Allgemeine Geschäftsbedingungen

ALLGEMEINE GESCHÄFTSBEDINGUNGEN & KUNDENINFORMATIONEN

Inhaltsverzeichnis

A. ALLGEMEINE GESCHÄFTSBEDINGUNGEN

  • Geltungsbereich
  • Vertragsschluss
  • Widerrufsrecht
  • Preise und Zahlungsbedingungen
  • Liefer- und Versandbedingungen
  • Eigentumsvorbehalt
  • Mängelhaftung
  • Anwendbares Recht

B. KUNDENINFORMATIONEN

  • Informationen zur Identität des Verkäufers
  • Informationen zu den wesentlichen Merkmalen der Ware oder Dienstleistung
  • Informationen zum Zustandekommen des Vertrages
  • Informationen zu Zahlung und Lieferung
  • Informationen über die technischen Schritte, die zum Vertragsschluss führen
  • Informationen zur Speicherung des Vertragstextes
  • Informationen über die technischen Mittel um Eingabefehler zu erkennen und zu berichtigen
  • Informationen über die für den Vertragsschluss zur Verfügung stehenden Sprachen

 

A. ALLGEMEINE GESCHÄFTSBEDINGUNGEN

1) GELTUNGSBEREICH

1.1 Diese Geschäftsbedingungen gelten für alle Verträge, Lieferungen und sonstigen Leistungen der devcon9 (GbR), Friedrich-Ebert-Straße 79, 34119 Kassel (nachstehend: „Verkäuferin“), die über deren Webpräsenz www.devcon9.de und alle zur Domain gehörenden Sub-Domains abgeschlossen werden. Abweichende Vorschriften der Kunden gelten nicht, es sei denn, die Verkäuferin hat dies schriftlich bestätigt. Individuelle Abreden zwischen der Verkäuferin und den Kunden haben stets Vorrang.

1.2 Verbraucher im Sinne dieser AGB ist jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden können. Unternehmer im Sinne dieser AGB ist jede natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer selbstständigen beruflichen oder gewerblichen Tätigkeit handelt.

2) VERTRAGSSCHLUSS

2.1 Die im Online-Shop des Verkäufers enthaltenen Produktbeschreibungen stellen keine verbindlichen Angebote seitens des Verkäufers dar, sondern dienen zur Abgabe eines verbindlichen Angebots durch den Kunden.

2.2 Der Kunde kann das Angebot über das in den Online-Shop des Verkäufers integrierte Online-Bestellformular abgeben. Dabei gibt der Kunde, nachdem er die ausgewählten Waren und/oder Leistungen in den virtuellen Warenkorb gelegt und den elektronischen Bestellprozess durchlaufen hat, durch Klicken des den Bestellvorgang abschließenden Buttons ein rechtlich verbindliches Vertragsangebot in Bezug auf die im Warenkorb enthaltenen Waren und/oder Leistungen ab.

2.3 Der Verkäufer kann das Angebot des Kunden innerhalb von fünf Tagen annehmen,

  • indem er dem Kunden eine schriftliche Auftragsbestätigung oder eine Auftragsbestätigung in Textform (Fax oder E-Mail) übermittelt, wobei insoweit der Zugang der Auftragsbestätigung beim Kunden maßgeblich ist, oder
  • indem er dem Kunden die bestellte Ware liefert, wobei insoweit der Zugang der Ware beim Kunden maßgeblich ist, oder
  • indem er den Kunden nach Abgabe von dessen Bestellung zur Zahlung auffordert.

Liegen mehrere der vorgenannten Alternativen vor, kommt der Vertrag in dem Zeitpunkt zustande, in dem eine der vorgenannten Alternativen zuerst eintritt. Nimmt der Verkäufer das Angebot des Kunden innerhalb vorgenannter Frist nicht an, so gilt dies als Ablehnung des Angebots mit der Folge, dass der Kunde nicht mehr an seine Willenserklärung gebunden ist.

2.4 Die Frist zur Annahme des Angebots beginnt am Tag nach der Absendung des Angebots durch den Kunden zu laufen und endet mit dem Ablauf des fünften Tages, welcher auf die Absendung des Angebots folgt.

