DATENDO GmbH

Service-Bedingungen

DATENDO Service-Bedingungen

1. Anwendungsbereich

1.1
Die DATENDO GmbH, Im Mediapark 5, 50670 Köln („DATENDO“) unterstützt Unternehmen bei der Einhaltung der datenschutzrechtlichen Compliance.

1.2

Dazu bietet DATENDO verschiedene Dienstleistungen an, die insbesondere folgende Leistungen umfassen:

a)

Übernahme der Funktion als externer Datenschutzbeauftragter und die Erbringung damit im Zusammenhang stehender Beratungsleistungen (die „DSB-Services“);

b)

Gewährung des Zugriffs auf die von DATENDO entwickelte DSGVO-Management-Software („My.DATENDO-Software") im Rahmen eines Software-as-a-Service Angebots (die „SaaS-Services“);

c)

weitere Leistungen wie z.B. Mitarbeiterschulungen (die „Weiteren Services“).

1.3

Die Einzelheiten der von DATENDO angebotenen Dienstleistungen ergeben sich aus der Website von DATENDO (https://www.DATENDO.de). DATENDO hat diese Leistungen in verschiedenen maßgeschneiderten sog. Abonnement-Paketen („Business BasicPlus“, „Business Professional“ und „Business Expert“) zusammengefasst, die über die Website von DATENDO (https://www.DATENDO.de) buchbar sind (die „Abos“).

1.4

Der Leistungsumfang der unter den jeweiligen Abos zu erbringenden Leistungen (die „Services“) ergibt sich aus der Abo-Übersicht auf der Website von DATENDO (https://www.DATENDO.de) (die „Abo-Übersicht“) und ergänzend aus diesen Service-Bedingungen. Aus der Abo-Übersicht ergeben sich auch die an DATENDO zu zahlenden Vergütungen.

1.5
Soweit DATENDO bei der Leistungserbringung personenbezogene Daten des Abonnenten in dessen Auftrag verarbeitet, richtet sich diese Verarbeitung nach dem auf der Website von DATENDO (https://www.DATENDO.de) abrufbaren Auftrags­verarbeitungs­vertrag (der „Auftrags­verarbeitungs­vertrag“), der diesen Service-Bedingungen als Anlage 1 beigefügt ist.

1.6
Jeder Vertrag, der über die Website von DATENDO (https://www.DATENDO.de) geschlossen wird (nachfolgend jeweils der „Vertrag“) beinhaltet folgende Dokumente: (i) diese Service-Bedingungen, (ii) die Inhalte der Abo-Übersicht in der zum Zeitpunkt der Bestellung gültigen Fassung (iii) den Auftrags­verarbeitungs­vertrag (Anlage 1).

2. Vertragsschluss

2.1
Für die Geschäftsbeziehung zwischen DATENDO und dem jeweiligen Kunden (nachfolgend „Abonnent“) gelten ausschließlich die diese Service-Bedingungen (einschließlich der Inhalte der Abo-Übersicht und des Auftrags­verarbeitungs­vertrages) in ihrer zum Zeitpunkt der Bestellung gültigen Fassung. Abweichende allgemeine Geschäftsbedingungen des Abonnenten werden nicht anerkannt, es sei denn, DATENDO stimmt ihrer Geltung ausdrücklich zu.

2.2
DATENDO erbringt ihre Services ausschließlich gegenüber Unternehmern, nicht gegenüber Verbrauchern. Unternehmer ist eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt (vgl. § 14 BGB).

2.3
Der Abonnent kann aus dem Sortiment von DATENDO verschiedene Abos einsehen, eines davon auswählen und dieses über den Button „Abo bestellen“ in einen so genannten Warenkorb legen. Über den Button „Abo jetzt zahlungspflichtig bestellen“ gibt er einen verbindlichen Antrag zum Abschluss eines Vertrages über den Erwerb des jeweils ausgewählten Abos ab.

2.4
Vor Abschicken der Bestellung kann der Abonnent die Daten jederzeit ändern und einsehen. Der Antrag kann jedoch nur abgegeben und übermittelt werden, wenn der Abonnent durch Aktivieren der Checkbox im Menü „DATENDO Service-Bedingungen“ diese Services-Bedingungen akzeptiert und dadurch in seinen Antrag aufgenommen hat.

2.5
DATENDO schickt daraufhin dem Abonnenten eine automatische Empfangsbestätigung per E-Mail zu, in welcher die Bestellung des Abonnenten nochmals aufgeführt wird und die der Abonnent über die Funktion „Drucken“ ausdrucken kann. Die automatische Empfangsbestätigung dokumentiert lediglich, dass die Bestellung des Abonnenten bei DATENDO eingegangen ist und stellt zugleich die Annahme des Antrags des Abonnenten durch DATENDO dar (die „Auftragsbestätigung“).

2.6
Der Vertrag kommt mit Eingang der Auftragsbestätigung von DATENDO bei dem Abonnenten zustande (der Tag des Eingangs dieser Auftragsbestätigung beim Abonnenten nachfolgend das „Wirksamkeitsdatum“).

2.7
Die Parteien stellen klar, dass es keiner gesonderten Unterzeichnung des Auftrags­verarbeitungs­vertrages bedarf. Der Abschluss des Auftrags­verarbeitungs­vertrages erfolgt automatisch im Rahmen des Abschlusses des Vertrages in elektronischer Form gemäß den vorstehenden Regelungen.

3. Bestellung von DATENDO zum externen Datenschutzbeauftragten

3.1
Mit Wirkung zum Wirksamkeitsdatum bestellt der Abonnent DATENDO zum externen Datenschutzbeauftragten.

3.2
DATENDO nimmt innerhalb einer (1) Woche nach Vertragsschluss eine Meldung bei der Aufsichtsbehörde i.S.d. Art. 37 Abs. 7 DSGVO vor und sendet dem Abonnenten hierüber eine Bestätigung.

4. Bestellungs-Zertifikat und Homepage-Siegel

4.1
DATENDO stellt dem Abonnenten nach Vertragsschluss ein PDF-Zertifikat als Nachweis über die Benennung von DATENDO zum externen Datenschutzbeauftragten zur Verfügung.

