Auftragsverarbeitungsvereinbarung gem. Art. 28 DSGVO (AVV)

Präambel

Der Auftragnehmer stellt dem Auftraggeber verschiedene Online-Dienste zur Verfügung, über die der Auftraggeber Community-Bereiche, Marketing- und Vertriebsprozesse sowie sonstige Online-Angebote betreiben kann (nachfolgend gemeinsam „Online-Plattformen“ genannt, z. B. „Membado“, „Vifugo“ oder „8020-OS“).

Im Rahmen der Nutzung dieser Online-Plattformen verarbeitet der Auftragnehmer personenbezogene Daten von Anwendern und Teilnehmern im Auftrag des Auftraggebers gemäß dieser Auftragsverarbeitungsvereinbarung.

Diese AVV regelt ausschließlich die Verarbeitung personenbezogener Daten, für die der Auftraggeber Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist und die der Auftragnehmer als Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO im Auftrag des Auftraggebers durchführt. Verarbeitungen, bei denen der Auftragnehmer selbst Verantwortlicher ist (z. B. eigene gesetzliche Pflichten oder eigene Werbemaßnahmen des Auftragnehmers), werden nicht durch diese AVV geregelt.

1. Gegenstand der AVV

1.1 Geltungsbereich

Soweit der Auftragnehmer im Rahmen der Durchführung des Hauptvertrages personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, insbesondere in Bezug auf die in Anhang 1 beschriebenen Verarbeitungen, gilt diese AVV.

1.2 Einzelheiten

Einzelheiten zu Umfang, Art und Zweck der vorgesehenen Verarbeitung personenbezogener Daten sowie zu Art der Daten und Kategorien betroffener Personen ergeben sich aus dem Hauptvertrag und aus Anhang 1 dieser AVV.

2. Laufzeit der AVV

(1) Diese AVV tritt mit Abschluss des Hauptvertrages (Nutzungsvertrag) zwischen Auftraggeber und Auftragnehmer und Geltung der AGB des Auftragnehmers in Kraft. Einer gesonderten Unterzeichnung bedarf es nicht.

(2) Die Laufzeit dieser AVV richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachstehenden Bestimmungen keine darüberhinausgehenden Verpflichtungen ergeben.

3. Pflichten des Auftragnehmers

3.1 Weisungsgebundenheit

a) Der Auftragnehmer verarbeitet personenbezogene Daten im Rahmen der im Hauptvertrag geregelten Dienste ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers, im in Anhang 1 vorgesehenen Zweck und Umfang sowie in Übereinstimmung mit den Bestimmungen dieser AVV.

b) Der Auftraggeber behält sich vor, den Auftrag zu ergänzen, zu ändern oder ersetzende Weisungen in Bezug auf die Verarbeitung zu erteilen.

c) Soweit Weisungen des Auftraggebers unklar sein sollten, ist der Auftragnehmer verpflichtet, den Auftraggeber hierüber zu informieren und eine Klarstellung einzuholen.

3.2 Zweckänderungen

Für andere als in den Weisungen festgelegte Zwecke dürfen personenbezogene Daten nur mit vorheriger Weisung oder schriftlicher Zustimmung des Auftraggebers verarbeitet werden. Dies gilt insbesondere für eine Weitergabe an Dritte, soweit diese nicht zur Erfüllung des Auftrags erforderlich ist.

3.3 Gesetzeswidrige Weisungen

Ist der Auftragnehmer der Auffassung, dass eine Weisung des Auftraggebers gegen die Datenschutz-Grundverordnung (DSGVO), das Bundesdatenschutzgesetz (BDSG) oder andere datenschutzrechtliche Vorschriften der Europäischen Union oder der Mitgliedstaaten verstößt, weist der Auftragnehmer den Auftraggeber unverzüglich hierauf hin. Der Auftragnehmer ist berechtigt, die Umsetzung der Weisung bis zur Bestätigung oder Änderung der Weisung auszusetzen.

3.4 Dokumentierung der Weisungen

Der Auftragnehmer dokumentiert die Weisungen des Auftraggebers in einem von ihm zu führenden Verzeichnis. Mündlich erteilte Weisungen sind unverzüglich in Textform zu bestätigen. Zur Weisung befugt sind die in Anhang 2 gelisteten Personen auf Seiten des Auftraggebers.