2.5 Bei der Abgabe eines Angebots über das Online-Bestellformular des Verkäufers wird der Vertragstext vom Verkäufer gespeichert und dem Kunden nach Absendung seiner Bestellung nebst den vorliegenden AGB in Textform (z. B. E-Mail, Fax oder Brief) zugeschickt. Zusätzlich wird der Vertragstext auf der Internetseite des Verkäufers archiviert und kann vom Kunden über sein passwortgeschütztes Kundenkonto unter Angabe der entsprechenden Login-Daten kostenlos abgerufen werden, sofern der Kunde vor Absendung seiner Bestellung ein Kundenkonto im Online-Shop des Verkäufers angelegt hat.

2.6 Vor verbindlicher Abgabe der Bestellung über das Online-Bestellformular des Verkäufers kann der Kunde seine Eingaben laufend über die üblichen Tastatur- und Mausfunktionen korrigieren. Darüber hinaus werden alle Eingaben vor der verbindlichen Abgabe der Bestellung noch einmal in einem Bestätigungsfenster angezeigt und können auch dort mittels der üblichen Tastatur- und Mausfunktionen korrigiert werden.

2.7 Für den Vertragsschluss steht ausschließlich die deutsche Sprache zur Verfügung.

2.8 Die Bestellabwicklung und Kontaktaufnahme finden in der Regel per E-Mail und automatisierter Bestellabwicklung statt. Der Kunde hat sicherzustellen, dass die von ihm zur Bestellabwicklung angegebene E-Mail-Adresse zutreffend ist, so dass unter dieser Adresse die vom Verkäufer versandten E-Mails empfangen werden können. Insbesondere hat der Kunde bei dem Einsatz von SPAM-Filtern sicherzustellen, dass alle vom Verkäufer oder von diesem mit der Bestellabwicklung beauftragten Dritten versandten E-Mails zugestellt werden können.

3) WIDERRUFSRECHT

Verbrauchern steht grundsätzlich ein Widerrufsrecht zu. Nähere Informationen zum Widerrufsrecht ergeben sich aus der Widerrufsbelehrung des Verkäufers.

4) PREISE UND ZAHLUNGSBEDINGUNGEN

4.1 Sofern sich aus dem Angebot des Verkäufers nichts anderes ergibt, handelt es sich bei den angegebenen Preisen um Endpreise, die die gesetzliche Umsatzsteuer enthalten. Gegebenenfalls zusätzlich anfallende Liefer- und Versandkosten werden in der jeweiligen Produktbeschreibung gesondert angegeben.
4.2 Bei Lieferungen in Länder außerhalb der Europäischen Union können im Einzelfall weitere Kosten anfallen, die der Verkäufer nicht zu vertreten hat und die vom Kunden zu tragen sind. Hierzu zählen beispielsweise Kosten für die Geldübermittlung durch Kreditinstitute (z.B. Überweisungsgebühren, Wechselkursgebühren) oder einfuhrrechtliche Abgaben bzw. Steuern (z.B. Zölle).
4.3 Dem Kunden stehen verschiedene Zahlungsmöglichkeiten zur Verfügung, die im Online-Shop des Verkäufers angegeben werden.
4.4 Ist Vorauskasse vereinbart, ist die Zahlung sofort nach Vertragsabschluss fällig.

5) LIEFER- UND VERSANDBEDINGUNGEN

5.1 Die Lieferung von Waren erfolgt auf dem Versandweg an die vom Kunden angegebene Lieferanschrift, sofern nichts anderes vereinbart ist. Bei der Abwicklung der Transaktion ist die in der Bestellabwicklung des Verkäufers angegebene Lieferanschrift maßgeblich.
5.2 Sendet das Transportunternehmen die versandte Ware an den Verkäufer zurück, da eine Zustellung beim Kunden nicht möglich war, trägt der Kunde die Kosten für den erfolglosen Versand. Dies gilt nicht, wenn der Kunde den Umstand, der zur Unmöglichkeit der Zustellung geführt hat, nicht zu vertreten hat oder wenn er vorübergehend an der Annahme der angebotenen Leistung verhindert war, es sei denn, dass der Verkäufer ihm die Leistung eine angemessene Zeit vorher angekündigt hatte.
5.3 Selbstabholung ist aus logistischen Gründen nicht möglich.

