1. Vertragsdaten
2. Übersicht
3. Direkt starten
Ihr Warenkorb
Nur noch Daten ausfüllen, bestätigen und im nächsten Step geht es direkt zum Login.
Business Professional
zzgl. 19% USt.
zzgl. 19% USt.
DATENDO Service-Bedingungen
1. Anwendungsbereich
1.1
Die DATENDO GmbH, Im Mediapark 5, 50670 Köln („DATENDO“) unterstützt Unternehmen bei der Einhaltung der datenschutzrechtlichen Compliance.
Dazu bietet DATENDO verschiedene Dienstleistungen an, die insbesondere folgende Leistungen umfassen:
a)Übernahme der Funktion als externer Datenschutzbeauftragter und die Erbringung damit im Zusammenhang stehender Beratungsleistungen (die „DSB-Services“);
b)Gewährung des Zugriffs auf die von DATENDO entwickelte DSGVO-Management-Software („My.DATENDO-Software") im Rahmen eines Software-as-a-Service Angebots (die „SaaS-Services“);
c)weitere Leistungen wie z.B. Mitarbeiterschulungen (die „Weiteren Services“).
1.3Die Einzelheiten der von DATENDO angebotenen Dienstleistungen ergeben sich aus der Website von DATENDO (https://www.DATENDO.de). DATENDO hat diese Leistungen in verschiedenen maßgeschneiderten sog. Abonnement-Paketen („Business BasicPlus“, „Business Professional“ und „Business Expert“) zusammengefasst, die über die Website von DATENDO (https://www.DATENDO.de) buchbar sind (die „Abos“).
1.4Der Leistungsumfang der unter den jeweiligen Abos zu erbringenden Leistungen (die „Services“) ergibt sich aus der Abo-Übersicht auf der Website von DATENDO (https://www.DATENDO.de) (die „Abo-Übersicht“) und ergänzend aus diesen Service-Bedingungen. Aus der Abo-Übersicht ergeben sich auch die an DATENDO zu zahlenden Vergütungen.
1.5
Soweit DATENDO bei der Leistungserbringung personenbezogene Daten des Abonnenten in dessen Auftrag verarbeitet, richtet sich diese Verarbeitung nach dem auf der Website von DATENDO (https://www.DATENDO.de) abrufbaren Auftragsverarbeitungsvertrag (der „Auftragsverarbeitungsvertrag“), der diesen Service-Bedingungen als Anlage 1 beigefügt ist.
1.6
Jeder Vertrag, der über die Website von DATENDO (https://www.DATENDO.de) geschlossen wird (nachfolgend jeweils der „Vertrag“) beinhaltet folgende Dokumente: (i) diese Service-Bedingungen, (ii) die Inhalte der Abo-Übersicht in der zum Zeitpunkt der Bestellung gültigen Fassung (iii) den Auftragsverarbeitungsvertrag (Anlage 1).
2. Vertragsschluss
2.1
Für die Geschäftsbeziehung zwischen DATENDO und dem jeweiligen Kunden (nachfolgend „Abonnent“) gelten ausschließlich die diese Service-Bedingungen (einschließlich der Inhalte der Abo-Übersicht und des Auftragsverarbeitungsvertrages) in ihrer zum Zeitpunkt der Bestellung gültigen Fassung. Abweichende allgemeine Geschäftsbedingungen des Abonnenten werden nicht anerkannt, es sei denn, DATENDO stimmt ihrer Geltung ausdrücklich zu.
2.2
DATENDO erbringt ihre Services ausschließlich gegenüber Unternehmern, nicht gegenüber Verbrauchern. Unternehmer ist eine natürliche oder juristische Person oder eine rechtsfähige Personengesellschaft, die bei Abschluss eines Rechtsgeschäfts in Ausübung ihrer gewerblichen oder selbständigen beruflichen Tätigkeit handelt (vgl. § 14 BGB).
2.3
Der Abonnent kann aus dem Sortiment von DATENDO verschiedene Abos einsehen, eines davon auswählen und dieses über den Button „Abo bestellen“ in einen so genannten Warenkorb legen. Über den Button „Abo jetzt zahlungspflichtig bestellen“ gibt er einen verbindlichen Antrag zum Abschluss eines Vertrages über den Erwerb des jeweils ausgewählten Abos ab.
2.4
Vor Abschicken der Bestellung kann der Abonnent die Daten jederzeit ändern und einsehen. Der Antrag kann jedoch nur abgegeben und übermittelt werden, wenn der Abonnent durch Aktivieren der Checkbox im Menü „DATENDO Service-Bedingungen“ diese Services-Bedingungen akzeptiert und dadurch in seinen Antrag aufgenommen hat.
2.5
DATENDO schickt daraufhin dem Abonnenten eine automatische Empfangsbestätigung per E-Mail zu, in welcher die Bestellung des Abonnenten nochmals aufgeführt wird und die der Abonnent über die Funktion „Drucken“ ausdrucken kann. Die automatische Empfangsbestätigung dokumentiert lediglich, dass die Bestellung des Abonnenten bei DATENDO eingegangen ist und stellt zugleich die Annahme des Antrags des Abonnenten durch DATENDO dar (die „Auftragsbestätigung“).
2.6
Der Vertrag kommt mit Eingang der Auftragsbestätigung von DATENDO bei dem Abonnenten zustande (der Tag des Eingangs dieser Auftragsbestätigung beim Abonnenten nachfolgend das „Wirksamkeitsdatum“).
2.7
Die Parteien stellen klar, dass es keiner gesonderten Unterzeichnung des Auftragsverarbeitungsvertrages bedarf. Der Abschluss des Auftragsverarbeitungsvertrages erfolgt automatisch im Rahmen des Abschlusses des Vertrages in elektronischer Form gemäß den vorstehenden Regelungen.
3. Bestellung von DATENDO zum externen Datenschutzbeauftragten
3.1
Mit Wirkung zum Wirksamkeitsdatum bestellt der Abonnent DATENDO zum externen Datenschutzbeauftragten.
3.2
DATENDO nimmt innerhalb einer (1) Woche nach Vertragsschluss eine Meldung bei der Aufsichtsbehörde i.S.d. Art. 37 Abs. 7 DSGVO vor und sendet dem Abonnenten hierüber eine Bestätigung.
4. Bestellungs-Zertifikat und Homepage-Siegel
4.1
DATENDO stellt dem Abonnenten nach Vertragsschluss ein PDF-Zertifikat als Nachweis über die Benennung von DATENDO zum externen Datenschutzbeauftragten zur Verfügung.
4.2
Das Zertifikat wird für die Mindestvertragslaufzeit zur freien Verwendung ausgestellt und beinhaltet somit ein Ablaufdatum zum Ende der Mindestvertragslaufzeit des Abonnements. Für jede neu beginnende Verlängerungslaufzeit des Abonnements wird stets ein neues Zertifikat ausgestellt und an den Abonnenten als PDF-Dokument per E-Mail übergeben.
4.3
DATENDO stellt dem Abonnenten ein Datenschutz--Siegel zur Verfügung, nach Wahl des Abonnenten im PNG- oder JPG-Format, welches der Abonnent für die Laufzeit des Abonnements auf seiner Website und sonstigen digitalen Angeboten des Abonnenten verwendet werden darf. Der Abonnent ist zur Anpassung der Maße (Breite x Höhe) des Datenschutz—Siegels gestattet, jedoch keine inhaltliche, farbliche oder sonstige Veränderung.
4.4
Bei der Verwendung des Siegels in digitalen Medien (z.B. Websites), ist der Abonnent verpflichtet, die Datei stets zu https://www.DATENDO.de zu verlinken.
5. Erbringung der DSB-Services
5.1
DATENDO erbringt für den Abonnenten die DSB-Services als Leistungen eines Datenschutzbeauftragten nach Maßgabe dieses Vertrags.
5.2
Der Abonnent stellt sicher, dass DATENDO ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird (Art. 38 Abs. 1 DSGVO).
5.3 Der Abonnent unterstützt DATENDO bei der Erfüllung seiner Aufgaben gemäß Artikel 39 DSGVO, indem er DATENDO den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt (Art. 38 Abs. 2 DSGVO).
5.4
Der Abonnent stellt sicher, dass DATENDO bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. DATENDO darf von dem Abonnenten wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. DATENDO berichtet unmittelbar der höchsten Managementebene des Abonnenten (Art. 38 Abs. 3 DSGVO).
5.5
Betroffene Personen können DATENDO zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen (Art. 38 Abs. 4 DSGVO).
5.6
Die Parteien stellen klar, dass DATENDO berechtigt ist, auch andere Aufgaben und Pflichten wahrzunehmen (Art. 38 Abs. 6 DSGVO).
5.7
Die DSB-Services wird DATENDO durch das bei DATENDO beschäftige Hilfspersonal erbringen. Als Hilfspersonal wird DATENDO seine Organe und Arbeitnehmer sowie auch externe Dienstleister einsetzen. Im Anwendungsbereich des Auftragsverarbeitungsvertrages gelten für die Einschaltung der externen Dienstleister die dort geregelten Beschränkungen.
5.8
DATENDO werden keinerlei Weisungsrechte gegenüber den Arbeitnehmern des Abonnenten eingeräumt. DATENDO steht kein Recht zu, den Abonnenten zu vertreten, soweit dies nicht im Einzelfall abweichend vereinbart wird.
6. Umfang der DSB-Services und Vergütungsmodell
6.1
Die DSB-Services umfassen (i) die Übernahme der Funktion als Datenschutzbeauftragter sowie (ii) alle Leistungen der Individuellen Beratung, die DATENDO in dieser Funktion erbringt.
6.2
Die Leistung der „Übernahme der Funktion als Datenschutzbeauftragter“ beschränkt sich auf die reine Übernahme dieser Funktion. Sämtliche Leistungen, die DATENDO in Ausübung dieser Funktion erbringt, sind nicht Gegenstand der Übernahme der Funktion als Datenschutzbeauftragter, sondern gelten als Leistungen der „Individuellen Beratung“).
6.3
Die Übernahme der Funktion als Datenschutzbeauftragter ist über die auf das jeweilige Abo entfallende monatliche Pauschalvergütung abgegolten.
