Allgemeine Geschäftsbedingungen der Alexander Dort GmbH
(im folgenden kurz Agentur genannt)
I. Allgemeine Geschäftsbedingungen
II. Auftragsdatenverarbeitung
I. Allgemeine Geschäftsbedingungen
Stand 01.März 2022
1. Allgemeines
Für sämtliche Geschäfte zwischen dem Kunden und der Agentur gelten ausschließlich diese “Allgemeinen Geschäftsbedingungen”. Entgegenstehende Geschäftsbedingungen des Kunden sind nur dann wirksam, wenn sie von der Agentur ausdrücklich und schriftlich anerkannt werden.
Von diesen “Allgemeinen Geschäftsbedingungen” abweichende oder diese ergänzende Vereinbarungen bedürfen der Schriftform.
Sollten einzelne Bestimmungen dieser “Allgemeinen Geschäftsbedingungen” unwirksam sein, so berührt dies die Verbindlichkeit der übrigen Bestimmungen und der unter ihrer Zugrundelegung geschlossenen Verträge nicht. Die unwirksame Bestimmung ist durch eine wirksame, die ihr dem Sinn und Zweck nach am nächsten kommt, zu ersetzen.
2. Vertragsabschluss
Die Angebote der Agentur sind freibleibend. Der Kunde ist an seinen Auftrag zwei Wochen ab dessen Zugang bei der Agentur gebunden. Aufträge des Kunden gelten erst durch schriftliche Auftragsbestätigung der Agentur als angenommen, sofern die Agentur nicht - etwa durch Tätigwerden auf Grund des Auftrages - zu erkennen gibt, dass sie den Auftrag annimmt.
3. Leistung und Honorar
Wenn nicht anderes vereinbart ist, beginnt der Honoraranspruch der Agentur für jede einzelne Leistung, sobald diese erbracht wurde. Die Agentur ist berechtigt, zur Deckung ihres Aufwandes Vorschüsse zu verlangen. Die von der Agentur angebotenen monatlichen Abopakete sind grundsätzlich zum Ersten jeden Monats im Voraus zu zahlen.
Für die erbrachten Leistungen im Falle von Werbeetatverwaltung erhält die Agentur ein Honorar in der Höhe von 15 % des über sie abgewickelten Werbeetats.
Alle Leistungen der Agentur, die nicht ausdrücklich durch das vereinbarte Honorar abgegolten sind, werden gesondert entlohnt. Das gilt insbesondere für alle Nebenleistungen der Agentur.
Alle der Agentur erwachsenen Bar-Auslagen, die über den üblichen Geschäftsbetrieb hinausgehen (z.B. für Botendienste, außergewöhnliche Versandkosten oder Reisen) sind vom Kunden zu ersetzen. Kostenvoranschläge der Agentur sind grundsätzlich unverbindlich. Wenn abzusehen ist, dass die tatsächlichen Kosten die von der Agentur schriftlich veranschlagten um mehr als 20 Prozent übersteigen, wird die Agentur den Kunden auf die höheren Kosten hinweisen. Die Kostenüberschreitung gilt als vom Kunden genehmigt, wenn der Kunde nicht binnen drei Tagen nach diesem Hinweis schriftlich widerspricht und gleichzeitig kostengünstigere Alternativen bekannt gibt.
Für alle Arbeiten der Agentur, die aus welchem Grund auch immer nicht zur Ausführung gelangen, gebührt der Agentur eine angemessene Vergütung. Mit der Bezahlung dieser Vergütung erwirbt der Kunde an diesen Arbeiten keinerlei Rechte; nicht ausgeführte Konzepte, Entwürfe udgl. sind vielmehr unverzüglich der Agentur zurückzustellen.
4. Laufzeit und Kündigungsfristen der Zeitkontingent-Abos
Die Agentur bietet alle angebotenen Serviceleistungen auch als Zeitkontingent-Abos auf Stundenbasis an. Über all diese gestaffelten Abo-Pakete erwirbt der Kunde eine Bereitstellung von vordefinierten Zeitkontingenten pro Monat. Hierin sind alle von der Agentur angebotene Serviceleistungen enthalten, sofern diese zu Umsetzung der Kundenaufträge benötigt werden. Über die angebotenen Serviceleistungen hinausgehende Kosten z.B. für Honorare anderer Künstler, Photographen und andere Dienstleister, Hostingkosten für Internetseiten, Reise- und Übernachtungskosten sowie unvorhergesehene Leistungen sind in diesen Paketen nicht enthalten und werden nach Aufwand und separatem Angebot berechnet. Nicht abgerufene Arbeitsstunden in diesen Abo-Kontingenten verfallen zum Ende des jeweiligen Buchungszeitraums. Alle Zeitkontingent-Abos auf Monatsbasis können von beiden Vertragspartnern mit Frist von 14 Tagen zum Ende des laufenden Buchungszeitraums zum Ende des folgenden Buchungszeitraums gekündigt werden.