6) EIGENTUMSVORBEHALT

Tritt der Verkäufer in Vorleistung, behält er sich bis zur vollständigen Bezahlung des geschuldeten Kaufpreises das Eigentum an der gelieferten Ware vor.

7) MÄNGELHAFTUNG

Es gilt die gesetzliche Mängelhaftung.

8) ANWENDBARES RECHT

8.1 Für sämtliche Rechtsbeziehungen der Parteien gilt das Recht der Bundesrepublik Deutschland unter Ausschluss der Gesetze über den internationalen Kauf beweglicher Waren. Bei Verbrauchern gilt diese Rechtswahl nur insoweit, als nicht der gewährte Schutz durch zwingende Bestimmungen des Rechts des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, entzogen wird.
8.2 Handelt der Kunde als Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen mit Sitz im Hoheitsgebiet der Bundesrepublik Deutschland, ist ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag der Geschäftssitz des Verkäufers. Hat der Kunde seinen Sitz außerhalb des Hoheitsgebiets der Bundesrepublik Deutschland, so ist der Geschäftssitz des Verkäufers ausschließlicher Gerichtsstand für alle Streitigkeiten aus diesem Vertrag, wenn der Vertrag oder Ansprüche aus dem Vertrag der beruflichen oder gewerblichen Tätigkeit des Kunden zugerechnet werden können. Der Verkäufer ist in den vorstehenden Fällen jedoch in jedem Fall berechtigt, das Gericht am Sitz des Kunden anzurufen.

B. KUNDENINFORMATIONEN

1) INFORMATIONEN ZUR IDENTITÄT DES VERKÄUFERS

Supporter-Team Kassel GmbH
Friedrich-Ebert-Straße 79
34119 Kassel
Deutschland

Tel.: 0561 400747-0

E-Mail: info@supporter-team.de

Umsatzsteuer-Identifikationsnummer gemäß § 27 a Umsatzsteuergesetz: UST-ID: DE 258357976

2) INFORMATIONEN ZU DEN WESENTLICHEN MERKMALEN DER WARE ODER DIENSTLEISTUNG

Die wesentlichen Merkmale der Ware oder Dienstleistung ergeben sich aus der jeweiligen vom Verkäufer eingestellten Produktbeschreibung.

3) INFORMATIONEN ZUM ZUSTANDEKOMMEN DES VERTRAGES

Das Zustandekommen des Vertrages erfolgt nach Maßgabe der Ziffer 2 der Allgemeinen Geschäftsbedingungen des Verkäufers (siehe oben).

4) INFORMATIONEN ZU ZAHLUNG UND LIEFERUNG

Die Zahlung erfolgt nach Maßgabe der Ziffer 4 der Allgemeinen Geschäftsbedingungen des Verkäufers (siehe oben) in Verbindung mit den Angaben zu den Zahlungsmöglichkeiten im Online-Shop des Verkäufers. Die Lieferung erfolgt nach Maßgabe der Ziffer 5 der Allgemeinen Geschäftsbedingungen des Verkäufers (siehe oben).

5) INFORMATIONEN ÜBER DIE TECHNISCHEN SCHRITTE, DIE ZUM VERTRAGSSCHLUSS FÜHREN

5.1 Für die Abgabe eines Angebots über das Online-Bestellformular des Verkäufers muss der Kunde folgende technische Schritte durchlaufen:

5.1.1 Einlegen des gewünschten Artikels in den virtuellen Warenkorb

5.1.2 Anmeldung im Online-Shop durch Eingabe von Benutzerkennung und Passwort oder – falls ein Kundenkonto noch nicht besteht – Neuregistrierung mit oder ohne Eröffnung eines Kundenkontos

5.1.3 Eingabe von Rechnungs- und Lieferadresse

5.1.4 Auswahl der gewünschten Zahlungsart

5.1.5 Auswahl der gewünschten Versandart

5.1.6 Zusammenfassung der Bestelldaten

5.1.7 Absendung der Bestellung

5.2 Die Annahme durch den Verkäufer erfolgt nach Maßgabe der Ziffer 2.3 der Allgemeinen Geschäftsbedingungen des Verkäufers (siehe oben).