6.4
Sämtliche Leistungen der Individuellen Beratung sind nach Aufwand zu vergüten. Zu den nach Aufwand zu vergütenden DSB-Services zählen insbesondere folgende Leistungen:
a)
die Mitwirkung an der Bearbeitung von Auskunfts-, Löschungs-, Berichtigungs-, Beschränkungs-, Datenübertragungs- und Widerspruchsersuchen von betroffenen Personen;
b)
die Mitwirkung an der Bearbeitung von datenschutzrechtlich relevanten Anfragen (Art. 38 Abs. 4 DSGVO) an den Abonnenten;
c)
die Mitwirkung an der Bearbeitung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO);
d)
die Mitwirkung an der Bearbeitung von Vor-Ort-Prüfungen („Audits“) bei Subunternehmern, Lieferanten oder anderen für den Abonnenten tätigen Dienstleistern, insbesondere auch die Durchführung von Kontrollen im Rahmen von Auftragsverarbeitungsverhältnissen iSv Art. 28 DSGVO;
e)
die Mitwirkung an der Bearbeitung von Sachverhalten betreffend Datenschutzverletzungen;
f)
die Mitwirkung an dem Aufbau, die Bewertung oder Fortentwicklung eines Datenschutz-Managementsystems.
g)
die Beantwortung konkreter Anfragen von Beschäftigten oder der Unternehmensleitung zum Datenschutz;
h)
die Wahrnehmung von Besprechungen und anderen Terminen;
i)
die Kommunikation mit der zuständigen Aufsichtsbehörde;
j)
die Erstellung von Tätigkeitsberichten;
6.5
Die DSB-Services im Bereich der Individuelle Beratung bietet DATENDO mit einer Reaktionszeit versehen an. Die Reaktionszeit richtet sich nach dem jeweils gewählten Abo und ergibt sich aus der Abo-Übersicht. Die Reaktionszeiten beginnen mit dem Eingang einer entsprechenden Anfrage des Abonnenten bei DATENDO. Wenn die Anfrage des Abonnenten bei DATENDO außerhalb der Service-Zeiten von DATENDO eingeht, beginnen die Reaktionszeiten mit dem Beginn der folgenden Service-Zeit. Die in der Abo-Übersicht angegebenen Fristen verlängern sich im Fall von Samstagen, Sonntagen und gesetzlichen Feiertagen am Sitz von DATENDO um die entsprechenden Zeiträume. Die Reaktionszeit gilt als eingehalten, wenn DATENDO dem Abonnenten innerhalb der Frist eine Eingangsbestätigung sendet, mit der DATENDO dem Abonnenten mitteilt, dass DATENDO sein Anliegen wahrnehmen wird. Die anschließende Bearbeitungsdauer richtet sich nach der dann zu treffenden Absprache zwischen DATENDO und dem Abonnenten.
6.6
„Service-Zeiten“ sind Montag ‚bis Freitag von jeweils 8 bis 18 Uhr mit Ausnahme von gesetzlichen Feiertagen am Sitz von DATENDO.
6.7
Soweit nach anwendbarem Datenschutzrecht eine unmittelbare Reaktion erforderlich ist, insbesondere im Rahmen von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 und 34 DSGVO, wird sich DATENDO bemühen, den Abonnenten auch außerhalb der Service-Zeiten zu unterstützen. Ein entsprechender Rechtsanspruch des Kunden besteht nicht.
6.8
Sämtliche Leistungen der Individuellen Beratung werden „remote“ (per Telefon oder E-Mail) erbracht. Eine Beratung vor Ort bei dem Abonnenten ist grundsätzlich nicht geschuldet und wird nur im Einzelfall aufgrund einer individuellen Absprache erbracht.
7. Erbringung der SaaS-Services
7.1
DATENDO stellt dem Abonnenten die My.DATENDO-Software im Rahmen eines Software-as-a-Service (SaaS)-Modells zur Verfügung. Das Nutzungsrecht des Abonnenten ist auf die Abo-Laufzeit beschränkt.
7.2
Der Zugriff erfolgt über einen Browser (Mozilla Firefox, Google Chrome) über den Rechner des Kunden.
7.3
Die über die My.DATENDO-Software abrufbaren Inhalte ergeben sich aus der Abo-Übersicht.
7.4
Vorbehaltlich der in diesem Vertrag enthaltenen Beschränkungen gewährt DATENDO dem Abonnenten ein nicht-ausschließliches, nicht übertragbares und nicht unterlizenzierbares Recht, während der Abo-Laufzeit auf die von DATENDO gehostete My.DATENDO-Software zuzugreifen und sie ausschließlich für die in diesem Vertrag beschriebenen Zwecke für seine internen Geschäftszwecke zu nutzen (die "SaaS-Lizenz").
7.5
Der Abonnent ist nicht berechtigt, seinen verbundenen Unternehmen oder sonstigen Dritten Zugriff auf die My.DATENDO-Software gestatten.
7.6
DATENDO ist berechtigt, die My.DATENDO-Software im Rahmen seines allgemeinen Life-Cycle-Managements und zum Zwecke der Produktverbesserung regelmäßig zu aktualisieren. Sämtliche Aktualisierungen der My.DATENDO-Software unterliegen den Regelungen dieses Vertrages.
8. Unternehmensdaten und autorisierte Nutzer
8.1
Der Abonnent verpflichtet sich, bei Abschluss des Vertrages bestimmte Daten an DATENDO zu übermitteln (Firma, Adresse, vertretungsberechtigte Organe und Kontaktmöglichkeiten), die für die Vertragsdurchführung erforderlich sind (die „Unternehmensdaten“). Der Kunde hat die Unternehmensdaten stets aktuell, korrekt und vollständig zu halten, damit DATENDO dem Abonnenten per E-Mail oder auf sonstigem Wege Mitteilungen, Abrechnungen und andere Informationen zusenden kann. Dem Abonnenten wird zu diesem Zwecke in der My.DATENDO-Software ein Menü mit der Bezeichnung „Unternehmensdaten“ bereitgestellt, welches dem Abonnenten ermöglicht, Aktualisierungen, Ergänzungen und Korrekturen im Hinblick auf die Unternehmensdaten einzutragen und zu speichern. Eine Korrektur oder Aktualisierung seiner Firma teilt der Abonnent hingegen nicht über die My.DATENDO-Software mit, sondern informiert DATENDO hierüber unter Beifügung eines geeigneten Nachweises (z.B. Handelsregisterauszug) per E-Mail oder schriftlich.
8.2
Der Abonnent ist für die Wahrung der Vertraulichkeit der Anmeldeinformationen und der Anmeldedaten für den Zugriff auf die My.DATENDO-Software verantwortlich und wird DATENDO unverzüglich über jeden Verlust, Missbrauch oder jede unbefugte Offenlegung solcher Anmeldeinformationen und/oder Anmeldedaten informieren, sobald der Abonnent davon Kenntnis erlangt. DATENDO haftet nicht für Schäden oder Verluste, die sich aus der Verletzung der vorgenannten Verpflichtungen durch den Abonnenten ergeben.
8.3
Die SaaS-Lizenz zum Zugriff auf die My.DATENDO-Software wird für eine unbegrenzte Anzahl an autorisierten Nutzern gewährt, wobei die "autorisierten Nutzer" nur Mitarbeiter und Organmitglieder des Abonnenten umfassen. Der Zugang zu den Mitarbeiterschulungen und dem DSGVO-Trainingscenter ist hingegen auf die für die jeweiligen Abos gültigen Teilnehmerzahlen, wie aus der Abo-Übersicht ersichtlich, beschränkt.
8.4
Der Abonnent ist verpflichtet, seine autorisierten Nutzer vor Beginn der Nutzung der My.DATENDO-Software über die in diesem Vertrag vereinbarten Rechte und Pflichten zu informieren. Der Abonnent haftet für Pflichtverletzungen seiner autorisierten Nutzer oder sonstiger Dritter, die im Einflussbereich des Abonnenten liegende Pflichten unter diesem Vertrag verletzen.
9. Nicht erlaubte Nutzungen
9.1
Die unter diesem Vertrag gewährte SaaS-Lizenz unterliegt den folgenden Beschränkungen:
a)
der Abonnent darf keinem unbefugten Dritten den Zugang zur My.DATENDO-Software oder deren Nutzung gestatten;
b)
der Abonnent darf die My.DATENDO-Software nicht zur Erbringung von Dienstleistungen für Dritte verwenden;
c)
veröffentlichen oder verbreiten;
d)
der Abonnent darf keine Änderungen an der My.DATENDO-Software vornehmen; und
e)
der Abonnent wird weder direkt noch indirekt: (i) den Quellcode, den Objektcode oder die zugrundeliegende Struktur, die Ideen, das Know-how oder die Algorithmen, die für die My.DATENDO-Software relevant sind, zurückzuentwickeln, dekompilieren, disassemblieren oder anderweitig versuchen, auf diese Informationen Zugriff zu erhalten; (ii) die My.DATENDO-Software modifizieren, übersetzen oder davon abgeleitete Werke erstellen, sofern dies nicht nach zwingendem anwendbaren Recht zulässig ist.
9.2
Der Abonnent verpflichtet sich in der My.DATENDO-Software (i) keine Inhalte zu speichern, die geistige Schutzrechte oder sonstige Rechte Dritter verletzen; (ii) keine rassistischen, beleidigenden, diskriminierenden oder in sonstiger Weise rechtswidrigen Inhalte zu speichern; und (iii) keine Viren, Malware, Trojanische Pferde oder ähnliche schädliche Software zu speichern.
9.3
DATENDO hat das Recht (aber nicht die Pflicht), den Zugang zur My.DATENDO-Software auszusetzen oder Daten oder Inhalte, die über die My.DATENDO-Software übertragen werden, ohne Haftung zu entfernen, (i) wenn DATENDO vernünftigerweise davon ausgehen kann, dass die My.DATENDO-Software unter Verletzung dieses Vertrags oder des anwendbaren Rechts genutzt wird, (ii) wenn er von einer Strafverfolgungs- oder sonstigen Behörde aufgefordert wird oder dies aus sonstigen Gründen erforderlich ist, um dem anwendbaren Recht zu entsprechen, oder (iii) wenn dies nach den sonstigen Regelungen dieses Vertrages gestattet ist.
10. Support-Hotline
10.1
DATENDO unterhält eine 0800-Telefon-Hotline, über die der Abonnent während der Service-Zeiten technische Support-Anfragen sowie Anfragen zur Erbringung von Leistungen im Bereich der Individuellen Beratung an DATENDO richten kann.
10.2
Die Support-Hotline ist unter folgender Nummer zu erreichen: 0800-5577733
11. Servicegebühren
11.1
Der Abonnent zahlt DATENDO die in der Auftragsbestätigung angegebenen Vergütungen (die "Servicegebühren"), die sich aus einer jährlichen Pauschalgebühr und nach Aufwand berechneten Gebühren zusammensetzen. Soweit die Abo-Übersicht zum Zeitpunkt der Bestellung etwaige Rabatte oder Aktionspreise aufweist, werden diese im Rahmen der Auftragsbestätigung entsprechend abgebildet.
11.2
Die jährliche Pauschalgebühr wird DATENDO dem Abonnenten erstmal zum Wirksamkeitsdatum des Abos und im Falle der Verlängerung zum Beginn eines jeden folgenden 12-Monatszeitraums in Rechnung stellen.
11.3
Die nach Aufwand berechneten Gebühren wird DATENDO dem Abonnenten monatlich nachträglich zu den in der Auftragsbestätigung vereinbarten Stundensätzen in Rechnung stellen. Die Abrechnung erfolgt in Intervallen von 15 Minuten (je angefangenen Intervall). Für die nach Aufwand zu vergütenden Services werden den Rechnungen Leistungsnachweise beigefügt, aus denen ein Überblick zu den erbrachten Services ihrem Umfang und ihrem Inhalt nach hervorgeht. Sämtliche Servicegebühren sind innerhalb von vierzehn (14) Tagen nach Rechnungsdatum an den Dienstleister zu zahlen.
