Datenschutz

Datenschutz

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung.

Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder E-Mail-Adressen) erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben.

Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

Datenschutzerklärung für die Nutzung von Facebook-Plugins (Like-Button)

Auf unseren Seiten sind Plugins des sozialen Netzwerks Facebook, Anbieter Facebook Inc., 1 Hacker Way, Menlo Park, California 94025, USA, integriert. Die Facebook-Plugins erkennen Sie an dem Facebook-Logo oder dem “Like-Button” (“Gefällt mir”) auf unserer Seite. Eine Übersicht über die Facebook-Plugins finden Sie hier: http://developers.facebook.com/docs/plugins/.

Wenn Sie unsere Seiten besuchen, wird über das Plugin eine direkte Verbindung zwischen Ihrem Browser und dem Facebook-Server hergestellt. Facebook erhält dadurch die Information, dass Sie mit Ihrer IP-Adresse unsere Seite besucht haben. Wenn Sie den Facebook “Like-Button” anklicken während Sie in Ihrem Facebook-Account eingeloggt sind, können Sie die Inhalte unserer Seiten auf Ihrem Facebook-Profil verlinken. Dadurch kann Facebook den Besuch unserer Seiten Ihrem Benutzerkonto zuordnen. Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch Facebook erhalten. Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von Facebook unter http://de-de.facebook.com/policy.php.

Wenn Sie nicht wünschen, dass Facebook den Besuch unserer Seiten Ihrem Facebook-Nutzerkonto zuordnen kann, loggen Sie sich bitte aus Ihrem Facebook-Benutzerkonto aus.

Datenschutzerklärung für die Nutzung von Google Analytics

Diese Website nutzt Funktionen des Webanalysedienstes Google Analytics. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA.

Google Analytics verwendet sog. “Cookies”. Das sind Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert.

Mehr Informationen zum Umgang mit Nutzerdaten bei Google Analytics finden Sie in der Datenschutzerklärung von Google: https://support.google.com/analytics/answer/6004245?hl=de

Browser Plugin

Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren: https://tools.google.com/dlpage/gaoptout?hl=de

Widerspruch gegen Datenerfassung

Sie können die Erfassung Ihrer Daten durch Google Analytics verhindern, indem Sie auf folgenden Link klicken. Es wird ein Opt-Out-Cookie gesetzt, dass das Erfassung Ihrer Daten bei zukünftigen Besuchen dieser Website verhindert: Google Analytics deaktivieren

Datenschutzerklärung für die Nutzung von Google+

Unsere Seiten nutzen Funktionen von Google+. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway Mountain View, CA 94043, USA.

Erfassung und Weitergabe von Informationen: Mithilfe der Google+-Schaltfläche können Sie Informationen weltweit veröffentlichen. über die Google+-Schaltfläche erhalten Sie und andere Nutzer personalisierte Inhalte von Google und unseren Partnern. Google speichert sowohl die Information, dass Sie für einen Inhalt +1 gegeben haben, als auch Informationen über die Seite, die Sie beim Klicken auf +1 angesehen haben. Ihre +1 können als Hinweise zusammen mit Ihrem Profilnamen und Ihrem Foto in Google-Diensten, wie etwa in Suchergebnissen oder in Ihrem Google-Profil, oder an anderen Stellen auf Websites und Anzeigen im Internet eingeblendet werden.

Google zeichnet Informationen über Ihre +1-Aktivitäten auf, um die Google-Dienste für Sie und andere zu verbessern. Um die Google+-Schaltfläche verwenden zu können, benötigen Sie ein weltweit sichtbares, öffentliches Google-Profil, das zumindest den für das Profil gewählten Namen enthalten muss. Dieser Name wird in allen Google-Diensten verwendet. In manchen Fällen kann dieser Name auch einen anderen Namen ersetzen, den Sie beim Teilen von Inhalten über Ihr Google-Konto verwendet haben. Die Identität Ihres Google-Profils kann Nutzern angezeigt werden, die Ihre E-Mail-Adresse kennen oder über andere identifizierende Informationen von Ihnen verfügen.

Verwendung der erfassten Informationen: Neben den oben erläuterten Verwendungszwecken werden die von Ihnen bereitgestellten Informationen gemäß den geltenden Google-Datenschutzbestimmungen genutzt. Google veröffentlicht möglicherweise zusammengefasste Statistiken über die +1-Aktivitäten der Nutzer bzw. gibt diese an Nutzer und Partner weiter, wie etwa Publisher, Inserenten oder verbundene Websites.

Datenschutzerklärung für die Nutzung von Instagram

Auf unseren Seiten sind Funktionen des Dienstes Instagram eingebunden. Diese Funktionen werden angeboten durch die Instagram Inc., 1601 Willow Road, Menlo Park, CA, 94025, USA integriert. Wenn Sie in Ihrem Instagram – Account eingeloggt sind können Sie durch Anklicken des Instagram – Buttons die Inhalte unserer Seiten mit Ihrem Instagram – Profil verlinken. Dadurch kann Instagram den Besuch unserer Seiten Ihrem Benutzerkonto zuordnen. Wir weisen darauf hin, dass wir als Anbieter der Seiten keine Kenntnis vom Inhalt der übermittelten Daten sowie deren Nutzung durch Instagram erhalten.

