Diese Website verwendet Funktionen, Cookies von Drittanbietern und externe Links

Mehr Informationen anzeigen

A. Allgemeine Geschäftsbedingungen
B. Auftragsdatenverarbeitung

A. Allgemeine Geschäftsbedingungen

§ 1 GELTUNGSBEREICH

Diese Allgemeinen Geschäftsbedingungen (AGB) gelten für alle Geschäftsbeziehungen zwischen LAB214 – unicardio, Inh. Hilmer Amendy, Wunstorfer Str. 101, 30453 Hannover (fortan 'unicardio') und unseren Kunden, entsprechend der zum Zeitpunkt der Bestellung oder Vertragsschließung aktuellen Fassung. Abweichende Kundenbedingungen werden nur anerkannt, wenn sie ausdrücklich schriftlich vereinbart sind. Individuelle Vereinbarungen mit Kunden (inklusive Nebenabreden, Ergänzungen, Änderungen) haben Vorrang vor diesen AGB.



§ 2 ANWENDBARES RECHT UND GERICHTSSTAND

(1) Für Geschäftsbeziehungen zwischen unicardio und dem Besteller gilt ausschließlich deutsches Recht. Das UN-Kaufrecht ist ausgeschlossen.

(2) Ist der Besteller Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen, ist Hannover der Gerichtsstand.

(3) Die Vertragssprache ist Deutsch.



§ 3 VERTRAGSSCHLUSS, LIEFERUNG UND LEISTUNG

(1) Ein Vertrag mit unicardio entsteht durch die Annahme einer Kundenbestellung oder eines Auftrags. Preisauszeichnungen im Online-Shop sind keine verbindlichen Angebote. Kunden können ihre Eingaben vor der endgültigen Bestellung korrigieren, auch in einem Bestätigungsfenster. unicardio kann das Angebot innerhalb von 2 Tagen per Auftragsbestätigung annehmen, die Annahme wird per E-Mail bestätigt.

(2) Mit der Auftragsbestätigung erhält der Kunde den Vertragstext, AGB und Widerrufsbelehrung.

(3) Sofern nicht anders vereinbart, erfolgt die Lieferung/Montage an die angegebene Adresse. Die Gefahr geht auf den Besteller über, sobald die Lieferung erfolgt ist. Lieferfristen sind unverbindlich, sofern nicht anders zugesagt. Dies gilt nicht für Verträge mit Unternehmern.

(4) unicardio darf Teile von Aufträgen an Dritte vergeben, bleibt aber Gläubiger der Vergütung.

(5) Bei unvorhersehbaren Hindernissen (z.B. höhere Gewalt) kann unicardio vom Vertrag zurücktreten, wenn die Verzögerung über sechs Wochen andauert.

(6) Bei Annahmeverzug kann unicardio einen neuen Termin bestimmen, vom Vertrag zurücktreten oder 15 % Schadenersatz fordern.

(7) Ändert oder bricht der Kunde Aufträge ab oder ändert die Leistungsvoraussetzungen, übernimmt er alle Kosten und stellt unicardio von Drittverbindlichkeiten frei.



§ 4 NUTZUNGSRECHTE

(1) Mit vollständiger Zahlung erwirbt der Besteller für die Dauer und im Umfang des Vertrages die Nutzungsrechte an allen von unicardio erstellten Arbeiten, soweit eine Übertragung rechtlich möglich ist, für die Nutzung in Deutschland.

(2) unicardio darf erbrachte Leistungen als Referenz verwenden. Der Kunde kann jederzeit Widerspruch gegen die Nutzung als Referenz einlegen. Bei Widerspruch nach bereits erfolgter Bekanntgabe wird unicardio die Referenz innerhalb eines angemessenen Zeitraums entfernen und zukünftig nicht mehr verwenden.



§ 5 ZAHLUNGSBEDINGUNGEN

(1) Für Warenbestellungen gelten die Listenpreise zum Lieferzeitpunkt, sofern nicht anders schriftlich vereinbart. Steuern, Taxen und Zollerhöhungen im Empfängerland nach Vertragsschluss trägt der Besteller. Prospektangaben können Änderungen unterliegen.