11.4
Ist der Abonnent mit der Zahlung der Servicegebühren vierzehn (14) Tage oder länger im Verzug, kann DATENDO den Zugang zur My.DATENDO-Software aussetzen.
11.5
Die Rechnungen werden auf elektronischem Wege übermittelt.
11.6
Sämtliche Beträge, die in diesem Vertrag oder im Zusammenhang mit diesem Vertrag genannt werden, verstehen sich, sofern der Kontext nichts Anderes erfordert, zzgl. der anwendbaren Umsatzsteuer.
11.7
Durch An- und Abreise zu Terminen an anderen Orten als dem Sitz von DATENDO verursachte Reisezeiten werden zu den in der Abo-Übersicht angegebenen Stundensätzen vergütet.
11.8
Der Abonnent wird die DATENDO die bei der Erbringung der Services entstandenen Reiskosten erstatten. DATENDO ist frei in der Wahl des Reisemittels, der Unterkunft und der Verpflegung. Zu erstattende Aufwände bzw. zu vergütende Reisezeiten werden auf den monatlichen Rechnungen von DATENDO separat ausgewiesen.
12. Schutzrechte
12.1
Der Abonnent erkennt an, dass er, vorbehaltlich der hierin gewährten SaaS-Lizenzen, keine Inhaberschaft oder sonstige Rechte an der My.DATENDO-Software oder den Materialien von DATENDO erhält, die dem Abonnenten zur Verfügung gestellt werden.
12.2
DATENDO ist Inhaber aller Rechte an der My.DATENDO-Software und den Materialien von DATENDO. DATENDO behält sich sämtliche Rechte vor, die dem Abonnenten nicht ausdrücklich unter diesem Vertrag gewährt werden.
13. Vertraulichkeit
13.1
„Vertrauliche Informationen“ sind alle Informationen, Dokumente, Gegenstände, Materialien, Stoffe oder elektronische Dateien, die von einer Partei gegenüber der anderen Partei in schriftlicher, elektronischer, mündlicher oder sonstiger Form offengelegt werden, und die von der offenlegenden Partei als vertraulich gekennzeichnet werden oder ihrer Natur nach als vertraulich zu behandeln sind.
13.2
Die Parteien verpflichten sich, die Vertraulichen Informationen der jeweils anderen Partei vertraulich zu behandeln und sie ausschließlich für die Zwecke der Durchführung dieses Vertrages zu verwenden.
13.3
Eine Weitergabe der Vertraulichen Informationen der jeweils anderen Partei an Dritte ist nur gestattet, soweit dies für die Durchführung dieses Vertrages zwingend erforderlich ist.
13.4
Die Parteien verpflichten sich, die Vertraulichen Informationen der jeweils anderen Partei durch angemessene Sicherheitsmaßnahmen unter Beachtung der erforderlichen Sorgfalt zu schützen.
13.5
Die vorstehenden Verpflichtungen gelten nicht für Informationen, von denen die empfangende Partei nachweisen kann, dass sie (i) der Öffentlichkeit in rechtmäßiger und einer die Bestimmungen dieses Vertrages nicht verletzenden Weise zur Verfügung standen oder stehen, (ii) der empfangenden Partei bereits zuvor bekannt waren und zur ihrer uneingeschränkten Verfügung standen, (iii) der empfangenden Partei von einem hierzu berechtigten Dritten offengelegt wurden oder (iv) von der empfangenden Partei eigenständig und ohne Nutzung der Vertraulichen Informationen offenlegenden Partei entwickelt worden sind.
13.6
Die jeweils empfangende Partei verpflichtet sich, unverzüglich nach Beendigung dieses Vertrages alle Dokumente und Aufzeichnungen, welche Vertrauliche Informationen der jeweils anderen Partei enthalten, vollständig und endgültig zu zerstören bzw. im Fall von elektronischen Daten endgültig zu löschen. Gesetzliche Aufbewahrungs- und Archivierungspflichten bleiben hiervon unberührt.
13.7
Nach Beendigung dieses Vertrages gelten alle Rechte und Pflichten der Parteien in Bezug auf die Vertraulichen Informationen der jeweils anderen Partei für die Dauer von zehn (10) Jahren fort.
13.8
DATENDO unterliegt darüber hinaus der aus seiner Benennung zum Datenschutzbeauftragten erwachsenden Verschwiegenheitsverpflichtung nach Art. 38 Abs. 5 DSGVO, § 38 Abs. 2 iVm § 6 Abs. 5 S. 2 BDSG sowie § 203 Abs. 4 StGB. Diese Verschwiegenheitsverpflichtung bleibt von den vorstehenden Regelungen unberührt und geht diesen im Konfliktfall vor.
14. Abonnentendaten
14.1
Der Abonnent ist verpflichtet, seine Daten und Informationen vor der Eingabe in die My.DATENDO-Software („Abonnentendaten") auf Viren oder andere schädliche Komponenten zu prüfen und zu diesem Zweck dem Stand der Technik entsprechende Antivirenprogramme einzusetzen.
14.2
Darüber hinaus ist der Abonnent selbst für die Eingabe und Pflege seiner Abonnentendaten verantwortlich. DATENDO erstellt mindestens wöchentlich eine Sicherungskopie der Abonnentendaten.
14.3
Der Abonnent gewährt DATENDO eine nicht ausschließliche, unentgeltliche Lizenz für den Zugriff, die Nutzung, Reproduktion, Änderung, Ausführung, Anzeige und sonstige Nutzung von Abonnentendaten, soweit dies für DATENDO zur Ausführung oder Bereitstellung der My.DATENDO-Software erforderlich ist.
14.4
Der Abonnent ist allein verantwortlich für sämtliche Abonnentendaten, insbesondere dafür, dass ihre Übermittlung und Nutzung gemäß diesem Vertrag nicht gegen geltende Gesetze, einschließlich der Datenschutzgesetze, und/oder geistige Eigentumsrechte Dritter verstößt.
14.5
Der Abonnent erkennt an, dass DATENDO keine Kontrolle über die Abonnentendaten ausübt und dass er bei der Übermittlung und Bearbeitung der Abonnentendaten als bloßer oder passiver Kanal fungiert.
15. Datenschutz
15.1
Soweit DATENDO personenbezogene Daten des Abonnenten verarbeitet, gilt Folgendes:
15.2
Bei der Erbringung der DSB-Services verarbeitet DATENDO diese Daten in seiner Funktion als Datenschutzbeauftragter. Dazu stellen die Parteien klar, dass DATENDO in dieser Funktion nicht als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO tätig wird.
15.3
Bei der Erbringung aller sonstigen Services verarbeitet DATENDO diese Daten im Auftrag des Abonnenten auf Basis des als Anlage 1 beigefügten Auftragsverarbeitungsvertrages.
15.4
Kontakt- und Abrechnungsdaten des Abonnenten verarbeitet DATENDO als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO.
16. Haftungsbeschränkung
16.1
Bei vorsätzlichem Fehlverhalten haftet DATENDO nach den gesetzlichen Bestimmungen des anwendbaren Rechts.
16.2
Bei grober Fahrlässigkeit haftet DATENDO nach den gesetzlichen Bestimmungen des anwendbaren Rechts.
16.3
Bei einfacher Fahrlässigkeit haftet DATENDO - soweit der Haftungsmaßstab nicht nach gesetzlichen Vorschriften begrenzt ist - nur bei Verletzung wesentlicher Vertragspflichten (wesentliche Vertragspflichten sind solche, deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Abonnent regelmäßig vertraut und vertrauen darf); in diesem Fall ist die Haftung von DATENDO auf den typischen, vernünftigerweise vorhersehbaren Schaden begrenzt.
16.4
Die vorgenannten Einschränkungen gelten nicht für
a)
Schäden aus der Verletzung von Leben, Körper oder Gesundheit;
b)
Haftung nach dem deutschen Produkthaftungsgesetz;
c)
die Übernahme einer Garantie für die Beschaffenheit von Waren und/oder Arbeiten oder das arglistige Verschweigen von Mängeln durch DATENDO.
16.5
Die vorstehenden Haftungsbeschränkungen gelten vorbehaltlich der Regelungen in Ziffer 16.4 für (i) alle Haftungsansprüche, gleich aus welchem Rechtsgrund, insbesondere aus Unmöglichkeit, Verzug, mangelhafter oder falscher Lieferung, Vertragsverletzung, Verletzung von Pflichten bei Vertragsverhandlungen und unerlaubter Handlung, soweit es sich um verschuldensabhängige Ansprüche handelt, sowie (ii) für Pflichtverletzungen von Erfüllungsgehilfen oder sonstigen Personen, für deren Verhalten DATENDO nach den gesetzlichen Vorschriften haftbar gemacht werden kann.
16.6
Soweit für die Haftung eines Datenschutzbeauftragen weitergehende Haftungsbeschränkungen und/oder Haftungsausschlüsse bestehen, bleiben diese unberührt.
17. Laufzeit und Kündigung
17.1
Die Abo-Laufzeit beginnt mit dem Wirksamkeitsdatum mit und läuft zunächst für eine anfängliche Laufzeit von einem Jahr. Danach verlängert sie sich automatisch um jeweils ein Jahr, sofern sie nicht von einer der Parteien mit einer Frist von drei Monaten zum Ende der Anfangslaufzeit oder einer Verlängerungslaufzeit schriftlich gekündigt wird.
17.2
Das Recht beider Parteien zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt
17.3
Jede Kündigung dieses Vertrags gilt zugleich zum Zeitpunkt des Wirksamwerdens der Kündigung als Niederlegung des Amtes von DATENDO als Datenschutzbeauftragter.
17.4
Nach Beendigung dieses Vertrages darf der Abonnent nicht mehr auf die My.DATENDO-Software zugreifen.
17.5
DATENDO weist den Abonnenten darauf hin, dass DATENDO zum Zeitpunkt der Beendigung des Vertrages die auf der My.DATENDO-Software gespeicherten Abonnentendaten löschen wird. Gesetzliche Aufbewahrungs- und Archivierungspflichten bleiben hiervon unberührt. Vor diesem Hintergrund empfiehlt DATENDO dem Abonnenten, rechtzeitig geeignete Kopien der auf der My.DATENDO-Software gespeicherten Abonnentendaten zu fertigen.
18. Testversion
18.1
DATENDO bietet seinen Abonnenten über die Website von DATENDO (https://www.DATENDO.de) Zugang zu einer Testversion der My.DATENDO-Software im Rahmen eines sog. Test-Abos an.
18.2
DATENDO weist darauf hin, dass die Nutzung der Testversion keinen Anspruch auf Erbringung von DSB-Services und/oder etwaiger weiterer Services begründet.