6) INFORMATIONEN ZUR SPEICHERUNG DES VERTRAGSTEXTES

Bei der Abgabe eines Angebots über das Online-Bestellformular des Verkäufers wird der Vertragstext vom Verkäufer gespeichert und dem Kunden nach Absendung seiner Bestellung nebst den vorliegenden AGB und Kundeninformationen in Textform (z. B. E-Mail, Fax oder Brief) zugeschickt. Zusätzlich wird der Vertragstext auf der Internetseite des Verkäufers archiviert und kann vom Kunden über sein passwortgeschütztes Kundenkonto unter Angabe der entsprechenden Login-Daten kostenlos abgerufen werden, sofern der Kunde vor Absendung seiner Bestellung ein Kundenkonto im Online-Shop des Verkäufers angelegt hat.

7) INFORMATIONEN ÜBER DIE TECHNISCHEN MITTEL UM EINGABEFEHLER ZU ERKENNEN UND ZU BERICHTIGEN

Vor verbindlicher Abgabe der Bestellung über das Online-Bestellformular des Verkäufers kann der Kunde seine Eingaben laufend über die üblichen Tastatur- und Mausfunktion korrigieren. Darüber hinaus werden alle Eingaben vor der verbindlichen Abgabe der Bestellung noch einmal in einem Bestätigungsfenster angezeigt und können auch dort mittels der üblichen Tastatur- und Mausfunktion korrigiert werden.

8) INFORMATIONEN ÜBER DIE FÜR DEN VERTRAGSSCHLUSS ZUR VERFÜGUNG STEHENDEN SPRACHEN

Für den Vertragsschluss steht ausschließlich die deutsche Sprache zur Verfügung.

Vereinbarung zur Verarbeitung von Daten im Auftrag

zwischen

 

Name Verantwortlicher

Straße

PLZ Ort

Zuständiger Ansprechpartner: Vorname Nachname

– Verantwortlicher –

und


Supporter-Team GmbH Kassel
Friedrich-Ebert-Straße 79
34119 Kassel

Zuständiger Ansprechpartner: Christian Dolk

– Auftragsverarbeiter –

 

Präambel

Führt ein Auftragsverarbeiter Leistungen im Auftrag seines Vertragspartners (Verantwortlicher) aus, müssen die Anforderungen der jeweils gültigen Datenschutzgesetze Berücksichtigung finden und insbesondere bei den Verarbeitungstätigkeiten ein angemessenes Datenschutzniveau garantiert sein. Die vorliegende Vereinbarung berücksichtigt die besonderen Anforderungen aus der EU-Datenschutzgrundverordnung[1].

 Diese Vereinbarung ersetzt die bisherige Vereinbarung vom      .

§ 1 Gegenstand des Auftrags

(1) Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten.

(2) Der Gegenstand des Auftrags und damit der Zweck, die Art und der Umfang der Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten

- ergibt sich aus dem zugrundeliegenden Hauptvertrag vom      

- ist die Durchführung der folgenden Aufgabe(n) durch den Auftragsverarbeiter:

Allgemeine administrative Tätigkeiten und Wartung der IT-Ressourcen inklusive der Hard- und Software des Auftraggebers mittels Arbeitseinsätzen vor Ort oder auch per Fernwartung

 ist die (Fern-)Wartung von Systemen, wobei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

(3)       Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutsch­land, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der einschlägigen Datenschutzgesetze erfüllt sind.

§ 2      Dauer des Auftrags

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages.

Der Auftrag wird zur einmaligen Ausführung erteilt.

Der Auftrag wird bis zum [    ] erteilt.

Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von    Monat(en) zum Quartalsende gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt.

§ 3      Art der Daten

Gegenstand der Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten sind Daten aus den folgenden Datenartenkategorien:

[] Abrechnungsdaten                    
[] Adressdaten                             
[] Bankverbindungsdaten

[] Bestelldaten                             
[] Biometrische Daten                   
[] Bonitätsdaten

[] Funktionsbezeichnung               
[] Geburtsdatum                           
[] Gesundheitsdaten

[] Interessen                                
[] IT-Nutzungsdaten                     
[] Kontaktdaten

[] Kundenhistorie                          
[] Lohn- und Gehaltsdaten            
[] Name

[] Personalstammdaten                 
[] Planungsdaten                          
[] Protokolldaten

