Bereitstellung des Widgets „Gartenfreund – Anfragen Konfigurator“
Präambel
Der Kunde benötigt zur Durchführung seiner Geschäftsprozesse ein Widget, welches ihn bei der Anfrage von Gartengestaltung unterstützt.
Der Anbieter bietet die zeitweise Nutzung eines solches Widgets über eine Telekommunikationsverbindung gegen Entgelt an.
Das Widget wird als Widget-Code (JS, iframe oder direktem Link auf einer Website) eingebunden. Der Nutzer konfiguriert eine Gestaltungs-Anfrage durch die Auswahl verschiedener Garten-Elemente und der Angabe weiterer Details und Kontaktdaten. Eine Übersicht der konfigurierten Anfrage wird per Mail an den Nutzer und an den Kunden verschickt.
Mit diesem Vertrag vereinbaren die Vertragspartner, dass der Anbieter dem Kunden die Nutzungsmöglichkeit für das benötigte Widget zum Zugriff über eine Telekommunikationsverbindung zur Verfügung stellt.
- Vertragsgegenstand
Gegenstand dieses Vertrags ist die Bereitstellung der in Anhang 1 vereinbarten Softwareanwendung (im Folgenden, auch bei Mehrzahl: ANWENDUNG) zur Nutzung ihrer Funktionalitäten, die technische Ermöglichung der Nutzung der ANWENDUNG und die Einräumung bzw. Vermittlung von Nutzungsrechten an der ANWENDUNG in im Anhang 1 vereinbarten Umfang durch den Anbieter gegenüber dem Kunden gegen Zahlung des vereinbarten Entgelts.
- Bereitstellung von ANWENDUNG
- Der Anbieter hält ab dem in Anhang 1 vereinbarten Zeitpunkt auf einer zentralen Datenverarbeitungsanlage oder mehreren Datenverarbeitungsanlagen (im Folgenden, auch bei Mehrzahl: SERVER) die in Anhang 1 vereinbarte ANWENDUNG in der jeweils aktuellen Version zur Nutzung nach Maßgabe der nachfolgenden Regelungen bereit.
- Der Anbieter haftet dafür, dass die bereit gestellte ANWENDUNG
- für die sich aus der Leistungsbeschreibung in Anhang 1 ergebenden Zwecke geeignet ist
- während der gesamten Vertragslaufzeit frei von Mängeln ist
- insb. frei von Viren und ähnlicher Schadsoftware ist, welche die Tauglichkeit der ANWENDUNG zum vertragsgemäßen Gebrauch aufheben.
-
- Sofern und soweit mit der Bereitstellung einer neuen Version oder einer Änderung eine Änderung von wesentlichen Funktionalitäten der ANWENDUNG, durch die ANWENDUNG unterstützten Arbeitsabläufen des Kunden einhergehen, wird der Anbieter dies dem Kunden spätestens 4 Wochen vor dem Wirksamwerden einer solchen Änderung in Textform ankündigen.
- Die ANWENDUNG wird auf dem SERVER regelmäßig, mindestens kalendertäglich, gesichert. Für die Einhaltung handels- und steuerrechtlicher Aufbewahrungsfristen ist der Kunde verantwortlich.
- Übergabepunkt für die ANWENDUNG ist der Routerausgang des Rechenzentrums des Anbieters.
- Vereinbarungen über Systemvoraussetzungen auf Seiten des Kunden werden in Anhang 1 getroffen. Für Änderungen am technischen System des Anbieters gilt die Widerspruchslösung der Ziffer 2.4 entsprechend. Für die Beschaffenheit der erforderlichen Hard- und Software auf Seiten des Kunden sowie für die Telekommunikationsverbindung zwischen dem Kunden und dem Anbieter bis zum Übergabepunkt ist der Anbieter nicht verantwortlich.
- Technische Verfügbarkeit der ANWENDUNG
- Der Anbieter schuldet eine Verfügbarkeit der ANWENDUNG von 99,0% im Jahresmittel am Übergabepunkt. Unter Verfügbarkeit verstehen die Vertragspartner die technische Nutzbarkeit der ANWENDUNG am Übergabepunkt zum Gebrauch durch den Kunden.
- Nutzungsrechte an und Nutzung der ANWENDUNG, Rechte des Anbieters bei Überschreitung der Nutzungsbefugnisse
- Nutzungsrechte an der ANWENDUNG
- Der Kunde erhält an der ANWENDUNG sowie den dort enthaltenen Bildern einfache (nicht unterlizenzierbare und nicht übertragbare), auf die Laufzeit dieses Vertrags beschränkte Nutzungsrechte nach Maßgabe der nachstehenden Regelungen.
- Eine physische Überlassung der ANWENDUNG an den Kunden erfolgt nicht. Der Kunde darf die ANWENDUNG nur für seine eigenen geschäftlichen Tätigkeiten nutzen.
- Der Kunde ist nicht berechtigt, Änderungen an der ANWENDUNG vorzunehmen. Dies gilt nicht für Änderungen, die für die Berichtigung von Fehlern notwendig sind, sofern der Anbieter sich mit der Behebung des Fehlers in Verzug befindet, die Fehlerbeseitigung ablehnt oder wegen der Eröffnung des Insolvenzverfahrens zur Fehlerbeseitigung außer Stande ist.
- Sofern der Anbieter während der Laufzeit neue Versionen, Updates, Upgrades oder andere Neulieferungen im Hinblick auf die ANWENDUNG vornimmt, gelten die vorstehenden Rechte auch für diese.
- Rechte, die vorstehend nicht ausdrücklich dem Kunden eingeräumt werden, stehen dem Kunden nicht zu. Der Kunde ist insb. nicht berechtigt, die ANWENDUNG über die vereinbarte Nutzung hinaus zu nutzen oder von Dritten nutzen zu lassen oder die ANWENDUNG Dritten zugänglich zu machen. Insb. ist es nicht gestattet, die ANWENDUNG zu vervielfältigen, zu veräußern oder zeitlich begrenzt zu überlassen, insb. nicht zu vermieten oder zu verleihen.
- Verpflichtungen des Kunden zur sicheren Nutzung
- Der Kunde trifft die notwendigen Vorkehrungen, die Nutzung der ANWENDUNG durch Unbefugte zu verhindern.
- Nutzungsrechte an der ANWENDUNG
-
- Verletzung der Bestimmungen nach Abs. 1 und 2 durch den Kunden
- Verletzt der Kunde die Regelungen in Abs. 1 oder 2 aus von ihm zu vertretenden Gründen, kann der Anbieter den Zugriff des Kunden auf die ANWENDUNG sperren, wenn die Verletzung hierdurch nachweislich abgestellt werden kann.