18.3
Soweit sich der Abonnent für die Nutzung dieser Testversion entscheidet, stellt DATENDO dem Abonnenten die My.DATENDO-Software zu Testzwecken im Rahmen eines Software-as-a-Service (SaaS)-Modells zur Verfügung. Das Nutzungsrecht des Abonnenten ist auf eine Laufzeit von zwei (2) Wochen ab Abschluss des Vertrages über die Nutzung der Testversion im Rahmen des Test-Abos beschränkt.
18.4
Die Nutzung der Testversion im Rahmen des Test-Abos ist für den Abonnenten kostenfrei.
18.5
Soweit nicht in dieser Ziff. 18 abweichend geregelt, gelten sämtliche Regelungen dieser Service-Bedingungen (einschließlich des Auftragsverarbeitungsvertrages) auch für die Nutzung der Testversion.
19. Schlussbestimmungen
19.1
Jede Partei hat die Kosten, die ihr im Zusammenhang mit dem Abschluss und Vollzug dieses Vertrages entstehen, selbst zu tragen, sofern nicht in diesem Vertrag ausdrücklich abweichend vereinbart.
19.2
Dieser Vertrag gibt die Vereinbarungen zwischen den Parteien hinsichtlich des Vertragsgegenstands vollständig wieder; mündliche oder sonstige Nebenabreden sind nicht getroffen.
19.3
Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss der Kollisionsnormen des internationalen Privatrechts. Die Anwendbarkeit des UN-Übereinkommens über Verträge über den internationalen Warenkauf (CISG) wird ausgeschlossen.
19.4
Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Köln, sofern das Gesetz nicht zwingend etwas Anderes vorschreibt.
Anlage 1
Auftragsverarbeitungsvertrag
auf Basis der EU Standardvertragsklauseln
ABSCHNITT I
Klausel 1
Zweck und Anwendungsbereich
a)
Mit diesen Standardvertragsklauseln (im Folgenden „Klauseln“) soll die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) sichergestellt werden.
b)
Die in Anhang I aufgeführten Verantwortlichen und Auftragsverarbeiter haben diesen Klauseln zugestimmt, um die Einhaltung von Artikel 28 Absätze 3 und 4 der Verordnung (EU) 2016/679 und/oder Artikel 29 Absätze 3 und 4 der Verordnung (EU) 2018/1725 zu gewährleisten.
c)
Diese Klauseln gelten für die Verarbeitung personenbezogener Daten gemäß Anhang II.
d)
Die Anhänge I bis IV sind Bestandteil der Klauseln.
e)
Diese Klauseln gelten unbeschadet der Verpflichtungen, denen der Verantwortliche gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
f)
Diese Klauseln stellen für sich allein genommen nicht sicher, dass die Verpflichtungen im Zusammenhang mit internationalen Datenübermittlungen gemäß Kapitel V der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 erfüllt werden.
Klausel 2
Unabänderbarkeit der Klauseln
a)
Die Parteien verpflichten sich, die Klauseln nicht zu ändern, es sei denn, zur Ergänzung oder Aktualisierung der in den Anhängen angegebenen Informationen.
b)
Dies hindert die Parteien nicht daran die in diesen Klauseln festgelegten Standardvertragsklauseln in einen umfangreicheren Vertrag aufzunehmen und weitere Klauseln oder zusätzliche Garantien hinzuzufügen, sofern diese weder unmittelbar noch mittelbar im Widerspruch zu den Klauseln stehen oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneiden.
Klausel 3
Auslegung
a)
Werden in diesen Klauseln die in der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 definierten Begriffe verwendet, so haben diese Begriffe dieselbe Bedeutung wie in der betreffenden Verordnung.
b)
Diese Klauseln sind im Lichte der Bestimmungen der Verordnung (EU) 2016/679 bzw. der Verordnung (EU) 2018/1725 auszulegen.
c)
Diese Klauseln dürfen nicht in einer Weise ausgelegt werden, die den in der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 vorgesehenen Rechten und Pflichten zuwiderläuft oder die Grundrechte oder Grundfreiheiten der betroffenen Personen beschneidet.
Klausel 4
Vorrang
Im Falle eines Widerspruchs zwischen diesen Klauseln und den Bestimmungen damit zusammenhängender Vereinbarungen, die zwischen den Parteien bestehen oder später eingegangen oder geschlossen werden, haben diese Klauseln Vorrang.Klausel 5
Kopplungsklausel
a)
Eine Einrichtung, die nicht Partei dieser Klauseln ist, kann diesen Klauseln mit Zustimmung aller Parteien jederzeit als Verantwortlicher oder als Auftragsverarbeiter beitreten, indem sie die Anhänge ausfüllt und Anhang I unterzeichnet.
b)
Nach Ausfüllen und Unterzeichnen der unter Buchstabe a genannten Anhänge wird die beitretende Einrichtung als Partei dieser Klauseln behandelt und hat die Rechte und Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters entsprechend ihrer Bezeichnung in Anhang I.
c)
Für die beitretende Einrichtung gelten für den Zeitraum vor ihrem Beitritt als Partei keine aus diesen Klauseln resultierenden Rechte oder Pflichten.
ABSCHNITT II
PFLICHTEN DER PARTEIEN
Klausel 6
Beschreibung der Verarbeitung Die Einzelheiten der Verarbeitungsvorgänge, insbesondere die Kategorien personenbezogener Daten und die Zwecke, für die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden, sind in Anhang II aufgeführt.Klausel 7
Pflichten der Parteien
7.
7.1. Weisungen
a)
Der Auftragsverarbeiter verarbeitet personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, er ist nach Unionsrecht oder nach dem Recht eines Mitgliedstaats, dem er unterliegt, zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht dies nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Verantwortliche kann während der gesamten Dauer der Verarbeitung personenbezogener Daten weitere Weisungen erteilen. Diese Weisungen sind stets zu dokumentieren.
b)
Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass vom Verantwortlichen erteilte Weisungen gegen die Verordnung (EU) 2016/679, die Verordnung (EU) 2018/1725 oder geltende Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstoßen.
7.2. Zweckbindung
Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nur für den/die in Anhang II genannten spezifischen Zweck(e), sofern er keine weiteren Weisungen des Verantwortlichen erhält.
7.3. Dauer der Verarbeitung personenbezogener Daten
Die Daten werden vom Auftragsverarbeiter nur für die in Anhang II angegebene Dauer verarbeitet.
7.4. Sicherheit der Verarbeitung
a)
Der Auftragsverarbeiter ergreift mindestens die in Anhang III aufgeführten technischen und organisatorischen Maßnahmen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dies umfasst den Schutz der Daten vor einer Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu den Daten führt (im Folgenden „Verletzung des Schutzes personenbezogener Daten“). Bei der Beurteilung des angemessenen Schutzniveaus tragen die Parteien dem Stand der Technik, den Implementierungskosten, der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie den für die betroffenen Personen verbundenen Risiken gebührend Rechnung.
b)
Der Auftragsverarbeiter gewährt seinem Personal nur insoweit Zugang zu den personenbezogenen Daten, die Gegenstand der Verarbeitung sind, als dies für die Durchführung, Verwaltung und Überwachung des Vertrags unbedingt erforderlich ist. Der Auftragsverarbeiter gewährleistet, dass sich die zur Verarbeitung der erhaltenen personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
7.5. Sensible Daten
Falls die Verarbeitung personenbezogene Daten betrifft, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, oder die genetische Daten oder biometrische Daten zum Zweck der eindeutigen Identifizierung einer natürlichen Person, Daten über die Gesundheit, das Sexualleben oder die sexuelle Ausrichtung einer Person oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten (im Folgenden „sensible Daten“), wendet der Auftragsverarbeiter spezielle Beschränkungen und/oder zusätzlichen Garantien an.
7.6. Dokumentation und Einhaltung der Klauseln
a)
Die Parteien müssen die Einhaltung dieser Klauseln nachweisen können.
b)
Der Auftragsverarbeiter bearbeitet Anfragen des Verantwortlichen bezüglich der Verarbeitung von Daten gemäß diesen Klauseln umgehend und in angemessener Weise.
c)
Der Auftragsverarbeiter stellt dem Verantwortlichen alle Informationen zur Verfügung, die für den Nachweis der Einhaltung der in diesen Klauseln festgelegten und unmittelbar aus der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 hervorgehenden Pflichten erforderlich sind. Auf Verlangen des Verantwortlichen gestattet der Auftragsverarbeiter ebenfalls die Prüfung der unter diese Klauseln fallenden Verarbeitungstätigkeiten in angemessenen Abständen oder bei Anzeichen für eine Nichteinhaltung und trägt zu einer solchen Prüfung bei. Bei der Entscheidung über eine Überprüfung oder Prüfung kann der Verantwortliche einschlägige Zertifizierungen des Auftragsverarbeiters berücksichtigen.
d)
Der Verantwortliche kann die Prüfung selbst durchführen oder einen unabhängigen Prüfer beauftragen. Die Prüfungen können auch Inspektionen in den Räumlichkeiten oder physischen Einrichtungen des Auftragsverarbeiters umfassen und werden gegebenenfalls mit angemessener Vorankündigung durchgeführt.
e)
Die Parteien stellen der/den zuständigen Aufsichtsbehörde(n) die in dieser Klausel genannten Informationen, einschließlich der Ergebnisse von Prüfungen, auf Anfrage zur Verfügung.
7.7. Einsatz von Unterauftragsverarbeitern
a)
Der Auftragsverarbeiter besitzt die allgemeine Genehmigung des Verantwortlichen für die Beauftragung von Unterauftragsverarbeitern, die in einer vereinbarten Liste aufgeführt sind. Der Auftragsverarbeiter unterrichtet den Verantwortlichen mindestens vier (4) Wochen im Voraus ausdrücklich in schriftlicher Form über alle beabsichtigten Änderungen dieser Liste durch Hinzufügen oder Ersetzen von Unterauftragsverarbeitern und räumt dem Verantwortlichen damit ausreichend Zeit ein, um vor der Beauftragung des/der betreffenden Unterauftragsverarbeiter/s Einwände gegen diese Änderungen erheben zu können. Der Auftragsverarbeiter stellt dem Verantwortlichen die erforderlichen Informationen zur Verfügung, damit dieser sein Widerspruchsrecht ausüben kann. Beauftragt der Auftragsverarbeiter einen Unterauftragsverarbeiter mit der Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen), so muss diese Beauftragung im Wege eines Vertrags erfolgen, der dem Unterauftragsverarbeiter im Wesentlichen dieselben Datenschutzpflichten auferlegt wie diejenigen, die für den Auftragsverarbeiter gemäß diesen Klauseln gelten. Der Auftragsverarbeiter stellt sicher, dass der Unterauftragsverarbeiter die Pflichten erfüllt, denen der Auftragsverarbeiter entsprechend diesen Klauseln und gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 unterliegt.
b)
Der Auftragsverarbeiter stellt dem Verantwortlichen auf dessen Verlangen eine Kopie einer solchen Untervergabevereinbarung und etwaiger späterer Änderungen zur Verfügung. Soweit es zum Schutz von Geschäftsgeheimnissen oder anderen vertraulichen Informationen, einschließlich personenbezogener Daten notwendig ist, kann der Auftragsverarbeiter den Wortlaut der Vereinbarung vor der Weitergabe einer Kopie unkenntlich machen.
c)
Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen in vollem Umfang dafür, dass der Unterauftragsverarbeiter seinen Pflichten gemäß dem mit dem Auftragsverarbeiter geschlossenen Vertrag nachkommt. Der Auftragsverarbeiter benachrichtigt den Verantwortlichen, wenn der Unterauftragsverarbeiter seine vertraglichen Pflichten nicht erfüllt.
d)
Der Auftragsverarbeiter vereinbart mit dem Unterauftragsverarbeiter eine Drittbegünstigtenklausel, wonach der Verantwortliche – im Falle, dass der Auftragsverarbeiter faktisch oder rechtlich nicht mehr besteht oder zahlungsunfähig ist – das Recht hat, den Untervergabevertrag zu kündigen und den Unterauftragsverarbeiter anzuweisen, die personenbezogenen Daten zu löschen oder zurückzugeben.