4.2
Das Zertifikat wird für die Mindestvertragslaufzeit zur freien Verwendung ausgestellt und beinhaltet somit ein Ablaufdatum zum Ende der Mindestvertragslaufzeit des Abonnements. Für jede neu beginnende Verlängerungslaufzeit des Abonnements wird stets ein neues Zertifikat ausgestellt und an den Abonnenten als PDF-Dokument per E-Mail übergeben.

4.3
DATENDO stellt dem Abonnenten ein Datenschutz--Siegel zur Verfügung, nach Wahl des Abonnenten im PNG- oder JPG-Format, welches der Abonnent für die Laufzeit des Abonnements auf seiner Website und sonstigen digitalen Angeboten des Abonnenten verwendet werden darf. Der Abonnent ist zur Anpassung der Maße (Breite x Höhe) des Datenschutz—Siegels gestattet, jedoch keine inhaltliche, farbliche oder sonstige Veränderung.

4.4
Bei der Verwendung des Siegels in digitalen Medien (z.B. Websites), ist der Abonnent verpflichtet, die Datei stets zu https://www.DATENDO.de zu verlinken.

5. Erbringung der DSB-Services

5.1
DATENDO erbringt für den Abonnenten die DSB-Services als Leistungen eines Datenschutzbeauftragten nach Maßgabe dieses Vertrags.

5.2
Der Abonnent stellt sicher, dass DATENDO ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird (Art. 38 Abs. 1 DSGVO).


5.3 Der Abonnent unterstützt DATENDO bei der Erfüllung seiner Aufgaben gemäß Artikel 39 DSGVO, indem er DATENDO den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt (Art. 38 Abs. 2 DSGVO).

5.4
Der Abonnent stellt sicher, dass DATENDO bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. DATENDO darf von dem Abonnenten wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. DATENDO berichtet unmittelbar der höchsten Managementebene des Abonnenten (Art. 38 Abs. 3 DSGVO).

5.5
Betroffene Personen können DATENDO zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen (Art. 38 Abs. 4 DSGVO).

5.6
Die Parteien stellen klar, dass DATENDO berechtigt ist, auch andere Aufgaben und Pflichten wahrzunehmen (Art. 38 Abs. 6 DSGVO).

5.7
Die DSB-Services wird DATENDO durch das bei DATENDO beschäftige Hilfspersonal erbringen. Als Hilfspersonal wird DATENDO seine Organe und Arbeitnehmer sowie auch externe Dienstleister einsetzen. Im Anwendungsbereich des Auftrags­verarbeitungs­vertrages gelten für die Einschaltung der externen Dienstleister die dort geregelten Beschränkungen.

5.8
DATENDO werden keinerlei Weisungsrechte gegenüber den Arbeitnehmern des Abonnenten eingeräumt. DATENDO steht kein Recht zu, den Abonnenten zu vertreten, soweit dies nicht im Einzelfall abweichend vereinbart wird.

6. Umfang der DSB-Services und Vergütungsmodell

6.1
Die DSB-Services umfassen (i) die Übernahme der Funktion als Datenschutzbeauftragter sowie (ii) alle Leistungen der Individuellen Beratung, die DATENDO in dieser Funktion erbringt.

6.2
Die Leistung der „Übernahme der Funktion als Datenschutzbeauftragter“ beschränkt sich auf die reine Übernahme dieser Funktion. Sämtliche Leistungen, die DATENDO in Ausübung dieser Funktion erbringt, sind nicht Gegenstand der Übernahme der Funktion als Datenschutzbeauftragter, sondern gelten als Leistungen der „Individuellen Beratung“).

6.3
Die Übernahme der Funktion als Datenschutzbeauftragter ist über die auf das jeweilige Abo entfallende monatliche Pauschalvergütung abgegolten.

6.4
Sämtliche Leistungen der Individuellen Beratung sind nach Aufwand zu vergüten. Zu den nach Aufwand zu vergütenden DSB-Services zählen insbesondere folgende Leistungen:

a)
die Mitwirkung an der Bearbeitung von Auskunfts-, Löschungs-, Berichtigungs-, Beschränkungs-, Datenübertragungs- und Widerspruchsersuchen von betroffenen Personen;

b)
die Mitwirkung an der Bearbeitung von datenschutzrechtlich relevanten Anfragen (Art. 38 Abs. 4 DSGVO) an den Abonnenten;

c)
die Mitwirkung an der Bearbeitung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO);

d)
die Mitwirkung an der Bearbeitung von Vor-Ort-Prüfungen („Audits“) bei Subunternehmern, Lieferanten oder anderen für den Abonnenten tätigen Dienstleistern, insbesondere auch die Durchführung von Kontrollen im Rahmen von Auftragsver­arbeitungs­verhältnissen iSv Art. 28 DSGVO;

e)
die Mitwirkung an der Bearbeitung von Sachverhalten betreffend Datenschutz­verletzungen;

f)
die Mitwirkung an dem Aufbau, die Bewertung oder Fortentwicklung eines Datenschutz-Managementsystems.

g)
die Beantwortung konkreter Anfragen von Beschäftigten oder der Unternehmensleitung zum Datenschutz;

h)
die Wahrnehmung von Besprechungen und anderen Terminen;

i)
die Kommunikation mit der zuständigen Aufsichtsbehörde;

j)
die Erstellung von Tätigkeitsberichten;

6.5
Die DSB-Services im Bereich der Individuelle Beratung bietet DATENDO mit einer Reaktionszeit versehen an. Die Reaktionszeit richtet sich nach dem jeweils gewählten Abo und ergibt sich aus der Abo-Übersicht. Die Reaktionszeiten beginnen mit dem Eingang einer entsprechenden Anfrage des Abonnenten bei DATENDO. Wenn die Anfrage des Abonnenten bei DATENDO außerhalb der Service-Zeiten von DATENDO eingeht, beginnen die Reaktionszeiten mit dem Beginn der folgenden Service-Zeit. Die in der Abo-Übersicht angegebenen Fristen verlängern sich im Fall von Samstagen, Sonntagen und gesetzlichen Feiertagen am Sitz von DATENDO um die entsprechenden Zeiträume. Die Reaktionszeit gilt als eingehalten, wenn DATENDO dem Abonnenten innerhalb der Frist eine Eingangsbestätigung sendet, mit der DATENDO dem Abonnenten mitteilt, dass DATENDO sein Anliegen wahrnehmen wird. Die anschließende Bearbeitungsdauer richtet sich nach der dann zu treffenden Absprache zwischen DATENDO und dem Abonnenten.

