Allgemeine Geschäftsbedingungen digitell.me

Inhaltsverzeichnis

1. Geltung

2. Zustandekommen des Vertrages

3.Leistungsbeschreibung

4. Geistiges Eigentum 

 5. Open Source Software 

6. Pflichten des Auftraggebers

7. Änderung von Leistungen.

8. Datensicherung und -löschung

9. Verfügbarkeit und Gewährleistung der Dienste

10. Erlaubte Nutzung

11. Preise

12. Zahlungsmodalitäten

13. Haftung

14.Datenschutz

15. Kündigung 

16. Mitteilungen und Änderungen 

17. Übertragung von gesetzlichen Rechten 

18. Schlussbestimmungen

Anlage 1: digitell.me Auftragsverarbeitungs-Vertrag

Allgemeine Geschäftsbedingungen digitell.me GmbH

1. Geltung

(a.) Die im Folgenden aufgeführten Allgemeinen Geschäftsbedingungen (nachfolgend: „AGB“) regeln die Rechte und Pflichten des Auftraggebers und der digitell.me GmbH (nachfolgend „digitell.me‟, „Wir“ oder „Uns“) im Zusammenhang mit der Inanspruchnahme der Leistungen von digitell.me.
(b.) Alle Angebote und Leistungen von digitell.me erfolgen ausschließlich aufgrund dieser Allgemeinen Geschäftsbedingungen. Von diesen AGB unterscheidende Bedingungen des Kunden werden von digitell.me nicht akzeptiert, es sei denn, digitell.me stimmt ihrer Geltung ausdrücklich schriftlich zu.

2. Zustandekommen des Vertrages

(a.) Die Nutzung von digitell.me Leistungen kann eine Anmeldung/Registrierung in der digitell.me-Plattform voraussetzen. Dabei behält sich digitell.me vor, eine Anmeldung/Registrierung in der Plattform im Einzelfall abzulehnen. Eine Ablehnung kann ohne Angabe von Gründen erfolgen.

(b.) Die Vereinbarung zwischen dem Auftraggeber und digitell.me bedarf einer Auftragsbestätigung in Textform (z.B. per E-Mail) durch digitell.me.
(c.) Das im Angebot aufgeführte Honorar umfasst ausschließlich die im Angebot aufgeführten Leistungen. Über das Angebot hinausgehende, vom Auftraggeber gewünschte Leistungen sind in Textform zu beauftragen und zusätzlich zu vergüten.

3. Leistungsbeschreibung

(a.) Die Leistungsbeschreibung beruht auf den vom Kunden gewählten Leistungen des Angebotes. Eine detaillierte Auflistung über die gesamten Funktionen des gewählten Tarifs findet sich unter: https://www.digitell.me/produkte/

(b.) Die Hard- und/oder Softwarevoraussetzungen können vor Angebotsannahme über einen kostenfreie Probe-Account getestet werden.
(c.) Zu den Leistungen von digitell.me gehören insbesondere:

(1.) die Zurverfügungstellung einer Umfrageplattform zur Durchführung von Online-Befragungen,
(2.) Dienstleistungen der Marktforschung, der Datenaufbereitung und der Berichterstellung rund um die Umfrageplattform

4. Geistiges Eigentum

(a.) digitell.me ist die alleinige Eigentümerin aller der in der digitell.me-Plattform zugänglichen Daten. Eine Verletzung dieses geistigen oder gewerblichen Eigentums durch den Auftraggeber berechtigt digitell.me insbesondere dazu, eine geschlossene Vereinbarung mit sofortiger Wirkung und ohne jegliche Entschädigung für den Auftraggeber zu kündigen.

(b.) Der Auftraggeber stimmt zu, dass Inhalte, die dem Auftraggeber durch die Dienstleistungen zugänglich gemacht werden, den Urheberrechten von Dritten (z.B. Urheberrechte des Serverparks) unterliegen können. digitell.me gestattet es dem Auftraggeber jedoch, während der gesamten Vertragslaufzeit urheberrechtlich geschütztes Material durch die ordnungsgemäße Nutzung der digitell.me-Dienste zu verwenden (z.B. Auftragsdatenverarbeitung und Technische und organisatorische Maßnahmen).
(c.) Der Auftraggeber erklärt sich einverstanden, dass er von digitell.me in schriftlicher, mündlicher und elektronischer Form als Referenzkunde (inklusive Firmenlogo) von digitell.me genannt werden darf. Der Auftraggeber kann dieses Recht jederzeit schriftlich (z.B. per E-Mail) einschränken oder widerrufen.