7.8. Internationale Datenübermittlungen
a)
Jede Übermittlung von Daten durch den Auftragsverarbeiter an ein Drittland oder eine internationale Organisation erfolgt ausschließlich auf der Grundlage dokumentierter Weisungen des Verantwortlichen oder zur Einhaltung einer speziellen Bestimmung nach dem Unionsrecht oder dem Recht eines Mitgliedstaats, dem der Auftragsverarbeiter unterliegt, und muss mit Kapitel V der Verordnung (EU) 2016/679 oder der Verordnung (EU) 2018/1725 im Einklang stehen.
b)
Der Verantwortliche erklärt sich damit einverstanden, dass in Fällen, in denen der Auftragsverarbeiter einen Unterauftragsverarbeiter gemäß Klausel 7.7 für die Durchführung bestimmter Verarbeitungstätigkeiten (im Auftrag des Verantwortlichen) in Anspruch nimmt und diese Verarbeitungstätigkeiten eine Übermittlung personenbezogener Daten im Sinne von Kapitel V der Verordnung (EU) 2016/679 beinhalten, der Auftragsverarbeiter und der Unterauftragsverarbeiter die Einhaltung von Kapitel V der Verordnung (EU) 2016/679 sicherstellen können, indem sie Standardvertragsklauseln verwenden, die von der Kommission gemäß Artikel 46 Absatz 2 der Verordnung (EU) 2016/679 erlassen wurden, sofern die Voraussetzungen für die Anwendung dieser Standardvertragsklauseln erfüllt sind.
Klausel 8
Unterstützung des Verantwortlichen
a)
Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich über jeden Antrag, den er von der betroffenen Person erhalten hat. Er beantwortet den Antrag nicht selbst, es sei denn, er wurde vom Verantwortlichen dazu ermächtigt.
b)
Unter Berücksichtigung der Art der Verarbeitung unterstützt der Auftragsverarbeiter den Verantwortlichen bei der Erfüllung von dessen Pflicht, Anträge betroffener Personen auf Ausübung ihrer Rechte zu beantworten. Bei der Erfüllung seiner Pflichten gemäß den Buchstaben a und b befolgt der Auftragsverarbeiter die Weisungen des Verantwortlichen.
c)
Abgesehen von der Pflicht des Auftragsverarbeiters, den Verantwortlichen gemäß Klausel 8 Buchstabe b zu unterstützen, unterstützt der Auftragsverarbeiter unter Berücksichtigung der Art der Datenverarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen zudem bei der Einhaltung der folgenden Pflichten:
1)
Pflicht zur Durchführung einer Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten (im Folgenden „Datenschutz-Folgenabschätzung“), wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat;
2)
Pflicht zur Konsultation der zuständigen Aufsichtsbehörde(n) vor der Verarbeitung, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft;
3)
Pflicht zur Gewährleistung, dass die personenbezogenen Daten sachlich richtig und auf dem neuesten Stand sind, indem der Auftragsverarbeiter den Verantwortlichen unverzüglich unterrichtet, wenn er feststellt, dass die von ihm verarbeiteten personenbezogenen Daten unrichtig oder veraltet sind;
4)
Verpflichtungen gemäß Artikel 32 der Verordnung (EU) 2016/679.
d)
Die Parteien legen in Anhang III die geeigneten technischen und organisatorischen Maßnahmen zur Unterstützung des Verantwortlichen durch den Auftragsverarbeiter bei der Anwendung dieser Klausel sowie den Anwendungsbereich und den Umfang der erforderlichen Unterstützung fest.
Klausel 9
Meldung von Verletzungen des Schutzes personenbezogener Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten arbeitet der Auftragsverarbeiter mit dem Verantwortlichen zusammen und unterstützt ihn entsprechend, damit der Verantwortliche seinen Verpflichtungen gemäß den Artikeln 33 und 34 der Verordnung (EU) 2016/679 oder gegebenenfalls den Artikeln 34 und 35 der Verordnung (EU) 2018/1725 nachkommen kann, wobei der Auftragsverarbeiter die Art der Verarbeitung und die ihm zur Verfügung stehenden Informationen berücksichtigt.9.1. Verletzung des Schutzes der vom Verantwortlichen verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Verantwortlichen verarbeiteten Daten unterstützt der Auftragsverarbeiter den Verantwortlichen wie folgt:
a)
bei der unverzüglichen Meldung der Verletzung des Schutzes personenbezogener Daten an die zuständige(n) Aufsichtsbehörde(n), nachdem dem Verantwortlichen die Verletzung bekannt wurde, sofern relevant (es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen);
b)
bei der Einholung der folgenden Informationen, die gemäß Artikel 33 Absatz 3 der Verordnung (EU) 2016/679 in der Meldung des Verantwortlichen anzugeben sind, wobei diese Informationen mindestens Folgendes umfassen müssen:
1)
die Art der personenbezogenen Daten, soweit möglich, mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen sowie der Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
2)
die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
3)
die vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Wenn und soweit nicht alle diese Informationen zur gleichen Zeit bereitgestellt werden können, enthält die ursprüngliche Meldung die zu jenem Zeitpunkt verfügbaren Informationen, und weitere Informationen werden, sobald sie verfügbar sind, anschließend ohne unangemessene Verzögerung bereitgestellt;
c)
bei der Einhaltung der Pflicht gemäß Artikel 34 der Verordnung (EU) 2016/679, die betroffene Person unverzüglich von der Verletzung des Schutzes personenbezogener Daten zu benachrichtigen, wenn diese Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
9.2. Verletzung des Schutzes der vom Auftragsverarbeiter verarbeiteten Daten
Im Falle einer Verletzung des Schutzes personenbezogener Daten im Zusammenhang mit den vom Auftragsverarbeiter verarbeiteten Daten meldet der Auftragsverarbeiter diese dem Verantwortlichen unverzüglich, nachdem ihm die Verletzung bekannt wurde. Diese Meldung muss zumindest folgende Informationen enthalten:
a)
eine Beschreibung der Art der Verletzung (möglichst unter Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen und der ungefähren Zahl der betroffenen Datensätze);
b)
Kontaktdaten einer Anlaufstelle, bei der weitere Informationen über die Verletzung des Schutzes personenbezogener Daten eingeholt werden können;
c)
die voraussichtlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, einschließlich Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Die Parteien legen in Anhang III alle sonstigen Angaben fest, die der Auftragsverarbeiter zur Verfügung zu stellen hat, um den Verantwortlichen bei der Erfüllung von dessen Pflichten gemäß Artikel 33 und 34 der Verordnung (EU) 2016/679 zu unterstützen.
ABSCHNITT III
SCHLUSSBESTIMMUNGEN
Klausel 10
Verstöße gegen die Klauseln und Beendigung des Vertrags
a)
Falls der Auftragsverarbeiter seinen Pflichten gemäß diesen Klauseln nicht nachkommt, kann der Verantwortliche – unbeschadet der Bestimmungen der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 – den Auftragsverarbeiter anweisen, die Verarbeitung personenbezogener Daten auszusetzen, bis er diese Klauseln einhält oder der Vertrag beendet ist. Der Auftragsverarbeiter unterrichtet den Verantwortlichen unverzüglich, wenn er aus welchen Gründen auch immer nicht in der Lage ist, diese Klauseln einzuhalten.
b)
Der Verantwortliche ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn
1)
der Verantwortliche die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter gemäß Buchstabe a ausgesetzt hat und die Einhaltung dieser Klauseln nicht innerhalb einer angemessenen Frist, in jedem Fall aber innerhalb eines Monats nach der Aussetzung, wiederhergestellt wurde;
2)
der Auftragsverarbeiter in erheblichem Umfang oder fortdauernd gegen diese Klauseln verstößt oder seine Verpflichtungen gemäß der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 nicht erfüllt;
3)
der Auftragsverarbeiter einer bindenden Entscheidung eines zuständigen Gerichts oder der zuständigen Aufsichtsbehörde(n), die seine Pflichten gemäß diesen Klauseln, der Verordnung (EU) 2016/679 und/oder der Verordnung (EU) 2018/1725 zum Gegenstand hat, nicht nachkommt.
c)
Der Auftragsverarbeiter ist berechtigt, den Vertrag zu kündigen, soweit er die Verarbeitung personenbezogener Daten gemäß diesen Klauseln betrifft, wenn der Verantwortliche auf der Erfüllung seiner Anweisungen besteht, nachdem er vom Auftragsverarbeiter darüber in Kenntnis gesetzt wurde, dass seine Anweisungen gegen geltende rechtliche Anforderungen gemäß Klausel 7.1 Buchstabe b verstoßen.
d)
Nach Beendigung des Vertrags löscht der Auftragsverarbeiter nach Wahl des Verantwortlichen alle im Auftrag des Verantwortlichen verarbeiteten personenbezogenen Daten und bescheinigt dem Verantwortlichen, dass dies erfolgt ist, oder er gibt alle personenbezogenen Daten an den Verantwortlichen zurück und löscht bestehende Kopien, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht. Bis zur Löschung oder Rückgabe der Daten gewährleistet der Auftragsverarbeiter weiterhin die Einhaltung dieser Klauseln.
ANHANG I
Liste der Parteien
Verantwortliche(r): Als Verantwortlicher handelt der Abonnent.
Name: Der Name des Abonnenten ergibt sich aus den Vertragsunterlagen.
Anschrift: Die Anschrift des Abonnenten ergibt sich aus den Vertragsunterlagen.
Name, Funktion und Kontaktdaten der Kontaktperson: Die Kontaktperson des Abonnenten ergibt sich aus den Vertragsunterlagen
Unterschrift und Beitrittsdatum: Einer gesonderten Unterzeichnung dieses Auftragsverarbeitungsvertrages bedarf es nicht. Der Abschluss des Auftragsverarbeitungsvertrages erfolgt automatisch im Rahmen des Abschlusses des Vertrages in elektronischer Form gemäß den Regelungen der Service-Bedingungen.
