierung von Nutzern, Senden von Push-Benachrichtigungen.
Vorname*Individuelle Ansprache des Nutzers.

*freiwillige Angabe

Die Abteilung wird dem Auftraggeber, zum Zwecke der Anonymitätswahrung seiner Mitarbeitenden, nur dann angezeigt, wenn mindestens zehn Nutzer einer Abteilung zugeordnet werden können.

3. Pflichten des Auftragnehmers

Evermood überlässt dem Kunden einen zeitlich befristeten Zugang zu der Evermood-App über den AppStore oder den Google Play Store in der jeweils aktuellen Version.

Die Zurverfügungstellung des Zugangs erfolgt über einen odere mehrere kundenindividuelle Workspaces.

Ein Workspace ist ein temporärer digitaler Bereich, über den sich die Mitarbeitenden des Kunden verifizieren und Zugang zu der Evermood-App verschaffen können. Der Kunde benennt den Workspace (Workspace-Name) und ordnet diesem einen Domain-Namen zu.

Workspace-Name und Domain-Name sind eindeutige Identifizierungsmerkmale, die den Nutzern Zugang zu der Evermood-App verschaffen. Workspace-Namen und Domain-Namen können demnach nicht mehrfach vorliegen.

Sollte der gewünschte Workspace-Name oder Domain-Name des Kunden nicht mehr verfügbar sein, so kann der Kunde diesen Namen unter Begründung bei Evermood beantragen. Evermood prüft den Antrag und innerhalb von 24 Stunden.

Der Kunde hat keinen Anspruch auf einen bestimmten Workspace-Namen oder Domain-Namen, es sei denn er hält zu diesen Namen Marken-, Patent- oder ähnliche Schutzrechte.

Routinen & Tagesziel

Routinen & Tagesziele sind Tätigkeiten oder Aufgaben, die regelmäßig oder in bestimmten Abständen erledigt werden.

Routinen & Tagesziele können in der Evermood-App auf Basis von vordefinierten Abstände ausgewählt und aktiviert werden, oder durch den Nutzer zeitlich individuell angepasst werden.

Der Kunde sieht eine Zusammenfassung aller Routinen & Tagesziele in seinem Dashboard und, sofern vorhanden, die Zusammenfassung der individuellen Routinen & Tagesziele auf Basis der Kategorien.

Dashboard & Analysen

Der Kunde kann sich mit seiner angegebenen E-Mail und einem, von Evermood erstellten, Passwort, oder über ein optionales Single-Sign-On System in das Dashboard einloggen.

Der Kunde kann alle nicht-personenbezogenen Daten tabellarisch und statistisch aufbereitet abrufen und verwalten. Dies beinhaltet die Möglichkeit, Umfragen auszulösen, statistische Werte anhand von Meta-Daten zu sortieren, zu markieren und zu archivieren sowie in einem geeigneten Format (CSV, PDF) zu exportieren.

Der Kunde kann einen oder mehrere Admins definieren.

Der Admin hat Einsicht in das gesamte Dashboard und kann Informationen erstellen, anpassen und verwalten.

Digitale Kommunikationsmedien

Evermood stellt dem Kunden digitale Kommunikationsmedien zur Verfügung.

Evermood verwendet hierzu vorgefertigte Layouts, die um die kundenindividuellen Workspace- und Domain-Namen ergänzt werden.

Evermood stellt dem Kunden folgende Digitalmedien zur Verfügung:

  • Monatlicher Newsletter
  • Digital-Banner mit Seitenverhältnis 16×9
  • Digital-Banner mit Seitenverhältnis 4×3

Wünscht der Kunde weitere Digitalmedien oder individuelle Layouts (bspw. für das Intranet oder Displays mit Sonderformaten), so sind diese mit Evermood abzustimmen. Evermood prüft den Umfang der Arbeitsleistung und macht dem Kunden auf Basis dieser einen Kostenvoranschlag.

Evermood stellt dem Kunden alle Digitalmedien mindestens 7 Kalendertage vor Aktivierung des Zugangs zu der Evermood-App zur Verfügung.