- Verletzt der Kunde trotz entsprechender schriftlicher Abmahnung des Anbieters weiterhin oder wiederholt die Regelungen in 4.1 oder 4.2, und hat er dies zu vertreten, so kann der Anbieter den Vertrag ohne Einhaltung einer Kündigungsfrist außerordentlich kündigen.
- Verletzung der Bestimmungen nach Abs. 1 und 2 durch den Kunden
- Entgelt
- Die Vergütung für die zu erbringenden Leistungen der Nutzungsgewährung bzgl. der ANWENDUNG setzt sich aus einer Grundpauschale und aus nutzungsabhängigen Vergütungen nach Maßgabe von Ziffer 5.2 bis 5.3 zusammen.
- Die im Anhang 1 vereinbarten Gebühren werden monatlich im Nachhinein berechnet. Die Rechnung wird 14 Tage nach Zugang der Rechnung fällig.
- Der Anbieter ist berechtigt, die vereinbarten Preise für die vertraglichen Leistungen zum Ausgleich von Personal- und sonstigen Kostensteigerungen angemessen zu erhöhen. Der Anbieter wird diese Preiserhöhungen dem Kunden schriftlich oder per E-Mail bekannt geben; die Preiserhöhungen gelten nicht für die Zeiträume, für die Kunde bereits Zahlungen geleistet hat. Vergütungen werden zuzüglich MwSt. in der jeweils anfallenden gesetzlichen Höhe geschuldet.
- Haftung, Haftungsgrenzen und Vertragsstrafe
- Die Vertragspartner haften einander bei Vorsatz oder grober Fahrlässigkeit für alle von ihnen sowie ihren gesetzlichen Vertretern oder Erfüllungsgehilfen verursachten Schäden unbeschränkt.
- Bei leichter Fahrlässigkeit haften die Vertragspartner im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.
- Im Übrigen haftet ein Vertragspartner nur, soweit er eine wesentliche Vertragspflicht verletzt hat. Wesentliche Vertragspflichten sind solche Pflichten, die für die Erreichung des Vertragsziels von besonderer Bedeutung sind, ebenso alle diejenigen Pflichten, die im Fall einer schuldhaften Verletzung dazu führen können, dass die Erreichung des Vertragszwecks gefährdet wird. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schaden beschränkt. Die verschuldensunabhängige Haftung des Anbieters auf Schadensersatz (§ 536a BGB) für bei Vertragsschluss vorhandene Mängel wird ausgeschlossen; Ziffer 6.1 und 6.2 bleiben unberührt.
- Ein Vertragspartner ist zur Zahlung einer Vertragsstrafe nur verpflichtet, wenn dies dieser Vertrag ausdrücklich vorsieht. Eine Vertragsstrafe braucht nicht vorbehalten zu werden. Die Aufrechnung mit ihr und gegen sie ist zulässig.
- Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.
- Laufzeit, Kündigung
- Das Vertragsverhältnis beginnt mit Zustandekommen des Vertrags und wird auf unbestimmte Zeit geschlossen. Die Bereitstellung der Leistungen erfolgt ab dem in Anhang 1 vereinbarten Zeitpunkt.
- Das Vertragsverhältnis kann von jedem Vertragspartner schriftlich mit einer Frist von 2 Wochen zum Ende eines Monats ordentlich gekündigt werden. Sollte keine Kündigung erfolgen, so verlängert sich das Vertragsverhältnis automatisch um 3 Monate (beim Abschluss eines Quartalsabos) und um 12 Monate (bei Abschluss eines Jahresabos)
- Die außerordentliche Kündigung wegen oder im Zusammenhang mit einer Pflichtverletzung ist nur nach vorangegangener schriftlicher Abmahnung mit angemessener Fristsetzung von nicht unter 8 Werktagen möglich. Hat der kündigungsberechtigte Vertragspartner länger als 14 Werktage Kenntnis von den die außerordentliche Kündigung rechtfertigenden Umständen, kann er die Kündigung nicht mehr auf diese Umstände stützen.
- Ungeachtet der Regelung in Ziffer 7.3 kann der Anbieter den Vertrag ohne Einhaltung einer Frist kündigen, wenn der Kunde für zwei aufeinander folgende Monate mit der Bezahlung der Preise bzw. eines nicht unerheblichen Teils der Preise oder in einem Zeitraum, der sich über mehr als zwei Monate erstreckt, mit der Bezahlung des Entgelts in Höhe eines Betrags, der das Entgelt für zwei Monate erreicht, in Verzug ist. Der Anbieter kann in diesem Fall zusätzlich einen sofort in einer Summe fälligen pauschalierten Schadensersatz in Höhe eines Viertels der bis zum Ablauf der regulären Vertragslaufzeit restlichen monatlichen Grundpauschale verlangen. Dem Kunden bleibt der Nachweis eines geringeren Schadens vorbehalten.
- Höhere Gewalt
- Keiner der Vertragspartner ist zur Erfüllung der vertraglichen Verpflichtungen im Fall und für die Dauer höherer Gewalt verpflichtet. Insb. folgende Umstände sind als höhere Gewalt in diesem Sinne anzusehen:
- von dem Vertragspartner nicht zu vertretende(s) Feuer/Explosion/Überschwemmung,
- Krieg, Meuterei, Blockade, Embargo,
- über 6 Wochen andauernder und von dem Vertragspartner nicht schuldhaft herbeigeführter Arbeitskampf,
- nicht von einem Vertragspartner beeinflussbare technische Probleme des Internets; dies gilt nicht, sofern und soweit der Anbieter die Telekommunikationsleistung mit anbietet.
-
- Jeder Vertragspartner hat den anderen über den Eintritt eines Falls höherer Gewalt unverzüglich schriftlich in Kenntnis zu setzen.
- Schlussbestimmungen
- Auf das Vertragsverhältnis findet deutsches materielles Recht unter Ausschluss des UN-Kaufrechts Anwendung.
- Anhänge sind in ihrer jeweils gültigen, dh. von beiden Vertragspartnern unterzeichneten, Fassung Bestandteil dieses Vertrags.
- Nebenbestimmungen außerhalb dieses Vertrags und seiner Anhänge bestehen nicht. Änderungen oder Ergänzungen dieses Vertrags und der Anhänge bedürfen der zu ihrer Wirksamkeit der Schriftform.
- Die etwaige Unwirksamkeit einzelner Bestimmungen dieses Vertrags beeinträchtigt nicht die Gültigkeit des übrigen Vertragsinhalts.