Weiterhin bietet die Agentur diese monatlichen Zeitkontingent-Abos auch als rabattierte Jahresabos mit Zahlung auf vorfälliger Monatsbasis an. Bei Abschluss eines Jahresabos erlässt die Agentur dem Kunden die Kosten für einen Monat in Höhe des gebuchten Monatspaketes. Somit wird er letzte Monat bei Buchung des Jahresabos nicht berechnet. Die Kündigungsfrist für Jahresabos beträgt drei Monate zum Ende des laufenden Jahresabo-Zeitraums. Der Jahresabo-Zeitraum beginnt mit Abschluss des Vertrages und endet nach 365 1/4 Tagen.
Alle Zeitkontigent-Abos werden auf unbestimmte Zeit abgeschlossen und verlängern sich bei Monatsabos automatisch 4 Wochen vor Ablauf des gebuchten Vertragszeitraums und bei Jahresabos automatisch 3 Monate vor Ablauf des gebuchten Vertragszeitraums um den gebuchten Vertragszeitraum.
5. Präsentationen
Für die Teilnahme an Präsentationen steht der Agentur ein angemessenes Honorar zu, das zumindest den gesamten Personal- und Sachaufwand der Agentur für die Präsentation sowie die Kosten sämtlicher Fremdleistungen deckt. Erhält die Agentur nach der Präsentation keinen Auftrag, so bleiben die Leistungen der Agentur, insbesondere die Präsentationsunterlagen und deren Inhalt im Eigentum der Agentur; der Kunde ist nicht berechtigt, diese - in welcher Form immer - weiter zu nutzen; die Unterlagen sind vielmehr unverzüglich der Agentur zurückzustellen.
Werden die im Zuge einer Präsentation eingebrachten Ideen und Konzepte für die Lösung von Kommunikationsaufgaben nicht in von der Agentur gestalteten Werbemitteln verwertet, so ist die Agentur berechtigt, die präsentierten Ideen und Konzepte anderweitig zu verwenden.
Die Weitergabe von Präsentationsunterlagen an Dritte sowie deren Veröffentlichung, Vervielfältigung, Verarbeitung oder sonstige Verbreitung ist ohne ausdrückliche Zustimmung der Agentur nicht zulässig.
6. Eigentumsrecht und Urheberschutz
Alle Leistungen der Agentur einschließlich jener aus Präsentationen (z.B. Anregungen, Ideen, Skizzen, Vorentwürfe, Skribbles, Reinzeichnungen, Konzepte, Negative, Dias), auch einzelne Teile daraus, bleiben ebenso wie die einzelnen Werkstücke und Entwurfsoriginale im Eigentum der Agentur und können von der Agentur jederzeit - insbesondere bei Beendigung des Agenturvertrages - zurückverlangt werden. Der Kunde erwirbt durch Zahlung des Honorars nur das Recht der Nutzung (einschließlich Vervielfältigung) zum vereinbarten Zweck und im vereinbarten Nutzungsumfang.
Ohne gegenteilige Vereinbarung mit der Agentur darf der Kunde die Leistungen der Agentur nur selbst, ausschließlich in Deutschland und nur für die Dauer des Agenturvertrages nutzen.
Bei Pfändungen oder sonstigen Eingriffen Dritter hat der Besteller die Agentur unverzüglich schriftlich zu benachrichtigen, damit diese Drittwiderspruchsklage gemäß § 771 ZPO erheben kann. Soweit der Dritte nicht in der Lage ist, der Agentur die gerichtlichen und aussergerichtlichen Kosten einer Klage gemäß § 771 ZPO zu erstatten, haftet der Besteller für den der Agentur entstandenen Ausfall.
Änderungen von Leistungen der Agentur durch den Kunden sind nur mit ausdrücklicher Zustimmung der Agentur und - soweit die Leistungen urheberrechtlich geschützt sind - des Urhebers zulässig. Für die Nutzung von Leistungen der Agentur, die über den ursprünglichen vereinbarten Zweck und Nutzungsumfang hinausgeht, ist - unabhängig davon, ob diese Leistungen urheberrechtlich geschützt sind - die Zustimmung der Agentur erforderlich. Dafür steht der Agentur und dem Urheber eine gesonderte angemessene Vergütung zu; angemessen ist grundsätzlich das in der Agenturvereinbarung festgehaltene Honorar, mindestens jedoch in der Höhe von 7,5 % des vom Kunden an die mit der Herstellung, Verbreitung bzw. Veröffentlichung der Werbemittel beauftragten Dritten gezahlten Entgelts.