[] Qualifikationsdaten                    
[] Sozialversicherungsdaten          
[] Telefonate

[] Vertragsdaten                           
[] Vertragsstammdaten                 
[] Videoaufzeichnungen

[] Zahlungsdaten                          
[] Zeiterfassungsdaten                       

                                                                                            

§ 4      Kreis der Betroffenen

Der Kreis, der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen, umfasst folgende Kategorien:

[] Mitarbeiter/ Rentner                   
[] Lieferanten                               
[] Veranstaltungsteilnehmer

[] Bewerber                                 
[] Handelsvertreter                       
[] Abonnenten

[] Dienstleister                             
[] Ansprechpartner                       
[] Patienten

[] Kunden/ Mandanten                  
[] Besucher/ Gäste                       
[] Passanten

[] Interessenten                            
[] Webseitenbesucher                        

                                                                                            

§ 5  Technisch-organisatorische Maßnahmen

(1)  Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben (Anlage 1„Technisch-organisatorische Maßnahmen“). Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Die technisch-organisatorischen Maßnahmen sollen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie die Systembelastbarkeit im Zuge der Datenverarbeitung sicherstellen. Aus den angegebenen Maßnahmen muss ein angemessenes Sicherheitsniveau ableitbar sein. Der Auftragsverarbeiter hat den Verantwortlichen bei der Ergreifung technisch-organisatorischer Maßnahmen bestmöglich zu unterstützen.

(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

§ 6 Berichtigung, Sperrung, Einschränkung und Löschung von Daten

Der Auftragsverarbeiter hat nur nach Weisung des Verantwortlichen die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen, einzuschränken oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Auskunft, Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.

§ 7 Kontrollen und sonstige Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags folgende Pflichten:

a) Schriftliche Benennung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten. Dessen Kontaktdaten werden dem Verantwortlichen zum Zweck der direkten Kontaktaufnahme mitgeteilt.

b) Die Wahrung der Vertraulichkeit. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Dies umfasst auch die besonderen Bestimmungen zum Fernmeldegeheimnis nach § 3 TTDSG, Sozialgeheimnis nach § 35 SGB I und anderer Berufsgeheimnisse nach § 203 StGB, sofern sie im Rahmen dieser Auftragsverarbeitung relevant sind.

c) Der Auftragsverarbeiter hat den Verantwortlichen bei seiner Pflicht zur Wahrung der Betroffenenrechte zu unterstützen. Dies ist durch geeignete organisatorische Maßnahmen zu gewährleisten.

d) Sofern den Verantwortlichen aufgrund eines voraussichtlich hohen Risikos der Verarbeitung die Pflicht zur Datenschutz-Folgenabschätzung trifft, hat der Auftragsverarbeiter ihn hierbei zu unterstützen. Dies gilt ebenso für die Pflicht zur vorherigen Konsultation der Aufsichtsbehörde, sofern sich eine solche aus der vorangegangenen Folgenabschätzung ergibt.

e) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde beim Auftragsverarbeiter ermittelt.

f) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen. Hierzu kann der Auftragsverarbeiter auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) oder andere hinreichende Garantien vorlegen.

§ 8 Unterauftragsverhältnisse

(1) Soweit bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten des Verantwortlichen Unterauftragsverarbeiter für die vorliegende Verarbeitung von Daten im Auftrag einbezogen werden sollen, wird dies genehmigt, wenn folgende Voraussetzungen vorliegen:

a) Der Auftragsverarbeiter hat den Verantwortlichen bei jeder Hinzuziehung oder Änderung von Unterauftragsverhältnissen rechtzeitig vorab zu informieren. Der Verantwortliche hat das Recht, einzelnen Unterauftragsvergaben oder Änderungen zu widersprechen.

b) Der Auftragsverarbeiter hat die vertraglichen Vereinbarungen mit dem/ den Unterauftragsverarbeiter(n) so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftragsverarbeiter und Verantwortlichem entsprechen. Es müssen hinreichende Garantien dafür geboten sein, dass die technischen und organisatorischen Maßnahmen den Anforderungen an die rechtmäßige Datenverarbeitung genügen.

c) Bei der Unterbeauftragung ist dem Verantwortlichen das Recht einzuräumen, vom Auftragsverarbeiter auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.

