zwischen
Auftraggeber
– nachstehend „Auftraggeber“ genannt –
und
HERO Software GmbH, Göttinger Hof 9, 30453 Hannover
– nachfolgend „Auftragnehmer“ genannt -
– beide zusammen „Parteien“ genannt –
Der Auftragnehmer erhebt, verarbeitet und nutzt personenbezogene Daten des Auftraggebers im Rahmen der Nutzung der Software „HERO“ durch den Auftraggeber.
Dieser AVV gilt für sämtliche Tätigkeiten im Zusammenhang mit dem Vertragsverhältnis, bei denen Mitarbeiter und/oder – soweit gem. nachstehendem § 7 zulässig – Subunternehmer des Auftragnehmers personenbezogene Daten von und für den Auftraggeber erheben, verarbeiten oder nutzen.
Nach diesem AVV ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch den Auftragnehmer nur im Gebiet der Bundesrepublik Deutschland zulässig. Dem Auftragnehmer ist es ohne vorherige Abstimmung mit dem Auftraggeber nicht gestattet, die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten von und für den Auftraggeber ins Ausland, insb. außerhalb des Gebietes der Europäischen Union und des Europäischen Wirtschaftsraumes, zu verlagern. Wenn und soweit der Auftragnehmer künftig beabsichtigt, seine Leistungserbringung und damit einhergehend die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von dem Auftraggeber ins Ausland, insb. ins außereuropäische Ausland zu verlagern, hat er den Auftraggeber umgehend zu unterrichten. Eine solche Verlagerung darf nur und erst erfolgen, wenn der Auftraggeber dem zuvor schriftlich zugestimmt hat und die besonderen Voraussetzungen der DSGVO bzw. des BDSG (neu) vorliegen.
Die Laufzeit des AVV wird entsprechend der Laufzeit des entsprechenden Software- oder Kooperationsvertragsverhältnisses der Parteien vereinbart; dieser AVV bleibt während der gesamten Laufzeit des entsprechenden Vertragsverhältnisses in Kraft, soweit sie nicht durch eine Nachfolgeregelung ersetzt wird. Eine Kündigung des Vertragsverhältnisses führt automatisch zur Beendigung dieses AVVs. Eine Kündigung dieses AVVs aus wichtigem Grund führt automatisch zur Beendigung des entsprechenden Vertragsverhältnisses zwischen Auftraggeber und Auftragnehmer.
Beide Parteien sind berechtigt, diesen AVV jederzeit aus wichtigem Grund zu kündigen. Ein solcher wichtiger Grund liegt insb. vor, wenn
Die Parteien gehen davon aus, dass der Auftragnehmer als Auftragsdatenverarbeiter i.S. der jeweils aktuellen Fassung des BDSG und der DSGVO für den Auftraggeber tätig wird. Wenn und soweit der Auftragnehmer jetzt oder künftig Leistungen erbringen soll, die nicht nach diesem AVV privilegiert sind, werden die Parteien sich hierüber abstimmen. Im Rahmen der Durchführung dieses AVV gelten nachfolgende Verantwortungsbereiche:
(a) Der Auftraggeber ist im Hinblick auf das Vertragsverhältnis und die in dessen Durchführung des Auftragnehmers zu erhebenden, zu verarbeitenden und zu nutzenden Daten für die Einhaltung sämtlicher einschlägiger Datenschutzvorschriften, insb. des Bundesdatenschutzgesetzes (BDSG) sowie der DSGVO, verantwortlich. Der Auftraggeber ist insb. dafür verantwortlich, dass etwaige Einwilligungserklärungen, die für die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten erforderlich sind, eingeholt wurden.
(b) Der Auftraggeber ist „Herr der Daten“. Der Auftraggeber behält die volle Kontrolle über die des Auftragnehmers zu erhebenden, zu verarbeitenden und zu nutzenden Daten. Sämtliche erhobenen, verarbeiteten und genutzten Daten stehen ausschließlich dem Auftraggeber zu.
Der Auftragnehmer wird personenbezogene Daten, die im Rahmen dieses AVVs im Auftrag für den Auftraggeber erhoben, verarbeitet oder genutzt werden, ausschließlich zur Erfüllung des im Vertrag und seinen Leistungsscheinen beschriebenen Zwecken erheben, verarbeiten und nutzen.