- Ergeben sich in der praktischen Anwendung dieses Vertrags Lücken, die die Vertragspartner nicht vorgesehen haben, oder wird die Unwirksamkeit einer Regelung iS von Ziffer 9.4 rechtskräftig oder von beiden Vertragspartnern übereinstimmend festgestellt, so verpflichten sie sich, diese Lücke oder unwirksame Regelung in sachlicher, am wirtschaftlichen Zweck des Vertrages orientierter angemessener Weise auszufüllen bzw. zu ersetzen.
- Ausschließlicher Gerichtsstand ist, sofern nicht eine Norm zwingend einen anderen Gerichtsstand anordnet, das für Ravensburg zuständige Gericht.
Leistungsbeschreibung:
Bei dem ANWENDUNG „Gartenfreund – Ihr Anfragekonfigurator“ handelt es sich um eine Software die der Kunde auf seiner Homepage einbindet. Der Nutzer konfiguriert eine Gestaltungs-Anfrage durch die Auswahl verschiedener Garten-Elemente und der Angabe weiterer Details und Kontaktdaten. Eine Übersicht der konfigurierten Anfrage wird per Mail an den Nutzer und den Kunden verschickt. Voraussetzung ist eine Homepage auf der die Anwendung eingebunden werden kann. Die Anwendung ist für PC, Laptop, Tablet und Smartphone angepasst. Nicht Gegenstand ist die Homepage, sowie eine funktionierende Emailadresse, an welche die Kundenanfragen gesendet werden.
Lieferung:
Das Widget wird als Widget-Code (JS), iframe und direktem Link (wird per Mail übermittelt) bereitgestellt. Für die Einbindung des Codes in die Homepage des Kunden ist dieser verantwortlich.
Dem Kunden sind Anpassungen/Änderungen des Inhalts bzw. der Bilder im Widget nicht möglich. Die Hintergrund- und Menüfarbe sind frei wählbar und werden nach Wunsch des Kunden einmalig kostenfrei durch den Anbieter eingestellt. Weitergehende Anpassungsleistungen sind nicht geschuldet.
Die Anschrift des Kunden wird als Briefkopf für die Übersicht der konfigurierten Anfrage eingefügt.
Preise siehe Website www.garten-freund.eu
Vertragsbeginn:
Vertrag beginnt mit der Unterzeichnung des Vertrags.
Übertragung von Nutzungsrechten an Bildern/Bilddateien und Produktbeschreibungen
Präambel
Der Lizenznehmer stellt ein Widget her, welches beliebig oft zur Verwendung auf verschiedenen Websites, von Ihm und von Ihm beauftragten Dritten vervielfältigt wird. Hierbei handelt es sich um einen Konfigurator der zur Aufnahme und Übertragung von Kundenanfragen im Bereich des Garten- und Landschaftsbaus dient. Der Lizenzgeber stellt Alessandro Altieri (Altieri Solutions) Bilder und Produktbeschreibungen zur Verfügung, damit er diese für den Konfigurator verwenden darf. Das Widget kann als Widget-Code(JS), iframe oder direktem Link eingebunden werden.
§ 1 Einräumung von Rechten an den Vertragsgegenständen
- Der Lizenzgeber räumt dem Lizenznehmer hiermit das einfache, zeitlich, räumlich und inhaltlich unbeschränkte Recht ein, das Werk im Rahmen der Website umfassend, auch mit dem Ziel einer kommerziellen Vermarktung, zu nutzen und zu verwerten. Die Rechtseinräumung umfasst ausdrücklich alle bekannten und unbekannten Formen von Angebotsmöglichkeiten im Internet, insbesondere die Möglichkeit zur Einbindung innerhalb kostenpflichtiger Online-Dienste und Websites sowie innerhalb des frei zugänglichen Internets. Der Lizenznehmer ist allerdings nicht berechtigt, Nutzern der Website eine dauerhafte Speicherung der Werke (Download) zu gestatten. Insbesondere räumt der Lizenzgeber dem Lizenznehmer folgende ausschließlichen, zeitlich und territorial unbeschränkten Nutzungsrechte ein:
a) Das Recht der Vervielfältigung, öffentlichen Zugänglichmachung und Verbreitung, dh. das Recht, das Werk, unter Einbezug jeglicher technischer Möglichkeiten, insbesondere durch die digitale Einbindung im Rahmen der Website, unbegrenzt zu vervielfältigen und öffentlich zugänglich zu machen oder öffentlich wiederzugeben;
b) das Recht der Zurverfügungstellung auf Abruf, dh. das Recht, das Werk abzuspeichern, für die Öffentlichkeit bereitzuhalten, an einen oder mehrere Abrufende zu übertragen, und zwar in allen analogen oder digitalen elektronischen Datenbanken, elektronischen Datennetzen und Netzen von Telekommunikationsdiensten;
c) das Recht der öffentlichen Wiedergabe, dh. das Recht, das Werk gewerblich oder nicht gewerblich, durch Tonträger, Bildträger, Bildtonträger, Multimedia-Träger bzw. andere Datenträger, insbesondere auch Magnetbänder, Magnetbandkassetten, Bildplatten, Chips, in allen Formaten, unter Anwendung aller analogen und digitalen Verfahren und Techniken öffentlich wiederzugeben;
d) das Bearbeitungsrecht, dh das Recht das Werk, unter Wahrung des Urheberpersönlichkeitsrechts, selbst oder durch Dritte, beliebig umzugestalten und zu bearbeiten, insbesondere zum Zwecke der Einbindung in die Website zu digitalisieren;
e) das Werberecht, dh. das Recht, das Werk für die Bewerbung der Website, auch in jeglichen anderen Medien und außerhalb des Internets, namentlich im Fernsehen und in Printmedien, nicht jedoch für die Bewerbung von Drittprodukten, zu verwenden. - Die Rechtseinräumung umfasst auch eine ausschnittsweise Benutzung der Werke und eine Benutzung in Verbindung mit anderen Werken.
- Der Lizenzgeber räumt dem Lizenznehmer das Recht ein, in Hinblick auf die Durchführung dieses Vertrags den jeweiligen Titel der Werke sowie Namen, Titel, Logos und Abbildungen sowohl des Lizenzgebers als auch des Urhebers des Werks auf der Website und in der einschlägigen Werbung für die Website zu verwenden.
- Der Übergang der Rechte erfolgt mit Vertragsunterzeichnung und Zusendung des jeweiligen Exemplars nach § 2 durch den Lizenzgeber.