(2) Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazuzählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer etc. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

(3) Der Auftragsverarbeiter setzt die in Anlage 2 „Unterauftragsverarbeiter“ genannten Unterauftragsverarbeiter ein.

§ 9 Kontrollrechte des Verantwortlichen

(1) Der Verantwortliche hat das Recht, eine Auftragskontrolle mit dem Auftragsverarbeiter durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter und dessen Pflichten nach Art. 28 EU-DSGVO in dessen Geschäftsbetrieb zu überzeugen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die zur Wahrung seiner Pflichten nach Art. 28 EU-DSGVO erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.

(2) Im Hinblick auf die Kontrollverpflichtungen des Verantwortlichen vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragsverarbeiter sicher, dass sich der Verantwortliche von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragsverarbeiter dem Verantwortlichen auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) oder durch andere hinreichende Garantien erbracht werden.

§ 10 Mitteilung bei Verstößen des Auftragsverarbeiters

(1) Der Auftragsverarbeiter erstattet in allen Fällen dem Verantwortlichen unverzüglich eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Verantwortlichen oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind.

(2) Es ist dem Auftragsverarbeiter bekannt, dass Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Verantwortlichen mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Verantwortlichen. Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.

(3) Soweit den Verantwortlichen Melde- und/oder Benachrichtigungspflichten treffen, hat der Auftragsverarbeiter ihn hierbei zu unterstützen. Dies gilt sowohl für die Meldung einer etwaigen Pflichtverletzung gegenüber der Aufsichtsbehörde als auch für die Benachrichtigung der von der Verletzung des Schutzes personenbezogenen Daten betroffenen Personen.

§ 11 Weisungsbefugnis des Verantwortlichen

(1) Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Verantwortlichen, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Verantwortlichen erteilen.

(2) Mündliche Weisungen wird der Verantwortliche unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(3) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine beim Verantwortlichen befugte Person bestätigt oder geändert wird.

§ 12 Löschung von Daten und Rückgabe von Datenträgern

(1) Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

(2) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.

§ 13 Haftung

Für Schäden des Verantwortlichen durch schuldhafte Verstöße des Auftragsverarbeiters oder etwaiger Unterauftragsverarbeiter gegen diesen Vertrag sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen gelten die gesetzlichen Haftungsregelungen. Etwaige Haftungsbegrenzungen zwischen den Parteien (z.B. aus dem Hauptvertrag) finden auf diese Vereinbarung Anwendung.

 

§ 14 Kostenregelung

(1) Dem Auftragsverarbeiter wird das Recht eingeräumt, etwaige Aufwände, die seinerseits durch diese Vereinbarung entstehen, dem Verantwortlichen in Rechnung zu stellen. Diese Regelung bezieht sich auf Aufwände im Zusammenhang mit

a) der Unterstützung des Verantwortlichen bei Datenschutz-Folgeabschätzungen gemäß §7 lit. d),

b) der Kontrolle im Geschäftsbetrieb des Auftragsverarbeiters gemäß §9 Abs. (1) und

c) der Löschung von Daten gemäß §12.

(2) Arbeiten auf Seiten des Auftragsverarbeiters werden mit 60 Euro/Stunde (zzgl. Umsatzsteuer) angesetzt. Etwaige Fremdkosten werden nach Nachweis berechnet.

§ 15 Informationspflichten, Schriftformklausel, Rechtswahl

(1) Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren.

(2) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragsverarbeiters – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3) Es gilt deutsches Recht sowie das in Deutschland unmittelbar und zwingend anzuwendende Recht der Europäischen Union.

 

                      

__________________________           ______________________________

Ort, Datum                                          Vorname, Name (Druckbuchstaben)                Unterschrift Verantwortlicher

                       

__________________________           _____________________________         

Ort, Datum                                         Vorname, Name (Druckbuchstaben)                Unterschrift Auftragsverarbeiter

 

 

Anlage 1: Vereinbarung zur Verarbeitung von Daten im Auftrag

Technische und organisatorische Maßnahmen

Der Auftragsverarbeiter hat die folgenden technischen und organisatorischen Maßnahmen umgesetzt (zutreffendes ist angekreuzt):

1.  Vertraulichkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)

a) Zutrittskontrolle/Gebäudeabsicherung

Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen.