3.5 Ausnahmen von der Weisungsgebundenheit

Bei gesetzlichen Ausnahmen von der Weisungsgebundenheit des Auftragnehmers gem. Art. 28 Abs. 3 Satz 2 lit. a DSGVO informiert der Auftragnehmer den Auftraggeber vor der Verarbeitung über auf Grundlage von Rechtsvorschriften vorzunehmende oder zu unterlassende Datenverarbeitungen, sofern die Rechtsvorschriften eine solche Mitteilung nicht untersagen.

3.6 Datenschutzrechtliche Bestimmungen

a) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind und er diese befolgt.

b) Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Regelungen dieser AVV regelmäßig und befolgt die Weisungen des Auftraggebers während der gesamten Laufzeit dieser AVV.

3.7 Zusammenarbeit mit Aufsichtsbehörden

Der Auftragnehmer ermöglicht eine ordnungsgemäße Datenschutzkontrolle und Aufsicht durch die zuständige Aufsichtsbehörde. Insbesondere erteilt er der Aufsichtsbehörde richtig, vollständig und rechtzeitig Auskunft, duldet Prüfungen und Kontrollmaßnahmen und vollzieht Anordnungen der Aufsichtsbehörde. Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls sich die Aufsichtsbehörde im Rahmen ihrer Datenschutzkontrolle unmittelbar an den Auftragnehmer wenden sollte.

3.8 Mitwirkungspflichten

a) Der Auftragnehmer stellt sicher, dass der Auftraggeber gesetzliche Ansprüche Betroffener aus den Art. 12 bis 22 DSGVO erfüllen kann. Der Auftragnehmer hat geeignete technische und organisatorische Maßnahmen zu treffen, um den Auftraggeber bei der Beantwortung entsprechender Anträge von Betroffenen zu unterstützen. Insbesondere unterstützt der Auftragnehmer den Auftraggeber bei der Erfüllung von Ansprüchen Betroffener auf Löschung personenbezogener Daten gem. Art. 17 DSGVO. Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls sich ein Betroffener zum Zwecke der Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung unmittelbar an den Auftragnehmer wenden sollte.

b) Der Auftragnehmer verpflichtet sich, den Auftraggeber bei den zutreffenden Maßnahmen in Bezug auf die Datensicherheit nach Art. 32 DSGVO, bei gegebenenfalls nötigen Meldungen an die Aufsichtsbehörde (Art. 33 DSGVO) oder bei Benachrichtigungen Betroffener (Art. 34 DSGVO), bei der Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) sowie bei der Abstimmung mit Aufsichtsbehörden (Art. 36 DSGVO) zu unterstützen.

3.9 Informationspflichten

a) Der Auftragnehmer stellt dem Auftraggeber diejenigen Informationen zur Verfügung, die dieser benötigt, um die Einhaltung der Vorschriften zur Auftragsverarbeitung gem. Art. 28 DSGVO dokumentieren und nachweisen zu können. Hierzu weist der Auftragnehmer dem Auftraggeber auf Anfrage insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO nach.

b) Der Auftragnehmer informiert den Auftraggeber unverzüglich über datenschutzrechtliche Betriebsstörungen, Indizien für mögliche oder feststehende Datenschutzverletzungen, sonstige Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten sowie über Verstöße gegen diese AVV durch den Auftragnehmer oder etwaige Unterauftragsverarbeiter.

c) Der Auftragnehmer stellt dem Auftraggeber auf Anfrage die für dessen Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO erforderlichen Informationen zur Verfügung.

d) Sollten personenbezogene Daten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenzverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, informiert der Auftragnehmer den Auftraggeber unverzüglich.

3.10 Unterrichtung und Verpflichtung von Beschäftigten

a) Der Auftragnehmer behandelt personenbezogene Daten des Auftraggebers streng vertraulich. Alle zur Datenverarbeitung befugten Personen werden vom Auftragnehmer vor Aufnahme der Tätigkeit mit den Anforderungen des Datenschutzes vertraut gemacht und schriftlich oder in Textform zur Vertraulichkeit verpflichtet. Diese Verpflichtung sieht auch vor, dass die Vertraulichkeits- bzw. Verschwiegenheitspflichten auch nach Beendigung des Auftrags und auch nach der Beendigung der jeweiligen Vertragsverhältnisse fortbestehen.

b) Personenbezogene Daten dürfen vom Auftragnehmer nur solchen Personen zugänglich gemacht werden, die diese Daten zur Durchführung der Auftragsverarbeitung oder des Hauptvertrags tatsächlich benötigen. Nur diese Personen dürfen Zugriff auf die personenbezogenen Daten haben.