Weitere Informationen hierzu finden Sie in der Datenschutzerklärung von Instagram: http://instagram.com/about/legal/privacy/

Server-Log-Files

Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log Files, die Ihr Browser automatisch an uns übermittelt. Dies sind:

  • Browsertyp/ Browserversion
  • verwendetes Betriebssystem
  • Referrer URL
  • Hostname des zugreifenden Rechners
  • Uhrzeit der Serveranfrage

Diese Daten sind nicht bestimmten Personen zuordenbar. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Wir behalten uns vor, diese Daten nachträglich zu prüfen, wenn uns konkrete Anhaltspunkte für eine rechtswidrige Nutzung bekannt werden.

Widerspruch Werbe-Mails

Der Nutzung von im Rahmen der Impressumspflicht veröffentlichten Kontaktdaten zur Übersendung von nicht ausdrücklich angeforderter Werbung und Informationsmaterialien wird hiermit widersprochen. Die Betreiber der Seiten behalten sich ausdrücklich rechtliche Schritte im Falle der unverlangten Zusendung von Werbeinformationen, etwa durch Spam-E-Mails, vor.

Neue Datenschutzverordnung gültig ab 25.05.2018
Vertrag über die Auftragsverarbeitung
personenbezogener Daten
zwischen der
immoalarm.de GmbH
Isargestade 731
84028 Landshut
vertreten durch vertreten durch
Norbert Arz Geschäftsführer

1 Einleitung, Geltungsbereich, Definitionen
(1) Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.

(2) Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.

(3) In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz- Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2 Gegenstand und Dauer der Verarbeitung

2.1 Gegenstand
Der Auftragnehmer übernimmt folgende Verarbeitungen: Dienstleistungen rund um Digital- und Printmedien bzw. Marketing u.a. auf Social Media Kanälen Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag /Serviceauftrag (im Folgenden „Hauptvertrag“).

2.2 Dauer
Die Verarbeitung beginnt am 25.05.2018 und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder des Hauptvertrags durch eine Partei.

3 Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung:

3.1 Art und Zweck der Verarbeitung
Die Verarbeitung ist folgender Art: Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder
Vernichtung von Daten. Die Verarbeitung dient folgendem Zweck: Hilfestellung beim Marketing

3.2 Art der Daten

Es werden folgende Daten verarbeitet:
Personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO Adressdaten, Geburtsdatum, Krankenkassendaten, Versichertendaten, Gesundheitsdaten gem. Art. 4 Nr. 15 DSGVO

4 Pflichten des Auftragnehmers

(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen,
teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

(2) Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.

(3) Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.

(4) Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich
schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.

(5) Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur
Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.

(6) Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.

Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er
unverzüglich an den Auftraggeber weiterleiten.
(9) Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige
Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten
keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den
Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die
Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter
bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des
Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.
(10) Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche
Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in
Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der
Bestimmungen dieses Vertrags erfolgen.
(11) Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen
verantwortlichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-
Grundverordnung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der
Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.
5 Technische und organisatorische Maßnahmen
(1) Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt.
Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der
Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der
Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein
Seite 3 von 12
Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar
entnommen werden können, ist nicht zulässig.
(2) Die Datensicherheitsmaßnahmen können der technischen und organisatorischen
Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht
unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen
hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber
unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien zu vereinbaren.
(3) Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder
nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.
(4) Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen
Datenbeständen strikt getrennt werden.
(5) Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind
technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier
vereinbarten Datenschutzniveaus ausgeschlossen ist.
(6) Die Verarbeitung von Daten in Privatwohnungen ist nur mit vorheriger schriftlicher Zustimmung
des Auftraggebers im Einzelfall gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom
Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an
Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten
Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privatwohnungen
ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter
keinen Umständen gestattet.
(7) Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt
werden, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind
jederzeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein.
Ein- und Ausgänge werden dokumentiert.
(8) Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten,
insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen
Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis ist dem Auftraggeber spätestens alle 12
Monate unaufgefordert und sonst jederzeit auf Anforderung zu überlassen. Der Nachweis kann
durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht
werden.
6 Regelungen zur Berichtigung, Löschung und Sperrung von Daten
(1) Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der
getroffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen,
löschen oder sperren.
(2) Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch
über die Beendigung dieses Vertrages hinaus Folge leisten.
7 Unterauftragsverhältnisse
(1) Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers
im Einzelfall zugelassen.
(2) Die Zustimmung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens
Datenschutzpflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar
Seite 4 von 12
sind. Der Auftraggeber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen
Auftragnehmer und Subunternehmer.
(3) Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt
werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier
festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte
durchführen zu lassen.
(4) Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind eindeutig
voneinander abzugrenzen.
(5) Eine weitere Subbeauftragung durch den Subunternehmer ist nicht zulässig.
(6) Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung
der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig
aus.
(7) Die Weiterleitung von im Auftrag verarbeiteten Daten an den Subunternehmer ist erst zulässig,
wenn sich der Auftragnehmer dokumentiert davon überzeugt hat, dass der Subunternehmer
seine Verpflichtungen vollständig erfüllt hat. Der Auftragnehmer hat dem Auftraggeber die
Dokumentation unaufgefordert vorzulegen.
(8) Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus
dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 4 (10) und (11)
dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und
solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer
teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet
und wie ein Nachweis hierüber zu erlangen ist.
(9) Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig,
spätestens alle 12 Monate, angemessen zu überprüfen. Die Prüfung und ihr Ergebnis sind so
aussagekräftig zu dokumentieren, dass sie für einen fachkundigen Dritten nachvollziehbar sind.
Die Dokumentation ist dem Auftraggeber unaufgefordert vorzulegen.
(10) Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der
Auftragnehmer gegenüber dem Auftraggeber.
(11) Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten
Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten
Umfang beschäftigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen
Pflichten des Auftragnehmers gegenüber Subunternehmern bleiben unberührt.
(12) Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen
direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie
beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von
Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des
Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit
sicherzustellen, bleibt unberührt.
8 Rechte und Pflichten des Auftraggebers
(1) Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der
Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
(2) Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen
können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber
unverzüglich dokumentiert bestätigen.
Seite 5 von 12
(3) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder
Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
(4) Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der
vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch
Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die
gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort
zu kontrollieren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit
erforderlich Zutritt und Einblick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche
Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung
einer Kontrolle erforderlich sind.
(5) Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu
erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders
angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des
Auftragnehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den
Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5
(8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.
9 Mitteilungspflichten
(1) Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten
unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat
spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis
an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben
enthalten:
a. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten,
soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen
Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen
personenbezogenen Datensätze;
b. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen
Anlaufstelle für weitere Informationen;
c. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes
personenbezogener Daten;
d. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen
Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und
gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen
Auswirkungen
(2) Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie
Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen
datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
(3) Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen
von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung
aufweisen.
(4) Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34
Datenschutz-Grundverordnung im erforderlichen Umfang zu unterstützen.
Seite 6 von 12
10 Weisungen
(1) Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes
Weisungsrecht vor.
(2) Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen
ausschließlich befugten Personen in Anlage 3.
(3) Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der
anderen Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.
(4) Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine
vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften
verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung
solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder
geändert wird.
(5) Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.
11 Beendigung des Auftrags
(1) Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der
Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu
vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche
vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung
auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische
Vernichtung erfolgt gemäß DIN 66399. Hierbei gilt mindestens Schutzklasse 1.
(2) Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei
Subunternehmern herbeizuführen.
(3) Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem
Auftraggeber unverzüglich vorzulegen.
(4) Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind
durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das
Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei
Vertragsende übergeben.
12 Vergütung
Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte
Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.
13 Haftung
(1) Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen
Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und
Auftragnehmer als Gesamtschuldner.
(2) Der Auftragnehmer trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu
vertretenden Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung
verarbeitet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auftragnehmer den
Auftraggeber auf erste Anforderung von allen Ansprüchen frei, die im Zusammenhang mit der
Auftragsverarbeitung gegen den Auftraggeber erhoben werden. Unter diesen Voraussetzungen
ersetzt der Auftragnehmer dem Auftraggeber ebenfalls sämtliche entstandenen Kosten der
Rechtsverteidigung.
Seite 7 von 12
(3) Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine
Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm
eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten
vertraglichen Leistung schuldhaft verursachen.
(4) Nummern (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der
beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.
14 Sonderkündigungsrecht
(1) Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung
einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des
Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung
vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann
oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.
(2) Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser
Vereinbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und
organisatorischen Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.
(3) Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist
zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen
Kündigung wie in diesem Abschnitt beschrieben berechtigt.
(4) Der Auftragnehmer hat dem Auftraggeber alle Kosten zu erstatten, die diesem durch die
verfrühte Beendigung des Hauptvertrages oder dieses Vertrages in Folge einer
außerordentlichen Kündigung durch den Aufraggeber entstehen.
15 Sonstiges
(1) Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse
von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch
über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine
Information der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die
andere Partei als vertraulich zu behandeln.
(2) Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch
Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch
sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich
zu verständigen.
(3) Für Nebenabreden ist die Schriftform erforderlich.
(4) Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag
verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
(5) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der
Vereinbarung im Übrigen nicht.
Unterschriften
Ort, Datum Ort, Datum
Seite 8 von 12
Seite 9 von 12
Anlage 1 – technische und
organisatorische Maßnahmen
Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von
Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und
laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit,
Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.
Die Maßnahmen müssen im Interesse beider Parteien so konkret wie möglich beschrieben werden! Sie sind Maßstab für Kontrollen
durch den Auftraggeber und auch für die Frage entscheidend, ob möglicherweise ein Pflichtverstoß vorliegt. In dieser Anlage wird ganz
maßgeblich festgelegt, was der Auftragnehmer zu leisten und nachzuweisen hat und was nicht. Unklare oder interpretationsfähige
Umschreibungen sind dringend zu vermeiden!
Für die Vernichtung gem. DIN 66399 gilt Schutzklasse 1.