Für die Nutzung von Leistungen der Agentur bzw. von Werbemitteln, für die die Agentur konzeptionelle oder gestalterische Vorlagen erarbeitet hat, nach Ablauf des Agenturvertrages ist - unabhängig davon, ob diese Leistungen urheberrechtlich geschützt sind - ebenfalls die Zustimmung der Agentur notwendig.
Dafür stehen der Agentur im 1. Jahr nach Vertragsende der volle Anspruch der im abgelaufenen Vertrag vereinbarten Agenturvergütung, im Regelfall 15 %, zu. Im 2. bzw. 3. Jahr nach Ablauf des Vertrages nur mehr die Hälfte bzw. ein Viertel der im Vertrag vereinbarten Vergütung. Ab dem 4. Jahr nach Vertragsende ist keine Agenturvergütung mehr zu zahlen.
7. Kennzeichnung
Die Agentur ist berechtigt, auf allen Werbemitteln und bei allen Werbemaßnahmen auf die Agentur und allenfalls auf den Urheber hinzuweisen, ohne dass dem Kunden dafür ein Entgeltanspruch zustünde.
8. Genehmigung
Alle Leistungen der Agentur (insbesondere alle Vorentwürfe, Skizzen, Reinzeichnungen, Bürstenabzüge, Blaupausen, Farbandrucke, ...) sind vom Kunden zu überprüfen und binnen zwei Tagen freizugeben. Bei nicht rechtzeitiger Freigabe gelten sie als vom Kunden genehmigt.
Der Kunde wird insbesondere die rechtliche, vor allem die wettbewerbs- und kennzeichenrechtliche Zulässigkeit der Agenturleistungen überprüfen lassen. Die Agentur veranlasst eine externe rechtliche Prüfung nur auf schriftlichen Wunsch des Kunden; die damit verbundenen Kosten hat der Kunde zu tragen.
9. Termine
Die Agentur bemüht sich, die vereinbarten Termine einzuhalten. Die Nichteinhaltung der Termine berechtigt den Kunden allerdings erst dann zur Geltendmachung der ihm gesetzlich zustehenden Rechte, wenn er der Agentur eine Nachfrist von mindestens 14 Tagen gewährt hat. Diese Frist beginnt mit dem Zugang eines Mahnschreibens an die Agentur.
Eine Verpflichtung zur Leistung von Schadensersatz aus dem Titel des Verzuges besteht nur bei Vorsatz oder grober Fahrlässigkeit der Agentur. Unabwendbare oder unvorhersehbare Ereignisse - insbesondere Verzögerungen bei Auftragnehmern der Agentur - entbinden die Agentur jedenfalls von der Einhaltung des vereinbarten Liefertermins.
10. Zahlung
Die Rechnungen der Agentur sind prompt netto Kassa ohne jeden Abzug ab Rechnungsdatum fällig, sofern nicht anderes vereinbart wurde. Bei verspäteter Zahlung gelten Verzugszinsen in der Höhe von derzeit 12 % p.a. als vereinbart. Gelieferte Waren bleiben bis zur vollständigen Bezahlung Eigentum der Agentur.
Der Kunde darf nur mit unbestrittenen oder rechtskräftig festgestellten Forderungen aufrechnen oder ein Zurückbehaltungsrecht geltend machen.
11. Gewährleistung und Schadenersatz
Der Kunde hat allfällige Reklamationen innerhalb von drei Tagen nach Leistung durch die Agentur schriftlich geltend zu machen und zu begründen. Im Fall berechtigter und rechtzeitiger Reklamationen steht dem Kunden nur das Recht auf Verbesserung der Leistung durch die Agentur zu.
Schadenersatzansprüche des Kunden, insbesondere wegen Verzugs, Unmöglichkeit der Leistung, positiver Forderungsverletzung, Verschuldens bei Vertragsabschluss, mangelhafter oder unvollständiger Leistung, Mängelfolgeschadens oder wegen unerlaubter Handlungen sind ausgeschlossen, soweit sie nicht auf Vorsatz oder grober Fahrlässigkeit der Agentur beruhen.
Für die ihr zur Bearbeitung überlassenen Unterlagen des Kunden übernimmt die Agentur keinerlei Haftung.