Print-Kommunikationsmedien [Business, Enterprise]

Evermood erstellt dem Kunden Print-Kommunikationsmedien.

Evermood verwendet hierzu vorgefertigte Layouts, die um die kundenindividuellen Workspace- und Domain-Namen ergänzt werden.

Evermood erstellt dem Kunden folgende Printmedien zur Verfügung:

  • Visitenkarten (85x55mm): 1,5 pro Mitarbeiter
  • Plakate DIN A2 (420x594mm): 0,05 pro Mitarbeiter

Wünscht der Kunde weitere Printmedien oder individuelle Layouts (bspw. Banner, Co-Branding), so sind diese mit Evermood abzustimmen. Evermood prüft den Umfang der Arbeitsleistung und macht dem Kunden auf Basis dieser einen Kostenvoranschlag.

Evermood stellt dem Kunden alle Printmedien mindestens 7 Kalendertage vor Aktivierung des Zugangs zu der Evermood-App zur Verfügung.

Evermood SpeakUp [Business, Enterprise]

Evermood SpeakUp ist eine Kommunikationsschnittstelle innerhalb der Evermood-App.

Über Evermood SpeakUp können Mitarbeitende Anliegen anonym oder nicht-anonym an den Kunden melden.

Der Kunde kann den jeweiligen Themen Kontaktpersonen, EAP-Dienstleister, Hinweisgebersysteme und ähnliche interne oder externe Hilfe- und Unterstützungsangebote zuordnen.

Die Zuordnung erfolgt auf Basis von Telefonnummern, E-Mail, URLs oder APIs.

Umfragen [Business, Enterprise]

Umfragen sind allgemeine oder umfassende Auffassungen oder Einschätzungen über das Wohlbefinden der Nutzer, die Unternehmenskultur oder ähnliche Themengebiete.

Umfragen bestehen aus mindestens 5 Multiple-Choice-Fragen und können durch weitere Typen (z.B. Freie Eingabe, Sortierung, Booleans) ergänzt werden.

Umfragen sind nicht durch den Kunden individualisierbar.

Umfragen werden durch den Kunden im Dashboard ausgelöst und dem Nutzer in der Evermood-App im “Heute” Bereich angezeigt.

Der Kunde sieht eine Zusammenfassung aller Umfragen in seinem Dashboard.

Integration von Online-Trainings [Enterprise]

Der Kunde kann eigene oder externe Online-Trainings in die Evermood-App einbinden.

Der Kunde gewährleistet, dass er das Recht dazu hat, extern erworbene Online-Trainings in die Evermood-App einzubinden. Evermood übernimmt keinerlei Haftung hierfür.

Online-Trainings können in Form von Routinen & Tageszielen über das Dashboard eingebunden werden oder in Zusammenarbeit mit Evermood individuell in die Evermood-App in anderen Formaten integriert werden.

Wünscht der Kunde ein individuelles Format für Online-Trainings, so ist dieses mit Evermood abzustimmen. Evermood prüft den Umfang der Arbeitsleistung und macht dem Kunden auf Basis dieser einen Kostenvoranschlag.

Eigenes Design [Enterprise]

Der Kunde kann das Design von Evermood bedingt anpassen.

Die Anpassungen beinhalten:

  • die Darstellung des Kundenlogos beim Öffnen der Evermood-App
  • die Anpassung von Hintergrundfarben auf Basis von Vorlagen

Wünscht der Kunde weitere Anpassungen des Designs, so ist dieses mit Evermood abzustimmen. Evermood prüft den Umfang der Arbeitsleistung und macht dem Kunden auf Basis dieser einen Kostenvoranschlag.

Mitwirkungspflichten

Vertragsbeginn

Der Kunde bestimmt den Beginn der Vertragslaufzeit.