5. Open Source Software

Sofern digitell.me Software nutzt, die Open Source Software ist, gilt die für diese Software relevante Open Source Lizenz, wie z.B. die GNU General Public License Version 2, vorrangig und allein. Weitere Hinweise hierzu finden Sie unter https://www.digitell.me/lizenzinformationen/

6. Pflichten des Auftraggebers

(a.) Die bei der Registrierung festgelegten Zugangsdaten (Benutzername, Passwort etc.) sind vom Auftraggeber vertraulich zu behandeln und dürfen Unbefugten nicht zugänglich gemacht werden. Unbefugte sind insbesondere Dritte, die nicht selbst mit ihrem Namen in der digitell.me-Plattform registriert sind und mit denen keine Vereinbarung besteht.

(b.) Der Kunde hat ferner sicher zu stellen, dass der Zugang und die Nutzung des digitell.me-Dienstes mit den persönlichen Nutzerdaten ausschließlich durch berechtigte Nutzer erfolgt.
(c.) Sofern digitell.me den begründeten Verdacht hat, dass der Zugang des Auftraggebers durch einen Dritten unberechtigt genutzt wird, behält sich digitell.me insbesondere das Recht vor, diesen Nutzerzugang zu sperren.

(d.) Der Auftraggeber haftet im Rahmen der deutschen und europäischen gesetzlichen Bestimmungen für jede Nutzung und jede Tätigkeit, die unter seinen Zugangsdaten ausgeführt wird.
(e.) Zum Anlegen der Nutzerdaten müssen personenbezogene und eindeutig zuordnungsbare Email-Adressen verwendet werden. Die Verwendung von generischen Email-Adressen ist nicht zulässig.
(f.) Der Auftraggeber ist verpflichtet, die geltenden Gesetze des Landes einzuhalten, in dem er bei der Nutzung ansässig ist, oder in dem er über die digitell.me-Plattform Befragungen durchführt.
(g.) Der Auftraggeber verpflichtet sich dazu, E-Mails und andere elektronische Nachrichten, insbesondere Preise und Angebotsdetails, Leistungsübersichten oder Produkt-Updates, vertraulich zu behandeln und nicht an Dritte weiterzuleiten.
(h.) Der Auftraggeber verpflichtet sich, alle Nutzer der digitell.me-Plattform seiner Organisation über diese AGB zu informieren und für deren Einhaltung Sorge zu tragen.

7. Änderung von Leistungen

(a.) digitell.me ist jederzeit berechtigt, ihre im Internet unentgeltlich bereitgestellten Dienste, (z.B. Test-Accounts) zu ändern oder einzustellen.
(b.) digitell.me behält sich das Recht vor, die unter Ziffer 3 aufgeführten Leistungen in angemessener Weise zu ändern (z.B. im Rahmen von Produkt-Updates).

8. Datensicherung und -löschung

(a.) Nach Beendigung des Vertrages hat digitell.me das Recht, sämtliche vom Auftraggeber eingestellten Daten (z.B. erstellte Umfragen, registrierte Nutzer, Umfrageteilnehmer sowie Umfrageergebnisse) ohne vorherige Ankündigung, sechzig (60) Tage nach Beendigung des Vertrages, unwiderruflich zu löschen. In jedem Fall wird digitell.me alle Daten des Auftraggebers spätestens neunzig (90) Tage nach Vertragsende unwiderruflich löschen, sofern kein Folgevertrag zur weiteren Datenspeicherung geschlossen wurde.

9. Verfügbarkeit und Gewährleistung der Dienste

(a.) digitell.me bemüht sich um eine möglichst unterbrechungsfreie Nutzbarkeit seiner Dienste. Ausgenommen von der Verfügbarkeit der Dienste sind Zwischenfälle, bei denen die Dienste aufgrund von Problemen, die extern verursacht werden (z.B. Hackerangriffe oder höhere Gewalt) nicht zur Verfügung stehen. Darüber hinaus finden regelmäßig Wartungen und Serverarbeiten statt. Diese werden in der Regel zwischen 0:00 – 5:00 Uhr mitteleuropäischer Zeit durchgeführt. Wartungsarbeiten werden i.d.R. rechtzeitig angekündigt.