12. Haftung
Die Agentur wird die ihr übertragenen Arbeiten unter Beachtung der allgemein anerkannten Rechtsgrundsätze durchführen und den Kunden rechtzeitig auf für sie erkennbare gewichtige Risiken hinweisen. Für die Einhaltung der gesetzlichen, insbesondere der wettbewerbsrechtlichen Vorschriften auch bei den von der Agentur vorgeschlagenen Werbemaßnahmen ist aber der Kunde selbst verantwortlich. Er wird eine von der Agentur vorgeschlagene Werbemaßnahme (ein von der Agentur vorgeschlagenes Kennzeichen) erst dann freigeben, wenn er selbst sich von der wettbewerbsrechtlichen (kennzeichenrechtlichen) Unbedenklichkeit vergewissert hat oder wenn er bereit ist, das mit der Durchführung der Werbemaßnahme (der Verwendung des Kennzeichens) verbundene Risiko selbst zu tragen.
Jegliche Haftung der Agentur für Ansprüche, die auf Grund der Werbemaßnahme (der Verwendung eines Kennzeichens) gegen den Kunden erhoben werden, wird ausdrücklich ausgeschlossen, wenn die Agentur ihrer Hinweispflicht nachgekommen ist; insbesondere haftet die Agentur nicht für Prozesskosten, eigene Anwaltskosten des Kunden oder Kosten von Urteilsveröffentlichungen sowie für allfällige Schadensersatzforderungen oder ähnliche Ansprüche Dritter.
Für den Fall, dass wegen der Durchführung einer Werbemaßnahme (der Verwendung eines Kennzeichens) die Agentur selbst in Anspruch genommen wird, hält der Kunde die Agentur schad- und klaglos: Der Kunde hat der Agentur somit sämtliche finanziellen und sonstige Nachteile (einschließlich immaterieller Schäden) zu ersetzten, die der Agentur aus der Inanspruchnahme durch einen Dritten entstehen.
13. Anzuwendendes Recht
Auf die Rechtsbeziehungen zwischen dem Kunden und der Agentur ist ausschließlich deutsches Recht anzuwenden.
14. Erfüllungsort und Gerichtsstand
Erfüllungsort ist der Sitz der Agentur.
Als Gerichtsstand für alle sich mittelbar oder unmittelbar zwischen der Agentur und dem Kunden ergebenden Streitigkeiten wird das für den Sitz der Agentur örtlich und sachlich zuständige deutsche Gericht vereinbart.
Die Agentur ist jedoch auch berechtigt, ein anderes, für den Kunden zuständiges Gericht anzurufen.
15. Salvatorische Klausel
Diese Allgemeinen Geschäftsbedingungen sollen alle Belange im Hinblick auf die Leistungen der Agentur regeln. Sollte eine oder mehrere Richtlinien dieser Nutzungsbedingungen gegen geltendes Recht verstoßen, ungültig oder undurchführbar sein, so ist diese Richtlinie von den anderen Richtlinien unabhängig zu behandeln und wird die Rechtsgültigkeit der weiteren Richtlinien und Bedingungen nicht beeinflussen.
II. Auftragsdatenverarbeitung
Zusatzvereinbarung zu den AGB:
Auftragsdatenverarbeitung Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO
Auftragnehmer (Auftragsverarbeiter):
Alexander Dort GmbH
Am Altzberg 28
66540 Neunkirchen
Diese Zusatzvereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich durch den Vertragsschluss zur Auftragsdatenverarbeitung ergeben. Sie sind damit eine Ergänzung zu den Allgemeinen Geschäftsbedingungen vom Auftragnehmer, und werden vom Auftraggeber gemeinsam mit den Allgemeinen Geschäftsbedingungen anerkannt.
Präambel
Soweit die vom Auftragnehmer angebotenen und zu erbringenden Leistungen die Verarbeitung von personenbezogenen Daten umfassen bzw. erfordern, erfolgt die Verarbeitung dieser Daten ausschließlich auf der Grundlage dieser Auftragsverarbeitungsvereinbarung (nachfolgend „Vertrag“) gemäß Art. 28 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personen- bezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, nachfolgend „DSGVO“). Sie findet Anwendung auf Tätigkeiten, bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.
0. Definitionen
0.1.1 Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, vgl. Art. 4 Nr. 1 DSGVO.
0.1.2 Datenverarbeitung im Auftrag
Datenverarbeitung im Auftrag ist die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter (Auftragnehmer) nach Weisung und im Auftrag des Verantwortlichen (Auftraggeber).
0.1.3 Subunternehmer
Als Auftragnehmer des Auftragsverarbeiters im Sinne der DSGVO ist der Subunternehmer ein „weiterer Auftragsverarbeiter“, vgl. Art. 28 Abs. 4 DSGVO.
0.1.4 Weisung
Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete Anordnung des Auftraggebers. Die Weisungen werden anfänglich.