6.6
Service-Zeiten“ sind Montag ‚bis Freitag von jeweils 8 bis 18 Uhr mit Ausnahme von gesetzlichen Feiertagen am Sitz von DATENDO.

6.7
Soweit nach anwendbarem Datenschutzrecht eine unmittelbare Reaktion erforderlich ist, insbesondere im Rahmen von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 und 34 DSGVO, wird sich DATENDO bemühen, den Abonnenten auch außerhalb der Service-Zeiten zu unterstützen. Ein entsprechender Rechtsanspruch des Kunden besteht nicht.

6.8
Sämtliche Leistungen der Individuellen Beratung werden „remote“ (per Telefon oder E-Mail) erbracht. Eine Beratung vor Ort bei dem Abonnenten ist grundsätzlich nicht geschuldet und wird nur im Einzelfall aufgrund einer individuellen Absprache erbracht.

7. Erbringung der SaaS-Services

7.1
DATENDO stellt dem Abonnenten die My.DATENDO-Software im Rahmen eines Software-as-a-Service (SaaS)-Modells zur Verfügung. Das Nutzungsrecht des Abonnenten ist auf die Abo-Laufzeit beschränkt.

7.2
Der Zugriff erfolgt über einen Browser (Mozilla Firefox, Google Chrome) über den Rechner des Kunden.

7.3
Die über die My.DATENDO-Software abrufbaren Inhalte ergeben sich aus der Abo-Übersicht.

7.4
Vorbehaltlich der in diesem Vertrag enthaltenen Beschränkungen gewährt DATENDO dem Abonnenten ein nicht-ausschließliches, nicht übertragbares und nicht unterlizenzierbares Recht, während der Abo-Laufzeit auf die von DATENDO gehostete My.DATENDO-Software zuzugreifen und sie ausschließlich für die in diesem Vertrag beschriebenen Zwecke für seine internen Geschäftszwecke zu nutzen (die "SaaS-Lizenz").

7.5
Der Abonnent ist nicht berechtigt, seinen verbundenen Unternehmen oder sonstigen Dritten Zugriff auf die My.DATENDO-Software gestatten.

7.6
DATENDO ist berechtigt, die My.DATENDO-Software im Rahmen seines allgemeinen Life-Cycle-Managements und zum Zwecke der Produktverbesserung regelmäßig zu aktualisieren. Sämtliche Aktualisierungen der My.DATENDO-Software unterliegen den Regelungen dieses Vertrages.

8. Unternehmensdaten und autorisierte Nutzer

8.1
Der Abonnent verpflichtet sich, bei Abschluss des Vertrages bestimmte Daten an DATENDO zu übermitteln (Firma, Adresse, vertretungsberechtigte Organe und Kontaktmöglichkeiten), die für die Vertragsdurchführung erforderlich sind (die „Unternehmensdaten“). Der Kunde hat die Unternehmensdaten stets aktuell, korrekt und vollständig zu halten, damit DATENDO dem Abonnenten per E-Mail oder auf sonstigem Wege Mitteilungen, Abrechnungen und andere Informationen zusenden kann. Dem Abonnenten wird zu diesem Zwecke in der My.DATENDO-Software ein Menü mit der Bezeichnung „Unternehmensdaten“ bereitgestellt, welches dem Abonnenten ermöglicht, Aktualisierungen, Ergänzungen und Korrekturen im Hinblick auf die Unternehmensdaten einzutragen und zu speichern. Eine Korrektur oder Aktualisierung seiner Firma teilt der Abonnent hingegen nicht über die My.DATENDO-Software mit, sondern informiert DATENDO hierüber unter Beifügung eines geeigneten Nachweises (z.B. Handelsregisterauszug) per E-Mail oder schriftlich.

8.2
Der Abonnent ist für die Wahrung der Vertraulichkeit der Anmeldeinformationen und der Anmeldedaten für den Zugriff auf die My.DATENDO-Software verantwortlich und wird DATENDO unverzüglich über jeden Verlust, Missbrauch oder jede unbefugte Offenlegung solcher Anmeldeinformationen und/oder Anmeldedaten informieren, sobald der Abonnent davon Kenntnis erlangt. DATENDO haftet nicht für Schäden oder Verluste, die sich aus der Verletzung der vorgenannten Verpflichtungen durch den Abonnenten ergeben.

8.3
Die SaaS-Lizenz zum Zugriff auf die My.DATENDO-Software wird für eine unbegrenzte Anzahl an autorisierten Nutzern gewährt, wobei die "autorisierten Nutzer" nur Mitarbeiter und Organmitglieder des Abonnenten umfassen. Der Zugang zu den Mitarbeiterschulungen und dem DSGVO-Trainingscenter ist hingegen auf die für die jeweiligen Abos gültigen Teilnehmerzahlen, wie aus der Abo-Übersicht ersichtlich, beschränkt.

8.4
Der Abonnent ist verpflichtet, seine autorisierten Nutzer vor Beginn der Nutzung der My.DATENDO-Software über die in diesem Vertrag vereinbarten Rechte und Pflichten zu informieren. Der Abonnent haftet für Pflichtverletzungen seiner autorisierten Nutzer oder sonstiger Dritter, die im Einflussbereich des Abonnenten liegende Pflichten unter diesem Vertrag verletzen.