4. Technische und organisatorische Maßnahmen

4.1 Allgemeine Verpflichtung

Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen zum Schutz der personenbezogenen Daten, die den Anforderungen der DSGVO, insbesondere Art. 32 DSGVO, genügen. Die umgesetzten Maßnahmen sind in Anhang 3 beschrieben.

4.2 Technischer Fortschritt und Anpassung

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden.

4.3 Verantwortung des Auftraggebers für das Schutzniveau

Dem Auftraggeber sind die vom Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen bekannt. Der Auftraggeber trägt die Verantwortung dafür, dass diese Maßnahmen ein für die Risiken im Hinblick auf die durch den Auftraggeber verarbeiteten personenbezogenen Daten angemessenes Schutzniveau bieten.

5. Rechte und Pflichten des Auftraggebers

5.1 Einhaltung datenschutzrechtlicher Vorschriften

Der Auftraggeber ist im Rahmen der Umsetzung dieser AVV für die Einhaltung der Vorgaben der DSGVO sowie anderer einschlägiger Vorschriften zum Datenschutz verantwortlich, insbesondere dafür, dass die gesetzlichen Ansprüche der Betroffenen im Hinblick auf ihre personenbezogenen Daten gewahrt werden.

5.2 Weisungsrecht

Der Auftraggeber hat ein umfassendes Weisungsrecht. Weisungen erteilt der Auftraggeber in der Regel in Textform.

Erfolgt eine Weisung ausnahmsweise mündlich, ist der Auftraggeber verpflichtet, diese Weisung unverzüglich in Textform zu dokumentieren und zu bestätigen. Der Auftragnehmer kann die Ausführung einer mündlichen Weisung bis zum Erhalt einer entsprechenden Bestätigung in Textform aussetzen, soweit nicht zwingende Gründe entgegenstehen.

Weisungen können vom Auftraggeber jederzeit geändert, ergänzt oder ersetzt werden. Die Weisungsberechtigten beim Auftraggeber und die Weisungsempfangsberechtigten beim Auftragnehmer sind in Anhang 2 aufgeführt.

6. Kontrollrechte des Auftraggebers und Duldungs- und Mitwirkungspflichten des Auftragnehmers

6.1 Prüfungen

a) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in dieser AVV niedergelegten Pflichten mit geeigneten Mitteln nach. Zum Nachweis der Einhaltung der vereinbarten Pflichten kann der Auftragnehmer dem Auftraggeber insbesondere Informationen aus der Durchführung von Selbstaudits zur Verfügung stellen.

b) Der Auftragnehmer stimmt der Benennung eines unabhängigen externen Prüfers durch den Auftraggeber zu, sofern der Auftraggeber dem Auftragnehmer eine Kopie des Auditberichts zur Verfügung stellt. Für die Unterstützung bei der Durchführung einer Inspektion darf der Auftragnehmer eine angemessene Vergütung verlangen. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt, sofern nicht zwingende gesetzliche Vorgaben entgegenstehen.

c) Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz b) entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt.

d) Der Auftraggeber informiert den Auftragnehmer unverzüglich und vollständig, wenn er bei der Prüfung Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

6.2 Kosten

Die Kosten für Kontrollmaßnahmen trägt der Auftraggeber. Dazu zählen auch Aufwände, die dem Auftragnehmer aufgrund der Durchführung von Kontrollen beim Auftragnehmer oder bei Unterauftragsverarbeitern entstehen. Hiervon ausgenommen sind Aufwände, die der Auftragnehmer freiwillig für eine allgemeine Nachweiserbringung (z. B. interne Selbstaudits) erbringt.

Kontrollmaßnahmen sind vor ihrer Durchführung hinsichtlich Art, Umfang und zu erwartender Aufwände zwischen den Parteien abzustimmen, soweit dem nicht zwingende gesetzliche Vorgaben entgegenstehen.

