Allgemeine Geschäftsbedingungen
§ 1 Allgemeines
(1) Diese Geschäftsbedingungen gelten für alle Verträge, Lieferungen und sonstigen Leistungen der Supporter-Team GmbH, Friedrich-Ebert-Straße 79, 34119 Kassel (nachstehend: „Verkäuferin“), die über deren Webpräsenz supporter-team.de und smarthome-nordhessen.de und alle zur Domain gehörenden Sub-Domains abgeschlossen werden. Abweichende Vorschriften der Kunden gelten nicht, es sei denn, die Verkäuferin hat dies schriftlich bestätigt. Individuelle Abreden zwischen der Verkäuferin und den Kunden haben stets Vorrang.
(2) Die Geschäftsbeziehungen zwischen der Verkäuferin und den Kunden unterliegen dem Recht der Bundesrepublik Deutschland. Bei Verbrauchern gilt diese Rechtswahl nur insoweit, als nicht der gewährte Schutz durch zwingende Bestimmungen des Rechts des Staates, in dem der Verbraucher seinen gewöhnlichen Aufenthalt hat, entzogen wird. Die Geltung von UN Kaufrecht ist ausgeschlossen.
(3) Die Vertragssprache ist deutsch.
(4) Gerichtsstand ist Kassel, soweit der Kunde Kaufmann ist oder eine juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen. Dasselbe gilt, wenn ein Kunde keinen allgemeinen Gerichtsstand in Deutschland hat oder der Wohnsitz oder gewöhnlichen Aufenthalt im Zeitpunkt der Klageerhebung nicht bekannt sind.
§ 2 Vertragsinhalte und Vertragsschluss
(1) Die Verkäuferin bietet den Kunden über supporter-team.de und smarthome-nordhessen.de neue und gebrauchte Waren, vor allem Computer, Computerzubehör, Software und Schulungsdienstleistungen, zum Kauf an.
(2) Beim Einkauf im Online-Shop kommt ein Kaufvertrag durch die Annahme der Bestellung des Kunden durch die Verkäuferin zustande. Preisauszeichnungen auf supporter-team.de und smarthome-nordhessen.de stellen kein Angebot im Rechtssinne dar. Der Eingang und die Annahme der Bestellung werden dem Kunden per E-Mail bestätigt.
(3) Der Kunde hat außerdem die Möglichkeit, telefonisch oder per E-Mail, Fax oder Brief bei der Verkäuferin wegen eines bestimmten Artikels oder einer bestimmten Dienstleistung anzufragen. Nach Erhalt einer solchen Anfrage unterbreitet die Verkäuferin dem Kunden ein entsprechendes Angebot per E-Mail, Brief oder Fax. Ein Vertrag kommt erst dann zustande, wenn der Kunde dieses Angebot annimmt.
(4) Der Vertragstext wird gespeichert.
§ 3 Preise, Versandkosten, Umsatzsteuer und Zahlung
(1) Bei Bestellungen über supporter-team.de und smarthome-nordhessen.de gelten die dort angegebenen Preise. Sämtliche Preise beinhalten die gesetzliche Umsatzsteuer.
(2) Die Preise verstehen sich zzgl. Versand- und Verpackungskosten, die dem Kunden vor Abgabe der Bestellung bekannt gegeben werden.
(3) Die Belieferung der Kunden durch die Verkäuferin erfolgt nach Wunsch des Kunden gegen folgende Zahlungsmethoden: Vorkasse (durch Überweisung), gegen Nachnahme, EC-Karte / Lastschriftverfahren und auf Rechnung.
Bei Lieferung auf Rechnung ist die Zahlung spätestens 14 Kalendertage nach Rechnungsstellung fällig.
Erfolgt die Zahlung per Nachnahme, so ist der Kaufpreis zzgl. Versandkosten und Nachnahmegebühren bei Anlieferung und Vorlage des Nachnahmescheins durch das beauftragte Transportunternehmen fällig.
(3) Kommt ein Kunde mit seinen Zahlungsverpflichtungen in Verzug, so kann die Verkäuferin Schadensersatz nach den gesetzlichen Bestimmungen verlangen und / oder vom Vertrag zurücktreten.
(4) Die Verkäuferin stellt dem Kunden stets eine Rechnung aus, die ihm bei Lieferung der Ware ausgehändigt wird oder sonst in Textform zugeht.
§ 4 Lieferung und Gefahrübergang
(1) Die bestellten Waren werden, sofern vertraglich nicht abweichend vereinbart, an die vom Kunden angegebene Adresse geliefert. Die Lieferung erfolgt aus dem Lager der Verkäuferin.