§ 2 Pflichten des Lizenzgebers
Der Lizenzgeber hat dem Lizenznehmer unverzüglich nach Unterzeichnung dieses Vertrags, spätestens aber nach drei Werktagen, ein Exemplar des jeweiligen Werks in elektronischer Form zu liefern.
§ 3 Pflichten des Lizenznehmers
(1) Der Lizenznehmer hat den Lizenzgeber an der Stelle auf der Website, an der er die Werke einbindet, als Urheber bzw. Inhaber der Verwertungsrechte an den Werken zu nennen. Diese Nennung erfolgt durch einen Hyperlink zu der vom Lizenzgeber genannten URL unmittelbar neben dem jeweiligen Werk.
§ 4 Garantie der Rechtsinhaberschaft, Freistellung des Lizenznehmers
- Der Lizenzgeber garantiert, dass er Inhaber der übertragenen Rechte ist und dass es ihm möglich ist, die dem Lizenznehmer in § 1 dieses Vertrags genannten Rechte wirksam einzuräumen. Der Lizenzgeber garantiert außerdem, dass die Werke frei von Rechten Dritter sind, die der vertragsgegenständlichen Rechtseinräumung entgegenstehen könnten. Ferner garantiert der Lizenzgeber, dass die Werke bereits veröffentlicht sind und der Urheber nicht gegen eine Veröffentlichung durch den Lizenzgeber vorgehen wird. Der Lizenzgeber garantiert, dass durch die Verwendung der Werke im Rahmen dieses Vertrags keine Persönlichkeitsrechte Dritter verletzt werden, insbesondere, dass abgebildete Personen mit der vertragsgegenständlichen Nutzung der Werke einverstanden sind.
- Der Lizenzgeber stellt den Lizenznehmer von allen Ansprüchen Dritter, insbesondere von Ansprüchen wegen Urheberrechts- und Persönlichkeitsrechtsverletzungen, die gegen den Lizenznehmer in Zusammenhang mit der Ausübung der vertragsgegenständlichen Rechte erhoben werden sollten, auf erstes Anfordern hin frei. Dem Lizenzgeber bekannt werdende Beeinträchtigungen der vertragsgegenständlichen Rechte hat dieser dem Lizenznehmer unverzüglich mitzuteilen. Der Lizenznehmer ist berechtigt, selbst geeignete Maßnahmen zur Abwehr von Ansprüchen Dritter oder zur Verfolgung seiner Rechte vorzunehmen. Eigene Maßnahmen des Lizenzgebers hat dieser im Vorwege mit dem Lizenznehmer abzustimmen. Die Freistellung beinhaltet auch den Ersatz der Kosten, die dem Lizenznehmer durch eine Rechtsverfolgung/-verteidigung entstehen bzw. entstanden sind.
- Die in Abs. 2 genannten Freistellungen finden keine Anwendung, wenn der Anspruch des Dritten daraus resultiert, dass der Lizenznehmer die Werke entgegen den in diesem Vertrag festgehaltenen Bestimmungen, insbesondere entgegen dem § 1 benutzt.
§ 5 Vertragslaufzeit, Dauer der Rechtseinräumung
- Die Nutzungsdauer erfolgt bis auf Widerruf.
- Die Parteien verzichten auf ihr Recht zur ordentlichen Kündigung. Das Recht zur außerordentlichen Kündigung bleibt unberührt.
- Nach Ablauf der Nutzungsrechte hat der Lizenznehmer innerhalb von 2 Wochen das überlassene Bildmaterial aus dem Widget zu entfernen und sämtliche in seinem Besitz befindlichen Vervielfältigungsstücke und Bearbeitungen hiervon zu löschen.
§ 6 Preise und Zahlungsmodalitäten
- Die vertragsgegenständliche Rechtseinräumung erfolgt für den Lizenznehmer kostenfrei.
§ 7 Folgen der Vertragsbeendigung
Mit dem Ende dieses Lizenzvertrags fallen alle Rechte des Lizenznehmers an den Lizenzgeber zurück. Der Lizenznehmer hat alle körperlichen Vervielfältigungsstücke der Werke an den Lizenzgeber unverzüglich herauszugeben und alle elektronischen Kopien unverzüglich zu löschen.
§ 8 Schlussbestimmungen
- Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts. Gerichtsstand für alle Streitigkeiten aus diesem Vertragsverhältnis ist das LG München I, soweit nicht das Gesetz zwingend etwas anderes vorschreibt.
- Mündliche Nebenabreden zu diesem Vertrag bestehen nicht. Änderungen oder Ergänzungen dieses Vertrags bedürfen zu ihrer Wirksamkeit der Schriftform. Gleiches gilt für den Verzicht auf dieses Schriftformerfordernis.
- Der Lizenzgeber ist verpflichtet, dem Lizenznehmer jede Änderung seiner Anschrift mittels eingeschriebenen Briefs schriftlich mitzuteilen. Für Mitteilungspflichten des Lizenznehmers nach diesem Vertrag und nach dem Urheberrechtsgesetz gilt die im Vertragsrubrum genannte Anschrift des Lizenzgebers, bzw. die jeweils zuletzt per eingeschriebenen Brief mitgeteilte Anschrift des Lizenzgebers.
- Sollten einzelne Bestimmungen dieses Vertrags unwirksam oder undurchführbar sein oder werden, berührt dies die Wirksamkeit der übrigen Bestimmungen dieses Vertrags nicht. Die Parteien werden sich bemühen, die unwirksame oder undurchführbare Bestimmung durch eine wirksame und durchführbare Regelung zu ersetzen, die der unwirksamen oder undurchführbaren Bestimmung wirtschaftlich so nahe wie möglich kommt. Gleiches gilt für den Fall einer Lücke dieses Vertrags.
Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG
1. Allgemeine Bestimmungen und Auftragsgegenstand
- 1.1 Gegenstand des vorliegenden Vertrags ist die Verarbeitung personenbezogener Daten im Auftrag durch den Auftragsverarbeiter (Art. 28 DSGVO). Inhalt des Auftrags, Kategorien betroffener Personen und Datenarten sowie Zweck der Vereinbarung sind Anlage 1 zu entnehmen.
- 1.2 Der Auftraggeber ist Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO. Er allein ist für Beurteilung der Zulässigkeit der Datenverarbeitungsvorgänge nach Art. 6 DSGVO und die Wahrung der Betroffenen- rechte verantwortlich.
- 1.3 Die Verarbeitung der Daten durch den Auftragsverarbeiter findet ausschließlich auf dem Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union oder einem Vertragsstaat des EWR Abkommens statt. Die Verarbeitung außerhalb dieser Staaten erfolgt nur unter den Voraussetzungen von Kapitel 5 der DSGVO (Art. 44 ff.) und mit vorheriger Zustimmung des Auftraggebers.