(b.) Selbst bei ordnungsgemäßer Datensicherung kann es zum Verlust von Daten kommen. digitell.me empfiehlt dem Auftraggeber daher, Daten wie Umfrageergebnisse und Adressen regelmäßig auf externen, eigenen Datenträgern zu sichern.

(c.) digitell.me gewährleistet die im Vertrag vereinbarten Dienste über die gesamte Vertragslaufzeit, sofern der Auftraggeber sich an die vertragsgemäße Nutzung, seine Pflichten im Rahmen dieser AGB und an die gesetzlichen Vorgaben hält.
(d.) Im Falle einer Nichteinhaltung der im Vertrag vereinbarten digitell.me-Dienste hat der Auftraggeber das Recht von dem Vertrag zurückzutreten. Jedoch ist der Rücktritt vom Vertrag erst dann zulässig, wenn digitell.me ausreichend Zeit eingeräumt wird, entsprechende Mängel zu beheben. Mängel, die durch unsachgemäße Nutzung der digitell.me-Plattform entstanden sind, ermächtigen den Auftraggeber nicht zum Vertragsrücktritt.

(e.) Gewährleistungsansprüche des Auftraggebers verjähren binnen einer Frist von sechs (6) Monaten ab deren Entstehung, sofern es sich nicht um Schadensersatzansprüche wegen der Verletzung des Lebens, des Körpers oder der Gesundheit oder um Gewährleistungsansprüche aufgrund von grob fahrlässig oder vorsätzlich verursachten Schäden handelt.

10. Erlaubte Nutzung

(a.) Bei Verstößen des Auftraggebers gegen geltendes Recht im Rahmen der Inanspruchnahme von digitell.me-Diensten, behält sich digitell.me vor, den Zugang des Auftraggebers zu sperren. Darüber hinaus behält sich digitell.me das Recht vor, vom Auftraggeber veröffentlichte Inhalte bei Verstößen gegen Jugendschutzgesetze, Datenschutzgesetze oder anderer Gesetze, sowie bei der Veröffentlichung anstößiger, sexuell geprägter, obszöner oder diffamierender Inhalte, nicht weiter öffentlich zugänglich zu machen.

(b.) Um Servergeschwindigkeit und -stabilität für alle Kunden gewährleisten zu können, verpflichtet sich der Auftraggeber Umfrageprojekte mit mehr als hunderttausend (100.000) E-Mail-Aussendungen mindestens drei (3) Wochen im Voraus anzukündigen, damit digitell.me die Möglichkeit hat, die Serverkapazitäten aufzustocken.

(c.) Die entgeltliche und unentgeltliche Übertragung der dem Kunden von digitell.me eingeräumten Nutzungsrechte auf Dritte ist untersagt. Ebenfalls untersagt ist die Durchführung von Umfragen mit dem digitell.me-Befragungssystem im Namen Dritter, es sei denn, zwischen dem Auftraggeber und digitell.me wurde eine schriftliche Vereinbarung getroffen, die diesen Passus aufhebt.

(d.) Bei der Durchführung von Umfragen mit der digitell.me-Plattform hat der Auftraggeber den Umfrageteilnehmer darauf hinzuweisen, zu welchem Sinn und Zweck die Umfrage durchgeführt wird (z.B. Verbesserung der eigenen Serviceleistung). Weiter muss für den Umfrageteilnehmer klar ersichtlich sein, dass der Auftraggeber, gemäß DSGVO, die Datenhoheit für die gesammelten Antworten besitzt (siehe Anlage 1 der AGB).

11. Preise

Die vertraglich vereinbarten Preise der Plattformnutzung für den Auftraggeber sind dem Hauptvertrag zwischen dem Auftraggeber und digitell.me zu entnehmen.
Die Tarife der einzelnen Lizenzmodelle können variieren. Preisanpassungen finden allerdings nicht während einer gebuchten Nutzungsperiode statt, sondern werden bei Vertragsverlängerung verhandelt.