(2) Die Verfügbarkeit der einzelnen Waren ist in den Artikelbeschreibungen angegeben. Am Lager vorhandene Ware versendet die Verkäuferin, sofern nicht ausdrücklich abweichend vereinbart, innerhalb von 7 Werktagen nach Vertragsschluss (bei Vorkasse durch Überweisung: innerhalb von 7 Werktagen nach Zahlungseingang). Ist bei einem Verkauf über die Webseite die Ware als nicht vorrätig gekennzeichnet, so bemüht sich die Verkäuferin um eine schnellstmögliche Lieferung. Angaben der Verkäuferin zur Lieferfrist sind unverbindlich, sofern nicht ausnahmsweise der Liefertermin von der Verkäuferin verbindlich zugesagt wurde.
(3) Die Verkäuferin behält sich vor, eine Teillieferung vorzunehmen, sofern dies für eine zügige Abwicklung vorteilhaft erscheint und die Teillieferung für den Kunden nicht ausnahmsweise unzumutbar ist. Durch Teillieferungen entstehende Mehrkosten werden dem Kunden nicht in Rechnung gestellt.
(4) Die Verkäuferin behält sich vor, sich von der Verpflichtung zur Erfüllung des Vertrages zu lösen, wenn die Ware durch einen Lieferanten zum Tag der Auslieferung anzuliefern ist und die Anlieferung ganz oder teilweise unterbleibt. Dieser Selbstbelieferungsvorbehalt gilt nur dann, wenn die Verkäuferin das Ausbleiben der Anlieferung nicht zu vertreten hat. Die Verkäuferin hat das Ausbleiben der Leistung nicht zu vertreten, soweit rechtzeitig mit dem Zulieferer ein sog. kongruentes Deckungsgeschäft zur Erfüllung der Vertragspflichten abgeschlossen wurde. Wird die Ware nicht geliefert, wird die Verkäuferin den Kunden unverzüglich über diesen Umstand informieren und einen bereits gezahlten Kaufpreis sowie Versandkosten erstatten.
(5) Die Gefahr des zufälligen Untergangs und der zufälligen Verschlechterung der Ware geht mit der Übergabe auf den Kunden über. Ist der Kunde Unternehmer, so geht beim Versendungskauf die Gefahr des zufälligen Untergangs und der zufälligen Verschlechterung der Ware sowie die Verzögerungsgefahr bereits mit Auslieferung der Ware an den Spediteur, den Frachtführer oder die sonst zur Ausführung der Versendung bestimmte Person über.
§ 5 Widerrufsbelehrung gem. § 312 d i. V. m. §§ 355 ff. BGB
(1) Widerrufsrecht:
Ein Kunde kann seine Vertragserklärung innerhalb von einem Monat ohne Angabe von Gründen in Textform (z. B. Brief, Fax, E-Mail) oder – wenn ihm die Sache vor Fristablauf überlassen wird – durch Rücksendung der Sache widerrufen. Die Frist beginnt nach Erhalt dieser Belehrung in Textform, jedoch nicht vor Eingang der Ware beim Empfänger (bei der wiederkehrenden Lieferung gleichartiger Waren nicht vor Eingang der ersten Teillieferung) und auch nicht vor Erfüllung der Informationspflichten gemäß § 312c Abs. 2 BGB i.V.m. § 1 Abs. 1, 2 und 4 BGB-InfoV durch den Verkäufer sowie seiner Pflichten gemäß § 312e Abs. 1 Satz 1 BGB i.V.m. § 3 BGB-InfoV. Zur Wahrung der Widerrufsfrist genügt die rechtzeitige Absendung des Widerrufs oder der Sache. Der Widerruf ist zu richten an:
Supporter-Team GmbH
Friedrich-Ebert-Straße 79
34119 Kassel
E-Mail: info@supporter-team.de
Fax: (+49) 561-941 20 69
(2) Widerrufsfolgen:
Im Falle eines wirksamen Widerrufs sind die beiderseits empfangenen Leistungen zurückzugewähren und ggf. vom Verkäufer gezogene Nutzungen (z.B. Zinsen) herauszugeben. Kann ein Kunde die empfangene Leistung ganz oder teilweise nicht oder nur in verschlechtertem Zustand an den Verkäufer zurückgewähren, muss er dem Verkäufer insoweit ggf. Wertersatz leisten. Bei der Überlassung von Sachen gilt dies nicht, wenn die Verschlechterung der Sache ausschließlich auf deren Prüfung – wie sie dem Kunden etwa im Ladengeschäft möglich gewesen wäre – zurückzuführen ist. Für die Verschlechterung der Sache muss der Kunde keinen Wertersatz leisten.