9. Nicht erlaubte Nutzungen

9.1
Die unter diesem Vertrag gewährte SaaS-Lizenz unterliegt den folgenden Beschränkungen:

a)
der Abonnent darf keinem unbefugten Dritten den Zugang zur My.DATENDO-Software oder deren Nutzung gestatten;

b)
der Abonnent darf die My.DATENDO-Software nicht zur Erbringung von Dienstleistungen für Dritte verwenden;

c)
veröffentlichen oder verbreiten;

d)
der Abonnent darf keine Änderungen an der My.DATENDO-Software vornehmen; und

e)
der Abonnent wird weder direkt noch indirekt: (i) den Quellcode, den Objektcode oder die zugrundeliegende Struktur, die Ideen, das Know-how oder die Algorithmen, die für die My.DATENDO-Software relevant sind, zurückzuentwickeln, dekompilieren, disassemblieren oder anderweitig versuchen, auf diese Informationen Zugriff zu erhalten; (ii) die My.DATENDO-Software modifizieren, übersetzen oder davon abgeleitete Werke erstellen, sofern dies nicht nach zwingendem anwendbaren Recht zulässig ist.

9.2
Der Abonnent verpflichtet sich in der My.DATENDO-Software (i) keine Inhalte zu speichern, die geistige Schutzrechte oder sonstige Rechte Dritter verletzen; (ii) keine rassistischen, beleidigenden, diskriminierenden oder in sonstiger Weise rechtswidrigen Inhalte zu speichern; und (iii) keine Viren, Malware, Trojanische Pferde oder ähnliche schädliche Software zu speichern.

9.3
DATENDO hat das Recht (aber nicht die Pflicht), den Zugang zur My.DATENDO-Software auszusetzen oder Daten oder Inhalte, die über die My.DATENDO-Software übertragen werden, ohne Haftung zu entfernen, (i) wenn DATENDO vernünftigerweise davon ausgehen kann, dass die My.DATENDO-Software unter Verletzung dieses Vertrags oder des anwendbaren Rechts genutzt wird, (ii) wenn er von einer Strafverfolgungs- oder sonstigen Behörde aufgefordert wird oder dies aus sonstigen Gründen erforderlich ist, um dem anwendbaren Recht zu entsprechen, oder (iii) wenn dies nach den sonstigen Regelungen dieses Vertrages gestattet ist.

10. Support-Hotline

10.1
DATENDO unterhält eine 0800-Telefon-Hotline, über die der Abonnent während der Service-Zeiten technische Support-Anfragen sowie Anfragen zur Erbringung von Leistungen im Bereich der Individuellen Beratung an DATENDO richten kann.

10.2
Die Support-Hotline ist unter folgender Nummer zu erreichen: 0800-5577733

11. Servicegebühren

11.1
Der Abonnent zahlt DATENDO die in der Auftragsbestätigung angegebenen Vergütungen (die "Servicegebühren"), die sich aus einer jährlichen Pauschalgebühr und nach Aufwand berechneten Gebühren zusammensetzen. Soweit die Abo-Übersicht zum Zeitpunkt der Bestellung etwaige Rabatte oder Aktionspreise aufweist, werden diese im Rahmen der Auftragsbestätigung entsprechend abgebildet.

11.2
Die jährliche Pauschalgebühr wird DATENDO dem Abonnenten erstmal zum Wirksamkeitsdatum des Abos und im Falle der Verlängerung zum Beginn eines jeden folgenden 12-Monatszeitraums in Rechnung stellen.

11.3
Die nach Aufwand berechneten Gebühren wird DATENDO dem Abonnenten monatlich nachträglich zu den in der Auftragsbestätigung vereinbarten Stundensätzen in Rechnung stellen. Die Abrechnung erfolgt in Intervallen von 15 Minuten (je angefangenen Intervall). Für die nach Aufwand zu vergütenden Services werden den Rechnungen Leistungsnachweise beigefügt, aus denen ein Überblick zu den erbrachten Services ihrem Umfang und ihrem Inhalt nach hervorgeht. Sämtliche Servicegebühren sind innerhalb von vierzehn (14) Tagen nach Rechnungsdatum an den Dienstleister zu zahlen.

11.4
Ist der Abonnent mit der Zahlung der Servicegebühren vierzehn (14) Tage oder länger im Verzug, kann DATENDO den Zugang zur My.DATENDO-Software aussetzen.

11.5
Die Rechnungen werden auf elektronischem Wege übermittelt.

11.6
Sämtliche Beträge, die in diesem Vertrag oder im Zusammenhang mit diesem Vertrag genannt werden, verstehen sich, sofern der Kontext nichts Anderes erfordert, zzgl. der anwendbaren Umsatzsteuer.

11.7
Durch An- und Abreise zu Terminen an anderen Orten als dem Sitz von DATENDO verursachte Reisezeiten werden zu den in der Abo-Übersicht angegebenen Stundensätzen vergütet.

11.8
Der Abonnent wird die DATENDO die bei der Erbringung der Services entstandenen Reiskosten erstatten. DATENDO ist frei in der Wahl des Reisemittels, der Unterkunft und der Verpflegung. Zu erstattende Aufwände bzw. zu vergütende Reisezeiten werden auf den monatlichen Rechnungen von DATENDO separat ausgewiesen.

12. Schutzrechte

12.1
Der Abonnent erkennt an, dass er, vorbehaltlich der hierin gewährten SaaS-Lizenzen, keine Inhaberschaft oder sonstige Rechte an der My.DATENDO-Software oder den Materialien von DATENDO erhält, die dem Abonnenten zur Verfügung gestellt werden.

12.2
DATENDO ist Inhaber aller Rechte an der My.DATENDO-Software und den Materialien von DATENDO. DATENDO behält sich sämtliche Rechte vor, die dem Abonnenten nicht ausdrücklich unter diesem Vertrag gewährt werden.

13. Vertraulichkeit

13.1
Vertrauliche Informationen“ sind alle Informationen, Dokumente, Gegenstände, Materialien, Stoffe oder elektronische Dateien, die von einer Partei gegenüber der anderen Partei in schriftlicher, elektronischer, mündlicher oder sonstiger Form offengelegt werden, und die von der offenlegenden Partei als vertraulich gekennzeichnet werden oder ihrer Natur nach als vertraulich zu behandeln sind.