(2) Warenlieferungen sind sofort nach Rechnungsdatum zahlbar, außer es sind andere Bedingungen vereinbart. unicardio kann per Nachnahme liefern. Schecks und Wechsel werden erfüllungshalber angenommen, Kosten trägt der Besteller. Bei Kunden außerhalb Deutschlands erfolgt Lieferung nur gegen Vorkasse. Bei Internet-Auktionen erfolgt die Lieferung 10 Werktage nach Zahlungsanweisung.

(3) Dienstleistungsvergütungen sind sofort nach Rechnungsdatum ohne Abzug fällig, sofern nicht anders vereinbart.

(4) unicardio kann Vorkasse für Materialien bei investitionsintensiven Projekten verlangen. Langwierige Projekte sind mit vereinbarten Anschlagzahlungen zu begleichen.



§ 6 EIGENTUMSVORBEHALT

(1) Bis zur vollständigen Bezahlung aller Forderungen aus dem Vertrag bleibt die Ware Eigentum von unicardio. Bei Bestellern, die juristische Personen des öffentlichen Rechts, öffentlich-rechtliches Sondervermögen oder Unternehmer sind, gilt dies für alle Forderungen aus der laufenden Geschäftsbeziehung.

(2) Bei Zahlungsverzug des Bestellers oder Vermögensverfall kann unicardio vom Vertrag zurücktreten und die Ware zurückholen. Die Rücknahme erfolgt zum Verkehrswert, wobei der Besteller die Kosten trägt. Verwertungskosten werden pauschal mit 5 % des Verkaufswertes angesetzt, Anpassungen auf Nachweis sind möglich.

(3) Die Ausübung des Eigentumsvorbehalts durch unicardio gilt nicht als Vertragsrücktritt, sofern der Besteller Kaufmann ist.

(4) Für Test- und Vorführzwecke gelieferte Gegenstände bleiben Eigentum von unicardio und dürfen nur gemäß schriftlicher Vereinbarung über den Testzweck hinaus verwendet werden.



§ 7 ZURÜCKBEHALTUNGSRECHT

Der Besteller darf ein Zurückbehaltungsrecht nur ausüben, wenn sein Gegenanspruch aus demselben Vertragsverhältnis stammt.



§ 8 MÄNGELHAFTUNG

(1) Angaben in Typenlisten, Prospekten, Druckschriften und auf der Internetseite von unicardio sind keine Beschaffenheitsgarantien gemäß § 443 BGB.

(2) Spezielle technische Anforderungen und Verwendungszwecke müssen bei Auftragserteilung schriftlich festgelegt und von unicardio bestätigt werden. Der Besteller ist zur Abnahme verpflichtet.

(3) Der Besteller muss die Ware bei Eingang umgehend auf alle technischen Anforderungen prüfen und vor Beginn der Fertigung Mängel melden.

(4) Mängel sind unicardio sofort schriftlich mitzuteilen und zu spezifizieren. unicardio ist die Möglichkeit zur Überprüfung zu geben.

(5) Bei Mängeln hat der Besteller Anspruch auf Nachbesserung, Minderung oder Rücktritt vom Vertrag. unicardio kann auf Reparaturmöglichkeiten durch die Herstellerfirma verweisen, ohne die Gewährleistungsrechte des Bestellers zu beeinträchtigen.

(6) unicardio steht eine Rückvergütung für bezahlte Zölle zu. Der Besteller verpflichtet sich, hierfür erforderliche Unterlagen bereitzustellen und Unterstützung zu leisten.



§ 9 HAFTUNG

(1) unicardio haftet außerhalb der Sach- und Rechtsmängelhaftung unbeschränkt bei Vorsatz oder grober Fahrlässigkeit. Bei leichter Fahrlässigkeit haftet unicardio nur für die Verletzung wesentlicher Pflichten oder Kardinalpflichten, jedoch nur für vorhersehbaren, vertragstypischen Schaden. Für andere Pflichtverletzungen haftet unicardio nicht leicht fahrlässig.

(2) Die Haftungsbeschränkungen gelten nicht bei Verletzung von Leben, Körper, Gesundheit, bei Mängeln nach Übernahme einer Garantie für die Beschaffenheit des Produktes, bei arglistig verschwiegenen Mängeln und nach dem Produkthaftungsgesetz.

(3) Die Haftungsbegrenzung gilt auch für die persönliche Haftung der Angestellten, Vertreter und Erfüllungsgehilfen von unicardio.