7. Unterauftragsverarbeiter

7.1 Beauftragung und Information

a) Der Auftragnehmer ist berechtigt, weitere oder andere Unterauftragsverarbeiter im Sinne von Art. 28 Abs. 2 und 4 DSGVO ohne gesonderte vorherige Genehmigung im Einzelfall zu beauftragen, sofern die Voraussetzungen dieser Ziffer 7 erfüllt sind.

b) Der Auftragnehmer führt eine stets aktuelle Übersicht der Unterauftragsverarbeiter. Diese Übersicht ist in Anhang 4 enthalten. Der Auftragnehmer informiert den Auftraggeber mindestens zwei Wochen vor dem Einsatz eines neuen oder der Änderung eines bestehenden Unterauftragsverarbeiters durch Aktualisierung dieser Übersicht sowie in Textform (z. B. per E-Mail an den im Hauptvertrag oder im Kundenkonto genannten E-Mail-Kontakt).

c) Der Auftraggeber kann der Änderung aus wichtigem datenschutzrechtlichen Grund innerhalb einer Frist von zwei Wochen nach Information widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zur Änderung als erteilt. Liegt ein wichtiger datenschutzrechtlicher Grund vor und ist eine einvernehmliche Lösung zwischen den Parteien nicht möglich, steht dem Auftraggeber ein Sonderkündigungsrecht zu. Die Kündigung entfaltet Wirkung nur für die Zukunft.

7.2 Auswahl und Kontrolle

Unterauftragsverarbeiter sind sorgfältig auszuwählen, insbesondere unter Berücksichtigung der von ihnen getroffenen technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO. Erteilt der Auftragnehmer Aufträge an Unterauftragsverarbeiter, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus dieser AVV auf den Unterauftragsverarbeiter zu übertragen.

Die Unterauftragsverarbeiter sind vor der Beauftragung und regelmäßig während der Vertragslaufzeit auf die Einhaltung der gesetzlichen und vertraglichen datenschutzrechtlichen Vorschriften sowie der vereinbarten technischen und organisatorischen Maßnahmen hin zu kontrollieren. Die Ergebnisse dieser Kontrollen sind zu dokumentieren und dem Auftraggeber auf Anfrage zur Verfügung zu stellen.

Die Kosten, die durch zusätzliche Kontrollen beim Unterauftragsverarbeiter auf Veranlassung des Auftraggebers entstehen, trägt der Auftraggeber. Art und Umfang solcher Kontrollen sowie die zu erwartenden Kosten sind vorab zwischen Auftraggeber und Auftragnehmer abzustimmen, soweit dem nicht zwingende gesetzliche Vorgaben entgegenstehen.

Eine Beauftragung von Unterauftragsverarbeitern in Drittstaaten erfolgt nur, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, EU-Standardvertragsklauseln oder andere geeignete Garantien).

7.3 Unterauftragsverarbeitungsvereinbarung

Vertragliche Vereinbarungen zwischen dem Auftragnehmer und Unterauftragsverarbeitern haben den Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit dieser AVV vollumfänglich zu entsprechen. Die Übermittlung von personenbezogenen Daten an einen Unterauftragsverarbeiter ist erst zulässig, wenn dieser die Verpflichtungen aus Art. 28 Abs. 4 DSGVO übernommen hat. Die Beauftragung eines Unterauftragsverarbeiters hat in Schriftform oder in einem elektronischen Format zu erfolgen.

8. Rechte an Daten, Datenträgern und Unterlagen

Der Auftraggeber behält im Verhältnis zum Auftragnehmer sämtliche Rechte an den personenbezogenen Daten, Datenträgern und Unterlagen, die dem Auftragnehmer zur Auftragserfüllung bereitgestellt wurden.

9. Berichtigung, Löschung und Herausgabe

9.1 Dauer der Aufbewahrung

Der Auftragnehmer bewahrt personenbezogene Daten nur so lange auf, wie dies zur Durchführung der jeweiligen Auftragsverarbeitung erforderlich ist oder wie es der Auftraggeber angewiesen hat. Sofern keine konkrete Weisung vorliegt, werden personenbezogene Daten vor der Löschung nur so lange aufbewahrt, wie dies zur ordnungsgemäßen Durchführung der Auftragsverarbeitung notwendig ist.