Paketversandfähige Sachen sind auf Gefahr des Verkäufers zurückzusenden. Der Kunde hat die Kosten der Rücksendung zu tragen, wenn die gelieferte Ware der bestellten entspricht und wenn der Preis der zurückzusendenden Sache einen Betrag von 40 Euro nicht übersteigt oder wenn der Kunde bei einem höheren Preis der Sache zum Zeitpunkt des Widerrufs noch nicht die Gegenleistung oder eine vertraglich vereinbarte Teilzahlung erbracht hat. Anderenfalls ist die Rücksendung für den Kunden kostenfrei. Nicht paketversandfähige Sachen werden beim Kunden abgeholt. Verpflichtungen zur Erstattung von Zahlungen müssen innerhalb von 30 Tagen erfüllt werden. Die Frist beginnt für den Kunden mit der Absendung der Widerrufserklärung oder der Sache, für den Verkäufer mit deren Empfang.
§ 6 Besondere Hinweise
(1) Das Widerrufsrecht besteht nicht bei Fernabsatzverträgen:
1. zur Lieferung von Waren, die nach Kundenspezifikation [MS1] angefertigt werden oder eindeutig auf die persönlichen Bedürfnisse zugeschnitten sind oder die auf Grund ihrer Beschaffenheit nicht für eine Rücksendung geeignet sind oder schnell verderben können oder deren Verfalldatum überschritten würde,
2. zur Lieferung von Audio- oder Videoaufzeichnungen oder von Software[MS2] , sofern die gelieferten Datenträger vom Verbraucher entsiegelt worden sind,
3. zur Erbringung telekommunikationsgestützter Dienste, die auf Veranlassung des Verbrauchers unmittelbar per Telefon oder Telefax in einem Mal erbracht werden[MS3] , sofern es sich nicht um Finanzdienstleistungen handelt.
(2) Ihr Widerrufsrecht erlischt bei Verträgen über die Erbringung von Dienstleistungen vorzeitig, wenn der Vertrag von beiden Seiten auf Ihren ausdrücklichen Wunsch vollständig erfüllt ist, bevor Sie Ihr Widerrufsrecht ausgeübt haben.
[Ende der Widerrufsbelehrung]
§ 6 Kosten der Rücksendung
Der Kunde, der Verbraucher ist, hat die Kosten der Rücksendung im Falle eines Widerrufs zu tragen, wenn die gelieferte Ware der bestellten entspricht und wenn der Preis der zurückzusendenden Sache einen Betrag von 40 Euro nicht übersteigt oder wenn der Kunde bei einem höheren Preis der Sache zum Zeitpunkt des Widerrufs noch nicht die Gegenleistung oder eine vertraglich vereinbarte Teilzahlung erbracht hat.
§ 7 Testlieferung und Demonstrationsversionen
Für Testzwecke gelieferte Gegenstände (Hardware, Software einschließlich Datenträger, Dokumentation) sind Eigentum von Supporter-Team. Sie sind pfleglich zu behandeln und auf Verlangen jederzeit an Supporter-Team herauszugeben. Auf Demonstrationsversionen enthaltene technische Nutzungsbeschränkungen dürfen nicht ausgeschaltet oder umgangen werden.
§ 8 Eigentumsvorbehalt
Die gelieferten Waren bleiben bis zur Erfüllung aller Forderungen aus dem Vertrag im Eigentum der Verkäuferin; im Fall, dass der Kunde eine juristische Person des öffentlichen Rechts, ein öffentlich-rechtliches Sondervermögen oder ein Unternehmer in Ausübung seiner gewerblichen oder selbstständigen beruflichen Tätigkeit ist, auch darüber hinaus aus der laufenden Geschäftsbeziehung bis zum Ausgleich aller Forderungen, die der Verkäuferin im Zusammenhang mit dem Vertrag zustehen.
§ 9 Aufrechnung, Zurückbehaltungsrecht
(1) Das Recht zur Aufrechnung steht dem Kunden nur zu, wenn seine Gegenansprüche von der Verkäuferin anerkannt oder rechtskräftig festgestellt sind.
(2) Zur Ausübung eines Zurückbehaltungsrechts ist der Kunde nur insoweit befugt, als sein Gegenanspruch auf demselben Vertragsverhältnis beruht.