Auftragsverarbeiter: Als Auftragsverarbeiter handelt die DATENDO GmbH
Name: DATENDO GmbH („DATENDO“)
Anschrift: Im Mediapark 5, 50670 Köln
Name, Funktion und Kontaktdaten der Kontaktperson: Tobias Reinhardt, Geschäftsführer, E-Mail: info@DATENDO.de, Tel.: 0800 5577733
Unterschrift und Beitrittsdatum: Einer gesonderten Unterzeichnung dieses Auftragsverarbeitungsvertrages bedarf es nicht. Der Abschluss des Auftragsverarbeitungsvertrages erfolgt automatisch im Rahmen des Abschlusses des Vertrages in elektronischer Form gemäß den Regelungen der Service-Bedingungen.
ANHANG II
Beschreibung der Verarbeitung
Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden Organe des Abonnenten Beschäftigte des Abonnenten Kategorien personenbezogener Daten, die verarbeitet werdenName, Vorname, Position im Unternehmen, E-Mail Adresse, Telefonnummer, Schulungsdaten, Schulungsdatum
Verarbeitete sensible Daten (falls zutreffend) und angewandte Beschränkungen oder Garantien, die der Art der Daten und den verbundenen Risiken in vollem Umfang Rechnung tragen, z. B. strenge Zweckbindung, Zugangsbeschränkungen (einschließlich des Zugangs nur für Mitarbeiter, die eine spezielle Schulung absolviert haben), Aufzeichnungen über den Zugang zu den Daten, Beschränkungen für Weiterübermittlungen oder zusätzliche SicherheitsmaßnahmenEs werden keine sensiblen Daten verarbeitet.
Art der VerarbeitungSpeicherung und Hosting personenbezogener Daten in der My.DATENDO-Software.
Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werdenDie Verarbeitung erfolgt ausschließlich für die Zwecke der Erbringung aller Services unter dem Vertrag (insbesondere der Erbringung von Schulungsleistungen) mit Ausnahme der DSB-Services.
Dauer der VerarbeitungDie Verarbeitung erfolgt für die Dauer des Vertrages, soweit nicht der Abonnent eine vorherige Löschung der personenbezogenen Daten verlangt oder selbst vornimmt. Gesetzliche Aufbewahrungs- und Archivierungspflichten von DATENDO bleiben unberührt.
Bei der Verarbeitung durch (Unter-)Auftragsverarbeiter sind auch Gegenstand, Art und Dauer der Verarbeitung anzugeben.Die von der Auftragsverarbeitung erfassten Daten lässt DATENDO bei seinem Hosting-Dienstleister in dessen Rechenzentren hosten (zu den Details siehe Anhang IV). Dieser erbringt Leistungen in den Bereichen Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support.
Die Verarbeitung bei dem Hosting-Dienstleister als Unter-Auftragnehmer von DATENDO erfolgt für die Dauer des Vertrages, soweit nicht der Abonnent eine vorherige Löschung der personenbezogenen Daten verlangt oder selbst vornimmt. Gesetzliche Aufbewahrungs- und Archivierungspflichten von DATENDO bleiben unberührt.
ANHANG III
Technische und organisatorische Maßnahmen, einschließlich zur Gewährleistung der Sicherheit der DatenBeschreibung der von dem/den Verantwortlichen ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen (einschließlich aller relevanten Zertifizierungen) zur Gewährleistung eines angemessenen Schutzniveaus unter Berücksichtigung der Art, des Umfangs, der Umstände und des Zwecks der Verarbeitung sowie der Risiken für die Rechte und Freiheiten natürlicher Personen Beispiele für mögliche Maßnahmen:
Maßnahmen der Pseudonymisierung und Verschlüsselung personenbezogener Daten- Zugangspasswörter werden verschlüsselt in Datenbanken gespeichert
- Zugangsdaten können nur nach vorheriger Legitimierung neu generiert werden
- Es besteht eine Arbeitsanweisung zur Pseudonymisierung/Anonymisierung personenbezogener Daten
- Es besteht eine Unternehmensrichtlinie zum Datenschutz
- Es besteht eine Richtlinie zum Datenschutz im Homeoffice/ Mobile Office
- Datenschutzkonforme Videoüberwachung
- Abschließbare Türen
- Zutritt nur mit Schlüssel/Transponder
- Dienstanweisung zum Verschließen der Räume
- Besucher können die Räume nur betreten, nachdem sie von einem Beschäftigten in Empfang genommen wurden
- Logins nur mit Benutzername/Passwort
- Externe Datenträger sind passwortgeschützt
- Aktuelle Spamfilter, Virenscanner und Firewall werden eingesetzt
- Verschlüsselte Datenübertragungen
- Desktopsperre
- Es besteht eine Clean-Desk-Vorgabe
- Die Anzahl der Administrationen mit vollem Zugriff wird minimal gehalten
- Benutzerrechte werden durch Administratoren anhand eines Rollen- und Berechtigungskonzepts vergeben
- Monitore sind sichtgeschützt aufgestellt
- Verwendung von Aktenvernichtern/Datenträgervernichtern
- Nicht mehr benötigte Datenträger werden physisch gelöscht
- Es besteht eine Richtlinie zur Generierung sicherer Passwörter
- Trennung von Produktiv- und Testumgebung
- Trennung anhand der Ordnerstrukturen einer Festplatte
- Festlegung von Datenbankzugriffsrechten
- Steuerung der Verarbeitung durch jeweils angepasste Datenbankzugriffsrechte
- Bereitstellung von Daten über verschlüsselte Verbindungen (z.B. SFTP oder https)
- Beschränkung der Speicherdauer anhand einer technischen Voreinstellung/Programmierung
- Brandschutzeinrichtung
- Unterbrechungsfreie Stromversorgung
- Speicherung der Daten in einem nach ISO/IEC 27001:2013 zertifizierten Rechenzentrum des von DATENDO beauftragten Hosting-Dienstleisters (zu den Details siehe Anhang IV).
- N+1 Redundanz (Betriebsredundanz)
- Erstellung von mindestens einem Backup aller Daten pro Tag
- Geo-redundante Speicherung von Daten an einem zweiten Standort (Spiegelung in einem zweiten Rechenzentrum)
- Notfallplan/Wiederanlaufplan
- Tests zur Wiederherstellung von Datenbeständen aus Backups
- Sorgfältige Auswahl von Unter-Auftragsverarbeitern
- Abschluss von Auftragsverarbeitungsverträgen mit Unter-Auftragsverarbeitern
- Es werden nicht mehr Daten erhoben, als dies für den Zweck der Verarbeitung erforderlich ist
- Vergabe von Benutzernamen und Passwörtern
- Passwortrichtlinie
- Regelmäßige Prüfung von Berechtigungen
- Verschlüsselte Datenübertragung (SSL, SFTP)
- Verwendung nicht öffentlicher Laufwerke
- Verschlüsselung in Datenbanken
- Begrenzte Anzahl an Administratoren
- Datenschutzkonforme Videoüberwachung
- Abschließbare Türen
- Zutritt nur mit Schlüssel/Transponder
- Verfahren zur Ausgabe von Schlüsseln/Transpondern
- Arbeitsanweisung zur Dokumentation von Datenpannen und Kooperation mit dem Verantwortlichen
- Datenschutzgerechte Voreinstellungen
- Konfiguration durch Systemadministrator
- Auswahl fachkundiger Dienstleister mit höchsten Standards zur IT-Sicherheit
- Schulung zur IT-Sicherheit
- Klare Verteilung von Verantwortlichkeiten
- Regelmäßige Kontrollen
- Identifikation des Zwecks der Verarbeitung
- Bewertung des Zusammenhangs zwischen Verarbeitung und Zweck
- Identifikation der geltenden Aufbewahrungsfristen
- Sichere Löschung der Daten nach Ablauf der Aufbewahrungsfrist
- Aktualisierungen, Ergänzungen oder Änderungen können seitens des Verantwortlichen permanent online vorgenommen werden
- Rechtevergabe zur Dateneingabe
- Nachvollziehbarkeit der Benutzer bei Eingabe
- Regelmäßige Prüfung und Bewertung der gespeicherten Daten
- Dokumentation der Datenverarbeitungen und der weiteren Maßnahmen des Datenschutzes
- Softwaregestützte automatische Archivierung und Löschung nach Beendigung eines Abonnements.
- Gesetzliche Aufbewahrungs- und Archivierungspflichten von DATENDO bleiben unberührt.
- Die von der Auftragsverarbeitung erfassten Daten lässt DATENDO bei seinem Hosting-Dienstleister in dessen Rechenzentren hosten (zu den Details siehe Anhang IV). Dieser erbringt Leistungen in den Bereichen Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support.
- Der Hosting-Dienstleister hat sich gegenüber DATENDO zur datenschutzkonformen Verarbeitung im Unterauftrag von DATENDO verpflichtet. Die von dem Hosting-Dienstleister zu ergreifenden technischen und organisatorischen Maßnahmen sind unter folgendem Link abrufbar: https://www.ionos.de/terms-gtc/fileadmin/pdf/terms-gtc/DE/AVV/DE_AVV_TOM_v1.0.pdf
- Schulung und Sensibilisierung der Beschäftigten von DATENDO zum Datenschutz
ANHANG IV
Liste der Unterauftragsverarbeiter
Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt:
Name: IONOS SE Anschrift: Elgendorfer Str. 57, 56410 Montabaur Name, Funktion und Kontaktdaten der Kontaktperson: Die IONOS SE ist vertreten durch den Vorstand, Tel.: 0721 170 5522, E-Mail: info@ionos.de Beschreibung der Verarbeitung (einschließlich einer klaren Abgrenzung der Verantwortlichkeiten, falls mehrere Unterauftragsverarbeiter genehmigt werden): Die von der Auftragsverarbeitung erfassten Daten lässt DATENDO bei dem Unterauftragsverarbeiter in dessen Rechenzentren hosten. Dieser erbringt Leistungen in den Bereichen Cloud-Dienstleistungen, Hosting, Software as a Service (SaaS) und IT-Support.Website-Datenschutzerklärung der DATENDO GmbH
1. Allgemeine Hinweise
1.1
Die DATENDO GmbH, Im Mediapark 5, 50670 Köln (im Folgenden „DATENDO“ oder „wir“) als Betreiberin der Website www.datendo.de (die „Website“) nimmt den Schutz personenbezogener Daten sehr ernst. Wir behandeln personenbezogene Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie auf Grundlage dieser Datenschutzerklärung. Die rechtlichen Grundlagen finden Sie insbesondere in der Datenschutz-Grundverordnung (DSGVO), in dem Telekommunikation-Telemedien-Datenschutzgesetz (TDDSG) sowie im Bundesdatenschutzgesetz (BDSG).
Auf unserer Website stehen Ihnen die folgenden Dienste zur Verfügung:
- Besuch unserer Website,
- Bestellung von Abonnements über unsere Website,
- Nutzung des Kundenkontos auf unserer Website,
- Abonnement des E-Mail-Newsletters auf unserer Website.