(4) Der Besteller trägt das Risiko der rechtlichen Zulässigkeit der Maßnahmen. unicardio ist verpflichtet, auf bekannte rechtliche Risiken hinzuweisen. Der Besteller stellt unicardio von Ansprüchen Dritter frei, wenn unicardio auf Wunsch des Bestellers nach Mitteilung von Bedenken gehandelt hat.

(5) Kosten für rechtliche Prüfungen durch Fachpersonen trägt der Besteller.

(6) unicardio haftet nicht für Sachaussagen über Produkte und Leistungen des Bestellers und nicht für die Schutz- oder Eintragungsfähigkeit der gelieferten Inhalte.

(7) unicardio übernimmt keine Haftung für Urheberrechtsverletzungen Dritter. Der Kunde ist ausdrücklich über Risiken und Rechte Dritter informiert und verantwortlich für die Einhaltung des Urheberrechts. Dies gilt insbesondere, wenn Materialien oder Inhalte verwendet werden, die urheberrechtlich geschützt sind oder bei denen das Risiko einer Urheberrechtsverletzung besteht..

§ 10 DATENSCHUTZ

(1) Der Besteller ist damit einverstanden, dass unicardio zur Auftragsabwicklung notwendige personenbezogene Daten speichert. Dies umfasst ausdrücklich die Erhebung, Verarbeitung und Nutzung dieser Daten, im Einklang mit dem Bundesdatenschutzgesetz (BDSG), dem Telemediengesetz (TMG) und der Datenschutzerklärung von unicardio. Die Daten werden vertraulich behandelt.

(2) Der Besteller kann seine Einwilligung zur Datenspeicherung jederzeit widerrufen. In diesem Fall löscht unicardio die Daten sofort, es sei denn, es laufen noch Bestellvorgänge, dann erfolgt die Löschung nach deren Abschluss.

§11 SALVATORISCHE KLAUSEL

(1) Sollten einzelne Bestimmungen dieser Allgemeinen Geschäftsbedingungen ganz oder teilweise unwirksam sein oder werden, oder sollten die AGB eine Lücke enthalten, so bleibt die Wirksamkeit der übrigen Bestimmungen oder Teile solcher Bestimmungen unberührt. Anstelle der unwirksamen oder fehlenden Bestimmungen treten die jeweiligen gesetzlichen Regelungen.

B. Auftragsdatenverarbeitung

1. Allgemeines

(1) Der Auftragsverarbeiter verarbeitet dabei Personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.

(2) Sofern in diesem Vertrag der Begriff Datenverarbeitung oder Verarbeitung (von Daten) benutzt wird, wird damit allgemein die Verwendung von personenbezogenen Daten verstanden. Eine Verwendung personenbezogener Daten umfasst insbesondere die Erhebung, Speicherung, Übermittlung, Sperrung, Löschung, Anonymisierung, Pseudonymisierung, Verschlüsselung oder sonstige Nutzung von Daten.

2. Gegenstand des Auftrags

(1) Der Auftrag des Auftraggebers an den Auftragsverarbeiter umfasst Leistungen der Bereiche Webhosting im Rahmen der von dem Auftragsverarbeiter angebotenen und in den jeweiligen Leistungsbeschreibungen und Verträgen konkretisierten Produkte.

(2) Die vertraglich vereinbarten Dienstleistungen werden in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Es sei denn, eine Übermittlung zwingend notwendiger Daten an Registrierungsstellen in Drittländer ist zur Erfüllung eines Vertrages mit der betroffenen Person oder zum Abschluss oder zur Erfüllung eines Vertrages im Interesse der betroffenen Person erforderlich. Diese Übermittlung ist aufgrund Art. 49 Abs. 1 Satz 1, lit. b und c DS-GVO zulässig. Welche Daten zwingend übermittelt werden ist abhängig von der zuständigen Registrierungsstelle in dem jeweiligen Drittland, um eine Domainregistrierung schnellstmöglich durchführen zu können.

(3) Folgende mögliche Datenarten sind Gegenstand der Verarbeitung

  • Adressdaten
  • Mitarbeiterdaten
  • Abrechnungsdaten
  • Vertragsdaten
  • Bankverbindungsdaten
  • Stammdaten
  • Bestelldaten
  • Nutzungsdaten
  • E-Mail-Nachrichten

    (4) Kreis der von der Datenverarbeitung möglicherweise Betroffenen

    • Kunden
  • Interessenten
  • Nutzer
  • Geschäftspartner
  • Lieferanten
  • Mitglieder
  • Mitarbeiter
  • Dienstleister
  • Bewerber
  • Praktikanten

    3. Rechte und Pflichten des Auftraggebers

    (1) Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich.

