Präambel
Diese Anlage (im Folgenden „AV-Vertrag“ genannt) konkretisiert die Verpflichtungen zum Datenschutz, die sich aus einem vom Auftraggeber genutzten Dienstleistungsvertrag (nachstehend „Vertrag“ oder „Hauptvertrag“ genannt) ergeben. Der AV-Vertrag findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen personenbezogene Daten (nachfolgend „Daten“ genannt) durch den Auftragnehmer oder durch den vom Auftragnehmer Beauftragten verarbeitet werden.
Dieser AV-Vertrag trägt Art. 28 Abs. 3 DSGVO (Datenschutzgrundverordnung) Rechnung, nach dem jedes Unternehmen, das Daten im Auftrag verarbeiten lässt, einen Vertrag oder ein anderweitiges Rechtsinstrument nutzen muss, um die Verarbeitung von Daten zu regeln. Es sind speziell Vereinbarungen zu den Verantwortlichkeiten, dem Gegenstand und der Dauer der Verarbeitung, Art und Zweck der Verarbeitung, der Art der verarbeiteten Daten sowie den Rechten und Pflichten der Vertragsparteien zu treffen.
Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Textform nach § 126 b BGB gemeint, zu deren Wirksamkeit auch eine E-Mail genügt.
Der vorliegende AV-Vertrag ist nur gültig in Verbindung mit einem aktiven Dienstleistungsvertrag mit Küstenlicht – Design (vormals VNSA Webdesign).
- 1 Gegenstand und Dauer der Verarbeitung
- Auftragnehmer ist Küstenlicht – Design (vormals VNSA Webdesign)
Küstenlicht-Design
Stephan Janßen
Wolfstapper Weg 6
26316 Varel
Tel: (+49) 01520 895 4343
- Gegenstand der Vereinbarung sind die Rechte und Pflichten des Auftragnehmers und seiner Kunden (Auftraggeber) im Rahmen der Leistungserbringung gemäß der Leistungsbeschreibung des Hauptvertrags, soweit eine Auftragsverarbeitung von personenbezogenen Daten durch den Auftragnehmer gemäß Art. 28 DSGVO erfolgt. Dies umfasst alle Tätigkeiten, die der Auftragnehmer im Rahmen dieser Auftragsverarbeitung, durchführt. Dies gilt auch, sofern der Vertrag nicht ausdrücklich auf diese Vereinbarung zur Auftragsverarbeitung verweist.
- Die Dauer der Verarbeitung richtet sich nach der Dauer und der Laufzeit des Hauptvertrags.
- 2 Art und Zweck der Verarbeitung
- Die Art der Verarbeitung umfasst alle Arten von Verarbeitung im Sinne der DSGVO zur Erfüllung des Hauptvertrags.
- Zweck der Verarbeitung sind alle, zur Erbringung der im Hauptvertrag vereinbarten Leistungen.
- 3 Art der personenbezogenen Daten und Kategorien von Betroffenen
- Die Art der verarbeiteten personenbezogenen Daten wird vom Auftraggeber festgelegt.
- Die Art der personenbezogenen Daten umfasst:
- Personenstammdaten, also Daten über Namen, Anschrift der Kunden oder andere persönliche Informationen zu der Person
- Kontaktdaten wie Telefonnummern und E-Mail-Adressen
- Die Kategorien betroffener Personen umfassen Kunden und Interessenten des Auftraggebers, die durch den Auftraggeber zur Verfügung gestellt werden.
- 4 Rechte und Pflichten des Auftraggebers
- Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen schriftlich. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich schriftlich bestätigen.
- Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er bei der Durchführung des Auftrags Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
- Im Falle der Beendigung verpflichtet sich der Auftraggeber, diejenigen personenbezogenen Daten vor Vertragsbeendigung zu löschen, die er in den Diensten gespeichert hat.
- Auf Anforderung des Auftragnehmers benennt der Auftraggeber einen Ansprechpartner in Datenschutzangelegenheiten.
- Die Weisungen werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form, oder in einem elektronischen Format durch einzelne Weisungen geändert, ergänzt oder ersetzt werden. Insbesondere wird der Auftragnehmer nur nach dokumentierter Weisung des Auftraggebers Daten, die im Auftrag verarbeitet werden, berichtigen, löschen oder deren Verarbeitung einschränken.
- Mündliche Weisungen bestätigt der Auftraggeber unverzüglich schriftlich.
- Der Auftraggeber kann einzelne zur Weisung befugte Personen benennen.
- Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich die Nachfolger bzw. die Vertreter mitzuteilen.
- Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis diese durch den Verantwortlichen beim Auftraggeber entsprechend geändert wird oder die rechtliche Zulässigkeit der Weisung nachgewiesen wird.
- Rechtswidrige Weisungen wird der Auftragnehmer ablehnen.
- 6 Pflichten des Auftragnehmers
- Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auftragnehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
- Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
- Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
- Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
- Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Verlagerung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Bestimmungen dieses Vertrags erfolgen.
- Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in Art. 32 – 36 DSGVO geregelten Pflichten zur Sicherheit der Verarbeitung, Meldung bei Verletzungen des Schutzes personenbezogener Daten und Datenschutzfolgeabschätzung im erforderlichen Umfang, insbesondere im Falle einer Kontrolle des Auftraggebers durch Aufsichtsbehörden oder andere Stellen oder einer Geltendmachung von Rechten betroffener Personen, soweit die Verarbeitung im Auftrag betroffen ist.
- Der Auftragnehmer ist gemäß Art. 33 Abs. 2 DSGVO verpflichtet, dem Auftraggeber jedwede Verletzung des Schutzes personenbezogener Daten, die im Rahmen des vorliegenden Vertrages verarbeitet werden, unverzüglich zu melden.
- Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DSGVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen.
- 7 Technische und organisatorische Maßnahmen
- Der Auftragnehmer verpflichtet sich, seine innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes und dem Risiko für die Rechte und Freiheiten der betroffenen Personen angemessenem Schutzniveau gerecht werden. Er ergreift technische und organisatorische Maßnahmen zum Schutz der Daten des Auftragnehmers, die den Anforderungen der DSGVO gemäß Art. 32 genügen.
- Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit sowie die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen. Der Auftragnehmer verpflichtet sich die getroffenen Maßnahmen in diesem Zusammenhang stets auf dem aktuellen Stand der Technik zu halten.
- Die Beschreibung der technischen und organisatorischen Maßnahmen gemäß Anhang 1 „TOM“ ist Bestandteil des AV Vertrags.
- Der Auftragnehmer verpflichtet sich die Wirksamkeit der getroffenen Maßnahmen regelmäßig, zumindest aber jährlich, zu prüfen, zu bewerten und gegebenenfalls anzupassen.
- Änderungen an den getroffenen Maßnahmen bleiben dem Auftragnehmer vorbehalten, wobei sichergestellt werden muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
- Wesentliche Änderungen sind dem Auftraggeber in schriftlicher Form mitzuteilen.
- 8 Anfragen betroffener Personen
- Wendet sich eine betroffene Person mit dem Anliegen der Auskunft, Berichtigung oder Löschung an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung der Person zu dem jeweiligen Auftraggeber möglich und zulässig ist.
- Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung seiner Pflichten gegenüber betroffenen Personen nach Kapitel 3 DSGVO (Recht auf Auskunft, Information, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch) im Rahmen seiner Möglichkeiten und gemäß den vertraglich vereinbarten Bedingungen.
- Der Auftragnehmer haftet nicht für die Einhaltung der im Rahmen der Anfrage geltenden Vorschriften auf Vollständigkeit und Korrektheit sowie der gesetzlichen Fristen.
- 9 Unterauftragsverhältnisse
- Als Untervertragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die unmittelbar mit der Erbringung der im Hauptvertrag beschriebenen Dienstleistung in Zusammenhang stehen und durch verbundene oder fremde Unternehmen erbracht werden.
- Mit dem Hinzuziehen verbundener oder fremder Unternehmen durch den Auftragnehmer ist der Auftraggeber einverstanden. Der Auftragnehmer hat den Auftraggeber von der Beauftragung in Kenntnis zu setzen, sodass dieser innerhalb einer Frist von 14 Tagen widersprechen kann. Verweigert der Auftraggeber durch seinen Einspruch die Zustimmung, behält sich der Auftragnehmer das Recht vor, die Anlage sowie den dazugehörigen Vertrag fristlos zu kündigen.
- Eine Liste der aktuell eingesetzten Unterunternehmen inklusive deren jeweiliger Geschäftssitz sind den Allgemeinen Geschäftsbedingungen zu entnehmen. Diese Liste wird bei etwaigen Erweiterungen oder Anpassungen zeitnah aktualisiert.
- Beauftragt der Auftragnehmer Subunternehmer so obliegt es dem Auftragnehmer, seine aus diesem Vertrag hervorgehenden datenschutzrechtlichen Verpflichtungen auf diesen zu übertragen. In diesem Zusammenhang verpflichtet sich der Auftragnehmer dem Untervertragsverhältnis einen vertraglichen Rahmen gemäß Art. 28 Abs. 2-4 zu Grunde zu legen. Der Auftragnehmer behält die volle Verantwortung für die von ihm eingesetzten Subunternehmen.