§ 10 Haftung für Sach- und Rechtsmängel
(1) Soweit Mängel vorliegen, stehen dem Kunden nach Maßgabe der folgenden Bestimmungen die gesetzlichen Gewährleistungsrechte zu.
Sind an dem Vertrag nur Kaufleute beteiligt, so gelten ergänzend die §§ 377 ff. HGB.
(2) Schäden, die durch unsachgemäße Handlungen des Kunden bei Aufstellung, Anschluss, Bedienung oder Lagerung der Ware hervorgerufen werden, begründen keinen Gewährleistungsanspruch gegen die Verkäuferin.
Hinweise zur ordnungsgemäßen Behandlung kann der Kunde den Herstellerbeschreibungen entnehmen.
(3) Mängel sind vom Kunden innerhalb einer Gewährleistungsfrist von zwei Jahren bei neuen Sachen bzw. von einem Jahr bei gebrauchten Sachen gegenüber der Verkäuferin zu rügen.
Ist der Kunde Unternehmer, so beträgt die Gewährleistungsfrist bei neuen Sachen ein Jahr. Bei gebrauchten Sachen ist die Gewährleistung gegenüber Unternehmern ausgeschlossen.
Die vorstehenden Haftungsbeschränkungen gelten nicht, soweit die Verkäuferin einen Mangel arglistig verschwiegen oder eine Garantie für die Beschaffenheit der Ware übernommen hat. Die vorstehenden Haftungsbeschränkungen gelten auch nicht für Schadensersatzansprüche des Kunden, die auf Ersatz eines Köper- oder Gesundheitsschadens wegen eines von der Verkäuferin zu vertretenden Mangels gerichtet oder die auf vorsätzliches oder grob fahrlässiges Verschulden der Verkäuferin oder ihrer Erfüllungsgehilfen gestützt sind.
(4) Liegen Mängel vor und wurden diese rechtzeitig geltend gemacht, ist die Verkäuferin zur Nacherfüllung berechtigt. Schlägt die Nacherfüllung fehl, ist der Kunde berechtigt, den Kaufpreis zu mindern oder vom Vertrag zurückzutreten. Im Übrigen gelten die gesetzlichen Bestimmungen.
§ 10 Informationspflichten bei Transportschäden
Werden Waren mit offensichtlichen Schäden an der Verpackung oder am Inhalt angeliefert, so soll der Kunde dies unbeschadet seiner Gewährleistungsrechte (§ 7) sofort beim Spediteur/Frachtdienst reklamieren und unverzüglich durch eine E-Mail oder auf sonstige Weise (Fax/Post) mit der Verkäuferin Kontakt aufnehmen, damit diese etwaige Rechte gegenüber dem Spediteur/ Frachtdienst wahren kann.
§ 11 Haftungsausschluss
(1) Außerhalb der Haftung für Sach- und Rechtsmängel haftet die Verkäuferin unbeschränkt, soweit die Schadensursache auf Vorsatz oder grober Fahrlässigkeit beruht. Sie haftet auch für die leicht fahrlässige Verletzung von wesentlichen Pflichten (Pflichten, deren Verletzung die Erreichung des Vertragszwecks gefährdet) sowie für die Verletzung von Kardinalpflichten (Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglicht und auf deren Einhaltung der Kunde regelmäßig vertraut), jedoch jeweils nur für den vorhersehbaren, vertragstypischen Schaden. Für die leicht fahrlässige Verletzung anderer als der vorstehenden Pflichten haftet die Verkäuferin nicht.
(2) Die Haftungsbeschränkungen des vorstehenden Absatzes gelten nicht bei der Verletzung von Leben, Körper und Gesundheit, für einen Mangel nach Übernahme einer Garantie für die Beschaffenheit des Produktes und bei arglistig verschwiegenen Mängeln. Die Haftung nach dem Produkthaftungsgesetz bleibt unberührt.
(3) Ist die Haftung der Verkäuferin ausgeschlossen oder beschränkt, so gilt dies ebenfalls für die persönliche Haftung ihrer Angestellten, Vertreter und Erfüllungsgehilfen.
§ 11 Datenschutz
(1) Dem Kunden ist bekannt und er willigt darin ein, dass die zur Abwicklung des Auftrags erforderlichen persönlichen Daten von der Verkäuferin auf Datenträgern gespeichert werden. Der Kunde stimmt der Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten ausdrücklich zu. Die gespeicherten persönlichen Daten werden von der Verkäuferin selbstverständlich vertraulich behandelt. Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten des Kunden erfolgt unter Beachtung des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG).