1. Gegenstand, Dauer, Art Umfang und Ort
1.1.1
Der Auftragnehmer verarbeitet personenbezogen Daten im Auftrag des Auftraggebers ausschließlich zum Zweck der Erbringung der Leistungen, die vom Auftragnehmer zur Erfüllung einer gebuchten Dienstleistung zu erbringen sind und die in den allgemeinen Geschäftsbedingungen weiter konkretisiert sind. Ergänzend gelten diese Bestimmungen, wobei die Bestimmungen dieses Vertrages hinsichtlich der Datenverarbeitungsvorgänge vorrangig sind.
1.1.2
Der Auftrag beginnt mit der Bestellung einer Dienstleistung durch den Auftraggeber beim Auftragnehmer und erlischt nach Ablauf der Vertragslaufzeit automatisch.
1.1.3
Soweit der Auftrag keine Regelungen zur Vertragsdauer enthält, gilt folgendes: Vertragsbeginn ist das Datum an dem der vorliegende Vertrag von Auftragsgeber akzeptiert wird (Sichtung und Akzeptanz der AGB und der Auftragsdatenverarbeitung durch den Auftraggeber und Erteilung des Auftrags). Dieser Vertrag wird auf unbestimmte Zeit geschlossen. Er ist mit einer Frist von 6 Monaten zum Jahresende kündbar.
1.1.4
Das Recht zur fristlosen Kündigung aus wichtigem Grund bleibt unberührt. Der Auftraggeber kann den Vertrag außerdem jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die Bestimmungen der DSGVO oder dieser Vereinbarung vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder dessen Datenschutzbeauftragten oder der Beauftragten der Revision vertragswidrig verweigert.
1.1.5
Gegenstand, Zweck und Umfang der vereinbarten Datenverarbeitung ergeben sich aus den angebotenen und gebuchten Dienstleistungen.
1.1.6
Die Kategorien der betroffenen Personen umfassen:
- Kunden
- Bewerber
- Interessenten
- Subunternehmer
- Pressevertreter
- Geschäftspartner
- Mitarbeiter des Auftraggebers
1.1.7
Die Datenverarbeitung umfasst folgende Arten von Daten:
- jegliche Form personengebundener Daten, die sich aus der Art und dem Umfang des Auftrages ergeben
1.1.8
Die Datenerhebung, -verarbeitung und –nutzung durch den Auftragnehmer erfolgt ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Eine Verlagerung in ein Drittland darf nur erfolgen, wenn dies nach Art. 44 ff. DSGVO zulässig und vom Auftraggeber vorab schriftlich zugestimmt worden ist. Weitergehende Pflichten, Auflagen und Vorbehalte im Zusammenhang mit einer Tätigkeitsverlagerung, insbesondere infolge von Subdelegation, gemäß dem Hauptvertrag bleiben unberührt.
1.1.9
Soweit der Auftragnehmer für den Auftraggeber Wartungsarbeiten an IT-Systemen durchführt, gelten zusätzlich folgende Vereinbarungen:
1.1.10
Der Auftragnehmer darf im Rahmen der Wartung nur auf personenbezogene Daten des Auftraggebers zugreifen, wenn dies für die Durchführung der Wartung erforderlich ist. Es ist dem Auftragnehmer bei der Wartung untersagt, personenbezogene Daten des Auftraggebers auf eigenen IT-Systemen oder Datenträgern zu speichern, es sei denn der Auftraggeber weist ihn hierzu an.
1.1.11
Fernwartungsarbeiten hat der Auftragnehmer dem Auftraggeber im Vorfeld anzukündigen. Der Auftraggeber ist berechtigt, die Durchführung der Fernwartung mitzuverfolgen. Auf Anfrage und soweit erforderlich, wirkt der Auftragnehmer an der Konfiguration technischer Kontrolleinrichtungen mit.
1.1.12
Die Fernwartung ist nur von Geschäftsräumen des Auftragnehmers aus zulässig. Notwendige Datenübertragungen zu Zwecken der Fernwartung müssen in hinreichend verschlüsselter Form erfolgen. Der Auftragnehmer verwendet nach dem Stand der Technik hinreichend sichere Authentisierungsverfahren.
2. Pflichten des Auftragnehmers
2.1.1
Der Auftragnehmer darf personenbezogene Daten nur im Rahmen der Weisungen des Auftraggebers verarbeiten, es sei denn, es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 a) DSGVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Die Weisungen werden anfänglich durch den Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Mündliche Weisungen sind anschließend vom Verantwortlichen zu dokumentieren Der Auftragnehmer befolgt außerdem die internen Arbeitsanweisungen/Richtlinien des Auftraggebers, die dem Auftragnehmer bekannt sind. Im Fall von Widersprüchen zwischen den Weisungen und den Arbeitsanweisungen sind die Einzelanweisungen vorrangig.
2.1.2
Der Auftragnehmer garantiert, dass eine Analyse der Sprachaufnahmen und eine Bewertung der Inhalte sowie die Verarbeitung der Daten zu eigenen Zwecken nicht stattfindet.