13.2
Die Parteien verpflichten sich, die Vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und sie ausschließlich für die Zwecke der Durchführung dieses Vertrages zu verwenden.

13.3
Eine Weitergabe der Vertraulichen Informationen der jeweils anderen Partei an Dritte ist nur gestattet, soweit dies für die Durchführung dieses Vertrages zwingend erforderlich ist.

13.4
Die Parteien verpflichten sich, die Vertraulichen Informationen der jeweils anderen Partei durch angemessene Sicherheitsmaßnahmen unter Beachtung der erforderlichen Sorgfalt zu schützen.

13.5
Die vorstehenden Verpflichtungen gelten nicht für Informationen, von denen die empfangende Partei nachweisen kann, dass sie (i) der Öffentlichkeit in rechtmäßiger und einer die Bestimmungen dieses Vertrages nicht verletzenden Weise zur Verfügung standen oder stehen, (ii) der empfangenden Partei bereits zuvor bekannt waren und zur ihrer uneingeschränkten Verfügung standen, (iii) der empfangenden Partei von einem hierzu berechtigten Dritten offengelegt wurden oder (iv) von der empfangenden Partei eigenständig und ohne Nutzung der Vertraulichen Informationen offenlegenden Partei entwickelt worden sind.

13.6
Die jeweils empfangende Partei verpflichtet sich, unverzüglich nach Beendigung dieses Vertrages alle Dokumente und Aufzeichnungen, welche Vertrauliche Informationen der jeweils anderen Partei enthalten, vollständig und endgültig zu zerstören bzw. im Fall von elektronischen Daten endgültig zu löschen. Gesetzliche Aufbewahrungs- und Archivierungspflichten bleiben hiervon unberührt.

13.7
Nach Beendigung dieses Vertrages gelten alle Rechte und Pflichten der Parteien in Bezug auf die Vertraulichen Informationen der jeweils anderen Partei für die Dauer von zehn (10) Jahren fort.

13.8
DATENDO unterliegt darüber hinaus der aus seiner Benennung zum Datenschutzbeauftragten erwachsenden Verschwiegenheits­verpflichtung nach Art. 38 Abs. 5 DSGVO, § 38 Abs. 2 iVm § 6 Abs. 5 S. 2 BDSG sowie § 203 Abs. 4 StGB. Diese Verschwiegenheits­verpflichtung bleibt von den vorstehenden Regelungen unberührt und geht diesen im Konfliktfall vor.

14. Abonnentendaten

14.1
Der Abonnent ist verpflichtet, seine Daten und Informationen vor der Eingabe in die My.DATENDO-Software („Abonnentendaten") auf Viren oder andere schädliche Komponenten zu prüfen und zu diesem Zweck dem Stand der Technik entsprechende Antivirenprogramme einzusetzen.

14.2
Darüber hinaus ist der Abonnent selbst für die Eingabe und Pflege seiner Abonnentendaten verantwortlich. DATENDO erstellt mindestens wöchentlich eine Sicherungskopie der Abonnentendaten.

14.3
Der Abonnent gewährt DATENDO eine nicht ausschließliche, unentgeltliche Lizenz für den Zugriff, die Nutzung, Reproduktion, Änderung, Ausführung, Anzeige und sonstige Nutzung von Abonnentendaten, soweit dies für DATENDO zur Ausführung oder Bereitstellung der My.DATENDO-Software erforderlich ist.

14.4
Der Abonnent ist allein verantwortlich für sämtliche Abonnentendaten, insbesondere dafür, dass ihre Übermittlung und Nutzung gemäß diesem Vertrag nicht gegen geltende Gesetze, einschließlich der Datenschutzgesetze, und/oder geistige Eigentumsrechte Dritter verstößt.

14.5
Der Abonnent erkennt an, dass DATENDO keine Kontrolle über die Abonnentendaten ausübt und dass er bei der Übermittlung und Bearbeitung der Abonnentendaten als bloßer oder passiver Kanal fungiert.

15. Datenschutz

15.1
Soweit DATENDO personenbezogene Daten des Abonnenten verarbeitet, gilt Folgendes:

15.2
Bei der Erbringung der DSB-Services verarbeitet DATENDO diese Daten in seiner Funktion als Datenschutzbeauftragter. Dazu stellen die Parteien klar, dass DATENDO in dieser Funktion nicht als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO tätig wird.

15.3
Bei der Erbringung aller sonstigen Services verarbeitet DATENDO diese Daten im Auftrag des Abonnenten auf Basis des als Anlage 1 beigefügten Auftrags­verarbeitungs­vertrages.

15.4
Kontakt- und Abrechnungsdaten des Abonnenten verarbeitet DATENDO als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.

16. Haftungsbeschränkung

16.1
Bei vorsätzlichem Fehlverhalten haftet DATENDO nach den gesetzlichen Bestimmungen des anwendbaren Rechts.

16.2
Bei grober Fahrlässigkeit haftet DATENDO nach den gesetzlichen Bestimmungen des anwendbaren Rechts.

16.3
Bei einfacher Fahrlässigkeit haftet DATENDO - soweit der Haftungsmaßstab nicht nach gesetzlichen Vorschriften begrenzt ist - nur bei Verletzung wesentlicher Vertragspflichten (wesentliche Vertragspflichten sind solche, deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Abonnent regelmäßig vertraut und vertrauen darf); in diesem Fall ist die Haftung von DATENDO auf den typischen, vernünftigerweise vorhersehbaren Schaden begrenzt.

16.4
Die vorgenannten Einschränkungen gelten nicht für

a)
Schäden aus der Verletzung von Leben, Körper oder Gesundheit;

b)
Haftung nach dem deutschen Produkthaftungsgesetz;

c)
die Übernahme einer Garantie für die Beschaffenheit von Waren und/oder Arbeiten oder das arglistige Verschweigen von Mängeln durch DATENDO.