12. Zahlungsmodalitäten

(a.) digitell.me stellt Dienste und Dienstleistungen dem Auftraggeber gemäß des im Hauptvertrag vereinbarten Honorars in Rechnung. Die Zahlung des Entgelts für Dienste (Lizenzen für die Plattformnutzung) des jeweiligen Abrechnungszeitraums erfolgt im Voraus. Die Zahlung für Dienstleistungen (Professional Services) erfolgt nach Ende der erbrachten Leistungen. Der Kunde erhält hierfür eine Rechnung von digitell.me. Rechnungen sind innerhalb von dreißig (30) Tagen per Kontoüberweisung, auf das Konto von digitell.me, zu begleichen.

(b.) Im Falle von Zahlungsverzug kann digitell.me einen Verzugszins in gesetzlicher Höhe, sowie einen Verzugsschaden beim Auftraggeber geltend machen.
(c.) Befindet sich der Auftraggeber mit der Zahlung einer Rechnung länger als dreißig (30) Tage in Verzug, behält sich digitell.me vor den Zugang zu sperren, bis die ausstehende Zahlung erfolgt ist.

13. Haftung

(a.) digitell.me haftet für Vorsatz und grobe Fahrlässigkeit von Mitarbeitern, gesetzlichen Vertretern oder Erfüllungsgehilfen unbeschränkt.
(b.) In Fällen leichter Fahrlässigkeit haftet digitell.me für Schäden nur, sofern Garantien oder Ansprüche nach dem Produkthaftungsgesetz betroffen sind.
(c.) digitell.me haftet bei allen Verstößen gegen eine Kardinalpflicht, also für eine Pflicht, die wesentlich für die Erfüllung der ordnungsgemäßen Leistung gemäß dem Vertrag ist. In diesen Fällen ist die Haftung auf den Ersatz vorhersehbarer,

gewöhnlich auftretender Schäden begrenzt. Maximal haftet digitell.me in diesen Fällen für den Betrag der Gebühren, für die im Vertrag festgelegte Laufzeit.
(d.) Tritt ein Fall von höherer Gewalt ein, haftet digitell.me nicht für hierdurch bedingte Verzögerungen oder die Unmöglichkeit Leistungen zu erbringen.
Als höhere Gewalt gelten alle Vorkommnisse, welche die Vertragserfüllung von Auftraggeber und digitell.me unmöglich machen, sofern sie außerhalb des Einflussvermögens von digitell.me, mit zumutbaren Bemühungen, liegen (z.B. Naturkatastrophen, Kriege oder Blitzeinschläge).
(e.) In allen Fällen, in denen die Haftung von digitell.me durch die Ziffern (a.) – (d.) ausgeschlossen oder beschränkt ist, gilt dies ebenfalls für die persönliche Haftung der Angestellten, Mitarbeiter, Vertreter oder Erfüllungsgehilfen von digitell.me.
(f.) Der Auftraggeber stellt digitell.me von sämtlichen Ansprüchen frei, die von Dritten wegen der Verletzung ihrer Rechte oder aufgrund von Rechtsverstößen durch die rechtswidrige oder missbräuchliche Nutzung der digitell.me-Dienste gegenüber digitell.me geltend gemacht werden, aber der Nutzung der digitell.me-Dienste durch den Auftraggeber zugrunde liegen. Der Auftraggeber übernimmt diesbezüglich auch die Kosten der Rechtsverteidigung, insbesondere sämtliche Rechtsanwalts- und Gerichtskosten.

14. Datenschutz

(a.) Mit Annahme dieser AGB ernennt der Auftraggeber als Verantwortlicher für die Verarbeitung personenbezogener Daten, digitell.me zum Auftragsverarbeiter gemäß Artikel 28 DSGVO in Bezug auf alle personenbezogenen Daten, die digitell.me im Rahmen der Vereinbarung vom Kunden mitgeteilt werden.

(b.) Mit Annahme dieser AGB hat der Auftraggeber ferner eine Vereinbarung über die Auftragsverarbeitung (AV-Vertrag) gemäß Anlage 1 über die Auftragsverarbeitung abgeschlossen.
(c.) Im Falle eines Widerspruchs zwischen den Bestimmungen dieser AGB und dem AV-Vertrag (gemäß Anlage 1) haben die Bestimmungen des AV-Vertrages Vorrang in Bezug auf Verarbeitung personenbezogener Daten.