- 10 Außerordentliche Kündigung
Bei einem schwerwiegenden Verstoß gegen gesetzliche Datenschutzbestimmungen und im Speziellen gegen Bestimmungen des vorliegenden Vertrages kann der Auftraggeber den Hauptvertrag ohne Einhaltung einer Frist schriftlich kündigen.
- 11 Beendigung des AV-Vertrages
- Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandenen Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen ohne unverhältnismäßig hohen Aufwand nicht mehr möglich ist.
- Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.
- Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Vertragsende hinaus aufzubewahren.
- 12 Haftung und Schadensersatz
Auftragnehmer und Auftraggeber haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelungen.
- Erweiterungen und Änderungen dieses Vertrages sind zu ihrer Wirksamkeit schriftlich zu formulieren und dem Auftraggeber unverzüglich mitzuteilen.
- Sollte das Eigentum oder die zu verarbeitenden Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlicher im Sinne der DSGVO liegen.
- Es gilt das deutsche Recht.
- Für Rechtsstreitigkeiten aus einem Vertrag mit dem Anbieter wird der Gerichtsstand am Sitz des Anbieters vereinbart, sofern die Vertragspartner Kaufleute, juristische Personen des öffentlichen Rechts oder des öffentlich-rechtlichen Sondervermögens sind. Der Anbieter bleibt jedoch dennoch berechtigt den Dienstleister bei Vertragsverstoß an dessen Sitz zu verklagen.
- Bei etwaigen Widersprüchen gehen Regelungen dieses Vertrages den Regelungen des Hauptvertrages vor.
- Sollten einzelne Bestimmungen dieses Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Statt den unwirksamen oder undurchführbaren Bestimmungen gelten diejenigen wirksamen und durchführbaren Regelungen, deren Wirkung der wirtschaftlichen Zielsetzung am nächsten kommt, die die Vertragsparteien mit den unwirksamen bzw. undurchführbaren Bestimmungen verfolgt haben. Die vorstehenden Bedingungen gelten gleichermaßen im Falle einer Vertragslücke.
Anhang 1 Leistungsbeschreibung
Domain
Leistungsbeschreibung: Wenn Sie bei uns nur eine Domain bestellen, kümmern wir uns um die Konnektierung und die Registrierung Ihrer Domain bei der zuständigen Registry. Zudem ist die Aufrechterhaltung der Registrierung Vertragsbestandteil.
Art der personenbezogenen Daten: Domain, Stammdaten (Name, Adresse, E-Mail, Telefonnummer)
Kategorien betroffener Personen: Mitarbeiter, Besucher Ihrer Webseite
Mail
Leistungsbeschreibung: Wenn Sie bei uns ein Mailprodukt bestellen, erhalten Sie eine E-Mail-Adresse mit persönlicher Domain. Wir legen für Sie ein Postfach an, auf das Sie mittels Web zugreifen oder in verschiedene Web Clients einbinden können. Des Weiteren können Sie Termine und Aufgaben erstellen und Kontakte verwalten. Zudem gehört auch ein konfigurierbarer Spamfilter zum Produkt. Zusätzlich haben Sie die Möglichkeit, das Produkt Mailarchivierung zu erwerben und somit Ihre Mails revisionssicher zu speichern. Wenn Sie das Produkt Webmailer erworben haben, können Sie zudem Termine und Aufgaben erstellen und Kontakte verwalten.
Art der personenbezogenen Daten: Mails, Kontakte, Termine, Domain
Kategorien betroffener Personen: Mitarbeiter, Besucher der Webseite
Hosting
Leistungsbeschreibung: Wenn Sie bei uns ein Hosting Paket bestellen, gehören zu unserer Leistung die Registrierung und Konnektierung der Domain sowie die Zurverfügungstellung des Webspaces und der Datenbanken. Inbegriffene Leistungen sind SSL-Zertifikate, SiteLock Scan und Mail. Mittels SSL-Zertifikat werden die Daten zwischen Ihrer Webseite und dem Webserver verschlüsselt übertragen. SiteLock Scan hilft Ihnen dabei, Ihren Webspace frei von Schadsoftware zu halten, indem Ihre Webseite gescannt wird und Sie im Falle eines Fundes informiert werden.
Art der personenbezogenen Daten: Inhaltsdaten der Webseite, Domain, Daten E-Mail (siehe unter Mailprodukt), Daten Ihrer Webseitbesucher
Kategorien betroffener Personen: Mitarbeiter, Besucher der Webseite