(2) Dem Kunden steht das Recht zu, seine Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Verkäuferin ist in diesem Fall zur sofortigen Löschung der persönlichen Daten des Kunden verpflichtet. Bei laufenden Bestellvorgängen erfolgt die Löschung nach Abschluss des Bestellvorgangs.
Vereinbarung zur Verarbeitung von Daten im Auftrag
zwischen
Name Verantwortlicher
Straße
PLZ Ort
Zuständiger Ansprechpartner: Vorname Nachname
– Verantwortlicher –
und
Supporter-Team GmbH Kassel
Friedrich-Ebert-Straße 79
34119 Kassel
Zuständiger Ansprechpartner: Christian Dolk
– Auftragsverarbeiter –
Präambel
Führt ein Auftragsverarbeiter Leistungen im Auftrag seines Vertragspartners (Verantwortlicher) aus, müssen die Anforderungen der jeweils gültigen Datenschutzgesetze Berücksichtigung finden und insbesondere bei den Verarbeitungstätigkeiten ein angemessenes Datenschutzniveau garantiert sein. Die vorliegende Vereinbarung berücksichtigt die besonderen Anforderungen aus der EU-Datenschutzgrundverordnung[1].
Diese Vereinbarung ersetzt die bisherige Vereinbarung vom .
§ 1 Gegenstand des Auftrags
(1) Der Verantwortliche beauftragt den Auftragsverarbeiter mit der Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten.
(2) Der Gegenstand des Auftrags und damit der Zweck, die Art und der Umfang der Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten
– ergibt sich aus dem zugrundeliegenden Hauptvertrag vom
– ist die Durchführung der folgenden Aufgabe(n) durch den Auftragsverarbeiter:
Allgemeine administrative Tätigkeiten und Wartung der IT-Ressourcen inklusive der Hard- und Software des Auftraggebers mittels Arbeitseinsätzen vor Ort oder auch per Fernwartung
ist die (Fern-)Wartung von Systemen, wobei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
(3) Die Verarbeitung und Nutzung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen und darf nur erfolgen, wenn die besonderen Voraussetzungen der einschlägigen Datenschutzgesetze erfüllt sind.
§ 2 Dauer des Auftrags
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrages.
Der Auftrag wird zur einmaligen Ausführung erteilt.
Der Auftrag wird bis zum [ ] erteilt.
Der Auftrag ist unbefristet erteilt und kann von beiden Parteien mit einer Frist von Monat(en) zum Quartalsende gekündigt werden. Die Möglichkeit zur fristlosen Kündigung bleibt hiervon unberührt.
§ 3 Art der Daten
Gegenstand der Erhebung, Verarbeitung und/ oder Nutzung personenbezogener Daten sind Daten aus den folgenden Datenartenkategorien:
[] Abrechnungsdaten
[] Adressdaten
[] Bankverbindungsdaten
[] Bestelldaten
[] Biometrische Daten
[] Bonitätsdaten
[] Funktionsbezeichnung
[] Geburtsdatum
[] Gesundheitsdaten
[] Interessen
[] IT-Nutzungsdaten
[] Kontaktdaten
[] Kundenhistorie
[] Lohn- und Gehaltsdaten
[] Name
[] Personalstammdaten
[] Planungsdaten
[] Protokolldaten
[] Qualifikationsdaten
[] Sozialversicherungsdaten
[] Telefonate
[] Vertragsdaten
[] Vertragsstammdaten
[] Videoaufzeichnungen
[] Zahlungsdaten
[] Zeiterfassungsdaten
§ 4 Kreis der Betroffenen
Der Kreis, der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen, umfasst folgende Kategorien:
[] Mitarbeiter/ Rentner
[] Lieferanten
[] Veranstaltungsteilnehmer
[] Bewerber
[] Handelsvertreter
[] Abonnenten
[] Dienstleister
[] Ansprechpartner
[] Patienten
[] Kunden/ Mandanten
[] Besucher/ Gäste
[] Passanten
[] Interessenten
[] Webseitenbesucher
§ 5 Technisch-organisatorische Maßnahmen
(1) Der Auftragsverarbeiter hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Verantwortlichen zur Prüfung zu übergeben (Anlage 1„Technisch-organisatorische Maßnahmen“). Bei Akzeptanz durch den Verantwortlichen werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ ein Audit des Verantwortlichen einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen. Die technisch-organisatorischen Maßnahmen sollen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie die Systembelastbarkeit im Zuge der Datenverarbeitung sicherstellen. Aus den angegebenen Maßnahmen muss ein angemessenes Sicherheitsniveau ableitbar sein. Der Auftragsverarbeiter hat den Verantwortlichen bei der Ergreifung technisch-organisatorischer Maßnahmen bestmöglich zu unterstützen.