9.2 Pflichten des Auftragnehmers hinsichtlich Aufbewahrung

Der Auftragnehmer hat personenbezogene Daten, insbesondere Datenträger und Unterlagen, die ihm zur vertragsgemäßen Vernichtung überlassen wurden, bis zur Vernichtung sorgfältig zu verwahren und vor unberechtigtem Zugriff zu schützen.

9.3 Vorkehrungen des Auftragnehmers

Der Auftragnehmer trifft die erforderlichen Vorkehrungen, um eine Berichtigung, Löschung und Einschränkung der Verarbeitung personenbezogener Daten aufgrund gesetzlicher Anforderungen, auf Verlangen der Aufsichtsbehörde sowie auf Weisung des Auftraggebers vornehmen zu können.

9.4 Rückgabe- und Löschpflicht

Auf Verlangen des Auftraggebers sowie nach Beendigung der Auftragsverarbeitung wird der Auftragnehmer sämtliche personenbezogenen Daten, überlassene Datenträger und Unterlagen, die im Zusammenhang mit dieser Auftragsverarbeitung stehen und personenbezogene Daten des Auftraggebers enthalten, sowie etwaige Kopien davon unverzüglich, spätestens jedoch binnen 14 Tagen nach Aufforderung oder nach Beendigung der Auftragsverarbeitung, an den Auftraggeber zurückgeben oder nach Weisung des Auftraggebers unter Einhaltung der datenschutzrechtlichen Bestimmungen löschen bzw. vernichten. Dies gilt nicht für Daten, die der Auftragnehmer aufgrund gesetzlicher Aufbewahrungspflichten aufbewahren muss.

9.5 Aufbewahrung von Dokumentationen

Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind vom Auftragnehmer entsprechend den gesetzlichen oder vertraglich vereinbarten Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Der Auftragnehmer kann diese Dokumentationen zur Entlastung bei Vertragsende dem Auftraggeber übergeben.

9.6 Test- und Ausschussmaterial

Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial übernimmt der Auftragnehmer standardmäßig; nur in besonderen, vom Auftraggeber zu bestimmenden Fällen erfolgt eine Aufbewahrung oder Übergabe.

9.7 Nachweis der Löschung

Der Auftragnehmer weist dem Auftraggeber die Löschung und Vernichtung personenbezogener Daten auf Verlangen in geeigneter Weise nach.

10. Haftung

10.1 Außen- und Innenverhältnis

Auftraggeber und Auftragnehmer haften im Außenverhältnis nach Art. 82 DSGVO für materielle und immaterielle Schäden, die eine Person wegen eines Verstoßes gegen die DSGVO erleidet.

Sind sowohl der Auftraggeber als auch der Auftragnehmer für einen solchen Schaden nach Art. 82 Abs. 2 DSGVO verantwortlich, haften die Parteien im Innenverhältnis für diesen Schaden entsprechend ihres Anteils an der Verantwortung. Nimmt eine Person in einem solchen Fall eine Partei ganz oder überwiegend auf Schadensersatz in Anspruch, so kann diese von der jeweils anderen Partei Freistellung verlangen, soweit dies ihrem Anteil an der Verantwortung entspricht.

10.2 Unterauftragsverarbeiter

Der Auftragnehmer haftet dem Auftraggeber gegenüber auch für die Einhaltung der Datenschutzpflichten der Unterauftragsverarbeiter, die er zur Erfüllung seiner Aufgaben einsetzt. Verschulden von Unterauftragsverarbeitern ist dem Auftragnehmer wie eigenes Verschulden zuzurechnen.

10.3 Enthaftung gegenüber Dritten

Der Auftragnehmer ist zum Zwecke der Enthaftung gemäß Art. 82 Abs. 3 DSGVO dazu befugt, Details zu Weisungen des Auftraggebers und zur erfolgten Datenverarbeitung offenzulegen. Der Auftraggeber ist verpflichtet, den Auftragnehmer bestmöglich zu unterstützen, damit sich der Auftragnehmer gegenüber dem Dritten nach Art. 82 Abs. 3 DSGVO enthaften kann.

10.4 Haftungsbeschränkung

Im Übrigen gelten die Regelungen zur Haftung und Haftungsbeschränkung aus dem Hauptvertrag zwischen den Parteien, soweit sie mit den zwingenden gesetzlichen Vorgaben, insbesondere Art. 82 DSGVO, vereinbar sind.