(a) Personenbezogene Daten werden vom Auftraggeber und dessen Mitarbeitern sowie Kunden im Rahmen der Software-Nutzung erhoben bzw. verarbeitet. Der Zweck der Datenerhebung ist die Verwaltung der Handwerksbetriebe als SaaS (Software-as-a-Service) Nutzer, sowie die Verwaltung der einzelnen Nutzer der Software durch den Auftraggeber und das Verwalten von Kunden-Projekten des Auftraggebers.
Im Rahmen des Vertragsverhältnisses erhebt, verarbeitet und nutzt der Auftragnehmer folgende Arten von Daten von i) des Auftraggebers, ii) Endkunden (Hausbesitzer: Kunden des Auftraggebers) und iii) Mitarbeitern des Auftraggebers:
Der Kreis der durch den Umgang mit personenbezogenen Daten im Rahmen dieses AVVs Betroffenen umfasst:
Zur Gewährleistung der Sicherheit und Vertraulichkeit der Daten hat der Auftragnehmer die folgenden technisch-organisatorischen Maßnahmen getroffen:
Die in diesem AVV beschriebenen technisch-organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Dem Auftragnehmer ist es deshalb gestattet, alternative adäquate Maßnahmen umzusetzen, wenn und soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen hat der Auftragnehmer zu dokumentieren und den Auftraggeber entsprechend zu informieren. Der Auftraggeber kann widersprechen, wenn durch die Änderung der Maßnahmen ein angemessenes Datenschutzniveau nicht gesichert ist.
Der Auftragnehmer wird den Auftraggeber über die technischen und organisatorischen Maßnahmen sowie Ereignisse, die für die Sicherheit oder Vertraulichkeit der Daten von Bedeutung sind, regelmäßig unterrichten. Störungen oder sonstige Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers wird er diesem unverzüglich mitteilen und das weitere Vorgehen mit ihm abstimmen.
(1) Die im Auftrag des Auftraggebers erhobenen, verarbeiteten und genutzten Daten darf der Auftragnehmer nur nach Weisung durch den Auftraggeber berichtigen, löschen oder sperren. Wenn sich ein Betroffener zu diesem Zweck direkt an den Auftragnehmer wendet, hat dieser ein solches Ersuchen unverzüglich an den Auftraggeber weiterzuleiten. Ansprechpartner für solche Anfragen beim Auftraggeber sind dem Auftragnehmer unaufgefordert mitzuteilen. Der Auftraggeber wird dem Auftragnehmer die entsprechenden Kontaktdaten und etwaige spätere Änderungen mitteilen.
(2) Der Ansprechpartner bei dem Auftraggeber wird das Ersuchen prüfen und der Auftragnehmer schriftlich mitteilen, ob es berechtigt war oder nicht und den Auftragnehmer anweisen, die Berichtigung, Löschung oder Sperrung vorzunehmen.
Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen.
Hierzu gehören insbesondere die folgenden Verpflichtungen:
(1) der Auftragnehmer wird sämtliche Personen, die bei der Datenverarbeitung beschäftigt sind, auf das Datengeheimnis verpflichten und diese über Art, Umfang und Bedeutung des Datengeheimnisses unterrichten.
(2) der Auftragnehmer wird die technisch-organisatorischen Maßnahmen umsetzen.
(3) der Auftragnehmer wird den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde und zwar auch bei Ermittlungen unterrichten.
(4) der Auftragnehmer wird regelmäßige Kontrollen zur Durchführung der Auftragskontrolle vornehmen, insb. zur Einhaltung und etwaigen notwendigen Anpassungen von Regelungen und Maßnahmen zur Durchführung dieses AVV.