(2) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
§ 6 Berichtigung, Sperrung, Einschränkung und Löschung von Daten
Der Auftragsverarbeiter hat nur nach Weisung des Verantwortlichen die Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen, einzuschränken oder zu sperren. Soweit ein Betroffener sich unmittelbar an den Auftragsverarbeiter zwecks Auskunft, Berichtigung oder Löschung seiner Daten wenden sollte, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterleiten.
§ 7 Kontrollen und sonstige Pflichten des Auftragsverarbeiters
Der Auftragsverarbeiter hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags folgende Pflichten:
a) Schriftliche Benennung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten. Dessen Kontaktdaten werden dem Verantwortlichen zum Zweck der direkten Kontaktaufnahme mitgeteilt.
b) Die Wahrung der Vertraulichkeit. Der Auftragsverarbeiter setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Dies umfasst auch die besonderen Bestimmungen zum Fernmeldegeheimnis nach § 3 TTDSG, Sozialgeheimnis nach § 35 SGB I und anderer Berufsgeheimnisse nach § 203 StGB, sofern sie im Rahmen dieser Auftragsverarbeitung relevant sind.
c) Der Auftragsverarbeiter hat den Verantwortlichen bei seiner Pflicht zur Wahrung der Betroffenenrechte zu unterstützen. Dies ist durch geeignete organisatorische Maßnahmen zu gewährleisten.
d) Sofern den Verantwortlichen aufgrund eines voraussichtlich hohen Risikos der Verarbeitung die Pflicht zur Datenschutz-Folgenabschätzung trifft, hat der Auftragsverarbeiter ihn hierbei zu unterstützen. Dies gilt ebenso für die Pflicht zur vorherigen Konsultation der Aufsichtsbehörde, sofern sich eine solche aus der vorangegangenen Folgenabschätzung ergibt.
e) Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde beim Auftragsverarbeiter ermittelt.
f) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Verantwortlichen. Hierzu kann der Auftragsverarbeiter auch aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) oder andere hinreichende Garantien vorlegen.
§ 8 Unterauftragsverhältnisse
(1) Soweit bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten des Verantwortlichen Unterauftragsverarbeiter für die vorliegende Verarbeitung von Daten im Auftrag einbezogen werden sollen, wird dies genehmigt, wenn folgende Voraussetzungen vorliegen:
a) Der Auftragsverarbeiter hat den Verantwortlichen bei jeder Hinzuziehung oder Änderung von Unterauftragsverhältnissen rechtzeitig vorab zu informieren. Der Verantwortliche hat das Recht, einzelnen Unterauftragsvergaben oder Änderungen zu widersprechen.
b) Der Auftragsverarbeiter hat die vertraglichen Vereinbarungen mit dem/ den Unterauftragsverarbeiter(n) so zu gestalten, dass sie den Datenschutzbestimmungen im Vertragsverhältnis zwischen Auftragsverarbeiter und Verantwortlichem entsprechen. Es müssen hinreichende Garantien dafür geboten sein, dass die technischen und organisatorischen Maßnahmen den Anforderungen an die rechtmäßige Datenverarbeitung genügen.
c) Bei der Unterbeauftragung ist dem Verantwortlichen das Recht einzuräumen, vom Auftragsverarbeiter auf schriftliche Anforderung Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen, zu erhalten.
(2) Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazuzählen z. B. Telekommunikationsleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer etc. Der Auftragsverarbeiter ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Verantwortlichen auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
(3) Der Auftragsverarbeiter setzt die in Anlage 2 „Unterauftragsverarbeiter“ genannten Unterauftragsverarbeiter ein.
§ 9 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche hat das Recht, eine Auftragskontrolle mit dem Auftragsverarbeiter durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Er hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch den Auftragsverarbeiter und dessen Pflichten nach Art. 28 EU-DSGVO in dessen Geschäftsbetrieb zu überzeugen. Der Auftragsverarbeiter verpflichtet sich, dem Verantwortlichen auf Anforderung die zur Wahrung seiner Pflichten nach Art. 28 EU-DSGVO erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen.
(2) Im Hinblick auf die Kontrollverpflichtungen des Verantwortlichen vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt der Auftragsverarbeiter sicher, dass sich der Verantwortliche von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann. Hierzu weist der Auftragsverarbeiter dem Verantwortlichen auf Anfrage die Umsetzung der technischen und organisatorischen Maßnahmen nach. Dabei kann der Nachweis der Umsetzung solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz) oder durch andere hinreichende Garantien erbracht werden.