16.5
Die vorstehenden Haftungsbeschränkungen gelten vorbehaltlich der Regelungen in Ziffer 16.4 für (i) alle Haftungsansprüche, gleich aus welchem Rechtsgrund, insbesondere aus Unmöglichkeit, Verzug, mangelhafter oder falscher Lieferung, Vertragsverletzung, Verletzung von Pflichten bei Vertragsverhandlungen und unerlaubter Handlung, soweit es sich um verschuldensabhängige Ansprüche handelt, sowie (ii) für Pflichtverletzungen von Erfüllungsgehilfen oder sonstigen Personen, für deren Verhalten DATENDO nach den gesetzlichen Vorschriften haftbar gemacht werden kann.

16.6
Soweit für die Haftung eines Datenschutzbeauftragen weitergehende Haftungsbeschränkungen und/oder Haftungsausschlüsse bestehen, bleiben diese unberührt.

17. Laufzeit und Kündigung

17.1
Die Abo-Laufzeit beginnt mit dem Wirksamkeitsdatum mit und läuft zunächst für eine anfängliche Laufzeit von einem Jahr. Danach verlängert sie sich automatisch um jeweils ein Jahr, sofern sie nicht von einer der Parteien mit einer Frist von drei Monaten zum Ende der Anfangslaufzeit oder einer Verlängerungslaufzeit schriftlich gekündigt wird.

17.2
Das Recht beider Parteien zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt

17.3
Jede Kündigung dieses Vertrags gilt zugleich zum Zeitpunkt des Wirksamwerdens der Kündigung als Niederlegung des Amtes von DATENDO als Datenschutzbeauftragter.

17.4
Nach Beendigung dieses Vertrages darf der Abonnent nicht mehr auf die My.DATENDO-Software zugreifen.

17.5
DATENDO weist den Abonnenten darauf hin, dass DATENDO zum Zeitpunkt der Beendigung des Vertrages die auf der My.DATENDO-Software gespeicherten Abonnentendaten löschen wird. Gesetzliche Aufbewahrungs- und Archivierungspflichten bleiben hiervon unberührt. Vor diesem Hintergrund empfiehlt DATENDO dem Abonnenten, rechtzeitig geeignete Kopien der auf der My.DATENDO-Software gespeicherten Abonnentendaten zu fertigen.

18. Testversion

18.1
DATENDO bietet seinen Abonnenten über die Website von DATENDO (https://www.DATENDO.de) Zugang zu einer Testversion der My.DATENDO-Software im Rahmen eines sog. Test-Abos an.

18.2
DATENDO weist darauf hin, dass die Nutzung der Testversion keinen Anspruch auf Erbringung von DSB-Services und/oder etwaiger weiterer Services begründet.

18.3
Soweit sich der Abonnent für die Nutzung dieser Testversion entscheidet, stellt DATENDO dem Abonnenten die My.DATENDO-Software zu Testzwecken im Rahmen eines Software-as-a-Service (SaaS)-Modells zur Verfügung. Das Nutzungsrecht des Abonnenten ist auf eine Laufzeit von zwei (2) Wochen ab Abschluss des Vertrages über die Nutzung der Testversion im Rahmen des Test-Abos beschränkt.

18.4
Die Nutzung der Testversion im Rahmen des Test-Abos ist für den Abonnenten kostenfrei.

18.5
Soweit nicht in dieser Ziff. 18 abweichend geregelt, gelten sämtliche Regelungen dieser Service-Bedingungen (einschließlich des Auftrags­verarbeitungs­vertrages) auch für die Nutzung der Testversion.

19. Schlussbestimmungen

19.1
Jede Partei hat die Kosten, die ihr im Zusammenhang mit dem Abschluss und Vollzug dieses Vertrages entstehen, selbst zu tragen, sofern nicht in diesem Vertrag ausdrücklich abweichend vereinbart.

19.2
Dieser Vertrag gibt die Vereinbarungen zwischen den Parteien hinsichtlich des Vertragsgegenstands vollständig wieder; mündliche oder sonstige Nebenabreden sind nicht getroffen.

19.3
Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss der Kollisionsnormen des internationalen Privatrechts. Die Anwendbarkeit des UN-Übereinkommens über Verträge über den internationalen Warenkauf (CISG) wird ausgeschlossen.

19.4
Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Köln, sofern das Gesetz nicht zwingend etwas Anderes vorschreibt.


Anlage 1
Auftrags­verarbeitungs­vertrag
auf Basis der EU Standard­vertrags­klauseln

ABSCHNITT I

Klausel 1

Zweck und Anwendungsbereich

a)
Mit diesen Standardvertrags­klauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sichergestellt werden.

b)
Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.

c)
Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.

d)
Die Anhänge I bis IV sind Bestandteil der Klauseln.

e)
Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

f)
Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.

Klausel 2

Unabänderbarkeit der Klauseln

a)
Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.

b)
Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standard­vertrags­klauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.

Klausel 3

Auslegung

a)
Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.

b)
Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.

c)
Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.

Klausel 4

Vorrang

Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.

Klausel 5

Kopplungsklausel

a)
Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.

b)
Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.

c)
Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.

ABSCHNITT II

PFLICHTEN DER PARTEIEN

Klausel 6

Beschreibung der Verarbeitung Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.

Klausel 7

Pflichten der Parteien

7.
7.1. Weisungen

a)
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.

b)
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.

7.2. Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.

7.3. Dauer der Verarbeitung personenbezogener Daten
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.

7.4. Sicherheit der Verarbeitung

a)
Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.

b)
Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.

7.5. Sensible Daten
Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.

7.6. Dokumentation und Einhaltung der Klauseln

a)
Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.

b)
Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.

c)
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.

d)
Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.

e)
Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.

7.7. Einsatz von Unterauftragsverarbeitern

a)
Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens vier (4) Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.

b)
Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.

c)
Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.

d)
Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.

7.8. Internationale Datenübermittlungen

a)
Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.

b)
Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertrags­klauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertrags­klauseln erfüllt sind.

Klausel 8

Unterstützung des Verantwortlichen

a)
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.

b)
Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.

c)
Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:

1)
Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;

2)
Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;

3)
Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;

4)
Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.

d)
Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.