Der Auftragnehmer arbeitet mit folgenden Subunternehmen zusammen:
Infrastruktur
Diese Auftragsverarbeiter stellen uns eine robuste Infrastruktur zur Verfügung, die verschiedene Aspekte wie Hosting, Netzwerkdienste, Cloud-Computing und Content Delivery umfasst. Sie ermöglichen es uns, unsere Plattform effizient bereitzustellen, Skalierbarkeit zu gewährleisten und eine optimale Leistung zu erzielen
| Unternehmen, Sitz | Zweck der Zusammenarbeit | Standort der Datenverarbeitung |
|---|---|---|
|
Telekom Deutschland GmbH Landgrabenweg 151 53227 Bonn Deutschland |
Hoster/Rechenzentrum | Deutschland |
|
Hetzner Online GmbH Industriestr. 25 91710 Gunzenhausen Deutschland |
Hoster/Rechenzentrum | Deutschland |
|
Google LLC 1600 Amphitheatre Parkway Mountain View California 94043 USA |
Hosting, App Services, Maps, Push Notifications, data warehouse | Deutschland & USA |
|
Apple Inc. Infinite Loop Cupertino CA 95014 USA |
App, Maps, Push notifications | USA |
|
Cloudflare Inc. 101 Townsend St San Francisco CA 94107 USA |
Content Delivery Network, Cache (Hosting) | EU |
|
Twilio Inc. 101 Spear Street, 5th Floor San Francisco CA 94105 |
Email-Versand aus Hero | Global |
|
Netlify Inc. 512 2nd Street Suite 200 San Francisco CA 94107 |
Nur eingesetzt bei Nutzung bestimmter Module | Deutschland |
Fehlerüberwachung
Diese Unterauftragsverarbeiter ermöglichen es uns, Fehler in Echtzeit zu überwachen, Systemmetriken zu überwachen und visuell darzustellen, um eine schnelle Reaktion und eine kontinuierliche Verbesserung unserer Dienstleistungen sicherzustellen.
| Unternehmen, Sitz | Zweck der Zusammenarbeit | Standort der Datenverarbeitung |
|---|---|---|
|
Sentry.io 132 Hawthorne St San Francisco CA 94107 USA |
Error Reporting Hero/Mobile | USA |
|
Grafana Labs 29 Broadway Penthouse New York NY 10006 USA |
Server Logs und Monitoring | EU |
Kundenservice
Diese Unterauftragsverarbeiter ermöglichen es uns, effektive Kommunikation und Unterstützung für unsere Kunden bereitzustellen.
| Unternehmen, Sitz | Zweck der Zusammenarbeit | Standort der Datenverarbeitung |
|---|---|---|
|
Inline Manual Ltd 20-22 Wenlock Road London N1 7GU United Kingdom |
Interaktive Anleitungen | Belgien |
|
Zendesk, Inc. 1019 Market St. San Francisco CA 94103 USA |
FAQ Datenbank, Ticket-System für Support | Deutschland |
|
Calendly LLC 1315 Peachtree St NE Atlanta GA 30309 USA |
Date Picker für HERO Online-Präsentationen | USA |
|
Productboard Inc. 612 Howard Street 4th floor San Francisco CA 94105 USA |
Kundenfeedback quantifizieren und priorisieren | USA |
|
Notch GmbH Eifflerstraße 43 22769 Hamburg Deutschland |
Onboarding von Neukunden | Deutschland |
|
Aircall.io Inc. 381 Park Avenue South 6th Floor New York NY 10016 USA |
Cloud Telefonanlage | USA |
|
CircleCo, Inc. 228 Park Ave S, PMB 52933 New York NY 10003, USA |
Kommunikationsdienste, HERO Community | USA |
Kundenadministration
Diese Unterauftragsverarbeiter verarbeiten personenbezogene Daten, die zur Administration der Kunden verwendet werden unter anderem im Rahmen der Vertragserstellung und der Abrechnung. Betroffen sind ausschließlich die personenbezogenen Daten der direkten HERO Kunden und nicht der individuellen Kundenstämme der Kunden.
| Unternehmen, Sitz | Zweck der Zusammenarbeit | Standort der Datenverarbeitung |
|---|---|---|
|
JustOn GmbH Mälzerstraße 3 07745 Jena Deutschland |
Subscription Management - Abrechnung | Deutschland |
|
SALESFORCE.COM GERMANY GMBH Erika-Mann-Str. 31 80636 München Deutschland |
Sales & Supportprozesse | Deutschland |
|
PandaDoc Inc. 3739 Balboa, #1083 San Francisco California 94121 USA |
elektronische Dokumentenunterzeichnung | USA |
|
Odoo DE GmbH Mühlenstraße 15 10243 Berlin |
Buchhaltungsystem, mit Mahnlaufprozess | EU |
Datenanalyse
Diese Unterauftragsverarbeiter ermöglichen es uns, das Nutzerverhalten zu analysieren und wertvolle Erkenntnisse zur Weiterentwicklung von HERO Software zu gewinnen.