§ 10 Mitteilung bei Verstößen des Auftragsverarbeiters
(1) Der Auftragsverarbeiter erstattet in allen Fällen dem Verantwortlichen unverzüglich eine Meldung, wenn durch ihn oder die bei ihm beschäftigten Personen Verstöße gegen Vorschriften zum Schutz personenbezogener Daten des Verantwortlichen oder gegen die im Auftrag getroffenen Festlegungen vorgefallen sind.
(2) Es ist dem Auftragsverarbeiter bekannt, dass Informationspflichten im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten bestehen können. Deshalb sind solche Vorfälle ohne Ansehen der Verursachung unverzüglich dem Verantwortlichen mitzuteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Verantwortlichen. Der Auftragsverarbeiter hat im Benehmen mit dem Verantwortlichen angemessene Maßnahmen zur Sicherung der Daten sowie zur Minderung möglicher nachteiliger Folgen für Betroffene zu ergreifen.
(3) Soweit den Verantwortlichen Melde- und/oder Benachrichtigungspflichten treffen, hat der Auftragsverarbeiter ihn hierbei zu unterstützen. Dies gilt sowohl für die Meldung einer etwaigen Pflichtverletzung gegenüber der Aufsichtsbehörde als auch für die Benachrichtigung der von der Verletzung des Schutzes personenbezogenen Daten betroffenen Personen.
§ 11 Weisungsbefugnis des Verantwortlichen
(1) Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach dokumentierter Weisung des Verantwortlichen, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger schriftlicher Zustimmung durch den Verantwortlichen erteilen.
(2) Mündliche Weisungen wird der Verantwortliche unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen. Der Auftragsverarbeiter verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Verantwortlichen nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
(3) Der Auftragsverarbeiter hat den Verantwortlichen unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch eine beim Verantwortlichen befugte Person bestätigt oder geändert wird.
§ 12 Löschung von Daten und Rückgabe von Datenträgern
(1) Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Verantwortlichen – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragsverarbeiter sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Verantwortlichen auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
(2) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragsverarbeiter entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Verantwortlichen übergeben.
§ 13 Haftung
Für Schäden des Verantwortlichen durch schuldhafte Verstöße des Auftragsverarbeiters oder etwaiger Unterauftragsverarbeiter gegen diesen Vertrag sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen gelten die gesetzlichen Haftungsregelungen. Etwaige Haftungsbegrenzungen zwischen den Parteien (z.B. aus dem Hauptvertrag) finden auf diese Vereinbarung Anwendung.
§ 14 Kostenregelung
(1) Dem Auftragsverarbeiter wird das Recht eingeräumt, etwaige Aufwände, die seinerseits durch diese Vereinbarung entstehen, dem Verantwortlichen in Rechnung zu stellen. Diese Regelung bezieht sich auf Aufwände im Zusammenhang mit
a) der Unterstützung des Verantwortlichen bei Datenschutz-Folgeabschätzungen gemäß §7 lit. d),
b) der Kontrolle im Geschäftsbetrieb des Auftragsverarbeiters gemäß §9 Abs. (1) und
c) der Löschung von Daten gemäß §12.
(2) Arbeiten auf Seiten des Auftragsverarbeiters werden mit 60 Euro/Stunde (zzgl. Umsatzsteuer) angesetzt. Etwaige Fremdkosten werden nach Nachweis berechnet.
§ 15 Informationspflichten, Schriftformklausel, Rechtswahl
(1) Sollten die Daten des Verantwortlichen beim Auftragsverarbeiter durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragsverarbeiter den Verantwortlichen unverzüglich darüber zu informieren.
(2) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragsverarbeiters – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3) Es gilt deutsches Recht sowie das in Deutschland unmittelbar und zwingend anzuwendende Recht der Europäischen Union.
__________________________ ______________________________
Ort, Datum Vorname, Name (Druckbuchstaben) Unterschrift Verantwortlicher
__________________________ _____________________________
Ort, Datum Vorname, Name (Druckbuchstaben) Unterschrift Auftragsverarbeiter
Anlage 1: Vereinbarung zur Verarbeitung von Daten im Auftrag
Technische und organisatorische Maßnahmen
Der Auftragsverarbeiter hat die folgenden technischen und organisatorischen Maßnahmen umgesetzt (zutreffendes ist angekreuzt):
1. Vertraulichkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)
a) Zutrittskontrolle/Gebäudeabsicherung
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen, z.B.: Magnet- oder Chipkarten, Schlüssel, elektrische Türöffner, Werkschutz bzw. Pförtner, Alarmanlagen, Videoanlagen.