Klausel 9

Meldung von Verletzungen des Schutzes personenbezogener Daten

Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.

9.1. Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:

a)
bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);

b)
bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:

1)
die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

2)
die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

3)
die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen. Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;

c)
bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

9.2. Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:

a)
eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);

b)
Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;

c)
die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt.

Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.

ABSCHNITT III

SCHLUSSBESTIMMUNGEN

Klausel 10

Verstöße gegen die Klauseln und Beendigung des Vertrags

a)
Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.

b)
Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn

1)
der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;

2)
der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;

3)
der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.

c)
Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.

d)
Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.

ANHANG I

Liste der Parteien

Verantwortliche(r): Als Verantwortlicher handelt der Abonnent.
Name: Der Name des Abonnenten ergibt sich aus den Vertragsunterlagen.
Anschrift: Die Anschrift des Abonnenten ergibt sich aus den Vertragsunterlagen.
Name, Funktion und Kontaktdaten der Kontaktperson: Die Kontaktperson des Abonnenten ergibt sich aus den Vertragsunterlagen
Unterschrift und Beitrittsdatum: Einer gesonderten Unterzeichnung dieses Auftrags­verarbeitungs­vertrages bedarf es nicht. Der Abschluss des Auftrags­verarbeitungs­vertrages erfolgt automatisch im Rahmen des Abschlusses des Vertrages in elektronischer Form gemäß den Regelungen der Service-Bedingungen.
Auftragsverarbeiter: Als Auftragsverarbeiter handelt die DATENDO GmbH
Name: DATENDO GmbH („DATENDO“)
Anschrift: Im Mediapark 5, 50670 Köln
Name, Funktion und Kontaktdaten der Kontaktperson: Tobias Reinhardt, Geschäftsführer, E-Mail: info@DATENDO.de, Tel.: 0800 5577733
Unterschrift und Beitrittsdatum: Einer gesonderten Unterzeichnung dieses Auftrags­verarbeitungs­vertrages bedarf es nicht. Der Abschluss des Auftrags­verarbeitungs­vertrages erfolgt automatisch im Rahmen des Abschlusses des Vertrages in elektronischer Form gemäß den Regelungen der Service-Bedingungen.

ANHANG II

Beschreibung der Verarbeitung

Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden
Organe des Abonnenten
Beschäftigte des Abonnenten

Kategorien personenbezogener Daten, die verarbeitet werden

Name, Vorname, Position im Unternehmen, E-Mail Adresse, Telefonnummer, Schulungsdaten, Schulungsdatum

Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche Sicherheitsmaßnahmen

Es werden keine sensiblen Daten verarbeitet.

Art der Verarbeitung

Speicherung und Hosting personenbezogener Daten in der My.DATENDO-Software.

Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden

Die Verarbeitung erfolgt ausschließlich für die Zwecke der Erbringung aller Services unter dem Vertrag (insbesondere der Erbringung von Schulungsleistungen) mit Ausnahme der DSB-Services.

Dauer der Verarbeitung

Die Verarbeitung erfolgt für die Dauer des Vertrages, soweit nicht der Abonnent eine vorherige Löschung der personenbezogenen Daten verlangt oder selbst vornimmt. Gesetzliche Aufbewahrungs- und Archivierungspflichten von DATENDO bleiben unberührt.

Bei der Verarbeitung durch (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.

Die von der Auftragsverarbeitung erfassten Daten lässt DATENDO bei seinem Hosting-Dienstleister in dessen Rechenzentren hosten (zu den Details siehe Anhang IV). Dieser erbringt Leistungen in den Bereichen Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support.

Die Verarbeitung bei dem Hosting-Dienstleister als Unter-Auftragnehmer von DATENDO erfolgt für die Dauer des Vertrages, soweit nicht der Abonnent eine vorherige Löschung der personenbezogenen Daten verlangt oder selbst vornimmt. Gesetzliche Aufbewahrungs- und Archivierungspflichten von DATENDO bleiben unberührt.

ANHANG III

Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der Daten

Beschreibung der von dem/den Verantwortlichen ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen Beispiele für mögliche Maßnahmen:

Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten

  • Zugangspasswörter werden verschlüsselt in Datenbanken gespeichert
  • Zugangsdaten können nur nach vorheriger Legitimierung neu generiert werden
  • Es besteht eine Arbeitsanweisung zur Pseudonymisierung / Anonymisierung personenbezogener Daten

Maßnahmen zur fortdauernden Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung

  • Es besteht eine Unternehmensrichtlinie zum Datenschutz
  • Es besteht eine Richtlinie zum Datenschutz im Homeoffice/ Mobile Office
  • Datenschutzkonforme Videoüberwachung
  • Abschließbare Türen
  • Zutritt nur mit Schlüssel/Transponder
  • Dienstanweisung zum Verschließen der Räume
  • Besucher können die Räume nur betreten, nachdem sie von einem Beschäftigten in Empfang genommen wurden
  • Logins nur mit Benutzername/Passwort
  • Externe Datenträger sind passwortgeschützt
  • Aktuelle Spamfilter, Virenscanner und Firewall werden eingesetzt
  • Verschlüsselte Datenübertragungen
  • Desktopsperre
  • Es besteht eine Clean-Desk-Vorgabe
  • Die Anzahl der Administrationen mit vollem Zugriff wird minimal gehalten
  • Benutzerrechte werden durch Administratoren anhand eines Rollen- und Berechtigungskonzepts vergeben
  • Monitore sind sichtgeschützt aufgestellt
  • Verwendung von Aktenvernichtern / Datenträgervernichtern
  • Nicht mehr benötigte Datenträger werden physisch gelöscht
  • Es besteht eine Richtlinie zur Generierung sicherer Passwörter
  • Trennung von Produktiv- und Testumgebung
  • Trennung anhand der Ordnerstrukturen einer Festplatte
  • Festlegung von Datenbankzu­griffs­rechten
  • Steuerung der Verarbeitung durch jeweils angepasste Datenbankzu­griffs­rechte
  • Bereitstellung von Daten über verschlüsselte Verbindungen (z.B. SFTP oder https)
  • Beschränkung der Speicherdauer anhand einer technischen Voreinstellung / Programm­ierung