1.2 Wenn Sie diese Website benutzen, werden je nach Art und Umfang der Nutzung verschiedene personenbezogene Daten verarbeitet. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt (z.B. mittels Zuordnung zu einer Online-Kennung) identifiziert werden kann.
1.3 Die vorliegende Datenschutzerklärung informiert Sie gemäß Art. 12 ff. DSGVO über die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung unserer Website. Sie erläutert insbesondere, welche personenbezogenen Daten wir erheben und wofür wir sie nutzen. Zudem informiert sie Sie darüber, wie und zu welchem Zweck das geschieht und auf welcher Rechtsgrundlage.
1.4 Diese Datenschutzerklärung bezieht sich ausdrücklich auf die websitespezifischen Datenverarbeitungsprozesse, wie unter 1.1 beschrieben, beim Besuch unserer Website. Für andere Datenverarbeitungen durch uns gelten gesonderte Datenschutzerklärungen. Wenn Sie sich für die Buchung eines Abonnements bei uns entscheiden, schließen wir mit Ihnen bzw. dem jeweils beauftragenden Unternehmen, für das Sie tätig sind, einen gesonderten Auftragsverarbeitungsvertrag, den Sie hier [Link] abrufen können.
2. Verantwortlicher2.1 Verantwortlicher ist nach der DSGVO die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
2.2 Verantwortlicher für die von dieser Datenschutzerklärung erfassten Datenverarbeitungsprozesse ist die:
DATENDO GmbH
Im Mediapark 5
50670 Köln
Tel.: 0800 5577733
E-Mail: info@datendo.de
3.1 Aufruf und Besuch unserer Website – Server-Log-Dateien
Zum Zweck der technischen Bereitstellung der Website ist es erforderlich, dass wir bestimmte, durch Ihren Browser automatisch übermittelte Informationen verarbeiten, damit unsere Website in Ihrem Browser angezeigt werden kann und Sie die Website nutzen können. Diese Informationen (die „Zugriffsdaten“) werden bei jedem Aufruf unserer Website automatisch erfasst und automatisch in so genannten Server-Log-Dateien gespeichert. Dies sind:
a) Browsertyp und Browserversionb) verwendetes Betriebssystem
c) Datum und Uhrzeit des Zugriffs
Die Verarbeitung der vorgenannten Zugriffsdaten ist zur Bereitstellung einer funktionsfähigen Website und zur Sicherstellung der Systemsicherheit aus technischen Gründen erforderlich. Über die vorstehend genannten Zwecke hinaus verwenden wir Server-Log-Dateien ausschließlich zur bedarfsgerechten Gestaltung und Optimierung unseres Internetangebotes rein statistisch und ohne Rückschluss auf Ihre Person. Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen, auch eine Auswertung der Daten zu Marketingzwecken findet nicht statt.
Soweit Sie unsere Website besuchen, um sich über unser Leistungsangebot zu informieren oder dieses auf vertraglicher Grundlage zu nutzen, ist Grundlage für die vorübergehende Speicherung der Zugriffsdaten Art. 6 Abs. 1 S. 1 lit. b DSGVO (Rechtsgrundlage), der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen gestattet.
Darüber hinaus dient vorliegend Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage für die vorübergehende Speicherung der Zugriffsdaten. Unser berechtigtes Interesse besteht hierbei darin, Ihnen eine technisch funktionierende und benutzerfreundlich gestaltete Website zur Verfügung stellen zu können sowie die Sicherheit unserer Systeme zu gewährleisten.
Speicherdauer und Löschung Ihrer Zugriffsdaten richten sich nach Ziff. 7 dieser Datenschutzerklärung.
3.2 Verwendung von Cookies und zugehöriger Funktionen/TechnologienWir setzen auf unserer Website teilweise so genannte Cookies ein. Cookies dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen und die Bereitstellung bestimmter Funktionen unserer Website zu ermöglichen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Ein Cookie enthält eine charakteristische Zeichenfolge, die eine eindeutige Identifizierung Ihres Browsers beim erneuten Aufrufen der Website ermöglicht.
Die meisten der von uns verwendeten Cookies sind so genannte “Session-Cookies”. Sie werden nach Ende Ihres Besuchs bzw. Ihrer Browser-Sitzung automatisch gelöscht (sog. transiente Cookies). Andere Cookies bleiben auf Ihrem Endgerät für eine vorgegebene Dauer bzw. bis Sie diese löschen gespeichert (sog. persistente Cookies). Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen.
Sie können Ihren Browser in der Regel so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Die Vorgehensweise zur Deaktivierung von Cookies können Sie regelmäßig über die „Hilfe“-Funktion Ihres Internet-Browsers erhalten.
Bei der Deaktivierung von Cookies können die Funktionalität und/oder die vollständige Verfügbarkeit dieser Website eingeschränkt sein.
Einige der Cookies, die wir auf unserer Website verwenden, stammen von Dritten, die uns helfen, die Wirkung unserer Websiteinhalte und Interessen unserer Besucher zu analysieren, die Leistung und Performance unserer Website zu messen oder bedarfsgerechte Werbung und anderen Content auf unsere oder andere Websites zu setzen. Im Rahmen unserer Website setzen wir sowohl First Party Cookies (nur von der Domäne aus sichtbar, die man gerade besucht) als auch Third Party Cookies (domainübergreifend sichtbar und regelmäßig von Dritten gesetzt) ein.
Die Cookie-basierten Datenverarbeitungen erfolgen auf Basis Ihrer erteilten Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DSGVO (Rechtsgrundlage) bzw. auf Grundlage des Art. 6 Abs. 1 S. 1 lit. f DSGVO (Rechtsgrundlage) zur Wahrung unserer berechtigten Interessen. Unsere berechtigten Interessen liegen hierbei insbesondere darin, Ihnen eine technisch optimierte sowie benutzerfreundlich und bedarfsgerecht gestaltete Website zur Verfügung stellen zu können sowie die Sicherheit unserer Systeme zu gewährleisten. Einwilligungen, die Sie uns erteilt haben, können Sie jederzeit widerrufen.
Die Einzelheiten zu den Cookie-basierten Datenverarbeitungen, die über unsere Website vorgenommen werden, entnehmen Sie bitte den Angaben in unserer Consent Management Platform (CMP), die Sie durch Aufruf des Links „Cookie-Setup“ unter www.datendo.de einsehen können. Speicherdauer und Löschung Ihrer entsprechenden Daten richten sich ebenfalls nach den Angaben der CMP und ergänzend nach Ziff. 7 dieser Datenschutzerklärung.
3.3 Vertragsdurchführung – Nutzung des Onlineshops und KundenkontoWenn Sie über unsere Website unser Leistungsangebot in Anspruch nehmen, verarbeiten wir die dazu erforderlichen Daten, die wir für diese Zwecke bei Ihnen abfragen werden.
Wir verarbeiten Bestell- und Zahlungsdaten, dies sind insbesondere:
a) Vor- und Nachnameb) Firma
c) Anschrift (Liefer- und Rechnungsadresse)
d) Div. Telefonnummern
e) E-Mail-Adresse
f) Position eines Ansprechpartners im Unternehmen
Freiwillige Angaben sind im Rahmen der Abfragemaske entsprechend gekennzeichnet.
Grundlage für die Verarbeitung der vorgenannten Vertragsdaten ist Art. 6 Abs. 1 S. 1 lit. b DSGVO (Rechtsgrundlage), der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen gestattet.
Speicherdauer und Löschung Ihrer Vertragsdaten richten sich nach Ziff. 7 dieser Datenschutzerklärung.
3.4 Newslettera) Newsletter-Abonnement
Sofern Sie ausdrücklich eingewilligt haben, verwenden wir Ihre E-Mail-Adresse dafür, Ihnen regelmäßig unseren Newsletter zu übersenden. Für den Empfang des Newsletters ist die Angabe einer E-Mail-Adresse ausreichend, die Angabe weiterer Informationen ist freiwillig. Wir verwenden hierbei das sogenannte Double-Opt-In-Verfahren, was bedeutet, dass Sie nach der Anmeldung noch einmal per E-Mail von uns aufgefordert werden, den Newsletterversand zu bestätigen. Sollten Sie dies nicht bestätigen, werden wir Ihre Anfrage nach 14 Tagen löschen. Sollten Sie zu einem späteren Zeitpunkt doch unseren Newsletter empfangen wollen, müssen Sie sich erneut anmelden und Ihre Anmeldung separat bestätigen. In jedem Fall speichern wir Ihre IP-Adresse und die Zeitpunkte der Anmeldung und Bestätigung, welche wir bei Anmeldung und Bestätigung erhalten, um Ihre Anmeldung nachweisen und ggf. einen möglichen Missbrauch Ihrer persönlichen Daten aufklären zu können. Rechtsgrundlage ist in diesem Fall Art. 6 Abs. 1 S. 1 lit. a DSGVO.
b) AbmeldungDie Abmeldung ist jederzeit möglich, unabhängig davon ob die Zusendung des Newsletters auf Einwilligung oder gesetzlicher Erlaubnis basiert, zum Beispiel über einen Link am Ende eines jeden Newsletters. Alternativ können Sie Ihren Abmeldewunsch gerne auch jederzeit an uns senden unter den vorstehend angegebenen Kontaktdaten senden. Andere als die Übermittlungskosten nach den Basistarifen Ihres Kommunikationsdienstleisters entstehen hierbei nicht.
Speicherdauer und Löschung Ihrer einwilligungsbasierten Daten richten sich grundsätzlich nach Ziff. 7 dieser Datenschutzerklärung. Im Falle einer Abmeldung vom Newsletter werden Ihre bei der Anmeldung zum Newsletter angegebenen Daten gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden bleiben hiervon jedoch unberührt.
c) Newsletter-DienstleisterFür den Versand des Newsletters nutzen wir folgenden Dienstleister: rapidmail GmbH, Wentzingerstraße 21, 79106 Freiburg im Breisgau, Tel. 0761 - 55 77 55 77, E-Mail: info@rapidmail.de
3.5 Einhaltung gesetzlicher VorschriftenWir verarbeiten Ihre personenbezogenen Daten zudem, um gesetzliche Pflichten, die uns ggf. im Zusammenhang mit unserer Geschäftstätigkeit treffen, zu erfüllen. Hierzu zählen insbesondere handels-, gewerbe- oder steuerrechtliche Aufbewahrungsfristen.
Wir verarbeiten Ihre personenbezogenen Daten dabei gemäß Art. 6 Abs. 1 S. 1 lit. c DSGVO (Rechtsgrundlage) zur Erfüllung einer rechtlichen Verpflichtung, der wir unterliegen.
3.6 RechtsdurchsetzungWir verarbeiten Ihre personenbezogenen Daten zudem, um unsere Rechte geltend und unsere rechtlichen Ansprüche durchsetzen zu können. Ebenfalls verarbeiten wir Ihre personenbezogenen Daten, um uns gegen rechtliche Ansprüche verteidigen zu können. Schließlich verarbeiten wir Ihre personenbezogenen Daten, soweit dies zur Abwehr oder Verfolgung von Straftaten erforderlich ist.