- Alarmanlage
- Schließsystem mit Codesperre
- Schlüsselregelung
b) Zugangskontrolle/Absicherung Systemzugang
Keine unbefugte Systembenutzung, z.B.: (sichere) Kennwörter, automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern.
- Zuordnung von Benutzerrechten
- Einsatz von individuellen Benutzernamen
- Authentifikation mit Benutzername/Passwort
- Zuordnung von Benutzerprofilen zu IT-Systemen
- Gehäuseverriegelungen an Servern/Rechnern
c) Zugriffskontrolle/Sicherstellung von Zugriffsberechtigungen
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.B.: Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte, Protokollierung von Zugriffen.
- Verwaltung der Rechte durch Systemadministrator
- Anzahl der Administratoren auf das „Notwendigste“ reduziert
- Passwortrichtlinie
- Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten
- Sichere Aufbewahrung von Datenträgern
- Physische Löschung von Datenträgern vor Wiederverwendung
- Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399)
- Einsatz von Aktenvernichtung bzw. Dienstleistern
d) Trennungskontrolle/Maßnahmen zur Zwecktrennung von Daten
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, z.B. Mandantenfähigkeit, Sandboxing.
- Festlegung von Datenbankrechten
- Trennung von Produktiv- und Testsystem
- Keine Produktivdaten in Testsystemen
2. Integrität (Art. 32 Abs. 1 lit. b EU-DSGVO)
e) Weitergabekontrolle/Sicherheit beim Datentransfer
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport.
- E-Mail-Verschlüsselung, wenn möglich mit TLS
- Verschlüsselte Verbindung bei TeamViewer-Fernwartung
f) Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.B.: Protokollierung, Dokumentenmanagement;
- Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)
g) Verfügbarkeitskontrolle/Schutz von Daten vor zufälliger Zerstörung und Verlust
- Unterbrechungsfreie Stromversorgung (USV)
- Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen
- Schutzsteckdosenleisten in Serverräumen
- Feuer- und Rauchmeldeanlagen
- Feuerlöschgeräte in Serverräumen
- Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
- Erstellen eines Backup- und Recoverykonzepts
- Erstellen eines Notfallplans
- Serverräume nicht unter sanitären Anlagen
h) Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c EU-DSGVO)
- Wiederherstellung nach Backup- und Recoverykonzept
- Kontrolle eines Notfallplans
- Testen von Datenwiederherstellungen
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d EU-DSGVO; Art. 25 Abs. 1 EU-DSGVO)
i) Datenschutz-Management
- Die Grundsätze zum Datenschutz sind in einer unternehmensinternen Richtlinie festgelegt
- Der DSB ist bei der Datenschutzfolgeabschätzung eingebunden
- Es ist ein Datenschutzbeauftragter schriftlich benannt
- Der DSB ist im Organigramm eingebunden
- Verpflichtung der Mitarbeiter auf das Daten- und Fernmeldegeheimnis
- Schulung von Mitarbeitern
- Die interne Verarbeitungsübersicht der Verarbeitungsprozesse ist vorhanden
- Kontrollsystem, das den unberechtigten Zugriff auf personenbezogene Daten aufgedeckt
j) Incident-Response-Management
- Einrichtung eines Incident Management-Plans
- Sicherheitsteam ist benannt und geschult
- Team mit realitätsnahen Übungen getestet
k) Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 EU-DSGVO)
- Beachtung privacy by design
- Beachtung privacy by default
l) Auftragskontrolle/Einbindung von Unter-Auftragsverarbeiter
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 EU-DSGVO ohne entsprechende Weisung des Auftraggebers, z.B.: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen.
- Auswahl der (Unter-)Auftragsverarbeiter unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit)
- Vorherige Prüfung und Dokumentation der beim Auftragsverarbeiter getroffenen Sicherheitsmaßnahmen
- Schriftlich dokumentierte Weisungen an den Auftragsverarbeiter (z.B. durch Auftragsverarbeitungsvertrag)
- Verpflichtung der Mitarbeiter des Auftragsverarbeiters auf die Vertraulichkeit
- Auftragsverarbeiter hat Datenschutzbeauftragten bestellt (wenn erforderlich)
- Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags
Anlage 2: Vereinbarung zur Verarbeitung von Daten im Auftrag
Unterauftragsverarbeiter
TeamViewer Germany GmbH
Bahnhofsplatz 2
73033 Göppingen
(Fernwartungszugriff)
[1] Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, EU-DSGVO).