- 1.4 Die Vergütung wird außerhalb dieses Vertrags vereinbart.
2. Vertragslaufzeit und Kündigung
Der vorliegende Vertrag wird auf unbestimmte Zeit geschlossen und kann von jeder Vertragspartei mit einer Frist von drei Monaten ordentlich gekündigt werden. Das Recht zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
3. Weisungen des Auftraggebers
3.1 Dem Auftraggeber steht ein umfassendes Weisungsrecht in Bezug auf Art, Umfang und Modalitäten der Datenverarbeitung ggü. dem Auftragsverarbeiter zu. In dieser Rolle kann er insbesondere die unverzügliche Löschung, Berichtigung, Sperrung oder Herausgabe der vertragsgegenständlichen Daten verlangen. Der Auftragsverarbeiter ist verpflichtet, den Weisungen des Auftraggebers Folge leisten, sofern keine berechtigten vertraglichen oder gesetzlichen Interessen entgegenstehen.
- 3.2 Der Auftragsverarbeiter informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung des Auftraggebers gegen gesetzliche Vorschriften verstößt. Wird eine Weisung erteilt, deren Rechtmäßigkeit der Auftragsverarbeiter substantiiert anzweifelt, ist der Auftragsverarbeiter berechtigt, deren Ausführung vorübergehend auszusetzen, bis der Auftraggeber diese nochmals ausdrücklich bestätigt oder ändert.
- 3.3 Weisungen sind grundsätzlich schriftlich oder in einem elektronischen Format (z.B. per E-Mail) zu erteilen. Mündliche Weisung sind auf Verlangen des Auftragsverarbeiters schriftlich oder in einem elektronischen Format durch den Auftraggeber zu bestätigen. Der Auftragsverarbeiter hat Person, Datum und Uhrzeit der mündlichen Weisung in angemessener Form zu protokollieren.
- 3.4 Der Auftraggeber benennt auf Verlangen des Auftragsverarbeiters eine oder mehrere weisungsberechtigte Personen. Änderungen sind dem Auftragsverarbeiter unverzüglich mitzuteilen.
4. Kontrollbefugnisse des Auftraggebers
- 4.1 Der Auftraggeber ist berechtigt, die Einhaltung der gesetzlichen und vertraglichen Vorschriften zum Datenschutz und zur Datensicherheit vor Beginn der Datenverarbeitung und während der Vertragslauf- zeit regelmäßig im erforderlichen Umfang zu kontrollieren oder durch Dritte kontrollieren zu lassen. Der Auftragsverarbeiter wird diese Kontrollen dulden und sie im erforderlichen Maße unterstützen.
Er wird dem Auftraggeber insbesondere die für die Kontrollen relevanten Auskünfte vollständig und wahrheitsgemäß erteilen, ihm die Einsichtnahme in die gespeicherten Daten und Datenverarbeitungsprogramme/ -systeme gewähren sowie Vorort-Kontrollen ermöglichen. Sofern der Auftraggeber der Verarbeitung der Daten außerhalb der Geschäftsräume (z.B. Privatwohnung) zugestimmt hat, hat der Auftragsverarbeiter dafür zu sorgen, dass der Auftraggeber auch diese Räume zu Kontrollzwecken begehen darf. - 4.2 Der Auftraggeber hat dafür zu sorgen, dass die Kontrollmaßnahmen verhältnismäßig sind und den Betrieb des Auftragsverarbeiters nicht mehr als erforderlich beeinträchtigen. Insbesondere sollen Vorort- Kontrollen grundsätzlich zu den üblichen Geschäftszeiten und nach Terminvereinbarung mit angemessener Vorlauffrist erfolgen, sofern der Kontrollzweck einer vorherigen Ankündigung nicht widerspricht.
- 4.3 Die Ergebnisse der Kontrollen und Weisungen sind von beiden Vertragsparteien in geeigneter Weise zu protokollieren.
5. Allgemeine Pflichten des Auftragsverarbeiters
- 5.1 Die Verarbeitung der vertragsgegenständlichen Daten durch den Auftragsverarbeiter erfolgt ausschließlich auf Grundlage der vertraglichen Vereinbarungen in Verbindung mit den ggf. erteilten Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung ist nur aufgrund zwingender europäischer oder mitgliedsstaatlicher Rechtsvorschriften zulässig (z.B. im Falle von Ermittlungen durch Strafverfolgungs- oder Staatsschutzbehörden). Ist eine Verarbeitung aufgrund zwingenden Rechts erforderlich, teilt der Auftragsverarbeiter dies dem Auftraggeber vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
- 5.2 Der Auftragsverarbeiter hat bei der Auftragsdurchführung sämtliche gesetzlichen Vorschriften einzu- halten. Er hat insbesondere die nach Art. 32 DSGVO notwendigen technischen und organisatorischen Maßnahmen implementieren und das nach Art. 30 Abs. 2 DSGVO erforderliche Verzeichnis von Verar- beitungstätigkeiten zu führen, soweit dies gesetzlich vorgeschrieben ist.
- 5.3 Sofern der Auftragsverarbeiter nach der DSGVO oder sonstigen gesetzlichen Vorschriften zur Benennung eines Datenschutzbeauftragten verpflichtet ist, bestätigt er, dass er einen solchen in Einklang mit den gesetzlichen Vorschriften ausgewählt hat und sichert dem Auftraggeber zu, diesen unter Angabe seiner Kontaktdaten zu benennen (z.B. per E-Mail). Änderungen über Person und / oder Kontaktdaten des Datenschutzbeauftragten sind dem Auftraggeber unverzüglich mitzuteilen.
- 5.4 Die Datenverarbeitung außerhalb der Betriebsstätten des Auftragsverarbeiters oder der Subunternehmer und / oder in Privatwohnungen (z.B. Fernzugriff oder Homeoffice des Auftragsverarbeiters) ist nur mit ausdrücklicher Zustimmung des Auftraggebers gestattet.
- 5.5 Der Auftragsverarbeiter hat zu gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen (Art. 28 Abs. 3 lit. b DSGVO). Vor der Unterwerfung unter die Verschwiegenheitspflicht dürfen die betreffenden Personen keinen Zugang zu den vom Auftraggeber überlassenen personenbezogenen Daten erhalten.
- 5.6 Der Auftragsverarbeiter wird die Erfüllung seiner Pflichten regelmäßig und selbstständig kontrollieren und in geeigneter Weise dokumentieren.