Workspaces

Der Kunde stellt Evermood spätestens 14 Kalendertage vor Aktivierung des Zugangs zu der Evermood-App folgende Informationen digital zur Verfügung:

  • Logo in SVG-, PNG-, JPEG- oder PDF-Format (Mindestbreite: 800 Pixel)
  • Anschrift des Unternehmens
  • Name, Vorname, E-Mail des/der Admin(s)
  • Workspace-Name(n) und Domain-Name(n)

Kommunikationsmedien

Der Kunde erteilt Evermood bis spätestens 14 Kalendertage vor Aktivierung des Zugangs zu der Evermood-App die Freigabe für die Kommunikationsmedien.

Nichteinhaltung der Fristen

Hält der Kunde die genannten Fristen nicht ein, so verzögert sich der Vertragsbeginn maximal um die genannte Frist.

Evermood informiert den Kunden hierüber.

Integration von Online-Trainings

Der Kunde teilt Evermood bis spätestens 14 Kalendertage vor Aktivierung von Online-Trainings, die in Zusammenarbeit mit Evermood erarbeitet wurden, die Freigabe des jeweiligen Online-Trainings mit.

Evermood prüft das jeweilige Online-Training auf Funktionalität in der jeweils aktuellen Softwareversion von iOS und Android und teilt dem Kunden das Ergebnis der Prüfung mit.

Fällt die Prüfung negativ aus, so teilt Evermood dies dem Kunden unter Berücksichtigung einer angemessenen Nachbesserungsfrist mit. Dem Kunden entstehen hierdurch keine Mehrkosten.Der Auftragnehmer darf Daten von Nutzern nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

Der Auftragnehmer trifft alle erforderlichen Schutzmaßnahmen zum angemessenen Schutz der Daten des Auftraggebers gemäß Art. 32 DSGVO. Näheres ist in Ziff. 5 dieses Vertrages geregelt.

Der Auftragnehmer unterstützt soweit vereinbart den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 33 bis 36 DSGVO genannten Pflichten.

Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen, soweit keine angemessene gesetzliche Verschwiegenheitspflicht besteht. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.

Beim Auftragnehmer ist ein Datenschutzbeauftragter für den Datenschutz bestellt. Der Auftragnehmer veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf seiner Internetseite und teilt sie der Aufsichtsbehörde mit. Veröffentlichung und Mitteilung weist der Auftragnehmer auf Anforderung des Auftraggebers in geeigneter Weise nach.

Der Auftragnehmer berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.

Daten, Datenträger sowie sämtliche sonstige Materialien sind nach Auftragsende auf Verlangen des Auftraggebers entweder herauszugeben oder zu löschen. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber.

Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.

4. Pflichten des Auftraggebers

Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, gilt Ziff. 3 Abs. 8 entsprechend.

Der Auftraggeber nennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Hauptvertrages anfallende Datenschutzfragen.

5. Technische und organisatorische Maßnahmen

Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DSGVO. Hierzu wird der Auftragnehmer insbesondere (i) die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen, sowie (ii) die Fähigkeit, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall seitens des Auftragnehmers rasch wiederherzustellen, gewährleisten. 

Der Auftragnehmer hat vor Beginn der Verarbeitung der Daten die in Anlage A dieses Vertrags aufgelisteten technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung zu implementieren und während der Dauer dieses Vertrags aufrechtzuerhalten.Der Auftragnehmer gewährleistet, seinen Pflichten nach Art. 32 Abs. 1 lit. d) DSGVO nachzukommen, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen.

Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der technologischen Weiterentwicklung unterliegen, ist es dem Auftragnehmer gestattet, alternative und adäquate Maßnahmen umzusetzen, sofern dabei das Sicherheitsniveau der in Anlage A festgelegten Maßnahmen nicht unterschritten wird. Der Auftragnehmer wird solche Änderungen dokumentieren. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.

Dem Auftraggeber sind die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen bekannt. Der Auftraggeber trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

6. Meldungen von Verletzungen des Schutzes der Daten

Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen und potentielle des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer hat den Auftraggeber hierbei nach Möglichkeit auch über die Art der Verletzung mit Angabe der Kategorien und der Anzahl der betroffenen Personen, der betroffenen Datensätze und deren Anzahl zu informieren.

Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen, informiert hierüber den Auftraggeber und spricht sich hierzu unverzüglich mit dem Auftraggeber ab. Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.

Der Auftragnehmer ist verpflichtet, sämtliche (potentiellen) Verletzungen des Schutzes der Daten einschließlich aller damit im Zusammenhang stehenden Fakten in einer Weise zu dokumentieren, die dem Auftraggeber den Nachweis der Einhaltung etwa einschlägiger gesetzlicher Meldepflichten (z.B. nach Art. 33, 34 DSGVO) ermöglicht.

Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber im Sinne der DSGVO liegen.

7. Anfragen betroffener Personen

Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.

8. Nachweismöglichkeiten

Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten mit geeigneten Mitteln nach.
Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden des Auftragnehmers und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.

Der Auftraggeber stimmt der Benennung eines unabhängigen externen Prüfers durch den Auftragnehmer zu, sofern der Auftragnehmer eine Kopie des Auditberichts zur Verfügung stellt.

Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

9. Drittanbieter

Der Einsatz von Drittanbietern als weiteren Auftragsverarbeiter ist nur zulässig, wenn der Auftraggeber vorher zugestimmt hat.
Ein zustimmungspflichtiges Drittanbieterverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der ganzen oder einer Teilleistung der im Hauptvertrag vereinbarten Leistung beauftragt. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.

Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung folgender Drittanbieter durchgeführt:

Name der OrganisationAdresseLeistung
Amazon Web ServicesLuxembourgHosting der der Anwendung und Versenden von Nachrichten und E-Mails aus dem Serverstandort in Frankfurt, Deutschland.
Vor der Hinzuziehung weiterer oder der Ersetzung aufgeführter Drittanbieter holt der Auftragnehmer die Zustimmung des Auftraggebers ein, wobei diese nicht ohne wichtigen datenschutzrechtlichen Grund verweigert werden darf. Eine Weitergabe von Aufträgen im Rahmen der in dem Hauptvertrag vereinbarten Tätigkeiten an Drittanbieter durch den Auftragnehmer erfolgt nicht. Erteilt der Auftragnehmer Aufträge an Drittanbieter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Drittanbieter zu übertragen.

10. Haftung und Schadensersatz

Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.

11. Vertragsdauer und Kündigung

Die Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Eine Kündigung des Hauptvertrages bewirkt automatisch die Kündigung dieses Vertrages. Eine isolierte Kündigung dieses Vertrages ist ausgeschlossen. Der Auftraggeber ist zu einer außerordentlichen Kündigung dieses Vertrags sowie des Hauptvertrags berechtigt, wenn der Auftragnehmer gegen wesentliche Pflichten aus diesem Vertrag oder gegen Weisungen des Auftraggebers verstößt und er den jeweiligen Verstoß auf Abmahnung des Auftraggebers hin nicht behebt.

12. Beendigung des Hauptvertrages

Nach Beendigung dieses Vertrags hat der Auftragnehmer nach Wahl des Auftraggebers sämtliche Daten des Auftraggebers zu löschen, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Pflicht zur Speichernden der personenbezogenen Daten besteht, oder in geeigneter Weise zurückzugeben. Im Falle der Löschung der -Daten des Auftraggebers hat der Auftragnehmer diese in einem Protokoll zu dokumentieren. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung oder gesetzlichen Aufbewahrungsfristen dienen, hat der Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

13. Schlussbestimmungen

Änderungen und Ergänzungen dieses Vertrages und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages zum Datenschutz den Regelungen des Hauptvertrages vor. Sollten einzelne Bestimmungen dieses Vertrages ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein, so berührt dies nicht die Wirksamkeit der jeweils übrigen Bestimmungen dieses Vertrages. Dieser Vertrag unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist Berlin (Charlottenburg).
Wir verwenden Cookies, um sicherzustellen, dass Sie das beste Erlebnis auf unserer Website erhalten. Mehr erfahren