| Unternehmen, Sitz | Zweck der Zusammenarbeit | Standort der Datenverarbeitung |
|---|---|---|
|
Mixpanel Inc. 405 Howard Street Floor 2 San Francisco CA 94105 USA |
Analyse Nutzer-Verhalten | EU |
|
Refiner SASU 10 Rue de Penthiévre 75008 Paris Frankreich |
Automatisierte Nutzerbefragungen | EU |
|
Dovetail Research Pty. Ltd. Level 1, 276 Devonshire Street Surry Hills New South Wales 2010 Australia |
Qualitative Interviews dokumentieren und auswerten | EU |
|
Langdock GmbH Fehrbelliner Strasse 4 10119 Berlin Deutschland |
Auswertung von Daten | EU |
Datenintegration und Workflow-Automatisierung
Diese Unterauftragsverarbeiter ermöglichen es uns, Daten aus verschiedenen Quellen zu extrahieren, zu integrieren und zu übertragen. Sie unterstützen auch die Datenvisualisierung, -analyse und die Automatisierung von Workflows.
| Unternehmen, Sitz | Zweck der Zusammenarbeit | Standort der Datenverarbeitung |
|---|---|---|
|
Hightouch - Carry Technologies Inc. 2211 Mission Street, Unit B San Francisco CA 94110 USA |
Verknüpfung unterschiedlicher Tools | USA |
|
Fivetran Inc. Oakland 1221 Broadway Floor 20 Oakland CA 94612 USA |
Verknüpfung unterschiedlicher Tools | USA |
|
Make.com - Celonis Inc. One World Trade Center 87th Floor New York NY 10007 USA |
Verknüpfung unterschiedlicher Tools | EU |
|
Zapier Inc. 548 Market St. #62411 San Francisco CA 94104-5401 USA |
Verknüpfung unterschiedlicher Tools | USA |
|
dbt Labs, Inc. 915 Spring Garden St Suite 500 Philadelphia, PA 19123 United States |
Datenintegration, Datentransformation und Workflow-Automatisierung | USA |
|
n8n GmbH Novalisstraße 10 10115 Berlin Deutschland |
Datentransformation und bestimmte Module | Deutschland |
Diese Unterauftragsverarbeiter verarbeiten personenbezogene Daten nur, wenn im Rahmen der internen Kommunikation personenbezogene Daten in z.B. Chatverläufen, Mailverläufen, etc. enthalten sind. Die betroffenen personenbezogenen Daten werden dabei jeweils unstrukturiert und werden in minimierter Form (Prinzip der Datenminimierung) verwendet.
| Unternehmen, Sitz | Zweck der Zusammenarbeit | Standort der Datenverarbeitung |
|---|---|---|
|
Slack Technologies, Inc. 500 Howard St San Francisco CA 94105 USA |
Error Reporting, Kommunikation | USA |
|
Atlassian Inc. 350 Bush St. Floor 13 San Francisco CA 94104 USA |
Tickets, Incident Response Kommunikation | EU |
Der Auftraggeber ist berechtigt, zunächst vor Beginn der Datenverarbeitung und sodann regelmäßig bei dem Auftragnehmer zu kontrollieren, ob die technisch organisatorischen Maßnahmen eingehalten werden.
Zu diesem Zweck räumt der Auftragnehmer dem Auftraggeber das Recht ein, die Vorabkontrolle sowie die Auftragskontrolle in Abstimmung mit dem Auftragnehmer zu den üblichen Geschäftszeiten des Auftragnehmers oder nach vorheriger Terminvereinbarung durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen. Er wird dem Auftraggeber auf dessen Verlangen die in diesem Zusammenhang relevanten Informationen geben. Das Ergebnis dieser Prüfungen ist zu dokumentieren.
Der Auftraggeber ist berechtigt, Kontrollen vor Ort bei einem Subunternehmer gemeinsam mit dem Auftragnehmer durchzuführen oder durch Dritte durchführen zu lassen, soweit dies erforderlich ist, damit sich der Auftraggeber von der Einhaltung der technischen und organisatorischen Maßnahmen überzeugen kann.