Maßnahmen zur Sicherstellung der Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

  • Brandschutzeinrichtung
  • Unterbrechungsfreie Stromversorgung
  • Speicherung der Daten in einem nach ISO/IEC 27001:2013 zertifizierten Rechenzentrum des von DATENDO beauftragten Hosting-Dienstleisters (zu den Details siehe Anhang IV).
  • N+1 Redundanz (Betriebsredundanz)
  • Erstellung von mindestens einem Backup aller Daten pro Tag
  • Geo-redundante Speicherung von Daten an einem zweiten Standort (Spiegelung in einem zweiten Rechenzentrum)
  • Notfallplan / Wiederanlauf­plan
  • Tests zur Wiederherstellung von Datenbeständen aus Backups

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

  • Sorgfältige Auswahl von Unter-Auftragsverarbeitern
  • Abschluss von Auftrags­verarbeitungs­verträgen mit Unter-Auftragsverarbeitern
  • Es werden nicht mehr Daten erhoben, als dies für den Zweck der Verarbeitung erforderlich ist

Maßnahmen zur Identifizierung und Autorisierung der Nutzer

  • Vergabe von Benutzernamen und Passwörtern
  • Passwortrichtlinie
  • Regelmäßige Prüfung von Berechtigungen

Maßnahmen zum Schutz der Daten während der Übermittlung

  • Verschlüsselte Datenübertragung (SSL, SFTP)
  • Verwendung nicht öffentlicher Laufwerke

Maßnahmen zum Schutz der Daten während der Speicherung

  • Verschlüsselung in Datenbanken
  • Begrenzte Anzahl an Administratoren

Maßnahmen zur Gewährleistung der physischen Sicherheit von Orten, an denen personenbezogene Daten verarbeitet werden

  • Datenschutzkonforme Videoüberwachung
  • Abschließbare Türen
  • Zutritt nur mit Schlüssel/Transponder
  • Verfahren zur Ausgabe von Schlüsseln/Transpondern

Maßnahmen zur Gewährleistung der Protokollierung von Ereignissen

  • Arbeitsanweisung zur Dokumentation von Datenpannen und Kooperation mit dem Verantwortlichen

Maßnahmen zur Gewährleistung der Systemkonfiguration, einschließlich der Standardkonfiguration

  • Datenschutzgerechte Voreinstellungen
  • Konfiguration durch Systemadministrator

Maßnahmen für die interne Governance und Verwaltung der IT und der IT-Sicherheit

  • Auswahl fachkundiger Dienstleister mit höchsten Standards zur IT-Sicherheit
  • Schulung zur IT-Sicherheit
  • Klare Verteilung von Verantwortlichkeiten

Maßnahmen zur Zertifizierung / Qualitäts­sicherung von Prozessen und Produkten

  • Regelmäßige Kontrollen

Maßnahmen zur Gewährleistung der Datenminimierung

  • Identifikation des Zwecks der Verarbeitung
  • Bewertung des Zusammenhangs zwischen Verarbeitung und Zweck
  • Identifikation der geltenden Aufbewahrungsfristen
  • Sichere Löschung der Daten nach Ablauf der Aufbewahrungsfrist

Maßnahmen zur Gewährleistung der Datenqualität

  • Aktualisierungen, Ergänzungen oder Änderungen können seitens des Verantwortlichen permanent online vorgenommen werden
  • Rechtevergabe zur Dateneingabe
  • Nachvollziehbarkeit der Benutzer bei Eingabe

Maßnahmen zur Gewährleistung einer begrenzten Vorratsdatenspeicherung

  • Regelmäßige Prüfung und Bewertung der gespeicherten Daten

Maßnahmen zur Gewährleistung der Rechenschaftspflicht

  • Dokumentation der Datenverarbeitungen und der weiteren Maßnahmen des Datenschutzes

Maßnahmen zur Ermöglichung der Datenübertragbarkeit und zur Gewährleistung der Löschung

  • Softwaregestützte automatische Archivierung und Löschung nach Beendigung eines Abonnements.
  • Gesetzliche Aufbewahrungs- und Archivierungspflichten von DATENDO bleiben unberührt.

Bei Datenübermittlungen an (Unter-)Auftragsverarbeiter sind auch die spezifischen technischen und organisatorischen Maßnahmen zu beschreiben, die der (Unter-)Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss.

  • Die von der Auftragsverarbeitung erfassten Daten lässt DATENDO bei seinem Hosting-Dienstleister in dessen Rechenzentren hosten (zu den Details siehe Anhang IV). Dieser erbringt Leistungen in den Bereichen Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support.
  • Der Hosting-Dienstleister hat sich gegenüber DATENDO zur datenschutzkonformen Verarbeitung im Unterauftrag von DATENDO verpflichtet. Die von dem Hosting-Dienstleister zu ergreifenden technischen und organisatorischen Maßnahmen sind unter folgendem Link abrufbar: Link: hier klicken

Beschreibung der spezifischen technischen und organisatorischen Maßnahmen, die der Auftragsverarbeiter zur Unterstützung des Verantwortlichen ergreifen muss

  • Schulung und Sensibilisierung der Beschäftigten von DATENDO zum Datenschutz

ANHANG IV

Liste der Unterauftragsverarbeiter

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:

Name: IONOS SE
Anschrift: Elgendorfer Str. 57, 56410 Montabaur
Name, Funktion und Kontaktdaten der Kontaktperson: Die IONOS SE ist vertreten durch den Vorstand, Tel.: 0721 170 5522, E-Mail: info@ionos.de
Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): Die von der Auftragsverarbeitung erfassten Daten lässt DATENDO bei dem Unterauftragsverarbeiter in dessen Rechenzentren hosten. Dieser erbringt Leistungen in den Bereichen Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support.
Bundesverband IT-Mittelstand e.V. Mitglied im GDD Wissenswertes zum Datenschutz in der EU Software hosted in Germany - DATENDO
Trustpilot
Bild Bild