(d.) digitell.me verpflichtet sich die während der Umfragen gesammelten Daten, bzw. Umfrageergebnisse des Auftraggebers, in keiner Weise öffentlich zu machen oder an Dritte weiterzuleiten.
(e.) Weitere Hinweise zum Datenschutz nach der DSGVO finden Sie unter https://dsgvo-info.cortina-consult.de/digitellme-info-art-13-14/

15. Kündigung

(a.) digitell.me hat das Recht, das Vertragsverhältnis mit einer Frist von dreißig (30) Tagen zum Ende der Vertragslaufzeit zu kündigen. Darüber hinaus hat digitell.me das Recht bei Verstoß des Auftraggebers gegen diese AGB, das Vertragsverhältnis außerordentlich zu kündigen.

16. Mitteilungen und Änderungen

(a.) digitell.me kann dem Kunden elektronische Mitteilungen senden, einschließlich E-Mails und Informationen innerhalb des Angebots von digitell.me, die für die Dienste oder das Vertragsverhältnis wichtig sind.

(b.) digitell.me hat das Recht, diese AGB unter Einhaltung einer Frist von acht (8) Wochen zu ändern. Änderungen von den im Hauptvertrag festgelegten Gebühren und Leistungen sind hiervon ausgeschlossen. Der Auftraggeber hat die Möglichkeit, den geänderten AGB zu widersprechen.

(c.) Widerspricht der Auftraggeber innerhalb der unter (b.) genannten Frist nicht, gelten die Änderungen ab Fristablauf als wirksam vereinbart. Die Frist beginnt ab Zugang der Mitteilung über die Änderung. Im Falle des Widerspruchs kann digitell.me, gemäß Ziffer 14 (c.) von dem Recht einer außerordentlichen Kündigung Gebrauch machen.

17. Übertragung von gesetzlichen Rechten

(a.) digitell.me kann den Hauptvertrag und diese AGB teilweise oder ganz übertragen, falls digitell.me einem organisatorischen Wandel unterliegt, bei dem digitell.me in einen neuen Mehrheitsbesitz überführt wird. In diesem Fall verpflichtet sich digitell.me den Auftraggeber über den neuen Mehrheitsbesitz schriftlich zu informieren.
(b.) Der Auftraggeber ist nicht berechtig, den Hauptvertrag auf ein anderes Unternehmen, eine andere Organisation oder eine andere juristische Person zu übertragen, es sei denn, digitell.me ermächtigt den Auftraggeber hierzu vorab schriftlich.

18. Schlussbestimmungen

(a.) Das Vertragsverhältnis unterliegt dem deutschen Recht.
(b.) Ist der Auftraggeber kein Verbraucher i.S.v. § 13 BGB, ist der Gerichtsstand für alle Streitigkeiten, Auseinandersetzungen oder Forderungen aus oder im Zusammenhang mit dem Hauptvertrag Köln.
(c.) Sollten einzelne Bestimmungen dieser AGB unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Bestimmungen nicht.

Anlage 1:

Auftragsverarbeitungs-Vertrag

Der folgende Auftragsverarbeitungs-Vertrag ist Anlage und Bestandteil der Allgemeinen Geschäftsbedingungen von digitell.me, welche dem Vertrag mit dem Auftraggeber zugrunde liegen und vom Auftraggeber akzeptiert wurden.

Vereinbarung zum Datenschutz bei der Auftragsverarbeitung gemäß Art. 28 DSGVO

Präambel
Der Auftragnehmer verarbeitet im Rahmen abgeschlossener oder abzuschließender Verträge personenbezogene Daten aus dem datenschutzrechtlichen Verantwortungsbereich des Auftraggebers im Sinne des Art. 28 Datenschutzgrundverordnung (DSGVO). Die dem Auftragnehmer vom Auftraggeber überlassenen personenbezogenen Daten unterliegen den Bestimmungen des DSGVO und den sonstigen datenschutzrechtlichen Vorschriften (z. B. BDSG).

Diese Vereinbarung legt die Rahmenbedingungen zur Gewährleistung der Einhaltung der datenschutzrechtlichen Regelungen fest.

1. Gegenstand und Dauer des Auftrags
Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer:

• Bereitstellung einer cloudbasierten Befragungsplattform.
• Dienstleistungen rund um die Befragungsplattform (z.B. Aufbereitung der Ergebnisberichte).

Die Dauer des Auftrags

• Die Dauer des Auftrags ist dem Hauptvertrag zu entnehmen.