Der Auftragnehmer weist den Auftraggeber auf Nachfrage die Umsetzung der technisch-organisatorischen Maßnahmen nach. Dieser Nachweis kann auch durch Vorlage eines aktuellen Testats, von Berichten oder Berichtsauszügen unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) oder einer geeigneten Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz) erbracht werden.
Der Auftragnehmer hat Frau Marion Albrecht, Rechtsanwältin, Fachanwältin für IT- Recht (Informationstechnologierecht), activeLAW Rechtsanwälte, Hans-Böckler-Allee 26, 30173 Hannover als externe Datenschutzbeauftragte bestellt.
Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.
Der Auftragnehmer ist verpflichtet, dem Auftraggeber Verstöße gegen Datenschutzbestimmungen oder diesen AVV, die er oder die bei ihm beschäftigten Personen begangen haben, mitzuteilen. Im Hinblick darauf vereinbaren die Parteien Folgendes:
Der Auftragnehmer verpflichtet sich, den Auftraggeber unverzüglich zu informieren, wenn und soweit er oder die bei ihm beschäftigten Personen gegen Datenschutz- oder gegen Bestimmungen dieses AVV verstoßen haben.
Der Auftraggeber hat bei einer unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten durch Dritte gegenüber der Aufsichtsbehörde und den Betroffenen bestimmte Informationspflichten. Der Auftragnehmer wird dem Auftraggeber dahingehende Vorfälle unverzüglich ohne Ansehen der Verursachung mitteilen. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs, bei Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit personenbezogenen Daten des Auftraggebers. Der Auftragnehmer wird in Abstimmung mit dem Auftraggeber angemessene Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen für Betroffene ergreifen. Wenn und soweit der Auftraggeber zur Benachrichtigung der Aufsichtsbehörden verpflichtet ist, wird der Auftragnehmer ihn hierbei vollumfänglich unterstützen und ihm unverzüglich sämtliche erforderlichen Informationen über die Ursache, das Ausmaß und die Folgen für die Betroffenen, die durch die unrechtmäßige Kenntniserlangung eintreten können, geben, damit der Auftraggeber seinen Benachrichtigungspflichten sowohl gegenüber der Aufsichtsbehörde als auch ggf. gegenüber den Betroffenen nachkommen kann.
Der Auftraggeber ist „Herr der Daten“ und entscheidet deswegen alleine, ob aufgrund der ihm seitens des Auftragnehmers über einen Vorfall zur Verfügung gestellten Informationen eine Benachrichtigung der Aufsichtsbehörde und ggf. der Betroffenen erfolgen muss.
Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen, es sei denn der Auftragnehmer ist behördlich oder gesetzlich zur Auskunft verpflichtet; der Auftragnehmer wird – soweit möglich in den letztgenannten Fällen zunächst Rücksprache mit dem Auftraggeber halten; im Übrigen wird der Auftraggeber in diesen Fällen unverzüglich über die Art und den Inhalt der Auskunft informiert.
(1) Weisungsrecht des Auftraggebers
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten i.S. des Vertragsverhältnisses und dieses AVV erfolgt ausschließlich nach den Weisungen des Auftraggebers. Der Auftraggeber hat im Rahmen des Vertragsverhältnisses und dieses AVVs ein umfassendes Weisungsrecht hinsichtlich der Art, dem Umfang und den Verfahren der Datenverarbeitung, das er durch Einzelanweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstands und Verfahrensänderungen stimmen die Parteien ab.
Sämtliche Änderungen des Verarbeitungs- und/oder Verfahrensgegenstandes sind zu dokumentieren.
Der Auftraggeber wird seine Weisungen grundsätzlich schriftlich oder per E-Mail erteilen. Der Auftragnehmer verwendet die Daten für keine anderen Zwecke als diejenigen, die in dem Vertragsverhältnis und dieses AVVs festgelegt sind. Er ist nicht berechtigt, die personenbezogenen Daten von dem Auftraggeber an Dritte weiterzugeben oder anderweitig zu übermitteln, insb. zum Abruf bereitzustellen. Kopien und Duplikate außerhalb der für interne Zwecke vorgenommen Maßnahmen zu Datensicherung (Backups) darf der Auftragnehmer nur dann erstellen, wenn der Auftraggeber zugestimmt hat, der Auftragnehmer sie als Sicherheitskopien zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder der Auftragnehmer sie unter dem Gesichtspunkt der gesetzlichen Aufbewahrungspflichten benötigt.