  • Alarmanlage

  • Schließsystem mit Codesperre

  • Schlüsselregelung

b) Zugangskontrolle/Absicherung Systemzugang

Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.

  • Zuordnung von Benutzerrechten

  • Einsatz von individuellen Benutzernamen

  • Authentifikation mit Benutzername/Passwort

  • Zuordnung von Benutzerprofilen zu IT-Systemen

  • Gehäuseverriegelungen an Servern/Rechnern

c) Zugriffskontrolle/Sicherstellung von Zugriffsberechtigungen

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen.

  • Verwaltung der Rechte durch Systemadministrator

  • Anzahl der Administratoren auf das „Notwendigste“ reduziert

  • Passwortrichtlinie

  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten

  • Sichere Aufbewahrung von Datenträgern

  • Physische Löschung von Datenträgern vor Wiederverwendung

  • Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)

  • Einsatz von Aktenvernichtung bzw. Dienstleistern

d) Trennungskontrolle/Maßnahmen zur Zwecktrennung von Daten

Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing.

  • Festlegung von Datenbankrechten

  • Trennung von Produktiv- und Testsystem

  • Keine Produktivdaten in Testsystemen

 

2. Integrität (Art. 32 Abs. 1 lit. b EU-DSGVO)

e)Weitergabekontrolle/Sicherheit beim Datentransfer

Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport.

  • E-Mail-Verschlüsselung, wenn möglich mit TLS

  • Verschlüsselte Verbindung bei TeamViewer-Fernwartung

f) Eingabekontrolle

Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;

  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

 

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)

g) Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust

  • Unterbrechungsfreie Stromversorgung (USV)

  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen

  • Schutzsteckdosenleisten in Serverräumen

  • Feuer- und Rauchmeldeanlagen

  • Feuerlöschgeräte in Serverräumen

  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort

  • Erstellen eines Backup- und Recoverykonzepts

  • Erstellen eines Notfallplans

  • Serverräume nicht unter sanitären Anlagen

h) Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c EU-DSGVO)

  • Wiederherstellung nach Backup- und Recoverykonzept

  • Kontrolle eines Notfallplans

  • Testen von Datenwiederherstellungen

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d EU-DSGVO; Art. 25 Abs. 1 EU-DSGVO)

i) Datenschutz-Management

  • Die Grundsätze zum Datenschutz sind in einer unternehmensinternen Richtlinie festgelegt

  • Der DSB ist bei der Datenschutzfolgeabschätzung eingebunden

  • Es ist ein Datenschutzbeauftragter schriftlich benannt

  • Der DSB ist im Organigramm eingebunden

  • Verpflichtung der Mitarbeiter auf das Daten- und Fernmeldegeheimnis

  • Schulung von Mitarbeitern

  • Die interne Verarbeitungsübersicht der Verarbeitungsprozesse ist vorhanden

  • Kontrollsystem, das den unberechtigten Zugriff auf personenbezogene Daten aufgedeckt

j) Incident-Response-Management

  • Einrichtung eines Incident Management-Plans

  • Sicherheitsteam ist benannt und geschult

  • Team mit realitätsnahen Übungen getestet

k) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 EU-DSGVO)

  • Beachtung privacy by design

  • Beachtung privacy by default

l) Auftragskontrolle/Einbindung von Unter-Auftragsverarbeiter

Keine Auftragsdatenverarbeitung im Sinne von Art. 28 EU-DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.

  • Auswahl der (Unter-)Auftragsverarbeiter unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)

  • Vorherige Prüfung und Dokumentation der beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen

  • Schriftlich dokumentierte Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag)

  • Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf die Vertraulichkeit

  • Auftragsverarbeiter hat Datenschutzbeauftragten bestellt (wenn erforderlich)

  • Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags

 

Anlage 2: Vereinbarung zur Verarbeitung von Daten im Auftrag

Unterauftragsverarbeiter

TeamViewer Germany GmbH
Bahnhofsplatz 2
73033 Göppingen

(Fernwartungszugriff)

 

[1] Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, EU-DSGVO).

Addresse

Friedrich-Ebert-Staße 79
34119 Kassel

Kontakt

0561 400 747 - 80
0561 400 747 - 69