    (2) Der Auftraggeber ist berechtigt sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der bei der Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen. Der Auftraggeber ist verpflichtet, das Ergebnis in geeigneter Weise zu dokumentieren.

    (3) Der Auftraggeber hat das Recht, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung schriftlich zu erteilen. Es obliegt dem Auftraggeber, Daten vor Beendigung des Vertrages umzuziehen beziehungsweise eine Sicherungskopie anzufertigen. Der Auftraggeber hat selbst Zugriff auf seine Daten, insofern trifft die Auftragsverarbeiter keine Pflicht zur Herausgabe. Die Obliegenheit des Auftraggebers zur Datensicherung während der Vertragslaufzeit bleibt hiervon unberührt.

    (4) Der Auftraggeber erteilt alle Aufträge oder Teilaufträge und Weisungen schriftlich oder in einem dokumentierten elektronischen Format. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und unverzüglich schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

    (5) Der Auftraggeber kann weisungsberechtigte Personen schriftlich benennen. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftraggeber ändern, wird der Auftraggeber dies der Auftragnehmerin unverzüglich schriftlich mitteilen.

    (6) Der Auftraggeber informiert die Auftragnehmerin unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

    (7) Der Auftraggeber ist vergöttlichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der Auftragnehmerin vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

    (8) Dem Auftraggeber obliegen die aus Art. 33, 34 DS-GVO resultierenden Informationsfichten. Im Rahmen der Übermitlug an Drittländer hat der Auftraggeber die betroffene Person in verständlicher Form über den konkreten Zweck der Datenübermittlung, die genauen Kategorien der zu übermittelnden Daten, der Kategorien der Empfänger, das Fehlen eines angemessenen Datenschutzniveaus (Aufklärung über fehlenden Angemessenheitsbeschluss, Fehlen geeigneter Garanten) und mögliche Risiken zu informieren.

    4. Pflichten des Auftragsverarbeiters

    (1) Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern sie nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter Hilmer Korf dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO). Soweit einzelne Weisungen den vertraglich vereinbarten Leistungsumfang übersteigen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

    (2) Der Auftragsverarbeiter bestätigt, dass sie keinen betrieblichen Datenschutzbeauftragten benötigt da weniger als zehn Mitarbeiter regelmäßig mit personenbezogene Daten beschäftigt sind.

    (3) Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

    (4) Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Sie sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

    (5) Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

    (6) Der Auftragsverarbeiter wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der betreffenden Weisung(en) solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

    (7) Der Auftragsverarbeiter teilt dem Auftraggeber unverzüglich Störungen, Verstöße der Auftragnehmerin oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspfichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragsverarbeiter sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragsverarbeiter nur nach vorheriger Weisung durchführen.

    (8) Der Auftragsverarbeiter kann dem Auftraggeber Person(en) benennen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind.

    (9) Der Auftragsverarbeiter sichert zu, dass sie die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DSGVO).

    5. Unterauftragsverhältnisse, weitere Auftragsdatenverarbeiter

    (1) Der Auftragsverarbeiter kann die Dienste weiterer Auftragsdatenverarbeiter in Anspruch nehmen. Dies geschieht ausschließlich zur Erfüllung der vertraglichen Pflichten des Auftragsverarbeiters. Der Auftraggeber erklärt sich hiermit ausdrücklich einverstanden (Art. 28 Abs. 2 DS-GVO). Der Auftragsverarbeiter sichert zu, den Auftraggeber über die Beauftragung von weiteren Auftragsdatenverarbeitern umfassend zu informieren. Der Auftragsverarbeiter trägt dafür Sorge, dass sie den Auftragsdatenverarbeiter unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt.

    Der Auftragsdatenverarbeiter hat die Firma Vautron Rechenzentrum AG – Regensburg für die geeignete Verwaltung und Wartung des/der Server beauftragt. Die Sicherheitsmaßnamen der Firma Vautron Rechenzentrum AG – Regensburg können in der Anlage eingesehen werden.

    (2) Der Vertrag mit dem Auftragsdatenverarbeiter muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).