6. Technische und organisatorische Maßnahmen
- 6.1 Der Auftragsverarbeiter hat geeignete technische und organisatorische Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus festgelegt und diese in Anlage 2 dieses Vertrags festgehalten. Die dort beschriebenen Maßnahmen wurden unter Beachtung der Vorgaben nach Art. 32 DSGVO ausgewählt und mit dem Auftraggeber abgestimmt.
- 6.2 Der Auftragsverarbeiter wird die technischen und organisatorischen Maßnahmen bei Bedarf und / oder anlassbezogen überprüfen und anpassen. Erforderliche Anpassungen werden vom Auftragsverarbeiter dokumentiert und dem Auftraggeber auf Nachfrage zur Verfügung gestellt. Wesentliche Änderungen, durch die das Schutzniveau verringert werden könnte, sind vorab mit dem Auftraggeber abzustimmen.
7. Unterstützungspflichten des Auftragsverarbeiters
- 7.1 Der Auftragsverarbeiter wird den Auftraggeber gem. Art. 28 Abs. 3 lit. e DSGVO bei dessen Pflichten zur Wahrung der Betroffenenrechte aus Kapitel III, Art. 12 – 22 DSGVO unterstützen. Dies gilt insbesondere für die Erteilung von Auskünften und die Löschung, Berichtigung oder Einschränkung personenbezogener Daten. Die Reichweite der Unterstützungspflicht bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung.
- 7.2 Der Auftragsverarbeiter wird den Auftraggeber ferner gem. Art. 28 Abs. 3 lit. f DSGVO bei dessen Pflichten nach Art. 32 – 36 DSGVO (insb. Meldepflichten) unterstützen. Die Reichweite dieser Unterstüt- zungspflicht bestimmt sich im Einzelfall unter Berücksichtigung der Art der Verarbeitung und der dem Auftragsverarbeiter zur Verfügung stehenden Informationen.
8. Einsatz von Unterauftragsverarbeitern (Subunternehmer)
- 8.1 Der Auftragsverarbeiter ist nur mit Zustimmung des Auftraggebers zum Einsatz von Unterauftragsverarbeitern (Subunternehmer) berechtigt. Alle zum Zeitpunkt des Vertragsschlusses bereits bestehenden und durch den Auftraggeber ausdrücklich bestätigten Subunternehmerverhältnisse des Auftragsverarbeiters sind diesem Vertrag abschließend in Anlage 3 beigefügt. Für die in Anlage 3 aufgezählten Subunternehmer gilt die Zustimmung mit Unterzeichnung dieses Vertrags als erteilt. Beabsichtigt der Auftragsverarbeiter den Einsatz weiterer Subunternehmer, wird er dies dem Auftraggeber in schriftlicher oder elektronischer Form anzeigen, damit dieser deren Einsatz prüfen kann. Erfolgt keine Zustimmung durch den Auftraggeber, dürfen die betroffenen Subunternehmer nicht eingesetzt werden.
- 8.2 Subunternehmer werden vom Auftragsverarbeiter unter Beachtung der gesetzlichen und vertraglichen Vorgaben ausgewählt. Nebenleistungen, die der Auftragsverarbeiter zur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt, stellen keine Unterauftragsverhältnisse dar. Nebentätigkeiten in diesem Sinne sind insbesondere Telekommunikationsleistungen ohne konkreten Bezug zur Hauptleistung, Post- und Transportdienstleistungen, Wartung und Benutzerservice sowie sonstige Maßnahmen, die die Vertraulichkeit Integrität der Hard- und Software sicherstellen sollen und keinen konkreten Bezug zur Hauptleistung aufweisen. Der Auftragsverarbeiter wird jedoch auch bei diesen Drittleistungen die Einhaltung der gesetzlichen Datenschutzstandards sicherstellen.
- 8.3 Sämtliche Verträge zwischen Auftragsverarbeiter und Unterauftragsverarbeiter (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen; dies betrifft insbesondere die Implementierung geeigneter technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO im Betrieb des Subunternehmers. Die Subunternehmerverträge haben darüber hinaus sicherzustellen, dass die im vorliegenden Vertrag vereinbarten Kontroll- und Weisungsbefugnisse durch den Auftraggeber in gleicher Weise und in vollem Umfang auch gegenüber dem Unterauftragsverarbeiter ausgeübt werden können. Der Auftragsverarbeiter ist im Falle einer entsprechenden Aufforderung des Auftraggebers verpflichtet, Auskunft über die datenschutzrechtlich relevanten Verpflichtungen des Subunternehmers zu erteilen und erforderlichenfalls die entsprechenden Vertragsunterlagen oder Kontroll- und Aufsichtsergebnisse sowie entsprechende Dokumentationen, Protokolle und Verzeichnisse des Auftragsverarbeiters einzusehen oder die Übermittlung dieser Unterlagen in Kopie zu verlangen.
- 8.4 Im Vertrag mit dem Subunternehmer ist festzuschreiben, welche Verantwortlichkeiten der Subunternehmer hat, damit der Auftraggeber diese entsprechend überprüfen kann. Ferner muss der Vertrag mit dem Subunternehmer sicherstellen, dass der Auftraggeber ggü. dem Subunternehmer zur Ausübung der gleichen Kontrollrechte, wie ggü. dem Auftragsverarbeiter berechtigt ist. Der Auftragsverarbeiter hat sicherzustellen, dass die vom Auftraggeber erteilten Weisungen auch von den Subunternehmern befolgt und protokolliert werden. Die Einhaltung dieser Pflichten wird vom Auftragsverarbeiter vor Vertragsschluss mit dem Subunternehmer und sodann regelmäßig kontrolliert und dokumentiert.
- 8.5 Die Weiterleitung von Daten an den Unterauftragsverarbeiter ist erst zulässig, wenn der Subunternehmer seine Pflichten nach Art. 32 Abs. 4 und 29 DSGVO ggü. den ihm unterstellten Personen erfüllt hat.
- 8.6 Der Auftragsverarbeiter ist für die Einhaltung der Datenschutzbestimmungen durch die von ihm einge- setzten Unterauftragsverarbeiter verantwortlich. Er haftet ggü. dem Auftraggeber für die Einhaltung der gesetzlichen und vertraglichen Datenschutzpflichten.
- 8.7 Der Auftragsverarbeiter hat sich von seinen Unterauftragsverarbeitern bestätigen zu lassen, dass diese – soweit gesetzlich vorgeschrieben – einen Datenschutzbeauftragten benannt haben.
- 8.8 Die Beauftragung von Subunternehmern in Drittstaaten ist nur zulässig, wenn die gesetzlichen Voraussetzungen der Art. 44 ff. DSGVO gegeben sind und der Auftraggeber zugestimmt hat.