11. Verschwiegenheitspflicht

Die Parteien verpflichten sich, alle gegenseitig mitgeteilten Vorgaben, Daten, Unterlagen, eigenen oder gemeinsamen Entwicklungsergebnisse oder sonstige entwicklungs- oder betriebsbezogenen Informationen (einschließlich Preise) bereits im Stadium der Vertragsverhandlungen, während der Vertragsdauer und nach Vertragsende zeitlich unbegrenzt vertraulich zu behandeln und nicht Dritten zugänglich zu machen, soweit dem nicht gesetzliche Mitteilungs- oder Auskunftspflichten entgegenstehen.

Dies betrifft insbesondere Tatsachen oder Informationen über Betriebsabläufe, Betriebsergebnisse, Produkte, Geschäftspolitik, Abgaben, Förderung, soziale oder betriebswirtschaftliche Maßnahmen sowie Daten aus Beschaffungsprozessen.

12. Anwendbares Recht und Gerichtsstand

12.1 Anwendbares Recht

Diese AVV unterliegt dem Recht der Bundesrepublik Deutschland.

12.2 Gerichtsstand

Wenn der Auftraggeber Kaufmann ist oder keinen allgemeinen Gerichtsstand im Inland hat, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus oder im Zusammenhang mit dieser AVV München.

13. Sonstige Bestimmungen

13.1 Kollisionsregel

Im Falle eines Widerspruchs zwischen dem Hauptvertrag und dieser AVV geht diese AVV vor, soweit der Regelungsgegenstand die Verarbeitung personenbezogener Daten im Auftrag betrifft.

13.2 Salvatorische Klausel

Sollten einzelne Bestimmungen dieser AVV ganz oder teilweise unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen dieser AVV nicht. Anstelle der unwirksamen oder undurchführbaren Bestimmung gilt eine wirksame und durchführbare Regelung als vereinbart, die dem wirtschaftlichen Zweck der unwirksamen oder undurchführbaren Bestimmung am nächsten kommt.

13.3 Sprachfassung

Sofern dem Auftraggeber eine englische Übersetzung dieser AVV zur Verfügung gestellt wird, dient diese ausschließlich dem Verständnis. Im Falle von Abweichungen zwischen der deutschen und der englischen Sprachfassung geht die deutsche Sprachfassung vor.

Anhang 1 – Angaben zur Datenverarbeitung

1. Gegenstand und Dauer der Verarbeitung

1.1 Gegenstand

Der Auftragnehmer stellt dem Auftraggeber Online-Plattformen zur Verfügung, über die der Auftraggeber Community-Bereiche, Marketing- und Vertriebstools sowie sonstige Online-Angebote betreiben kann (z. B. „Membado“, „Vifugo“, „8020-OS“).

1.2 Dauer

Die Dauer des Auftrags beginnt mit Abschluss des Hauptvertrages (Nutzungsvertrag) zwischen Auftraggeber und Auftragnehmer bzw. der Aktivierung eines entsprechenden Kontos oder Bereichs durch den Auftraggeber.

Der Auftrag endet mit Beendigung des Hauptvertrages durch den Auftraggeber oder den Auftragnehmer gemäß den Regelungen des Hauptvertrages.

2. Art und Zweck der Verarbeitung (Art. 4 Nr. 2 DSGVO)

Der Auftragnehmer verarbeitet personenbezogene Daten, um die Nutzung der vom Auftragnehmer angebotenen Online-Plattformen durch den Auftraggeber zu ermöglichen und zu optimieren. Hierzu zählen insbesondere:

• Einrichtung, Konfiguration und Betrieb von Konten und Bereichen für den Auftraggeber,
• Verwaltung von Nutzern (z. B. Administratoren, sonstige Mitarbeiter des Auftraggebers, Teilnehmer/Endkunden),
• Durchführung von Kommunikationsprozessen (z. B. E-Mail-Benachrichtigungen im Auftrag des Auftraggebers),
• Erfassung und Auswertung von Nutzungs- und Ereignisdaten, soweit dies zur Erfüllung des Hauptvertrags, zur Fehlerbehebung, zur Sicherstellung der IT-Sicherheit und zur Weiterentwicklung der Funktionen im Auftrag des Auftraggebers erforderlich ist,
• Speicherung und Bereitstellung von Inhalten, die der Auftraggeber über die Online-Plattformen bereitstellt.