2.1.3
Der Auftragnehmer sichert in seinem Verantwortungsbereich die Umsetzung und Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen (TOM) entsprechend Art. 32 DSGVO zu. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Insbesondere wird der Auftragnehmer seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Zudem unterstützt er den Auftraggeber bei der Einhaltung der in Art. 32 DSGVO genannten Pflichten (Art. 28 Abs. 3 lit. c, f DSGVO). Der Auftragnehmer stellt sicher, dass er oder seine etwaigen Subunternehmer zur Erbringung der Dienstleistung die Verarbeitung und Speicherung von Anwendungen und schutzwürdigen Daten in virtuellen Netzwerken (z.B. in Form des Cloud Computing) nur mit vorheriger Zustimmung des Auftraggebers vornehmen.
2.1.4
Der Auftragnehmer sichert ausdrücklich zu, dass die Sprachaufnahmen ausschließlich dazu dienen, das gesprochene Wort in Textform zu erfassen und in Textform zu verarbeiten. Es findet keine technische Analyse des gesprochenen Wortes der einzelnen Bewerber statt, aus der sich Rückschlüsse auf die Persönlichkeitsstruktur des Bewerbers ableiten lassen könnten. Tonlage, Wortwahl, Satzbau, Sprachgeschwindigkeit und -rhythmus werden zu keinem Zeitpunkt analysiert, um ein psychologisches Profil zu erstellen. Eine solche Technik ist in der Software des Auftragnehmers nicht implementiert.
2.1.5
Der Auftragnehmer bietet nach Maßgabe des Art. 28 Abs. 1, 5 DSGVO hinreichende Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen durchgeführt werden, die gewährleisten, dass die Verarbeitung im Einklang mit der DSGVO und den Rechten der betroffenen Person steht. Dazu hat er ein umfassendes und aktuelles Datenschutz- und Datensicherheitskonzept für diese Auftragsverarbeitung erstellt. Der Auftragnehmer ist verpflichtet, dieses Datenschutz- und Datensicherheitskonzept zu pflegen und fortlaufend zu aktualisieren, wobei Änderungen mit dem Auftraggeber abzustimmen sind.
2.1.6
Der Auftragnehmer wirkt nach Maßgabe des Art. 28 Abs. 3 lit. f DSGVO kostenfrei bei der Erstellung einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO und ggf. bei der vorherigen Konsultation der Aufsichtsbehörden gemäß Art. 36 DSGVO mit. Zudem hat der Auftragnehmer kostenfrei auf Anfrage an der Erstellung und der Aktualisierung des Verfahrensverzeichnisses des Auftraggebers mitzuwirken, soweit es die Dokumentation der technischen und organisatorischen Sicherheitsmaßnahmen betrifft. Er hat dem Auftraggeber die erforderlichen Angaben und Dokumente auf Anfrage offen zu legen.
2.1.7
Der Auftragnehmer ist außerdem verpflichtet, mitarbeiterbezogene oder –beziehbare Daten von Mitarbeitern des Auftraggebers und seiner verbundenen Unternehmen nicht zur Leistungs- oder Verhaltenskontrolle und nicht zu anderen Zwecken und in anderen Anwendungen zu verarbeiten als mit den Mitbestimmungsgremien des Auftraggebers vereinbart. Der Auftraggeber wird den Auftragnehmer über etwaige einschlägige Vereinbarungen mit den Mitbestimmungsgremien und den daraus resultierenden Anforderungen umfassend informieren; im Fall von Widersprüchen mit diesem Vertrag informiert der Auftragnehmer den Auftraggeber unverzüglich und dieser erteilt eine entsprechende Weisung.
2.1.8
Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort. Auf Verlangen des Auftraggebers ist die jeweilige Verpflichtung der mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter nachzuweisen.
2.1.9
Soweit gesetzlich vorgeschrieben, bestellt der Auftragnehmer schriftlich einen Beauftragten für den Datenschutz. Anderenfalls wird ein Ansprechpartner für Datenschutzfragen benannt. Kontaktdaten des betrieblichen Datenschutzbeauftragten (bzw. des Ansprechpartners für Datenschutzfragen) sowie Ansprechpartner für Informationssicherheitsfragen des Auftragnehmers lauten: privacy@alexanderdort.com
2.1.10
Der Auftragnehmer ist zur laufenden Kontrolle seiner Datenverarbeitungsprozesse und Systeme in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben verpflichtet. Der Auftragnehmer hat dies zu dokumentieren und die entsprechenden Aufzeichnungen dem Auftraggeber auf Anforderung mindestens einmal im Jahr zum Zwecke des Nachweises zur Verfügung stellen. Hierzu hat der Auftragnehmer auf Anforderung vorzulegen:
- die Einhaltung genehmigter Verhaltensregeln gemäß 40 DSGVO; oder
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß 42 DSGVO; oder
- aktuelle Testate, Berichte, Penetrationstests, Ergebnisse von Notfall- Wiederanlaufübungen, Maßnahmenpläne oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren); oder
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudits (z.B. BSI-Grundschutz).