9. Mitteilungspflichten des Auftragsverarbeiters
- 9.1 Verstöße gegen diesen Vertrag, gegen die Weisungen des Auftraggebers oder gegen sonstige datenschutzrechtliche Bestimmungen sind dem Auftraggeber unverzüglich mitzuteilen; das gleiche gilt bei Vorliegen eines entsprechenden begründeten Verdachts. Diese Pflicht gilt unabhängig davon, ob der Verstoß vom Auftragsverarbeiter selbst, einer bei ihm angestellten Person, einem Unterauftragsverarbeiter oder einer sonstigen Person, die er zur Erfüllung seiner vertraglichen Pflichten eingesetzt hat, begangen wurde.
- 9.2 Der Auftragsverarbeiter ist verpflichtet, den Auftraggeber bei der Erfüllung seiner gesetzlichen Informationspflichten nach Art. 33 und 34 DSGVO zu unterstützen. Eigenständige Meldungen an Behörden oder Betroffene nach Art. 33 und 34 DSGVO darf der Auftragsverarbeiter erst nach vorheriger Weisung des Auftraggebers durchführen.
- 9.3 Ersucht ein Betroffener, eine Behörde oder ein sonstiger Dritter den Auftragsverarbeiter um Auskunft, Berichtigung, Sperrung oder Löschung, wird der Auftragsverarbeiter die Anfrage unverzüglich an den Auftraggeber weiterleiten; in keinem Fall wird der Auftragsverarbeiter dem Ersuchen des Betroffenen ohne Zustimmung des Auftraggebers nachkommen.
- 9.4 Der Auftragsverarbeiter wird den Auftraggeber unverzüglich informieren, wenn Aufsichtshandlungen oder sonstige Maßnahmen einer Behörde bevorstehen, von der auch die Verarbeitung, Nutzung oder Er- hebung der durch den Auftraggeber zur Verfügung gestellten personenbezogenen Daten betroffen sein könnten. Darüber hinaus hat der Auftragsverarbeiter den Auftraggeber unverzüglich über alle Ereignis- se oder Maßnahmen Dritter zu informieren, durch die die vertragsgegenständlichen Daten gefährdet oder beeinträchtigt werden könnten.
10. Vertragsbeendigung, Löschung und Rückgabe der Daten
Nach Abschluss der vertragsgegenständlichen Datenverarbeitung bzw. nach Beendigung dieses Vertrags hat der Auftragsverarbeiter alle personenbezogenen Daten nach Wahl des Auftraggebers zu löschen oder zu- rückzugeben, sofern keine gesetzliche Verpflichtung zur Speicherung der betreffenden Daten mehr besteht (z.B. gesetzliche Aufbewahrungsfristen). Der Auftraggeber ist berechtigt, die Maßnahmen des Auftragsverarbeiters in geeigneter Weise zu überprüfen. Hierzu ist er insbesondere berechtigt, die einschlägigen Löschprotokolle und die betroffenen Datenverarbeitungsanlagen vor Ort in Augenschein zu nehmen.
11. Datengeheimnis und Vertraulichkeit
- 11.1 Der Auftragsverarbeiter ist unbefristet und über das Ende dieses Vertrages hinaus verpflichtet, die im Rahmen der vorliegenden Vertragsbeziehung erlangten personenbezogenen Daten vertraulich zu behandeln und einschlägige Geheimnisschutzregeln, denen der Auftraggeber unterliegt (z.B. § 203 StGB), zu beachten. Der Auftraggeber ist verpflichtet, den Auftragsverarbeiter bei Auftragserteilung auf ggf. bestehende besondere Geheimnisschutzregeln hinzuweisen.
- 11.2 Der Auftragsverarbeiter verpflichtet sich, seine Mitarbeiter mit den einschlägigen Datenschutzbestimmungen und Geheimnisschutzregeln vertraut zu machen und sie zur Verschwiegenheit zu verpflichten, bevor diese ihre Tätigkeit beim Auftragsverarbeiter aufnehmen.
- 11.3 Der Auftragsverarbeiter wird die Einhaltung der in dieser Ziffer genannten Maßnahmen in geeigneter Weise dokumentieren. Die Dokumentation ist dem Auftraggeber auf Verlangen vorzulegen.
12. Schlussbestimmungen
- 12.1 Änderungen dieses Vertrags und Nebenabreden bedürfen der schriftlichen oder elektronischen Form, die eindeutig erkennen lässt, dass und welche Änderung oder Ergänzung der vorliegenden Bedingungen durch sie erfolgen soll.
- 12.2 Sollte sich die DSGVO oder sonstige in Bezug genommenen gesetzlichen Regelungen während der Vertragslaufzeit ändern, gelten die hiesigen Verweise auch für die jeweiligen Nachfolgeregelungen.
- 12.3 Sollten einzelne Teile dieser Vereinbarung unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen hiervon unberührt.
- 12.4 Sämtliche Anlagen zu diesem Vertrag sind Vertragsbestandtei
Anlage 1 – Auftragsdetails
Der vorliegende Vertrag umfasst (ggf. im Zusammenhang mit dem Hauptvertrag) folgende Leistungen:
Erstellung, Planung und Ausführung von Werbemaßnahmen für Online- und Printmedien. Server-Hosting und Domains für Internetseiten und Onlineshops.
Im Rahmen der vertraglichen Leistungserbringung werden regelmäßig folgende Datenarten verarbeitet: Personenstammdaten, Kommunikationsdaten (z.B. Telefon, E-Mail),
Bei dem Kreis der von der Datenverarbeitung betroffenen Personen handelt es sich um: Kunden, Mitarbeiter, Interessenten, Dienstleister, Lieferanten
Der Zugriff auf die betroffenen Daten geschieht in folgender Weise: SSL-Verschlüsselt über E-Mail-Client und Browser
Der Auftraggeber unterliegt den Geheimnisschutzregeln von § 203 StGB, die auch vom Auftragsverarbeiter zu beachten sind.
Anlage 2 – Liste der bestehenden technischen und organisatorischen Maßnahmen des Auftragsverarbeiters nach Art. 32 DSGVO
Der Auftragsverarbeiter setzt folgende technische und organisatorische Maßnahmen zum Schutz der vertragsgegenständlichen personenbezogenen Daten um. Die Maßnahmen wurden im Einklang mit Art. 32 DSGVO festgelegt und mit dem Auftraggeber abgestimmt.