Wir verarbeiten Ihre personenbezogenen Daten hierbei zur Wahrung unserer berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO (Rechtsgrundlage), soweit wir rechtliche Ansprüche geltend machen oder uns bei rechtlichen Streitigkeiten verteidigen oder wir Straftaten verhindern oder aufklären (berechtigtes Interesse). 4. Einwilligungsbasierte Datenverarbeitung4.1
Soweit Sie uns eine Einwilligung zur Verarbeitung von personenbezogenen Daten für bestimmte Zwecke erteilt haben, ist die Rechtmäßigkeit dieser Verarbeitung auf Basis Ihrer Einwilligung gegeben.
4.2
Rechtsgrundlage ist in diesem Fall Art. 6 Abs. 1 S. 1 lit. a DSGVO.
4.3
Eine erteilte Einwilligung kann jederzeit widerrufen werden. Bitte beachten Sie, dass der Widerruf erst für die Zukunft wirkt und Verarbeitungen bis dahin nicht betroffen sind.
5.1
Innerhalb unseres Unternehmens erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten bzw. zur Ausübung unserer Rechte brauchen.
5.2
Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen (z.B. technische Dienstleister, Versandunternehmen, Entsorgungsunternehmen) können zu diesen Zwecken Daten erhalten.
5.3
Teilweise erhalten die Empfänger Ihre personenbezogenen Daten als Auftragsverarbeiter und sind dann bei dem Umgang mit Ihren personenbezogenen Daten streng an unsere Weisungen gebunden. Zu diesen Auftragsverarbeitern gehören insbesondere folgende Unternehmen:
a) Newsletter
rapidmail GmbH, Wentzingerstraße 21, 79106 Freiburg im Breisgau, Tel. 0761 - 55 77 55 77, E-Mail: info@rapidmail.de
b) Hosting
IONOS SE, Elgendorfer Str. 57, 56410 Montabaur, Tel. 0721 170 5522, E-Mail: info@ionos.de
5.4
Teilweise agieren die Empfänger selbständig in eigener datenschutzrechtlicher Verantwortlichkeit und sind hierbei ebenfalls verpflichtet, die Anforderungen der DSGVO und sonstiger datenschutzrechtlicher Bestimmungen zu wahren.
5.5
Schließlich übermitteln wir im Einzelfall personenbezogene Daten an unsere Berater in rechtlichen oder steuerlichen Angelegenheiten, wobei diese Empfänger in der Regel bereits aufgrund ihrer berufsrechtlichen Stellung zur besonderen Vertraulichkeit und Geheimhaltung verpflichtet sind.
6.1
Soweit für unsere Zwecke erforderlich, übermitteln wir Ihre Daten ggf. auch an Empfänger außerhalb des Europäischen Wirtschaftsraums („Drittstaaten“). Dies ist insbesondere der Fall, im Rahmen der Vertragsabwicklung oder aufgrund von gesetzlichen Vorschriften.
6.2
Wir übermitteln Ihre Daten an Empfänger in Drittländern nur nach Maßgabe der Bestimmungen in Kapitel 5 der DSGVO, d.h. wenn sichergestellt ist, dass die EU-Kommission ein angemessenes Datenschutzniveau im Sinne von Artikel 45 Abs. 1 DSGVO festgestellt hat oder angemessene Garantien im Sinne von Artikel 46 Abs. 2 und 3 DSGVO umgesetzt wurden oder eine Ausnahme nach Art. 1 DSGVO festgestellt hat oder geeignete Garantien im Sinne des Artikels 46 Abs. 2 und 3 DSGVO umgesetzt wurden oder eine Ausnahme nach Art. 49 DSGVO vorliegt und keine überwiegenden schutzwürdigen Interessen gegen die Übermittlung der Daten sprechen.
6.3
Wir verwenden zur Sicherstellung eines angemessenen Schutzniveaus beim Empfänger der Daten, insbesondere die Standardvertragsklauseln der EU-Kommission zur Übermittlung personenbezogener Daten in Drittstaaten.
6.4
Sie haben die Möglichkeit, eine Kopie der Standardvertragsklauseln bei uns anzufordern.
6.5
Die Einzelheiten zu den Cookie-basierten Datentransfers in Drittstaaten, die über unsere Website vorgenommen werden, entnehmen sie bitte den Angaben in unserer Consent Management Platform (CMP), die Sie durch Aufruf des Links „Cookie-Setup“ unter www.datendo.de einsehen können.
7.1
Wir verarbeiten Ihre personenbezogenen Daten zunächst für die Dauer, für die der jeweilige Verarbeitungszweck – siehe oben – eine entsprechende Verarbeitung erfordert.
Soweit die Verarbeitung zur Durchführung eines Vertrages erfolgt, umfasst der Verarbeitungszeitraum auch die Zeiträume der Anbahnung eines Vertrages (vorvertragliches Rechtsverhältnis) und der Abwicklung eines Vertrages (einschließlich etwaiger nachlaufender Ansprüche). 7.3
Soweit die Verarbeitung zur Wahrung unserer berechtigten Interessen erfolgt, umfasst der Verarbeitungszeitraum den Zeitraum bis zu Erreichung der verfolgten Verarbeitungszwecke. 7.4
Soweit die Verarbeitung auf Basis einer von Ihnen erteilten Einwilligung erfolgt, umfasst der Verarbeitungszeitraum den Zeitraum von dem Zeitpunkt der Erteilung Ihrer Einwilligung bis zum Zeitpunkt des Widerrufs Ihrer Einwilligung bzw. bis zu dem Zeitpunkt, an die die von der Einwilligung erfasste Verarbeitung abgeschlossen ist. 7.5
Insofern weisen wir darauf hin, dass auch im Falle des Widerrufs eine Einwilligung die weitere Verarbeitung auf Basis weiterer Rechtsgrundlagen möglich sein kann (Art. 17 Abs. 1 lit. b) DSGVO). 7.6
Auch bei Erreichung der primären Verarbeitungszwecke kann eine weitere Verarbeitung Ihrer personenbezogenen Daten erfolgen, insbesondere, wenn dies zur Erfüllung rechtlicher Verpflichtung und/oder zur Wahrung unserer Rechte erforderlich ist. Dazu gehören insbesondere folgende Zwecke: 7.7
Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. aus dem Handelsgesetzbuch (§§ 238, 257 Abs. 4 HGB) und der Abgabenordnung (§ 147 Abs. 3, 4 AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahre. 7.8
Erhaltung von Beweismitteln unter Berücksichtigung der Verjährungsvorschriften. Nach den §§ 194 ff. des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt. 8. Datensicherheit
8.1
Personenbezogene Daten werden durch uns mittels geeigneter technischer und organisatorischer Maßnahmen geschützt, um ein angemessenes Schutzniveau zu gewährleisten und Ihr Persönlichkeitsrechte zu wahren. Die getroffenen Maßnahmen dienen unter anderem der Vermeidung eines unerlaubten Zugriffs auf die durch uns genutzten technischen Einrichtungen sowie dem Schutz personenbezogener Daten vor unerlaubter Kenntnisnahme durch Dritte. 8.2
Insbesondere nutzt diese Website aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Ihrer Kontaktanfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von “http://” auf “https://” wechselt und an dem Schloss-Symbol in Ihrer Browserzeile. Wenn die SSL- bzw. TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden. 8.3
Dennoch weisen wir darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist insoweit nicht möglich. 9. Betroffenenrechte
9.1 Auskunftsrecht:
Sie haben das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so haben Sie ein Recht auf Auskunft über diese Sie betreffenden personenbezogenen Daten und über Informationen gemäß Art. 15 Abs. 1 lit. a h DSGVO. Werden Sie betreffende personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so haben Sie das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Sie haben unter den in Art. 15 DSGVO genannten Voraussetzungen das Recht, eine Kopie der Sie betreffenden personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten. 9.2 Recht auf Berichtigung:
Sie haben das Recht, von uns unverzüglich die Berichtigung der Sie betreffenden personenbezogenen Daten zu verlangen, falls diese unrichtig sind. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger Sie betreffender personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen. 9.3 Recht auf Löschung:
Sie haben das Recht, von uns zu verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, falls eine der in Art. 17 DSGVO genannten Gründe vorliegt, z.B. wenn die Daten unrechtmäßig verarbeitet werden. 9.4 Recht auf Einschränkung der Verarbeitung:
Sie haben unter den in Art. 18 DSGVO genannten Voraussetzungen das Recht, von uns die Einschränkung der Verarbeitung zu verlangen. 9.5 Recht auf Datenübertragbarkeit:
Sie haben unter den in Art. 20 DSGVO genannten Voraussetzungen das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns, denen die personenbezogenen Daten bereitgestellt wurden, zu übermitteln. Bei der Ausübung dieses Rechts haben Sie das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von uns auf einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. 9.6 Recht auf Widerruf der Einwilligung:
Sofern die Datenverarbeitung auf Basis einer Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO erfolgt, können Sie jederzeit Ihre Einwilligung mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der Verarbeitung der Sie betreffenden personenbezogenen Daten bis zum Widerruf bleibt hiervon unberührt. Beim Widerruf der Einwilligung können Sie unter anderem auch denjenigen Kontaktweg wählen, den Sie bei der Abgabe der Einwilligung verwendet haben. 9.7 Recht auf Beschwerde bei einer Aufsichtsbehörde:
Sie haben unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. 10. Widerspruchsrecht
10.1
Sie haben unter den in Art. 21 DSGVO genannten Voraussetzungen das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmung gestütztes Profiling. Werden Sie betreffende personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. 10.2
Sie haben unter den in Art. 21 DSGVO genannten Voraussetzungen das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Sie betreffende Verarbeitung der Sie betreffenden personenbezogenen Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gemäß Art. 89 Abs. 1 DSGVO erfolgt, Widerspruch einzulegen. 11. Pflicht zur Bereitstellung von Daten
11.1
Grundsätzlich sind Sie nicht verpflichtet, uns Ihre personenbezogenen Daten mitzuteilen. Wenn Sie dies jedoch nicht tun, werden wir Ihnen unsere Website nicht uneingeschränkt zur Verfügung stellen können oder Ihre Anfragen an uns nicht beantworten können. 11.2
Personenbezogene Daten, die wir nicht zwingend für die oben genannten Verarbeitungszwecke benötigen, sind entsprechend als freiwillige Angaben gekennzeichnet. 12. Automatisierte Entscheidungsfindung/Profiling
Wir setzen keine automatisierte Entscheidungsfindung und kein Profiling (eine automatisierte Analyse Ihrer persönlichen Umstände) ein. 13. Aktualität und Änderung dieser Datenschutzerklärung
13.1
Diese Datenschutzerklärung ist aktuell gültig und hat den Stand Februar 2024. 13.2
Durch die Weiterentwicklung unserer Website oder aufgrund geänderter gesetzlicher beziehungsweise behördlicher Vorgaben kann es notwendig werden, diese Datenschutzerklärung zu ändern. In diesem Fall werden wir diese Datenschutzerklärung entsprechend auf unserer Website aktualisieren.