2. Konkretisierung des Auftragsinhalts
Art und Zweck der vorgesehenen Verarbeitung von Daten
Nähere Beschreibung des Auftragsgegenstandes im Hinblick auf Umfang, Art und Zweck der Aufgaben des Auftragnehmers:

Gegenstand des Auftrags ist die Nutzung der von digitell.me zu Verfügung gestellten Befragungs-Software. Die gesammelten Umfragedaten werden über die gesamte Vertragslaufzeit auf Servern innerhalb der EU gespeichert (s. Unterauftragnehmer). Die Befragungsplattform dient dem Zweck, interne Prozesse und Abläufe mittels Kunden- und Mitarbeiterfeedback zu verbessern.

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DSGVO erfüllt sind.

Art der Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/- kategorien (Aufzählung/Beschreibung der Datenkategorien):

• Personenstammdaten
• Kommunikationsdaten (z.B. Telefon, E-Mail)
• Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
• Kundenhistorie
• Vertragsabrechnungs- und Zahlungsdaten
• Planungs- und Steuerungsdaten
• Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)

Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

• Kunden
• Interessenten
• Abonnenten
• Beschäftigte
• Lieferanten
• Mitarbeiter
• Ansprechpartner

3. Technisch-organisatorische Maßnahmen
Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung / ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen [Einzelheiten in Anlage 1].
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten
Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers
Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

1. a)  Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß Artt. 38 und 39 DSGVO ausübt.

   Als Datenschutzbeauftragter ist beim Auftragnehmer Herr Jörg ter Beek, Cortina Consult GmbH, www.cortina-consult.com bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

   Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.

2. b)  Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.

3. c)  Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DSGVO [Einzelheiten in Anlage 1].

4. d)  Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

5. e)  Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.

6. f)  Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

7. g)  Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

8. h)  Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Der Auftragnehmer darf Unterauftragnehmer (weitere Auftragsverarbeiter) nur nach vorheriger ausdrücklicher schriftlicher bzw. dokumentierter Zustimmung des Auftraggebers beauftragen.

Der Auftraggeber stimmt der Beauftragung der nachfolgenden Unterauftragnehmer zu – unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO:

Firma Unterauftragnehmer: Hetzner GmbH

Anschrift/Land: Industriestr. 25 in 91710 Gunzenhausen, Deutschland

Leistung: Sever-Hosting-Dienste (Rechenzentrumsbetrieb)

Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.
Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU / des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen. Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung des Hauptauftraggebers (mind. Textform); sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

7. Kontrollrechte des Auftraggebers
Der Auftraggeber hat das Recht, im Benehmen mit dem Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragnehmer in dessen Geschäftsbetrieb zu überzeugen.
Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.
Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch

• die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
• die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO:

• aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);

• eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz).

  Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

  8. Mitteilung bei Verstößen des Auftragnehmers
  Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

a) die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;

2. b)  die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;

3. c)  die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;

4. d)  die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung und

5. e)  die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

9. Weisungsbefugnis des Auftraggebers
Mündliche Weisungen bestätigt der Auftraggeber unverzüglich (mind. Textform).
Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung von Daten und Rückgabe von Datenträgern
Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11. Laufzeit und Kündigung
Diese Vereinbarung tritt in Kraft und behält Gültigkeit, solange das betreffende Dienstleistungsverhältnis andauert.

Anlage – Technisch-organisatorische Maßnahmen der digitell.me GmbH

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

1. Zutrittskontrolle

   Kein unbefugter Zutritt zu Datenverarbeitungsanlagen Schlüssel

   • Alarmanlagen

2. Zugangskontrolle
   Keine unbefugte Systembenutzung

   • (sichere) Kennwörter
   • automatische Sperrmechanismen Ä Verschlüsselung von Datenträgern

Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems

• Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte Ä Protokollierung von Zugriffen

Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden

• Mandantenfähigkeit

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

Weitergabekontrolle

• Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport
• Verschlüsselung

Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind

• Protokollierung
• Dokumentenmanagement

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO) _ Verfügbarkeitskontrolle

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust – Backup-Strategie (online/offline; on-site/off-site)

unterbrechungsfreie Stromversorgung (USV)

• Virenschutz
• Firewall

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

• Datenschutz-Management

• Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

• Auftragskontrolle
  Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers

• Eindeutige Vertragsgestaltung

• strenge Auswahl des Dienstleisters