    Es besteht ein schriftlicher Auftragsdatenverarbeitungsvertrag mit der Firma Vautron Rechenzentrum AG – Regensburg.

    (3) Die Weiterleitung von Daten an den Auftragsdatenverarbeiter ist erst zulässig, wenn dieser die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigen erfüllt hat.

    (4) Erteilt der Auftragsverarbeiter Aufträge an Auftragsdatenverarbeiter, so obliegt es dem Auftragsverarbeiter, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Auftragsdatenverarbeiter zu übertragen.

    (5) Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Auftragsdatenverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).

    (6) Eine Beauftragung von Auftragsdatenverarbeitern in Drittsaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 f. DS-GVO erfüllt sind.

    6. Kontrollbefugnisse

    (1) Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Auftraggeber - grundsätzlich nach Terminvereinbarung - berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. H DS-GVO).

    (2) Der Auftragsverarbeiter sichert zu, dass sie, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

    (3) Etwaige durch die Wahrnehmung von Kontrollrechten des Auftragsverarbeiters entstehende Aufwendungen sind durch den Auftraggeber zu erstatten.

    7. Wahrung von Betroffenenrechten

    (1) Bei der Erfüllung der Rechte der betrogenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie LAB214 - Hilmer Korf bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO).

    (2) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers bei dem Auftragsverarbeiter entstehen, bleiben unberührt.

    8. Löschung und Rückgabe von Daten, Beendigung des Auftrags (Art. 28 Abs. 3 Satz 2 lit. g DS-GVO)

    (1) Überlassene Datenträger und Datensätze verbleiben im Eigentum des Auftraggebers.

    (2) Nach Abschluss der vertraglich vereinbarten Leistungen oder früher nach Aufforderung durch den Auftraggeber jedoch spätestens mit Beendigung der Leistungsvereinbarung hat der Auftragsverarbeiter sämtliche in ihren Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (wie auch hiervon gefertigte Kopien oder Reproduktionen), die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten (Art. 17 Abs. 1 DS-GVO). Gleiches gilt für Test- und Ausschussmaterial.

    (3) Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

    (4) Der Auftragsverarbeiter kann Dokumentationen, die dem Nachweis der Auftrags- und ordnungsgemäßen Datenverarbeitung dienen, entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufbewahren. Alternativ kann sie diese zu ihrer Entlastung bei Vertragsende dem Auftraggebender übergeben.

    9. Technische und organisatorische Maßnahmen

    Siehe Anlage Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO.

    10. Geheimhaltungspflichten

    (1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.

    (2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die Öffentlich bekannt sind.

    11. Vertragslaufzeit

    Die Laufzeit dieser Vereinbarung entspricht der Laufzeit des Hauptvertrages und Kundenverhältnisses. Sollten Leistungen auch noch nach Beendigung des Hauptvertrages erbracht werden, gelten die Regelungen dieser Vereinbarung auch für diese weitere Leistungserbringung für die gesamte Dauer der tatsächlichen Kooperation fort.

    12. Schlussbestimmungen

    (1) Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

    (2) Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

    (3) Sollte das Eigentum des Auftraggebers bei dem Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu informieren. Der Auftragsverarbeiter wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.

    (4) Die Einrede des Zurückbehaltungsrechts i.S.v. §273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

    (5) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.

    (6) Änderungen und Ergänzungen am Vertragstext außerhalb der zu Ziffer 2 möglichen ergänzenden Angaben sind unwirksam.


     

    Liste der Subunternehmer

    Unterauftragnehmer Verarbeitungsstandort Art der Dienstleistung
    Vautron Rechenzentrum AG Deutschland Server-Infrastruktur

     

    Anlage zum Vertrag über Auftragsdatenverarbeitung nach DS-GVO Technische und Organisatorische Maßnahmen