In den Nachweisen identifizierte Schwachstellen müssen zeitnah unter Berücksichtigung der Kritikalitätsstufe behoben werden. Der Auftragnehmer stimmt zu, dass der Auftraggeber nach vorheriger Ankündigung und unter Kostenübernahme durch den Auftraggeber, ebenfalls jährlich Penetrationstests auf für den Auftraggeber bereitgestellten Komponenten durchführen kann. Des weiteren können die Softwarekomponenten des Auftraggebers zur Überprüfung an einen Dienstleister übermittelt werden.
2.1.11
Der Auftragnehmer unterrichtet den Auftraggeber umgehend bei Störungen des Betriebsablaufs, bei Verdacht auf Verletzungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten des Auftraggebers sowie über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach Kapitel VIII der DSGVO.
2.1.12
Dem Auftragnehmer ist bekannt, dass der Auftraggeber verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) zu dokumentieren und ggf. den Aufsichtsbehörden bzw. der betroffenen Person binnen 72 Stunden zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird der Auftragnehmer den Auftraggeber gemäß Art. 28 Abs. 3 lit. f DSGVO bei der Einhaltung seiner Meldepflichten unterstützen. Er wird die Verletzungen unverzüglich dem Auftraggeber melden und hierbei zumindest folgende Informationen mitteilen:
- eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze,
- Name und Kontaktdaten eines Ansprechpartners für weitere Informationen,
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie
- eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.
2.1.13
Überlassene Datenträger sowie sämtliche hiervon gefertigte Kopien oder Reproduktionen verbleiben im Eigentum des Auftraggebers. Der Auftragnehmer hat diese sorgfältig zu verwahren, so dass sie Dritten nicht zugänglich sind.
Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit seine personenbezogenen Daten und Unterlagen betroffen sind. Die datenschutzkonforme Vernichtung von Test- und Ausschussmaterial übernimmt der Auftragnehmer nach vorheriger Freigabe (Schrift- oder Textform) durch den Auftraggeber. In besonderen, vom Auftraggeber zu bestimmenden Fällen erfolgt eine Aufbewahrung bzw. Übergabe.
2.1.14
Nach Abschluss der vertraglichen Leistungen oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrages – hat der Auftragnehmer sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach dessen vorheriger Zustimmung (Schrift- und Textform) datenschutzgerecht zu vernichten bzw. zu löschen. Soweit gesetzliche Aufbewahrungspflichten bestehen, hat die Löschung/Vernichtung der Daten erst nach deren Ablauf zu erfolgen. Das Protokoll der Löschung/Vernichtung ist auf Anforderung vorzulegen. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
2.1.15
In automatisierten Verarbeitungssystemen hat der Auftragnehmer mindestens die folgenden Arbeitsvorgänge zu protokollieren:
- Erhebung,
- Veränderung,
- Abfrage,
- Offenlegung einschließlich Übermittlung sowie
- Kombination und Löschung.
Protokolle zu Abfragen und Offenlegungen müssen es ermöglichen, die Begründung, das Datum und die Uhrzeit dieser Vorgänge und so weit wie möglich die Identität der Person, die die personenbezogenen Daten abgefragt oder offengelegt hat, und die Identität des Empfängers der Daten festzustellen.
3. Pflichten des Auftraggebers
3.1.1
Der Auftraggeber wird den Auftragnehmer über ihm bekannt gewordene, etwaige datenschutzrechtliche Mängel bei der Durchführung der Auftragsverarbeitung unterrichten.
3.1.2
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung im Zuge der bisherigen Zusammenarbeit von der Einhaltung der beim Auftragnehmer getroffenen TOM zur Datensicherheit zu überzeugen. Er darf dies nach seiner Wahl insbesondere durch einen Abgleich der eingesetzten Verfahren mit den Anforderungen des Datenschutz- und Datensicherheitskonzeptes sowie durch verschieden Prüfungen der internen Revision, des/der Informationssicherheitsbeauftragten, des/der Datenschutzbeauftragten oder deren jeweiligen Beauftragten durchführen. Der Auftraggeber wird eine entsprechende Überprüfung auch während der Vertragslaufzeit regelmäßig durchführen.