Verarbeitungen, die der Auftragnehmer zu eigenen Zwecken als eigenständiger Verantwortlicher durchführt (z. B. eigene Direktwerbung, Erfüllung eigener gesetzlicher Pflichten), sind nicht Gegenstand dieser AVV.

3. Art der personenbezogenen Daten

Die im Auftrag verarbeiteten personenbezogenen Daten lassen sich insbesondere den folgenden Kategorien zuordnen:

3.1 Daten von Mitarbeitern, Administratoren und sonstigen Beauftragten des Auftraggebers („Anwender“)

• Identifikations-, Kontakt- und Stammdaten
• Zugangsdaten und Kontoinformationen
• Nutzungs-, Ereignis- und Protokolldaten
• Kommunikationsdaten im Rahmen der Nutzung

3.2 Daten von Teilnehmern/Endkunden des Auftraggebers („Teilnehmer“)

• Identifikations- Kontakt- und Stammdaten
• Zugangsdaten und Kontoinformationen
• Nutzungs-, Ereignis- und Protokolldaten
• Kommunikationsdaten
• Inhaltsbezogene Daten

Soweit der Auftraggeber im Rahmen der Nutzung der Online-Plattformen weitere Kategorien personenbezogener Daten verarbeitet (z. B. zusätzliche optionale Felder, die der Auftraggeber selbst einrichtet), fällt deren Verarbeitung in dem Umfang unter diese AVV, in dem sie im Rahmen des Hauptvertrags durch den Auftragnehmer im Auftrag des Auftraggebers verarbeitet werden.

Besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten im Sinne von Art. 10 DSGVO werden von dem Auftragnehmer im Rahmen dieser AVV nur verarbeitet, wenn der Auftraggeber dies ausdrücklich veranlasst und die hierfür erforderlichen rechtlichen Voraussetzungen erfüllt.

4. Kategorien von Betroffenen

Die Verarbeitung im Auftrag betrifft insbesondere folgende Kategorien betroffener Personen:

• Mitarbeiter, Administratoren und sonstige Beauftragte des Auftraggebers, die die Online-Plattformen zur Verwaltung von Inhalten, Community-Bereichen, Teilnehmern oder sonstigen Angeboten nutzen.
• Teilnehmer/Endkunden und übrigen Kontaktpersonen des Auftraggebers, die über die Online-Plattformen Zugang zu Angeboten des Auftraggebers erhalten (z. B. Kunden, Mitglieder, Kursteilnehmer, Webinarteilnehmer, Interessenten, Partner, Lieferanten).

5. Sprachfassung

Sofern dem Auftraggeber eine englische Übersetzung dieses Anhangs zur Verfügung gestellt wird, dient diese ausschließlich dem Verständnis. Im Falle von Abweichungen zwischen der deutschen und der englischen Sprachfassung geht die deutsche Sprachfassung vor.

Anhang 2 – Weisungsberechtigte und Weisungsempfänger

1. Weisungsberechtigte

Weisungsberechtigt auf Seiten des Auftraggebers sind:

• die gesetzlichen Vertreter des Auftraggebers sowie
• die im Nutzerkonto des Auftraggebers als „Administrator“ oder in einer vergleichbaren Rolle benannten Personen.

Der Auftraggeber kann dem Auftragnehmer weitere Weisungsberechtigte in Textform benennen oder bestehende Weisungsberechtigte widerrufen.

2. Weisungsempfänger

Berechtigt, Weisungen des Auftraggebers zu empfangen, sind auf Seiten des Auftragnehmers:

• die jeweils benannten Ansprechpartner des Auftragnehmers, die dem Auftraggeber in Textform mitgeteilt werden, aktuell insbesondere:
  • Rainer von Massenbach, CEO, [email protected]

Änderungen der Weisungsempfänger teilt der Auftragnehmer dem Auftraggeber in Textform mit.

3. Sprachfassung

Sofern dem Auftraggeber eine englische Übersetzung dieses Anhangs zur Verfügung gestellt wird, dient diese ausschließlich dem Verständnis. Im Falle von Abweichungen zwischen der deutschen und der englischen Sprachfassung geht die deutsche Sprachfassung vor.