    1. Zutrittskontrolle – durch Vautron Rechenzentrum AG - Regensburg
    • Elektronisches Zutrittskontrollsystem mit Protokollierung
    • Dokumentierte Schlüsselvergabe an Mitarbeiter
    • Richtlinien zur Begleitung von Gästen im Gebäude
    • 24/7 personelle Besetzung der Rechenzentren
    • Videoüberwachung von Serverräumen
    • Rechenzentren sind alarmgesichert (Einbruch, Sabotage) mit Aufschaltung an einen externen Sicherheitsdienst
    • Rechenzentren sind nicht als solche gekennzeichnet (neutrale Schilder)
    2. Zugangskontrolle
    • Root-Zugang nur für Mitarbeiter des Auftragsverarbeiters über das zentrale SSHGateway.
    Die Zugänge sind über Zwei-Faktor-Authentifizierung streng abgesichert, der Zugriff auf die Server findet verschlüsselt statt
    • Der Kunde entscheidet allein und ausschließlich darüber, welche personenbezogenen Daten in welcher Weise verarbeitetet werden
    3. Zugriffskontrolle
    • Interne Verwaltungssysteme der Auftragnehmerin so wie Vautron Rechenzentrum AG - Regensburg
    • Wie bereits oben unter Zugang ausgeführt, erfolgt die Datenverarbeitung durch den Auftraggeber. Der Auftragsverarbeiter hat keinen Einfluss auf die durch den Auftraggeber verwendeten Datenverarbeitungsprogramme, so dass der Zugriff auf Daten ausschließlich durch den Kunden
    geregelt werden kann. Ausgenommen, der Auftraggeber beauftragt den Auftragsverarbeiter schriftlich und ggf. durch ein gesonderten Auftragsdatenverarbeitungsvertrag.
    • Der Auftragnehmer wird zu einer regelmäßigen Sicherung seiner Daten angehalten.
    • Revisionssicheres, verbindliches Berechtigungsvergabeverfahren für Mitarbeiter
    der Vautron Rechenzentrum AG - Regensburg.
    • Für übertragene und installierte Daten / Software ist einzig der Auftragnehmer in
    Bezug auf Sicherheit und Updates zuständig.
    4. Weitergabekontrolle
    • Alle Mitarbeiter und weitere Auftragsverarbeiter sind auf das Datengeheimnis nach § 5 BDSG verpflichtet.
    • Rückgabe oder datenschutzgerechte Löschung der Daten nach Auftragsbeendigung, es erfolgt eine Protokollierung von Datenvernichtung
    • Möglichkeiten zur verschlüsselten Datenübertragung werden im Umfang der Leistungsbeschreibung des Vertrages zur Verfügung gestellt.
    5. Eingabekontrolle
    • Die Daten werden vom Auftraggeber selbst eingegeben bzw. erfasst.
    • Die Verantwortung der Eingabekontrolle obliegt dem Auftraggeber.
    6. Auftragskontrolle
    • Mitarbeiter und weitere Auftragsverarbeiter werden in regelmäßigen Abständen im Datenschutzrecht unterwiesen und sie sind vertraut mit den Verfahrensanweisungen und Benutzerrichtlinien für die Datenverarbeitung im Auftrag, auch im Hinblick auf das Weisungsrecht des Auftraggebers. Die Datenschutzerklärung enthält detaillierte Angaben über Art und Umfang der beauftragten Verarbeitung und Nutzung personenbezogener Daten des Auftragsverarbeiter.
    • Die Datenschutzerklärung enthält detaillierte Angaben über die Zweckbindung der personenbezogenen Daten des Auftraggebers.
    7. Verfügbarkeitskontrolle
    • Interne Verwaltungssysteme der Auftragnehmerin durch Vautron Rechenzentrum AG - Regensburg
    • Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten (verschlüsselte Übertragung).
    • Sachkundiger Einsatz von Schutzprogrammen (Virenscanner, Firewalls, Verschlüsselungsprogramme, SPAM-Filter).
    • Einsatz von Festplattenspiegelung bei allen relevanten Servern.
    • Monitoring aller relevanter Server.
    • Einsatz unterbrechungsfreier Stromversorgung.
    • Dauerhaft aktiver DDoS-Schutz.
    • Datensicherung obliegt dem Auftraggeber.
    • Einsatz unterbrechungsfreier Stromversorgung.
    • Mehrfach redundate Klimatisierung, Alarmierung bei Ausfall der Klimatisierung
    • Redundante Netzwerkaussenanbindungen und Peerings, Alarmierung bei Ausfall des Netzwerks
    • Dauerhaft aktiver DDoS-Schutz.
    8. Trennungskontrolle zur Datensicherung (physikalisch / logisch)
    • Interne Verwaltungssysteme der Auftragnehmerin durch Vautron Rechenzentrum AG - Regensburg
    • Die Trennungskontrolle obliegt dem Auftraggeber.