4. Anfragen betroffener Personen
4.1.1
Ist der Auftraggeber aufgrund geltender Datenschutzgesetze gegenüber den betroffenen Personen verpflichtet, Auskünfte zur Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten dieser Person zu geben, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen.
4.1.2
Der Auftragnehmer hat nur nach Weisung des Auftraggebers die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder einzuschränken. Soweit eine betroffene Person sich unmittelbar an den Auftragnehmer zwecks Berichtigung, Einschränkung, Löschung oder Auskunftserteilung wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. Die Beantwortung des Auskunftsersuchens erfolgt dabei ausschließlich durch den Auftraggeber.
4.1.3
Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
5. Kontrollrechte
5.1.1
Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Der Auftragnehmer stellt dafür sicher, dass sich der Auftraggeber ggf. jährlich von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftraggeber kann sich insbesondere nach Anmeldung (und ohne Anmeldung bei in Ziffer 3.9 und 3.10 genannten Vorfällen) zu Prüfzwecken in den Betriebsstätten des Auftragnehmers zu den üblichen Geschäftszeiten und, soweit möglich, ohne Störung des Betriebsablaufes von der Angemessenheit der Maßnahmen zur Einhaltung der technischen und organisatorischen Erfordernisse der für die Auftragsverarbeitung einschlägigen Datenschutzgesetze überzeugen. Das gleiche Recht steht grundsätzlich den für die Aufsicht über den Auftraggeber zuständigen Datenschutzbehörden zu. Zudem hat der Auftragnehmer dem Auftraggeber unverzüglich und vollumfänglich sicherheitsrelevante Auskünfte zu erteilen. Alle Informationen, die die Informationssicherheit des Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer betreffen, sind vertraulich zu behandeln.
5.1.2
Die Übernahme von Kosten einer solchen Kontrolle seitens des Auftraggebers wird ausgeschlossen. Weitergehende Kontroll-, Zutritts- und Auskunftsrechte des Auftraggebers oder von Dritten gemäß dem Hauptvertrag bleiben unberührt.
5.1.3
Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung (Textform ist ausreichend) innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer umfassenden Auftragskontrolle erforderlich sind.
5.1.4
Der Auftragnehmer wird den Auftraggeber bei der Durchführung von Kontrollen unterstützen und an der vollständigen und zügigen Abwicklung seiner Kontrollen mitwirken. Der Auftragnehmer hat seinerseits die Datenverarbeitung regelmäßig zu kontrollieren und die Kontrollen sowie deren Ergebnisse zu dokumentieren und dem Auftraggeber zur Verfügung zu stellen.
6. Subunternehmer
6.1.1
Aufträge an Subunternehmer dürfen nur mit vorheriger schriftlicher Zustimmung des Auftraggebers vergeben werden. Der Auftraggeber genehmigt bereits jetzt das Unterauftragsverhältnis zwischen dem Auftragnehmer und den in der Anlage 1 näher bezeichneten Subunternehmern (einschließlich Angabe der vollständigen Firma, der Adresse, der Verarbeitungsstandorte und der Art der Dienstleistung).
6.1.2
Wenn Subunternehmer durch den Auftragnehmer eingeschaltet werden, so werden die vertraglichen Vereinbarungen so gestaltet, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragsparteien dieses Vertrages sowie Art. 28 Abs. 2 bis 4 DSGVO entsprechen und der Auftragnehmer die Einhaltung dieser Pflichten durch den Unterauftragnehmer regelmäßig überprüft. Dem Auftraggeber sowie den zuständigen Datenschutzbehörden sind Kontroll- und Überprüfungsrechte entsprechend Ziffer 6 einzuräumen. Ebenso ist der Auftraggeber berechtigt, auf schriftliche Anforderung vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen des Unterauftragnehmers zu erhalten, soweit erforderlich auch durch Einsicht in die relevanten Vertragsunterlagen.
6.1.3
Weitergehende Anforderungen und Vorgaben zur Beauftragung von Subunternehmen gemäß dem Hauptvertrag bleiben unberührt.
6.1.4
Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
6.1.5
Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z.B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
7. Haftung
7.1.1
Der Auftragnehmer haftet dem Auftraggeber für Schäden infolge fehlerhafter Datenverarbeitung oder bei sicherheitsrelevanten Verstößen, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistungen schuldhaft verursachen.
7.1.2
Im Übrigen haften Auftraggeber und Auftragnehmer gegenüber den betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
8. Sonstiges, Allgemeines
8.1.1
Sollten die personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit an den personenbezogenen Daten beim Auftraggeber liegt.
8.1.2
Änderungen und Ergänzungen dieses Vertrages und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – sind schriftlich abzufassen, was auch das elektronische Format umfasst.
8.1.3
Es gilt deutsches Recht.
8.1.4
Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit des Vertrags im Übrigen nicht.