I. Zweckbindung und Trennbarkeit
Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden:
physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern Logische Mandantentrennung (softwareseitig)
Berechtigungskonzept
Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden Versehen der Datensätze mit Zweckattributen / Datenfeldern / Signaturen
Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten und abgesicherten IT-System
Trennung von Produktiv- und Testsystem Sonstige:
II. Vertraulichkeit und Integrität
Folgende Maßnahmen gewährleisten die Vertraulichkeit und Integrität der Systeme des Auftragsverarbeiters:
1. Verschlüsselung
Die im Auftrag verarbeiteten Daten bzw. Datenträger werden in folgender Weise verschlüsselt: SSL-Verschlüsselung zum CRM-System
2. Pseudonymisierung
„Pseudonymisierung“ bedeutet, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine Identifizierung der betroffenen Person ohne Hinzuziehung weiterer Informationen ausschließt (z.B. Verwendung von Fantasienamen, die ohne zusätzliche Informationen keiner bestimmten Person zugeordnet werden können).
Nein.
3. Es wurden folgende Maßnahmen getroffen, um Unbefugte am Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu hindern (Zutrittskontrolle):
Alarmanlage
Absicherung von Gebäudeschächten Automatisches Zugangskontrollsystem Chipkarten-/Transponder-Schließsystem
Schließsystem mit Codesperre
Manuelles Schließsystem
Biometrische Zugangssperren Videoüberwachung der Zugänge Lichtschranken / Bewegungsmelder Sicherheitsschlösser
Schlüsselregelung (Schlüsselausgabe etc.) Personenkontrolle beim Pförtner / Empfang Protokollierung der Besucher
Sorgfältige Auswahl von Reinigungspersonal Sorgfältige Auswahl von Wachpersonal Tragepflicht von Berechtigungsausweisen Zutrittskonzept / Besucherregelung Sonstige:
4. Es wurden folgende Maßnahmen getroffen, die die Nutzung der Datensysteme durch unbefugte Dritte verhindern (Zugangskontrolle):
Zuordnung von Benutzerrechten
Erstellen von Benutzerprofilen
Passwortvergabe
Passwort-Richtlinien (regelmäßige Änderung, Mindestlänge, Komplexität etc.) Authentifikation mit biometrischen Verfahren
Authentifikation mit Benutzername / Passwort
Zuordnung von Benutzerprofilen zu IT-Systemen Gehäuseverriegelungen
Einsatz von VPN-Technologie bei der Übertragung von Daten Verschlüsselung mobiler IT-Systeme
Verschlüsselung mobiler Datenträger Verschlüsselung der Datensicherungssysteme Sperren externer Schnittstellen (USB etc.) Sicherheitsschlösser
Schlüsselregelung (Schlüsselausgabe etc.) Personenkontrolle beim Pförtner / Empfang Protokollierung der Besucher
Sorgfältige Auswahl von Reinigungspersonal Sorgfältige Auswahl von Wachpersonal Tragepflicht von Berechtigungsausweisen
Einsatz von Intrusion-Detection-Systemen
Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum externen Löschen von Daten) Einsatz von Anti-Viren-Software
Verschlüsselung von Datenträgern in Laptops / Notebooks
Einsatz einer Hardware-Firewall
Einsatz einer Software-Firewall
Sonstige:
5. Es wurden folgende Maßnahmen getroffen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle):
Berechtigungskonzept
Verwaltung der Rechte durch Systemadministrator
regelmäßige Überprüfung und Aktualisierung der Zugriffsrechte (insb. bei Ausscheiden von Mitarbeitern o.Ä.)
Anzahl der Administratoren ist das „Notwendigste“ reduziert Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
Sichere Aufbewahrung von Datenträgern
physische Löschung von Datenträgern vor Wiederverwendung
ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel) Protokollierung der Vernichtung
Verschlüsselung von Datenträgern
Sonstige:
6. Mit Hilfe folgender Maßnahmen kann nachträglich überprüft und festgestellt werden, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle).
Protokollierung der Eingabe, Änderung und Löschung von Daten
Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können.
Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)
Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
Sonstige:
7. Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle).
Auswahl des Auftragsverarbeiters unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
vorherige Prüfung der und Dokumentation der beim Auftragsverarbeiter getroffenen Sicherheitsmaß- nahmen
schriftliche Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag) Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf das Datengeheimnis Auftragsverarbeiter hat Datenschutzbeauftragten bestellt
Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
Wirksame Kontrollrechte gegenüber dem Auftragsverarbeiter vereinbart laufende Überprüfung des Auftragsverarbeiters und seiner Tätigkeiten Vertragsstrafen bei Verstößen
Sonstige:
8. Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der Weitergabe (physisch und / oder digital) nicht von Unbefugten erlangt oder zur Kenntnis genommen werden können (Transport- bzw. Weitergabekontrolle):
Einsatz von VPN-Tunneln
Verschlüsselung der Kommunikationswege (z.B. Verschlüsselung des EMail-Verkehrs) Verschlüsselung physischer Datenträger bei Transport
Sonstige:
II. Verfügbarkeit, Wiederherstellbarkeit und Belastbarkeit der Systeme
Folgende Maßnahmen gewährleisten, dass die eingesetzten Datenverarbeitungssysteme jederzeit einwandfrei funktionieren und personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind
Unterbrechungsfreie Stromversorgung (USV)
Klimatisierung der Serverräume
Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen Schutzsteckdosenleisten in Serverräumen
Feuer- und Rauchmeldeanlagen in Serverräumen
Feuerlöschgeräte in Serverräumen
Alarmmeldung bei unberechtigten Zutritten zu Serverräumen
Erstellen eines Backup- & Recoverykonzepts
Testen von Datenwiederherstellung
Erstellen eines Notfallplans
Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
Serverräume nicht unter sanitären Anlagen
In Hochwassergebieten: Serverräume über der Wassergrenze belastbares Datensicherungs- und Widerherstellungskonzept vorhanden Sonstige:
III. Besondere Datenschutzmaßnahmen
Es liegen schriftlich vor:
interne Verhaltensregeln Risikoanalyse Datenschutz-Folgenabschätzung Datensicherheitskonzept Wiederanlaufkonzept
Zertifikat: Sonstige:
IV. Überprüfung, Evaluierung und Anpassung der vorliegenden Maßnahmen
Der Auftragsverarbeiter wird die in dieser Anlage niedergelegten technischen und organisatorischen Maß- nahmen im Abstand von 3 Jahren und anlassbezogen, prüfen, evaluieren und bei Bedarf anpassen.
Anlage 3 – Liste der bestehenden Subunternehmer zum Zeitpunkt des Vertragsschlusses
ALPENBLICKDREI Werbeagentur GmbH
Lindauer Straße 25
88069 Tettnang