Anhang 3 – Technische und organisatorische Maßnahmen zum Datenschutz (Art. 32 Abs. 1 DSGVO)

1. Technische und organisatorische Maßnahmen

Der Auftragnehmer hat technische und organisatorische Maßnahmen implementiert, um ein dem Risiko angemessenes Schutzniveau im Sinne des Art. 32 DSGVO zu gewährleisten. Dazu gehören insbesondere Maßnahmen in folgenden Bereichen:

1.1 Zutrittskontrolle

a) Die Geschäftsräume des Auftragnehmers sind durch geeignete physische Sicherungsmaßnahmen (z. B. Schlüssel, elektronische Türöffner, Zutrittskarten) geschützt.

b) Zutritt zu den Räumen des Auftragnehmers haben nur berechtigte Personen.

c) Besucher betreten die Räume des Auftragnehmers nur in Begleitung eines Mitarbeiters des Auftragnehmers.

1.2 Zugangskontrolle

a) Sämtliche IT-Systeme und Anwendungen, über die auf personenbezogene Daten zugegriffen werden kann, sind durch Benutzerkonten und sichere Authentifizierungsverfahren geschützt.

b) Mitarbeitende sind verpflichtet, ihre Endgeräte beim Verlassen des Arbeitsplatzes zu sperren.

c) Physische Unterlagen mit personenbezogenen Daten sind bei Nichtbenutzung zu sichern (z. B. verschlossene Schränke).

d) Mitarbeiter sind verpflichtet, die Einsicht personenbezogener Daten durch unbefugte Personen durch geeignete Maßnahmen zu verhindern.

1.3 Zugriffskontrolle

a) Zugriffsrechte auf Systeme und Daten werden nach dem Need-to-know- und Least-Privilege-Prinzip vergeben. Jeder Mitarbeiter erhält nur Zugriff auf personenbezogene Daten, die er zur Erfüllung seiner Aufgaben benötigt.

b) Rollen- und Berechtigungskonzepte stellen sicher, dass die Zugriffsrechte regelmäßig überprüft und bei Bedarf angepasst werden (z. B. bei Rollenwechsel oder Ausscheiden von Mitarbeitenden).

1.4 Weitergabekontrolle

a) Bei der Übermittlung personenbezogener Daten werden geeignete technische und organisatorische Maßnahmen ergriffen, um einen unbefugten Zugriff oder eine unbefugte Veränderung zu verhindern (z. B. Verschlüsselung, gesicherte Protokolle).

b) Unterauftragsverarbeiter werden vertraglich verpflichtet, ein angemessenes Schutzniveau zu gewährleisten.

1.5 Verschlüsselung und Übertragung

a) Der Zugriff auf die Online-Plattformen erfolgt ausschließlich über verschlüsselte Verbindungen (z. B. TLS).

b) Soweit technisch und wirtschaftlich angemessen, werden personenbezogene Daten bei der Speicherung durch geeignete Verfahren geschützt.

1.6 Verfügbarkeit

a) Personenbezogene Daten werden, sofern technisch, wirtschaftlich und organisatorisch möglich, durch geeignete Backup-Strategien gesichert.

b) Im Falle eines Datenverlusts können gesicherte Daten innerhalb angemessener Frist wiederhergestellt werden.

1.7 Schulung und Sensibilisierung

a) Mitarbeitende werden regelmäßig im Umgang mit personenbezogenen Daten und zu den Anforderungen des Datenschutzes geschult.

b) Mitarbeitende verpflichten sich schriftlich oder in Textform zur Vertraulichkeit.

2. Weiterentwicklung der Maßnahmen

Die beschriebenen Maßnahmen werden regelmäßig auf ihre Wirksamkeit überprüft und bei Bedarf angepasst. Der Auftragnehmer ist berechtigt, Maßnahmen zu ändern oder durch gleichwertige oder bessere Maßnahmen zu ersetzen, sofern das Sicherheitsniveau nicht unterschritten wird.

3. Sprachfassung

Sofern dem Auftraggeber eine englische Übersetzung dieses Anhangs zur Verfügung gestellt wird, dient diese ausschließlich dem Verständnis. Im Falle von Abweichungen zwischen der deutschen und der englischen Sprachfassung geht die deutsche Sprachfassung vor.