(2) Hinweispflicht der Auftragnehmer
Wenn und soweit der Auftragnehmer der Auffassung ist, dass die Ausführung von Weisungen i.S. des vorstehenden Absatzes zu einer Verletzung von Datenschutzbestimmungen führen könnte, ist der Auftragnehmer verpflichtet, den Auftraggeber unverzüglich hierauf hinzuweisen (§ 11 Abs. 3 Satz 2 BDSG). In diesem Fall ist er berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Ansprechpartner bestätigt oder geändert wird.
Der Auftragnehmer ist berechtigt, Dokumentationen, die er benötigt, um die Auftrags- und ordnungsgemäße Datenverarbeitung nachweisen zu können, gem. den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie dem Auftraggeber zu seiner Entlastung bei Vertragsende übergeben.
Mit Beendigung des Auftrags oder vorher auf Verlangen des Auftraggebers ist der Auftragnehmer verpflichtet, dem Auftraggeber sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie die in Zusammenhang mit dem Vertragsverhältnis und dieser AV stehenden Datenbestände auszuhändigen oder nach vorheriger Zustimmung des Auftraggebers datenschutzgerecht zu vernichten. Für Test- und Ausschussmaterial gilt dies nur dann, wenn der Auftraggeber dies ausdrücklich verlangt. Das Protokoll der Löschung bzw. Vernichtung ist dem Auftraggeber vorzulegen. Entsprechendes gilt für die Versicherung der vollständigen Aushändigung sämtlicher in Zusammenhang mit dem Vertragsverhältnis und dieser AV stehender Unterlagen sowie Verarbeitungs- und Nutzungsergebnisse.
Der Auftragnehmer ist berechtigt, Dokumentationen, die er benötigt, um die Auftrags- und ordnungsgemäße Datenverarbeitung nachweisen zu können, gem. den jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie dem Auftraggeber zu seiner Entlastung bei Vertragsende übergeben.
Soweit nicht das entsprechende Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer eine weitergehende Haftung vorsieht, gilt:
(1) Im Verhältnis zum Betroffenen ist der Auftraggeber für Schäden, die aus einer schuldhaften Verletzung von Datenschutzbestimmungen im Rahmen der Durchführung des Vertragsverhältnisses oder dieses AVVs durch den Auftragnehmer, die bei ihm beschäftigten Personen oder durch von ihm nach Maßgabe von § 7 eingeschalteten Subunternehmer entstehen, verantwortlich.
(2) Der Auftragnehmer haftet bei Vorsatz oder grober Fahrlässigkeit für verursachten Schäden unbeschränkt.
(3) Bei leichter Fahrlässigkeit haftet der Auftragnehmer im Fall der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.
(4) Im Übrigen haftet der Auftragnehmer nur, soweit eine wesentliche Vertragspflicht verletzt wurde. Wesentliche Vertragspflichten sind solche Pflichten, die für die Erreichung des Vertragsziels von besonderer Bedeutung sind, ebenso alle diejenigen Pflichten, die im Fall einer schuldhaften Verletzung dazu führen können, dass die Erreichung des Vertragszwecks gefährdet wird. In diesen Fällen ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schaden beschränkt.
Es gelten die gesetzlichen Bestimmungen.
(1) Sollte das Eigentum des Auftraggebers bei dem Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
(2) Die Einrede des Zurückbehaltungsrechts im Sinne von § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
(3) Für Nebenabreden ist die Schriftform erforderlich.
(4) Die Parteien sind sich bewusst, dass zum Mai 2018 die DS GVO und das BDSG (neu) in Kraft treten. Beide Parteien verpflichten sich, alle Vereinbarungen zu treffen und bestehende Vereinbarungen anzupassen, soweit dies erforderlich ist, um zukünftig eine datenschutzkonforme Gestaltung des bestehenden Auftragsverhältnisses zu gewährleisten.
(5) Ausschließlicher Gerichtsstand ist, sofern nicht eine Norm oder der Lizenzvertrag zwingend einen anderen Gerichtsstand anordnet, das jeweilig zuständige Gericht am Sitz der beklagten Partei.